Azure Red Hat OpenShift のエグレス ロックダウンの概要
エグレス ロックダウンを使用すると、Azure Red Hat OpenShift クラスターが効果的に機能するために必要な URL とエンドポイントにアクセスできます。
エグレス ロックダウンにより、management.azure.com などの URL にアクセスできるため、Azure VM によってサポートされる別のワーカー ノードを作成できます。 エグレス ロックダウンにより、送信 (エグレス) トラフィックがファイアウォール アプライアンスなどの手段によって制限されている場合でも、アクセスが保証されます。
エグレス ロックダウンは、Azure Red Hat OpenShift クラスターが機能するために必要なドメインのコレクションを受け取り、Azure Red Hat OpenShift サービスを介してこれらのドメインへの呼び出しをプロキシします。 お客様はリージョン固有であるドメインを構成できません。
エグレス ロックダウンでは、Azure Red Hat OpenShift サービスの機能について、お客様のインターネット アクセスに依存しません。 クラスターが任意の Azure Red Hat OpenShift サービスに到達するために、クラスター トラフィックでは、すべての Azure Red Hat OpenShift リソースが使用可能なクラスター リソース グループ内に作成された Azure プライベート エンドポイントを経由して外部に行きます。
次の図は、エグレス ロックダウンを含むアーキテクチャの変更を示しています。
(Azure Red Hat OpenShift クラスターが機能する必要がある) ドメインの既知のサブセットは、クラスター トラフィックの宛先を検証します。 最後に、トラフィックが Azure Red Hat OpenShift サービスを通過して、これらの URL とエンドポイントに接続します。
エグレス ロックダウンを有効にする
エグレス ロックダウンが機能するために、トランスポート層セキュリティ (TLS) への Server Name Indication (SNI) 拡張機能に依存しています。 ドメインの既知のサブセットと通信する顧客ワークロードではすべて、SNI を有効にする必要があります。
新しいクラスターの作成では、既定でエグレス ロックダウンが有効になっています。 ただし、既存のクラスターでエグレス ロックダウンを有効にするには、顧客ワークロードで SNI を有効にする必要があります。 既存のクラスターでエグレス ロックダウンを有効にするには、サポート ケースを Microsoft サポート または Red Hat サポートに送信します。
クラスターでエグレス ロックダウンが有効になっているか確認する
クラスターでエグレス ロックダウンが有効になっているかどうかを確認するには、Azure クラスターにサインインし、次のコマンドを実行します。
$ oc get cluster.aro.openshift.io cluster -o go-template='{{ if .spec.gatewayDomains }}{{ "Egress Lockdown Feature Enabled" }}{{ else }}{{ "Egress Lockdown Feature Disabled" }}{{ end }}{{ "\n" }}'
エグレス ロックダウンが有効か無効かによって、次のいずれかのメッセージが表示されます。
Egress Lockdown Feature Enabled
Egress Lockdown Feature Disabled
ストレージ ロックダウンとの関係
ストレージ ロックダウンは、クラスターのセキュリティを強化する Azure Red Hat OpenShift のもう 1 つの機能です。 クラスターで作成されたストレージ アカウントは、すべてのパブリック アクセスを制限するように構成されます。 Azure Red Hat OpenShift Resource Provisioner サブネットとエグレス ロックダウン ゲートウェイのサブネットについては例外が追加されます。 このストレージを利用するクラスター コンポーネント (OpenShift イメージ レジストリなど) は、ストレージ アカウントに直接アクセスするのではなく、エグレス ロックダウン機能に依存します。
次のステップ
Azure Red Hat OpenShift クラスターでのエグレス トラフィックの制御の詳細については、「Azure Red Hat OpenShift (ARO) クラスターのエグレス トラフィックの制御 (プレビュー)」を参照してください。