Kontrollera utgående trafik för ditt Azure Red Hat OpenShift-kluster (ARO)
Den här artikeln innehåller nödvändig information som gör att du kan skydda utgående trafik från ditt Azure Red Hat OpenShift-kluster (ARO). I och med lanseringen av funktionen Egress Lockdown skickas alla nödvändiga anslutningar för ett ARO-kluster via tjänsten. Det finns ytterligare mål som du kanske vill tillåta att du använder funktioner som Operator Hub eller Red Hat-telemetri.
Viktigt!
Försök inte med dessa instruktioner för äldre ARO-kluster om dessa kluster inte har funktionen Utgående låsning aktiverad. Information om hur du aktiverar funktionen Utgående låsning i äldre ARO-kluster finns i Aktivera utgående låsning.
Slutpunkter som överförs via ARO-tjänsten
Följande slutpunkter skickas via tjänsten och behöver inte ytterligare brandväggsregler. Den här listan finns endast här i informationssyfte.
| Mål-FQDN | Port | Använd |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | Globalt containerregister för ARO-nödvändiga systemavbildningar. |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | Regionalt containerregister för ARO-nödvändiga systemavbildningar. |
management.azure.com |
HTTPS:443 | Används av klustret för att komma åt Azure-API:er. |
login.microsoftonline.com |
HTTPS:443 | Används av klustret för autentisering till Azure. |
Specifika underdomäner för monitor.core.windows.net |
HTTPS:443 | Används för Microsoft Geneva Monitoring så att ARO-teamet kan övervaka kundens kluster. |
Specifika underdomäner för monitoring.core.windows.net |
HTTPS:443 | Används för Microsoft Geneva Monitoring så att ARO-teamet kan övervaka kundens kluster. |
Specifika underdomäner för blob.core.windows.net |
HTTPS:443 | Används för Microsoft Geneva Monitoring så att ARO-teamet kan övervaka kundens kluster. |
Specifika underdomäner för servicebus.windows.net |
HTTPS:443 | Används för Microsoft Geneva Monitoring så att ARO-teamet kan övervaka kundens kluster. |
Specifika underdomäner för table.core.windows.net |
HTTPS:443 | Används för Microsoft Geneva Monitoring så att ARO-teamet kan övervaka kundens kluster. |
Lista över valfria slutpunkter
Ytterligare slutpunkter för containerregister
| Mål-FQDN | Port | Använd |
|---|---|---|
registry.redhat.io |
HTTPS:443 | Används för att tillhandahålla containeravbildningar och operatorer från Red Hat. |
quay.io |
HTTPS:443 | Används för att tillhandahålla containeravbildningar och operatorer från Red Hat och tredje part. |
cdn.quay.io |
HTTPS:443 | Används för att tillhandahålla containeravbildningar och operatorer från Red Hat och tredje part. |
cdn01.quay.io |
HTTPS:443 | Används för att tillhandahålla containeravbildningar och operatorer från Red Hat och tredje part. |
cdn02.quay.io |
HTTPS:443 | Används för att tillhandahålla containeravbildningar och operatorer från Red Hat och tredje part. |
cdn03.quay.io |
HTTPS:443 | Används för att tillhandahålla containeravbildningar och operatorer från Red Hat och tredje part. |
access.redhat.com |
HTTPS:443 | Används för att tillhandahålla containeravbildningar och operatorer från Red Hat och tredje part. |
registry.access.redhat.com |
HTTPS:443 | Används för att tillhandahålla containeravbildningar från tredje part och certifierade operatorer. |
registry.connect.redhat.com |
HTTPS:443 | Används för att tillhandahålla containeravbildningar från tredje part och certifierade operatorer. |
Red Hat-telemetri och Red Hat Insights
Som standard avanmäls ARO-kluster från Red Hat Telemetry och Red Hat Insights. Om du vill anmäla dig till Red Hat-telemetri tillåter du följande slutpunkter och uppdaterar klustrets pull-hemlighet.
| Mål-FQDN | Port | Använd |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | Används för Red Hat-telemetri. |
api.access.redhat.com |
HTTPS:443 | Används för Red Hat-telemetri. |
infogw.api.openshift.com |
HTTPS:443 | Används för Red Hat-telemetri. |
console.redhat.com/api/ingress |
HTTPS:443 | Används i klustret för den insiktsoperator som integreras med Red Hat Insights. |
Mer information om övervakning och telemetri för fjärrhälsa finns i dokumentationen om Red Hat OpenShift Container Platform.
Andra ytterligare OpenShift-slutpunkter
| Mål-FQDN | Port | Använd |
|---|---|---|
api.openshift.com |
HTTPS:443 | Används av klustret för att kontrollera om uppdateringar är tillgängliga för klustret. Alternativt kan användarna använda verktyget OpenShift Upgrade Graph för att manuellt hitta en uppgraderingssökväg. |
mirror.openshift.com |
HTTPS:443 | Krävs för att få åtkomst till speglat installationsinnehåll och bilder. |
*.apps.<cluster_domain>* |
HTTPS:443 | När domäner tillåts används detta i företagets nätverk för att nå program som distribuerats i ARO eller för att få åtkomst till OpenShift-konsolen. |
ARO-integreringar
Azure Monitor-containerinsikter
ARO-kluster kan övervakas med hjälp av Azure Monitor container insights-tillägget. Läs igenom kraven och anvisningarna för att aktivera tillägget.