你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文提供了从 Azure Red Hat OpenShift 群集 (ARO) 保护出站流量的必要详细信息。 随着出口锁定功能的发布,ARO 群集所需的所有连接都将通过服务由代理处理。 你可能希望有更多的目的地可以使用操作员中心或 Red Hat 遥测等功能。
重要
如果这些群集未启用出口锁定功能,请不要尝试对较旧的 ARO 群集执行这些说明。 若要在较旧的 ARO 群集上启用出口锁定功能,请参阅启用出口锁定。
通过 ARO 服务代理的终结点
以下端点通过服务代理,因此不需要其他防火墙规则。 此列表仅供参考。
| 目标 FQDN | 港口 | 使用 |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | ARO 所需的系统映像的全局容器注册表。 |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | ARO 所需的系统映像的区域容器注册表。 |
management.azure.com |
HTTPS:443 | 群集使用它来访问 Azure API。 |
login.microsoftonline.com |
HTTPS:443 | 群集使用它来对 Azure 进行身份验证。 |
特定子域名 monitor.core.windows.net |
HTTPS:443 | 用于 Microsoft Geneva 监控,以便 ARO 团队可以监视客户的群集。 |
特定子域 monitoring.core.windows.net |
HTTPS:443 | 用于 Microsoft Geneva 监控系统,以便 ARO 团队可以监控客户的集群。 |
特定子域 blob.core.windows.net |
HTTPS:443 | 用于 Microsoft Geneva 监控,以便 ARO 团队可以监控客户的集群。 |
特定子域名 servicebus.windows.net |
HTTPS:443 | 用于 Microsoft Geneva Monitoring 监控,以便 ARO 团队可以监控客户的集群。 |
特定子域 table.core.windows.net |
HTTPS:443 | 用于 Microsoft Geneva Monitoring,以便 ARO 团队可以监控客户的集群。 |
可选终结点的列表
其他容器注册表终结点
| 目标 FQDN | 港口 | 使用 |
|---|---|---|
registry.redhat.io |
HTTPS:443 | 用于提供来自 Red Hat 的容器映像和运算符。 |
quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
cdn.quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
cdn01.quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
cdn02.quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
cdn03.quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
cdn04.quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
cdn05.quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
cdn06.quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
access.redhat.com |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
registry.access.redhat.com |
HTTPS:443 | 用于提供第三方容器映像和认证运算符。 |
registry.connect.redhat.com |
HTTPS:443 | 用于提供第三方容器映像和认证运算符。 |
Red Hat 遥测和 Red Hat 见解
默认情况下,ARO 群集选择退出 Red Hat 遥测和 Red Hat 见解。 如果您希望加入 Red Hat 遥测,请允许以下端点并 更新群集的拉取密码。
| 目标 FQDN | 港口 | 使用 |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | 用于 Red Hat 遥测。 |
api.access.redhat.com |
HTTPS:443 | 用于 Red Hat 遥测。 |
infogw.api.openshift.com |
HTTPS:443 | 用于 Red Hat 遥测。 |
console.redhat.com/api/ingress |
HTTPS:443 | 在群集中使用,供见解运算符与 Red Hat 见解集成。 |
有关远程运行状况监视和遥测的详细信息,请参阅 Red Hat OpenShift 容器平台文档。
其他 OpenShift 端点
| 目标 FQDN | 港口 | 使用 |
|---|---|---|
api.openshift.com |
HTTPS:443 | 群集用于检查是否有可用于群集的更新。 或者,用户可以使用 OpenShift Upgrade Graph 工具手动查找升级路径。 |
mirror.openshift.com |
HTTPS:443 | 访问镜像安装内容和映像时需要使用。 |
*.apps.<cluster_domain>* |
HTTPS:443 | 允许列出域时,此终结点用于企业网络,以访问 ARO 中部署的应用程序,或访问 OpenShift 控制台。 |
ARO 集成
Azure Monitor 容器见解
可以使用 Azure Monitor 容器见解扩展监视 ARO 群集。 查看 启用扩展的先决条件和说明。