Azure 上の Ansible Automation Platform を使用した Azure 仮想アプライアンスのルーティング

組織は、仮想アプライアンス接続を介して Azure ファイアウォールサービスまたはサードパーティーのファイアウォールアプライアンスを使用する場合があります。  Azure 上の Ansible Automation Platform のルートテーブル内でアウトバウンドルートを設定する場合は、アップグレードやセキュリティーパッチ適用を含め、Red Hat によって適切に管理されるために Azure 上の Ansible が必要とする予想されるアウトバウンドトラフィックを考慮する必要があります。

仮想アプライアンスファイアウォールを設定する場合、Azure 上の Ansible マネージドアプリケーションの CIDR ブロック (つまり 192.168.0.0/24) から次のトップレベルドメインとそのサブドメインへのアウトバウンドトラフィックを許可する必要があります。  AKS クラスター内のマシンは、Ansible Automation Platform で使用されるコンテナーの更新を取得するためにドメインに要求を送信できるため、マネージドアプリケーション VNET の CIDR ブロック全体が必要です。

• redhat.com
• *.redhat.com
• registry.redhat.io
• *.registry.redhat.io
• quay.io
• *.quay.io
• letsencrypt.org
• *.letsencrypt.org
• gcr.io
• *.gcr.io
• docker.com
• *.docker.com
• docker.io
• *.docker.io
• googleapis.com
• *.googleapis.com
• mcr.microsoft.com
• *.mcr.microsoft.com
• dynatrace.com - ポート 443 および 9999
• *.dynatrace.com - ポート 443 および 9999
• segment.io
• *.segment.io
• github.com
• *.github.com

以下の Azure DNS URL については、ポート 53 でホワイトリストに登録する必要があります。

• azure-dns.com
• *.azure-dns.com
• azure-dns.net
• *.azure-dns.net
• azure-dns.org
• *.azure-dns.org
• azure-dns.info
• *.azure-dns.info

さらに、特定の運用タスクを完了できるように、次の Azure Storage URL をホワイトリストに登録する必要があります。

• *.blob.core.windows.net - Port 443

特定のコレクション/ロールをインポートし、それらの依存関係を解決する要件に基づいて、上記のリストを超える追加ドメインのブロックを解除することを検討する必要がある場合があります。お客様は、製品の使用状況に応じてファイアウォールルールを調整することで、追加のドメインのブロックを確実に解除できます。

また、ファイアウォールから、Ansible Automation Platform が自動化ジョブを実行する必要がある他の外部ドメインまたは IP アドレスへのトラフィックを許可する必要もあります。  そうしないと、ファイアウォールが Ansible Automation Platform と自動化の宛先の間の接続をブロックします。