控制 Azure Red Hat OpenShift (ARO) 叢集的輸出流量
本文提供必要的詳細資料,可讓您保護來自 Azure Red Hat OpenShift cluster (ARO) 的輸出流量。 透過推出輸出鎖定功能,ARO 叢集的所有必要連線都會透過服務代理。 您可能會想要允許額外目的地使用操作員中樞或 Red Hat 遙測等功能。
重要
如果這些叢集未啟用輸出鎖定功能,請勿在舊版 ARO 叢集上嘗試這些指示。 若要在舊版 ARO 叢集上啟用輸出鎖定功能,請參閱啟用輸出鎖定。
透過 ARO 服務代理的端點
下列端點透過服務代理,並不需要額外的防火牆規則。 此清單僅供參考之用。
| 目的地 FQDN | 連接埠 | 使用 |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | ARO 必要系統映像的全域容器登錄。 |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | ARO 必要系統映像的區域容器登錄。 |
management.azure.com |
HTTPS:443 | 供叢集用來存取 Azure API。 |
login.microsoftonline.com |
HTTPS:443 | 供叢集用來向 Azure 驗證。 |
monitor.core.windows.net 的特定子網域 |
HTTPS:443 | 用於 Microsoft Geneva Monitoring,讓 ARO 團隊監控客戶的叢集。 |
monitoring.core.windows.net 的特定子網域 |
HTTPS:443 | 用於 Microsoft Geneva Monitoring,讓 ARO 團隊監控客戶的叢集。 |
blob.core.windows.net 的特定子網域 |
HTTPS:443 | 用於 Microsoft Geneva Monitoring,讓 ARO 團隊監控客戶的叢集。 |
servicebus.windows.net 的特定子網域 |
HTTPS:443 | 用於 Microsoft Geneva Monitoring,讓 ARO 團隊監控客戶的叢集。 |
table.core.windows.net 的特定子網域 |
HTTPS:443 | 用於 Microsoft Geneva Monitoring,讓 ARO 團隊監控客戶的叢集。 |
選用端點清單
其他容器登錄端點
| 目的地 FQDN | 連接埠 | 使用 |
|---|---|---|
registry.redhat.io |
HTTPS:443 | 用來提供來自 Red Hat 的容器映像和操作員。 |
quay.io |
HTTPS:443 | 用來提供來自 Red Hat 和第三方的容器映像和操作員。 |
cdn.quay.io |
HTTPS:443 | 用來提供來自 Red Hat 和第三方的容器映像和操作員。 |
cdn01.quay.io |
HTTPS:443 | 用來提供來自 Red Hat 和第三方的容器映像和操作員。 |
cdn02.quay.io |
HTTPS:443 | 用來提供來自 Red Hat 和第三方的容器映像和操作員。 |
cdn03.quay.io |
HTTPS:443 | 用來提供來自 Red Hat 和第三方的容器映像和操作員。 |
access.redhat.com |
HTTPS:443 | 用來提供來自 Red Hat 和第三方的容器映像和操作員。 |
registry.access.redhat.com |
HTTPS:443 | 用來提供第三方容器映像和認證操作員。 |
registry.connect.redhat.com |
HTTPS:443 | 用來提供第三方容器映像和認證操作員。 |
Red Hat 遙測和 Red Hat Insights
根據預設,ARO 叢集已退出 Red Hat 遙測和 Red Hat Insights。 如果您想要加入 Red Hat 遙測,請允許下列端點並更新叢集的提取祕密。
| 目的地 FQDN | 連接埠 | 使用 |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | 用於 Red Hat 遙測。 |
api.access.redhat.com |
HTTPS:443 | 用於 Red Hat 遙測。 |
infogw.api.openshift.com |
HTTPS:443 | 用於 Red Hat 遙測。 |
console.redhat.com/api/ingress |
HTTPS:443 | 用於讓深入解析操作員在叢集中與 Red Hat Insights 整合。 |
如需遠端狀況監控和遙測的其他資訊,請參閱 Red Hat OpenShift Container Platform 文件 (英文)。
其他額外的 OpenShift 端點
| 目的地 FQDN | 連接埠 | 使用 |
|---|---|---|
api.openshift.com |
HTTPS:443 | 供叢集用來檢查叢集是否有可用的更新。 或者,使用者可以使用 OpenShift Upgrade Graph 工具手動尋找升級路徑。 |
mirror.openshift.com |
HTTPS:443 | 存取鏡像安裝內容和映像時必要。 |
*.apps.<cluster_domain>* |
HTTPS:443 | 將網域加入允許清單時,這可用於您的公司網路,以觸達部署到 ARO 的應用程式,或存取 OpenShift 主控台。 |
ARO 整合
Azure 監視器容器見解
您可以使用 Azure 監視器容器深入解析擴充功能來監視 ARO 叢集。 檢閱啟用擴充功能的必要條件和指示。