你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文提供了必要的详细信息,可用于保护来自 Azure Red Hat OpenShift 群集的出站流量。 随着 出口锁定功能的发布,群集的所有必需连接都通过服务进行代理。 你可能希望有更多的目的地可以使用操作员中心或 Red Hat 遥测等功能。
重要
如果这些群集未启用出口锁定功能,请不要尝试对旧群集执行这些说明。 若要在旧群集上启用出口锁定功能,请参阅 “启用出口锁定”。
终结点通过服务进行代理
以下端点通过服务代理,因此不需要其他防火墙规则。 以下列表仅用于信息性目的。
| 目标 FQDN | 港口 | 使用 |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | 所需系统映像的全局容器注册表。 |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | 所需系统映像的区域容器注册表。 |
management.azure.com |
HTTPS:443 | 群集使用它来访问 Azure API。 |
login.microsoftonline.com |
HTTPS:443 | 群集使用它来对 Azure 进行身份验证。 |
特定子域名 monitor.core.windows.net |
HTTPS:443 | 用于Microsoft Geneva监控,以便团队能够监控客户群集。 |
特定子域名 monitoring.core.windows.net |
HTTPS:443 | 用于Microsoft Geneva监控,以便团队能够监控客户群集。 |
特定子域名 blob.core.windows.net |
HTTPS:443 | 用于Microsoft Geneva监控,以便团队能够监控客户群集。 |
特定子域名 servicebus.windows.net |
HTTPS:443 | 用于Microsoft Geneva监控,以便团队能够监控客户群集。 |
特定子域名 table.core.windows.net |
HTTPS:443 | 用于Microsoft Geneva监控,以便团队能够监控客户群集。 |
可选终结点的列表
可以使用其他终结点配置防火墙允许列表。 有关详细信息,请参阅 配置防火墙。
其他容器注册表终结点
| 目标 FQDN | 港口 | 使用 |
|---|---|---|
registry.redhat.io |
HTTPS:443 | 用于提供来自 Red Hat 的容器映像和运算符。 |
quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
cdn.quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
cdn01.quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
cdn02.quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
cdn03.quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
cdn04.quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
cdn05.quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
cdn06.quay.io |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
access.redhat.com |
HTTPS:443 | 用于提供来自 Red Hat 和第三方的容器映像和运算符。 |
registry.access.redhat.com |
HTTPS:443 | 用于提供第三方容器映像和认证运算符。 |
registry.connect.redhat.com |
HTTPS:443 | 用于提供第三方容器映像和认证运算符。 |
Red Hat 遥测和 Red Hat 见解
默认情况下,群集选择退出 Red Hat 遥测和 Red Hat Insights。 如果您希望加入 Red Hat 遥测,请允许以下端点并 更新群集的拉取密码。
| 目标 FQDN | 港口 | 使用 |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | 用于 Red Hat 遥测。 |
api.access.redhat.com |
HTTPS:443 | 用于 Red Hat 遥测。 |
infogw.api.openshift.com |
HTTPS:443 | 用于 Red Hat 遥测。 |
console.redhat.com/api/ingress |
HTTPS:443 | 在群集中使用,供见解运算符与 Red Hat 见解集成。 |
有关远程运行状况监视和遥测的详细信息,请参阅 Red Hat OpenShift 容器平台文档。
其他 OpenShift 端点
| 目标 FQDN | 港口 | 使用 |
|---|---|---|
api.openshift.com |
HTTPS:443 | 群集用于检查是否有可用于群集的更新。 或者,用户可以使用 OpenShift Upgrade Graph 工具手动查找升级路径。 |
mirror.openshift.com |
HTTPS:443 | 访问镜像安装内容和映像时需要使用。 |
*.apps.<cluster_domain>* |
HTTPS:443 | 允许列出域时,此终结点在企业网络中用于访问 Azure Red Hat OpenShift 中部署的应用程序,或访问 OpenShift 控制台。 |
集成
Azure Monitor 容器见解
可以使用 Azure Monitor 容器见解扩展监视群集。 有关详细信息,请参阅 启用监视。