你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
控制 Azure Red Hat OpenShift (ARO) 群集的出口流量
本文提供了从 Azure Red Hat OpenShift 群集 (ARO) 保护出站流量的必要详细信息。 随着出口锁定功能的发布,ARO 群集所需的所有连接都将通过服务由代理处理。 可以允许其他目标使用 Operator Hub 或 Red Hat 遥测等功能。
重要
如果这些群集未启用出口锁定功能,请不要尝试对较旧的 ARO 群集执行这些说明。 若要在较旧的 ARO 群集上启用出口锁定功能,请参阅启用出口锁定。
通过 ARO 服务代理的终结点
以下终结点通过服务由代理处理,不需要其他防火墙规则。 此列表仅供参考。
| 目标 FQDN | 端口 | 用途 |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | ARO 所需的系统映像的全局容器注册表。 |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | ARO 所需的系统映像的区域容器注册表。 |
management.azure.com |
HTTPS:443 | 群集使用它来访问 Azure API。 |
login.microsoftonline.com |
HTTPS:443 | 群集使用它来对 Azure 进行身份验证。 |
monitor.core.windows.net的特定子域 |
HTTPS:443 | 用于 Microsoft Geneva 监视,以便 ARO 团队可以监视客户的群集。 |
monitoring.core.windows.net的特定子域 |
HTTPS:443 | 用于 Microsoft Geneva 监视,以便 ARO 团队可以监视客户的群集。 |
blob.core.windows.net的特定子域 |
HTTPS:443 | 用于 Microsoft Geneva 监视,以便 ARO 团队可以监视客户的群集。 |
servicebus.windows.net的特定子域 |
HTTPS:443 | 用于 Microsoft Geneva 监视,以便 ARO 团队可以监视客户的群集。 |
table.core.windows.net的特定子域 |
HTTPS:443 | 用于 Microsoft Geneva 监视,以便 ARO 团队可以监视客户的群集。 |
可选终结点的列表
其他容器注册表终结点
| 目标 FQDN | 端口 | 用途 |
|---|---|---|
registry.redhat.io |
HTTPS:443 | 用于提供来自 Red Hat 的容器映像和运算符。 |
quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
cdn.quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
cdn01.quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
cdn02.quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
cdn03.quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
access.redhat.com |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
registry.access.redhat.com |
HTTPS:443 | 用于提供第三方容器映像和认证运算符。 |
registry.connect.redhat.com |
HTTPS:443 | 用于提供第三方容器映像和认证运算符。 |
Red Hat 遥测和 Red Hat 见解
默认情况下,ARO 群集选择退出 Red Hat 遥测和 Red Hat 见解。 如果想要选择加入 Red Hat 遥测,请允许以下终结点并更新群集的拉取机密。
| 目标 FQDN | 端口 | 用途 |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | 用于 Red Hat 遥测。 |
api.access.redhat.com |
HTTPS:443 | 用于 Red Hat 遥测。 |
infogw.api.openshift.com |
HTTPS:443 | 用于 Red Hat 遥测。 |
console.redhat.com/api/ingress |
HTTPS:443 | 在群集中使用,供见解运算符与 Red Hat 见解集成。 |
有关远程运行状况监视和遥测的其他信息,请参阅 Red Hat OpenShift 容器平台文档。
其他额外的 OpenShift 终结点
| 目标 FQDN | 端口 | 用途 |
|---|---|---|
api.openshift.com |
HTTPS:443 | 群集用于检查是否有可用于群集的更新。 或者,用户可以使用 OpenShift Upgrade Graph 工具手动查找升级路径。 |
mirror.openshift.com |
HTTPS:443 | 访问镜像安装内容和映像时需要使用。 |
*.apps.<cluster_domain>* |
HTTPS:443 | 将域加入允许列表时,在企业网络中使用此域名来连接 ARO 中部署的应用程序,或者用于访问 OpenShift 控制台。 |
ARO 集成
Azure Monitor 容器见解
可以使用 Azure Monitor 容器见解扩展监视 ARO 群集。 查看启用扩展的先决条件和说明。