Controllare il traffico in uscita per il cluster Azure Red Hat OpenShift (ARO)
Questo articolo fornisce i dettagli necessari che consentono di proteggere il traffico in uscita dal cluster Azure Red Hat OpenShift (ARO). Con il rilascio della funzionalità di blocco in uscita, tutte le connessioni necessarie per un cluster ARO vengono inoltrate tramite il servizio. Esistono destinazioni aggiuntive che è possibile consentire di usare funzionalità come Hub operatore o dati di telemetria di Red Hat.
Importante
Non tentare queste istruzioni nei cluster ARO meno recenti se tali cluster non dispongono della funzionalità Blocco in uscita abilitata. Per abilitare la funzionalità blocco in uscita nei cluster ARO meno recenti, vedere Abilitare il blocco in uscita.
Endpoint sottoposti a proxy tramite il servizio ARO
Gli endpoint seguenti vengono inoltrati tramite proxy tramite il servizio e non richiedono regole del firewall aggiuntive. Questo elenco è disponibile solo a scopo informativo.
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | Registro contenitori globale per le immagini di sistema richieste da ARO. |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | Registro contenitori a livello di area per le immagini di sistema richieste da ARO. |
management.azure.com |
HTTPS:443 | Usato dal cluster per accedere alle API di Azure. |
login.microsoftonline.com |
HTTPS:443 | Usato dal cluster per l'autenticazione in Azure. |
Sottodomini specifici di monitor.core.windows.net |
HTTPS:443 | Usato per il monitoraggio di Microsoft Ginevra in modo che il team ARO possa monitorare i cluster del cliente. |
Sottodomini specifici di monitoring.core.windows.net |
HTTPS:443 | Usato per il monitoraggio di Microsoft Ginevra in modo che il team ARO possa monitorare i cluster del cliente. |
Sottodomini specifici di blob.core.windows.net |
HTTPS:443 | Usato per il monitoraggio di Microsoft Ginevra in modo che il team ARO possa monitorare i cluster del cliente. |
Sottodomini specifici di servicebus.windows.net |
HTTPS:443 | Usato per il monitoraggio di Microsoft Ginevra in modo che il team ARO possa monitorare i cluster del cliente. |
Sottodomini specifici di table.core.windows.net |
HTTPS:443 | Usato per il monitoraggio di Microsoft Ginevra in modo che il team ARO possa monitorare i cluster del cliente. |
Elenco di endpoint facoltativi
Endpoint aggiuntivi del registro contenitori
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
registry.redhat.io |
HTTPS:443 | Usato per fornire immagini e operatori del contenitore da Red Hat. |
quay.io |
HTTPS:443 | Usato per fornire immagini e operatori del contenitore da Red Hat e terze parti. |
cdn.quay.io |
HTTPS:443 | Usato per fornire immagini e operatori del contenitore da Red Hat e terze parti. |
cdn01.quay.io |
HTTPS:443 | Usato per fornire immagini e operatori del contenitore da Red Hat e terze parti. |
cdn02.quay.io |
HTTPS:443 | Usato per fornire immagini e operatori del contenitore da Red Hat e terze parti. |
cdn03.quay.io |
HTTPS:443 | Usato per fornire immagini e operatori del contenitore da Red Hat e terze parti. |
access.redhat.com |
HTTPS:443 | Usato per fornire immagini e operatori del contenitore da Red Hat e terze parti. |
registry.access.redhat.com |
HTTPS:443 | Usato per fornire immagini di contenitori di terze parti e operatori certificati. |
registry.connect.redhat.com |
HTTPS:443 | Usato per fornire immagini di contenitori di terze parti e operatori certificati. |
Telemetria di Red Hat e Red Hat Insights
Per impostazione predefinita, i cluster ARO non accettano la telemetria di Red Hat e Red Hat Insights. Se si vuole acconsentire esplicitamente alla telemetria di Red Hat, consentire gli endpoint seguenti e aggiornare il segreto pull del cluster.
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | Usato per la telemetria di Red Hat. |
api.access.redhat.com |
HTTPS:443 | Usato per la telemetria di Red Hat. |
infogw.api.openshift.com |
HTTPS:443 | Usato per la telemetria di Red Hat. |
console.redhat.com/api/ingress |
HTTPS:443 | Usato nel cluster per l'operatore insights che si integra con Red Hat Insights. |
Per altre informazioni sul monitoraggio e la telemetria dell'integrità remota, vedere la documentazione di Red Hat OpenShift Container Platform.
Altri endpoint OpenShift aggiuntivi
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
api.openshift.com |
HTTPS:443 | Usato dal cluster per verificare se gli aggiornamenti sono disponibili per il cluster. In alternativa, gli utenti possono usare lo strumento OpenShift Upgrade Graph per trovare manualmente un percorso di aggiornamento. |
mirror.openshift.com |
HTTPS:443 | Necessario per accedere al contenuto e alle immagini di installazione con mirroring. |
*.apps.<cluster_domain>* |
HTTPS:443 | Quando si consentono l'elenco dei domini, questo viene usato nella rete aziendale per raggiungere le applicazioni distribuite in ARO o per accedere alla console OpenShift. |
Integrazioni ARO
Informazioni dettagliate sul contenitore di Monitoraggio di Azure
I cluster ARO possono essere monitorati usando l'estensione informazioni dettagliate sui contenitori di Monitoraggio di Azure. Esaminare i prerequisiti e le istruzioni per abilitare l'estensione.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per