Řízení výchozího provozu clusteru Azure Red Hat OpenShift (ARO)
Tento článek obsahuje nezbytné podrobnosti, které umožňují zabezpečit odchozí provoz z clusteru Azure Red Hat OpenShift (ARO). S vydáním funkce Uzamčení výchozího přenosu dat se všechna požadovaná připojení ke clusteru ARO přes službu přesouvají. Existují další cíle, které můžete chtít povolit používání funkcí, jako je centrum operátorů nebo telemetrie Red Hat.
Důležité
Nepokoušejte se tyto pokyny u starších clusterů ARO, pokud tyto clustery nemají povolenou funkci Uzamčení výchozího přenosu dat. Pokud chcete povolit funkci Uzamčení výchozího přenosu dat ve starších clusterech ARO, přečtěte si téma Povolení uzamčení výchozího přenosu dat.
Koncové body předávané přes službu ARO
Následující koncové body se přes službu přesouvají a nepotřebují další pravidla brány firewall. Tento seznam je zde pouze pro informační účely.
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | Globální registr kontejneru pro požadované systémové image ARO |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | Místní registr kontejnerů pro požadované systémové image ARO. |
management.azure.com |
HTTPS:443 | Používá ho cluster pro přístup k rozhraním AZURE API. |
login.microsoftonline.com |
HTTPS:443 | Používá se clusterem k ověřování do Azure. |
Konkrétní subdomény monitor.core.windows.net |
HTTPS:443 | Používá se pro microsoft Geneva Monitoring, aby tým ARO mohl monitorovat clustery zákazníka. |
Konkrétní subdomény monitoring.core.windows.net |
HTTPS:443 | Používá se pro microsoft Geneva Monitoring, aby tým ARO mohl monitorovat clustery zákazníka. |
Konkrétní subdomény blob.core.windows.net |
HTTPS:443 | Používá se pro microsoft Geneva Monitoring, aby tým ARO mohl monitorovat clustery zákazníka. |
Konkrétní subdomény servicebus.windows.net |
HTTPS:443 | Používá se pro microsoft Geneva Monitoring, aby tým ARO mohl monitorovat clustery zákazníka. |
Konkrétní subdomény table.core.windows.net |
HTTPS:443 | Používá se pro microsoft Geneva Monitoring, aby tým ARO mohl monitorovat clustery zákazníka. |
Seznam volitelných koncových bodů
Další koncové body registru kontejneru
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
registry.redhat.io |
HTTPS:443 | Slouží k poskytování imagí a operátorů kontejneru z Red Hatu. |
quay.io |
HTTPS:443 | Používá se k poskytování imagí a operátorů kontejnerů z Red Hatu a třetích stran. |
cdn.quay.io |
HTTPS:443 | Používá se k poskytování imagí a operátorů kontejnerů z Red Hatu a třetích stran. |
cdn01.quay.io |
HTTPS:443 | Používá se k poskytování imagí a operátorů kontejnerů z Red Hatu a třetích stran. |
cdn02.quay.io |
HTTPS:443 | Používá se k poskytování imagí a operátorů kontejnerů z Red Hatu a třetích stran. |
cdn03.quay.io |
HTTPS:443 | Používá se k poskytování imagí a operátorů kontejnerů z Red Hatu a třetích stran. |
access.redhat.com |
HTTPS:443 | Používá se k poskytování imagí a operátorů kontejnerů z Red Hatu a třetích stran. |
registry.access.redhat.com |
HTTPS:443 | Používá se k poskytování imagí kontejnerů třetích stran a certifikovaných operátorů. |
registry.connect.redhat.com |
HTTPS:443 | Používá se k poskytování imagí kontejnerů třetích stran a certifikovaných operátorů. |
Telemetrie Red Hatu a Přehledy Red Hatu
Ve výchozím nastavení jsou clustery ARO odhlasovány z telemetrie Red Hat a Red Hat Insights. Pokud se chcete přihlásit k telemetrii Red Hat, povolte následující koncové body a aktualizujte tajný kód pro vyžádání změn clusteru.
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | Používá se pro telemetrii Red Hat. |
api.access.redhat.com |
HTTPS:443 | Používá se pro telemetrii Red Hat. |
infogw.api.openshift.com |
HTTPS:443 | Používá se pro telemetrii Red Hat. |
console.redhat.com/api/ingress |
HTTPS:443 | Používá se v clusteru pro operátor přehledů, který se integruje s Red Hat Insights. |
Další informace o vzdáleném monitorování stavu a telemetrii najdete v dokumentaci ke službě Red Hat OpenShift Container Platform.
Další další koncové body OpenShiftu
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
api.openshift.com |
HTTPS:443 | Používá ho cluster ke kontrole, jestli jsou pro cluster k dispozici aktualizace. Alternativně můžou uživatelé pomocí nástroje OpenShift Upgrade Graph najít cestu upgradu ručně. |
mirror.openshift.com |
HTTPS:443 | Vyžadováno pro přístup k zrcadleným instalačnímu obsahu a imagím. |
*.apps.<cluster_domain>* |
HTTPS:443 | Při povolování domén se používá ve vaší podnikové síti pro přístup k aplikacím nasazeným v ARO nebo pro přístup ke konzole OpenShift. |
Integrace ARO
Přehledy kontejnerů služby Azure Monitor
Clustery ARO je možné monitorovat pomocí rozšíření Azure Monitor Container Insights. Projděte si požadavky a pokyny pro povolení rozšíření.