Azure 虚拟设备路由与 Azure 上的 Ansible 自动化平台

你的组织可以通过虚拟设备连接使用 Azure 防火墙服务或第三方防火墙设备。  在 Azure 上的 Ansible 自动化平台的路由表中配置出站路由时，您需要考虑 Azure 上的 Ansible 所需的预期出站流量，以便由红帽正确管理，包括升级和安全修补。

配置虚拟设备防火墙时，您需要允许从 Ansible on Azure 托管应用程序的 CIDR 块（即 192.168.0.0/24）到以下顶级域及其子域的出站流量。  需要托管应用程序 VNET 的整个 CIDR 块，因为 AKS 集群中的任何计算机都可以向域提交请求，以便为 Ansible 自动化平台使用的容器提取更新。

• redhat.com
• *.redhat.com
• registry.redhat.io
• *.registry.redhat.io
• quay.io
• *.quay.io
• letsencrypt.org
• *.letsencrypt.org
• gcr.io
• *.gcr.io
• docker.com
• *.docker.com
• docker.io
• *.docker.io
• googleapis.com
• *.googleapis.com
• mcr.microsoft.com
• *.mcr.microsoft.com
• dynatrace.com - 端口 443 和 9999
• *.dynatrace.com - 端口 443 和 9999
• segment.io
• *.segment.io
• github.com
• *.github.com

对于以下 Azure DNS URL，它们必须在端口 53 上列入白名单：

• azure-dns.com
• *.azure-dns.com
• azure-dns.net
• *.azure-dns.net
• azure-dns.org
• *.azure-dns.org
• azure-dns.info
• *.azure-dns.info

此外，需要将以下 Azure 存储 URL 列入白名单，以允许完成某些操作任务：

• *.blob.core.windows.net - Port 443

根据导入某些集合/角色并解决其依赖性的要求，人们可能必须考虑解锁上述列表之外的其他域。客户可以根据产品的使用情况调整防火墙规则，确保其他域不受阻止。

您还需要允许从防火墙到 Ansible 自动化平台运行自动化作业所需的任何其他外部域或 IP 地址的流量。  否则，您的防火墙将阻止 Ansible Automation Platform 和自动化目的地之间的连接。