Compartilhar via


Controlar o tráfego de saída para o cluster do ARO (Red Hat OpenShift) do Azure

Este artigo fornece os detalhes necessários que permitem proteger o tráfego de saída do seu cluster ARO (Red Hat OpenShift no Azure). Com o lançamento do Recurso de Bloqueio de Saída, todas as conexões necessárias para um cluster ARO são acessadas por meio do serviço. Há destinos adicionais que talvez você queira permitir para usar recursos como o Hub de Operadores ou a telemetria do Red Hat.

Importante

Não tente seguir essas instruções em clusters ARO mais antigos se esses clusters não tiverem o recurso de Bloqueio de Saída habilitado. Para habilitar o recurso de Bloqueio de Saída em clusters ARO mais antigos, consulte Habilitar o Bloqueio de Saída.

Pontos de extremidade encaminhados por proxy por meio do serviço ARO

Os pontos de extremidade a seguir são acessados através de proxy por meio do serviço e não precisam de regras de firewall adicionais. Esta lista está aqui apenas para fins informativos.

FQDN de destino Porta Use
arosvc.azurecr.io HTTPS:443 Registro de contêiner global para imagens do sistema necessárias para o ARO.
arosvc.$REGION.data.azurecr.io HTTPS:443 Registro de contêiner regional para imagens do sistema necessárias para o ARO.
management.azure.com HTTPS:443 Usado pelo cluster para acessar as APIs do Azure.
login.microsoftonline.com HTTPS:443 Usado pelo cluster para a autenticação no Azure.
Subdomínios específicos de monitor.core.windows.net HTTPS:443 É usado para o monitoramento do Microsoft Geneva para que a equipe do ARO possa monitorar os clusters do cliente.
Subdomínios específicos de monitoring.core.windows.net HTTPS:443 É usado para o monitoramento do Microsoft Geneva para que a equipe do ARO possa monitorar os clusters do cliente.
Subdomínios específicos de blob.core.windows.net HTTPS:443 É usado para o monitoramento do Microsoft Geneva para que a equipe do ARO possa monitorar os clusters do cliente.
Subdomínios específicos de servicebus.windows.net HTTPS:443 É usado para o monitoramento do Microsoft Geneva para que a equipe do ARO possa monitorar os clusters do cliente.
Subdomínios específicos de table.core.windows.net HTTPS:443 É usado para o monitoramento do Microsoft Geneva para que a equipe do ARO possa monitorar os clusters do cliente.

Lista de pontos de extremidade opcionais

Pontos de extremidade adicionais do registro de contêiner

FQDN de destino Porta Use
registry.redhat.io HTTPS:443 Usado para fornecer imagens e operadores de contêiner do Red Hat.
quay.io HTTPS:443 Usado para fornecer imagens e operadores de contêiner do Red Hat e de terceiros.
cdn.quay.io HTTPS:443 Usado para fornecer imagens e operadores de contêiner do Red Hat e de terceiros.
cdn01.quay.io HTTPS:443 Usado para fornecer imagens e operadores de contêiner do Red Hat e de terceiros.
cdn02.quay.io HTTPS:443 Usado para fornecer imagens e operadores de contêiner do Red Hat e de terceiros.
cdn03.quay.io HTTPS:443 Usado para fornecer imagens e operadores de contêiner do Red Hat e de terceiros.
access.redhat.com HTTPS:443 Usado para fornecer imagens e operadores de contêiner do Red Hat e de terceiros.
registry.access.redhat.com HTTPS:443 Usado para fornecer imagens de contêiner de terceiros e operadores certificados.
registry.connect.redhat.com HTTPS:443 Usado para fornecer imagens de contêiner de terceiros e operadores certificados.

Red Hat Telemetry e Red Hat Insights

Por padrão, os clusters ARO são configurados para não usar o Red Hat Telemetry e o Red Hat Insights. Se você quiser aceitar a telemetria do Red Hat, permita os pontos de extremidade a seguir e atualize o segredo de pull do cluster.

FQDN de destino Porta Use
cert-api.access.redhat.com HTTPS:443 Usado para telemetria do Red Hat.
api.access.redhat.com HTTPS:443 Usado para telemetria do Red Hat.
infogw.api.openshift.com HTTPS:443 Usado para telemetria do Red Hat.
console.redhat.com/api/ingress HTTPS:443 Usado no cluster do operador de insights que é integrado aos Insights do Red Hat.

Para obter informações adicionais sobre monitoramento remoto de integridade e telemetria, consulte a Documentação da Plataforma de Contêineres do Red Hat OpenShift.

Outros pontos de extremidade adicionais do OpenShift

FQDN de destino Porta Use
api.openshift.com HTTPS:443 Usado pelo cluster para verificar se as atualizações estão disponíveis para o cluster. Como alternativa, os usuários podem usar a ferramenta OpenShift Upgrade Graph para localizar manualmente um caminho de atualização.
mirror.openshift.com HTTPS:443 Necessário para acessar o conteúdo e as imagens da instalação espelhada.
*.apps.<cluster_domain>* HTTPS:443 Ao incluir domínios da lista de permitidos, isso é usado na rede corporativa para atingir aplicativos implantados no ARO ou para acessar o console do OpenShift.

Integrações do ARO

Insights de contêiner do Azure Monitor

Os clusters ARO podem ser monitorados usando a extensão de insights de contêiner do Azure Monitor. Examine os pré-requisitos e as instruções para habilitar a extensão.