Azure Red Hat OpenShift (ARO) kümeniz için çıkış trafiğini denetleme
Bu makalede, Azure Red Hat OpenShift kümenizden (ARO) giden trafiğin güvenliğini sağlamanıza olanak sağlayan gerekli ayrıntılar sağlanır. Çıkış Kilitleme Özelliği'nin yayımlanmasıyla birlikte, bir ARO kümesi için gerekli tüm bağlantılar hizmet üzerinden proksid edilir. Operatör Hub'ı veya Red Hat telemetrisi gibi özellikleri kullanmak için izin vermek isteyebileceğiniz ek hedefler vardır.
Önemli
Bu kümelerde Çıkış Kilitleme özelliği etkin değilse eski ARO kümelerinde bu yönergeleri denemeyin. Eski ARO kümelerinde Çıkış Kilitleme özelliğini etkinleştirmek için bkz . Çıkış Kilitlemeyi Etkinleştirme.
ARO hizmeti aracılığıyla proksid edilen uç noktalar
Aşağıdaki uç noktalar hizmet aracılığıyla sunulur ve ek güvenlik duvarı kurallarına ihtiyaç yoktur. Bu liste yalnızca bilgilendirme amaçlıdır.
Hedef FQDN | Bağlantı noktası | Kullanma |
---|---|---|
arosvc.azurecr.io |
HTTPS:443 | ARO gerekli sistem görüntüleri için genel kapsayıcı kayıt defteri. |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | ARO gerekli sistem görüntüleri için bölgesel kapsayıcı kayıt defteri. |
management.azure.com |
HTTPS:443 | Küme tarafından Azure API'lerine erişmek için kullanılır. |
login.microsoftonline.com |
HTTPS:443 | Küme tarafından Azure'da kimlik doğrulaması için kullanılır. |
Belirli alt etki alanları monitor.core.windows.net |
HTTPS:443 | ARO ekibinin müşterinin kümelerini izleyebilmesi için Microsoft Geneva İzleme için kullanılır. |
Belirli alt etki alanları monitoring.core.windows.net |
HTTPS:443 | ARO ekibinin müşterinin kümelerini izleyebilmesi için Microsoft Geneva İzleme için kullanılır. |
Belirli alt etki alanları blob.core.windows.net |
HTTPS:443 | ARO ekibinin müşterinin kümelerini izleyebilmesi için Microsoft Geneva İzleme için kullanılır. |
Belirli alt etki alanları servicebus.windows.net |
HTTPS:443 | ARO ekibinin müşterinin kümelerini izleyebilmesi için Microsoft Geneva İzleme için kullanılır. |
Belirli alt etki alanları table.core.windows.net |
HTTPS:443 | ARO ekibinin müşterinin kümelerini izleyebilmesi için Microsoft Geneva İzleme için kullanılır. |
İsteğe bağlı uç noktaların listesi
Ek kapsayıcı kayıt defteri uç noktaları
Hedef FQDN | Bağlantı noktası | Kullanma |
---|---|---|
registry.redhat.io |
HTTPS:443 | Red Hat'ten kapsayıcı görüntüleri ve işleçleri sağlamak için kullanılır. |
quay.io |
HTTPS:443 | Red Hat ve üçüncü taraflardan kapsayıcı görüntüleri ve işleçleri sağlamak için kullanılır. |
cdn.quay.io |
HTTPS:443 | Red Hat ve üçüncü taraflardan kapsayıcı görüntüleri ve işleçleri sağlamak için kullanılır. |
cdn01.quay.io |
HTTPS:443 | Red Hat ve üçüncü taraflardan kapsayıcı görüntüleri ve işleçleri sağlamak için kullanılır. |
cdn02.quay.io |
HTTPS:443 | Red Hat ve üçüncü taraflardan kapsayıcı görüntüleri ve işleçleri sağlamak için kullanılır. |
cdn03.quay.io |
HTTPS:443 | Red Hat ve üçüncü taraflardan kapsayıcı görüntüleri ve işleçleri sağlamak için kullanılır. |
access.redhat.com |
HTTPS:443 | Red Hat ve üçüncü taraflardan kapsayıcı görüntüleri ve işleçleri sağlamak için kullanılır. |
registry.access.redhat.com |
HTTPS:443 | Üçüncü taraf kapsayıcı görüntüleri ve sertifikalı işleçler sağlamak için kullanılır. |
registry.connect.redhat.com |
HTTPS:443 | Üçüncü taraf kapsayıcı görüntüleri ve sertifikalı işleçler sağlamak için kullanılır. |
Red Hat Telemetrisi ve Red Hat İçgörüleri
Varsayılan olarak, ARO kümeleri Red Hat Telemetrisi ve Red Hat İçgörüleri'nin dışındadır. Red Hat telemetrisine kaydolmak istiyorsanız aşağıdaki uç noktalara izin verin ve kümenizin çekme gizli dizisini güncelleştirin.
Hedef FQDN | Bağlantı noktası | Kullanma |
---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | Red Hat telemetrisi için kullanılır. |
api.access.redhat.com |
HTTPS:443 | Red Hat telemetrisi için kullanılır. |
infogw.api.openshift.com |
HTTPS:443 | Red Hat telemetrisi için kullanılır. |
console.redhat.com/api/ingress |
HTTPS:443 | Red Hat Insights ile tümleşen içgörü işleci için kümede kullanılır. |
Uzaktan sistem durumu izleme ve telemetri hakkında ek bilgi için Red Hat OpenShift Kapsayıcı Platformu belgelerine bakın.
Diğer ek OpenShift uç noktaları
Hedef FQDN | Bağlantı noktası | Kullanma |
---|---|---|
api.openshift.com |
HTTPS:443 | Küme için güncelleştirmelerin kullanılabilir olup olmadığını denetlemek için küme tarafından kullanılır. Alternatif olarak, kullanıcılar bir yükseltme yolunu el ile bulmak için OpenShift Yükseltme Grafı aracını kullanabilir. |
mirror.openshift.com |
HTTPS:443 | Yansıtılmış yükleme içeriğine ve görüntülerine erişmek için gereklidir. |
*.apps.<cluster_domain>* |
HTTPS:443 | Etki alanları izin verilenler listesine eklenirken bu, ARO'da dağıtılan uygulamalara erişmek veya OpenShift konsoluna erişmek için kurumsal ağınızda kullanılır. |
ARO tümleştirmeleri
Azure İzleyici kapsayıcı içgörüleri
ARO kümeleri Azure İzleyici kapsayıcı içgörüleri uzantısı kullanılarak izlenebilir. Uzantıyı etkinleştirmeye yönelik önkoşulları ve yönergeleri gözden geçirin.