Controllare il traffico in uscita per il cluster Azure Red Hat OpenShift (ARO)
Questo articolo fornisce i dettagli necessari per proteggere il traffico in uscita dal servizio Azure Red Hat OpenShift cluster (ARO). Con il rilascio della funzionalità di blocco in uscita, tutte le connessioni necessarie per un cluster ARO vengono inoltrate tramite il servizio. Esistono destinazioni aggiuntive alle quali è possibile consentire di usare funzionalità come Operatore hub o dati di telemetria di Red Hat.
Importante
Non tentare queste istruzioni nei cluster ARO meno recenti se tali cluster non dispongono della funzionalità Blocco in uscita abilitata. Per abilitare la funzionalità Blocco in uscita nei cluster ARO meno recenti, vedere Abilitare Blocco in uscita.
Endpoint sottoposti a proxy tramite il servizio ARO
Gli endpoint seguenti vengono inoltrati tramite proxy per mezzo del servizio e non richiedono regole del firewall aggiuntive. Questo elenco è disponibile solo a scopo informativo.
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | Registro contenitori globale per le immagini di sistema richieste da ARO. |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | Registro contenitori a livello di area per le immagini di sistema richieste da ARO. |
management.azure.com |
HTTPS:443 | Usato dal cluster per accedere alle API di Azure. |
login.microsoftonline.com |
HTTPS:443 | Usato dal cluster per l'autenticazione in Azure. |
Sottodomini specifici di monitor.core.windows.net |
HTTPS:443 | Usato per il monitoraggio di Microsoft Ginevra in modo che il team ARO possa monitorare i cluster del cliente. |
Sottodomini specifici di monitoring.core.windows.net |
HTTPS:443 | Usato per il monitoraggio di Microsoft Ginevra in modo che il team ARO possa monitorare i cluster del cliente. |
Sottodomini specifici di blob.core.windows.net |
HTTPS:443 | Usato per il monitoraggio di Microsoft Ginevra in modo che il team ARO possa monitorare i cluster del cliente. |
Sottodomini specifici di servicebus.windows.net |
HTTPS:443 | Usato per il monitoraggio di Microsoft Ginevra in modo che il team ARO possa monitorare i cluster del cliente. |
Sottodomini specifici di table.core.windows.net |
HTTPS:443 | Usato per il monitoraggio di Microsoft Ginevra in modo che il team ARO possa monitorare i cluster del cliente. |
Elenco di endpoint facoltativi
Endpoint aggiuntivi del registro contenitori
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
registry.redhat.io |
HTTPS:443 | Usato per fornire immagini e operatori del contenitore da Red Hat. |
quay.io |
HTTPS:443 | Usato per fornire immagini e operatori del contenitore da Red Hat e terze parti. |
cdn.quay.io |
HTTPS:443 | Usato per fornire immagini e operatori del contenitore da Red Hat e terze parti. |
cdn01.quay.io |
HTTPS:443 | Usato per fornire immagini e operatori del contenitore da Red Hat e terze parti. |
cdn02.quay.io |
HTTPS:443 | Usato per fornire immagini e operatori del contenitore da Red Hat e terze parti. |
cdn03.quay.io |
HTTPS:443 | Usato per fornire immagini e operatori del contenitore da Red Hat e terze parti. |
access.redhat.com |
HTTPS:443 | Usato per fornire immagini e operatori del contenitore da Red Hat e terze parti. |
registry.access.redhat.com |
HTTPS:443 | Usato per fornire immagini di contenitori di terze parti e operatori certificati. |
registry.connect.redhat.com |
HTTPS:443 | Usato per fornire immagini di contenitori di terze parti e operatori certificati. |
Telemetria di Red Hat e Red Hat Insights
Per impostazione predefinita, i cluster ARO non accettano la telemetria di Red Hat e Red Hat Insights. Se si vuole acconsentire esplicitamente alla telemetria di Red Hat, consentire gli endpoint seguenti e aggiornare il segreto pull del cluster.
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | Usato per la telemetria di Red Hat. |
api.access.redhat.com |
HTTPS:443 | Usato per la telemetria di Red Hat. |
infogw.api.openshift.com |
HTTPS:443 | Usato per la telemetria di Red Hat. |
console.redhat.com/api/ingress |
HTTPS:443 | Usato nel cluster per l'operatore insights che si integra con Red Hat Insights. |
Per altre informazioni sul monitoraggio e la telemetria dell'integrità remota, vedere la documentazione di Red Hat OpenShift Container Platform.
Altri endpoint OpenShift aggiuntivi
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
api.openshift.com |
HTTPS:443 | Usato dal cluster per verificare se gli aggiornamenti sono disponibili per il cluster. In alternativa, gli utenti possono usare lo strumento OpenShift Upgrade Graph per trovare manualmente un percorso di aggiornamento. |
mirror.openshift.com |
HTTPS:443 | Necessario per accedere al contenuto e alle immagini di installazione con mirroring. |
*.apps.<cluster_domain>* |
HTTPS:443 | Quando si consente l'elenco dei domini, questo viene usato nella rete aziendale per raggiungere le applicazioni distribuite in ARO o per accedere alla console OpenShift. |
Integrazioni ARO
Informazioni dettagliate sul contenitore di Monitoraggio di Azure
I cluster ARO possono essere monitorati usando l'estensione informazioni dettagliate sui contenitori di Monitoraggio di Azure. Esaminare i prerequisiti e le istruzioni per abilitare l'estensione.