Información general sobre el bloqueo de salida de Red Hat OpenShift en Azure
El bloqueo de salida proporciona acceso a las direcciones URL y a los puntos de conexión que un clúster de Red Hat OpenShift en Azure necesita para funcionar de manera eficaz.
El bloqueo de salida garantiza que tenga acceso a direcciones URL, como management.azure.com, para que pueda crear otro nodo de trabajo con el respaldo de VM de Azure. El bloqueo de salida garantiza el acceso incluso si el tráfico saliente está restringido por un dispositivo de firewall u otros medios.
El bloqueo de salida toma una colección de dominios necesarios para que un clúster de Red Hat OpenShift en Azure funcione, y redirecciona las llamadas a estos dominios a través del servicio Red Hat OpenShift en Azure. Los clientes no pueden configurar los dominios, que son específicos de la región.
El bloqueo de salida no depende del acceso a Internet del cliente para que funcionen los servicios Red Hat OpenShift en Azure. Para que los clústeres lleguen a cualquier servicio de Red Hat OpenShift en Azure, el tráfico del clúster sale a través de un punto de conexión privado de Azure que se ha creado en el grupo de recursos del clúster donde están disponibles todos los recursos de Red Hat OpenShift en Azure.
La siguiente imagen muestra los cambios de arquitectura que abarcan el bloqueo de salida.
Un subconjunto conocido de dominios (que los clústeres de Red Hat OpenShift en Azure deben usar) valida el destino del tráfico del clúster. Por último, el tráfico pasa a través del servicio Red Hat OpenShift en Azure para conectarse a estas direcciones URL y puntos de conexión.
Habilitación del bloqueo de salida
Para que pueda funcionar, el bloqueo de salida se basa en la extensión Indicación de nombre de servidor (SNI) para la Seguridad de la capa de transporte (TLS). Todas las cargas de trabajo de cliente que se comunican con el subconjunto conocido de dominios deben tener habilitada la extensión SNI.
El bloqueo de salida está habilitado de forma predeterminada para la creación del nuevo clúster. Sin embargo, para habilitar el bloqueo de salida en los clústeres existentes, debe tener la SNI habilitada en las cargas de trabajo del cliente. Para habilitar el bloqueo de salida en los clústeres existentes, envíe un caso de soporte técnico al Soporte técnico de Microsoft o al Soporte técnico de Red Hat.
Comprobación de que el bloqueo de salida está habilitado en un clúster
Para comprobar si el bloqueo de salida está habilitado en un clúster, inicie sesión en el clúster de Azure y ejecute el siguiente comando:
$ oc get cluster.aro.openshift.io cluster -o go-template='{{ if .spec.gatewayDomains }}{{ "Egress Lockdown Feature Enabled" }}{{ else }}{{ "Egress Lockdown Feature Disabled" }}{{ end }}{{ "\n" }}'
Dependiendo de si el bloqueo de salida está habilitado o deshabilitado, verá uno de los mensajes siguientes:
Egress Lockdown Feature EnabledEgress Lockdown Feature Disabled
Relación con el bloqueo de almacenamiento
El bloqueo de almacenamiento es otra característica de Red Hat OpenShift en Azure que mejora la seguridad del clúster. Las cuentas de almacenamiento creadas con el clúster están configuradas para restringir cualquier acceso público. Se agregan excepciones para las subredes del aprovisionamiento de recursos de Red Hat OpenShift en Azure, así como para la subred de la puerta de enlace de bloqueo de salida. Los componentes del clúster que usan este almacenamiento, por ejemplo, OpenShift Image Registry, dependen de la funcionalidad de bloqueo de salida en lugar de acceder directamente a las cuentas de almacenamiento.
Pasos siguientes
Para obtener más información sobre cómo controlar el tráfico de salida en el clúster de Red Hat OpenShift en Azure, consulte Control del tráfico de salida del clúster de Red Hat OpenShift en Azure (ARO) (versión preliminar).