Controle o tráfego de saída para seu cluster do Azure Red Hat OpenShift (ARO)
Este artigo fornece os detalhes necessários que permitem proteger o tráfego de saída do cluster Red Hat OpenShift (ARO) do Azure. Com o lançamento do recurso de bloqueio de saída, todas as conexões necessárias para um cluster ARO são intermediadas por proxy por meio do serviço. Há destinos adicionais que você pode querer permitir o uso de recursos como o Operator Hub ou a telemetria Red Hat.
Importante
Não tente estas instruções em clusters ARO mais antigos se esses clusters não tiverem o recurso Bloqueio de saída habilitado. Para habilitar o recurso Bloqueio de saída em clusters ARO mais antigos, consulte Habilitar bloqueio de saída.
Pontos de extremidade por proxy através do serviço ARO
Os pontos de extremidade a seguir são intermediados por proxy por meio do serviço e não precisam de regras de firewall adicionais. Esta lista está aqui apenas para fins informativos.
| FQDN de destino | Porta | Utilizar |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | O registro de contêiner global para ARO exigia imagens do sistema. |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | O registro de contêiner regional para ARO exigia imagens do sistema. |
management.azure.com |
HTTPS:443 | Usado pelo cluster para acessar APIs do Azure. |
login.microsoftonline.com |
HTTPS:443 | Usado pelo cluster para autenticação no Azure. |
Subdomínios específicos de monitor.core.windows.net |
HTTPS:443 | Usado para o Microsoft Geneva Monitoring para que a equipe ARO possa monitorar o(s) cluster(s) do cliente. |
Subdomínios específicos de monitoring.core.windows.net |
HTTPS:443 | Usado para o Microsoft Geneva Monitoring para que a equipe ARO possa monitorar o(s) cluster(s) do cliente. |
Subdomínios específicos de blob.core.windows.net |
HTTPS:443 | Usado para o Microsoft Geneva Monitoring para que a equipe ARO possa monitorar o(s) cluster(s) do cliente. |
Subdomínios específicos de servicebus.windows.net |
HTTPS:443 | Usado para o Microsoft Geneva Monitoring para que a equipe ARO possa monitorar o(s) cluster(s) do cliente. |
Subdomínios específicos de table.core.windows.net |
HTTPS:443 | Usado para o Microsoft Geneva Monitoring para que a equipe ARO possa monitorar o(s) cluster(s) do cliente. |
Lista de parâmetros de avaliação final opcionais
Pontos de extremidade de registro de contêiner adicionais
| FQDN de destino | Porta | Utilizar |
|---|---|---|
registry.redhat.io |
HTTPS:443 | Usado para fornecer imagens de contêiner e operadores da Red Hat. |
quay.io |
HTTPS:443 | Usado para fornecer imagens de contêiner e operadores da Red Hat e de terceiros. |
cdn.quay.io |
HTTPS:443 | Usado para fornecer imagens de contêiner e operadores da Red Hat e de terceiros. |
cdn01.quay.io |
HTTPS:443 | Usado para fornecer imagens de contêiner e operadores da Red Hat e de terceiros. |
cdn02.quay.io |
HTTPS:443 | Usado para fornecer imagens de contêiner e operadores da Red Hat e de terceiros. |
cdn03.quay.io |
HTTPS:443 | Usado para fornecer imagens de contêiner e operadores da Red Hat e de terceiros. |
access.redhat.com |
HTTPS:443 | Usado para fornecer imagens de contêiner e operadores da Red Hat e de terceiros. |
registry.access.redhat.com |
HTTPS:443 | Usado para fornecer imagens de contêiner de terceiros e operadores certificados. |
registry.connect.redhat.com |
HTTPS:443 | Usado para fornecer imagens de contêiner de terceiros e operadores certificados. |
Red Hat Telemetry e Red Hat Insights
Por padrão, os clusters ARO são excluídos do Red Hat Telemetry e do Red Hat Insights. Se você deseja optar pela telemetria Red Hat, permita os seguintes endpoints e atualize o segredo de pull do cluster.
| FQDN de destino | Porta | Utilizar |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | Usado para telemetria Red Hat. |
api.access.redhat.com |
HTTPS:443 | Usado para telemetria Red Hat. |
infogw.api.openshift.com |
HTTPS:443 | Usado para telemetria Red Hat. |
console.redhat.com/api/ingress |
HTTPS:443 | Usado no cluster para o operador de insights que se integra ao Red Hat Insights. |
Para obter informações adicionais sobre monitoramento remoto de integridade e telemetria, consulte a documentação do Red Hat OpenShift Container Platform.
Outros endpoints adicionais do OpenShift
| FQDN de destino | Porta | Utilizar |
|---|---|---|
api.openshift.com |
HTTPS:443 | Usado pelo cluster para verificar se há atualizações disponíveis para o cluster. Como alternativa, os usuários podem usar a ferramenta OpenShift Upgrade Graph para encontrar manualmente um caminho de atualização. |
mirror.openshift.com |
HTTPS:443 | Necessário para acessar o conteúdo e as imagens espelhadas da instalação. |
*.apps.<cluster_domain>* |
HTTPS:443 | Ao permitir a listagem de domínios, isso é usado em sua rede corporativa para alcançar aplicativos implantados no ARO ou para acessar o console do OpenShift. |
Integrações ARO
Azure Monitor informações de contêiner
Os clusters ARO podem ser monitorados usando a extensão de insights de contêiner do Azure Monitor. Analise os pré-requisitos e as instruções para habilitar a extensão.