Omówienie blokady ruchu wychodzącego usługi Azure Red Hat OpenShift
Blokada ruchu wychodzącego zapewnia dostęp do adresów URL i punktów końcowych, które klaster usługi Azure Red Hat OpenShift musi działać skutecznie.
Blokada ruchu wychodzącego gwarantuje, że masz dostęp do adresów URL, takich jak management.azure.com, dzięki czemu można utworzyć inny węzeł roboczy wspierany przez maszyny wirtualne platformy Azure. Blokada ruchu wychodzącego zapewnia dostęp nawet wtedy, gdy ruch wychodzący (wychodzący) jest ograniczony przez urządzenie zapory lub inne sposoby.
Blokada ruchu wychodzącego pobiera kolekcję domen wymaganych przez klaster usługi Azure Red Hat OpenShift do działania i wywołań serwerów proxy do tych domen za pośrednictwem usługi Azure Red Hat OpenShift. Domeny, które są specyficzne dla regionu, nie mogą być konfigurowane przez klientów.
Blokada ruchu wychodzącego nie polega na dostępie do Internetu klienta dla usług Azure Red Hat OpenShift do pracy. Aby klastry dotarły do dowolnej usługi Azure Red Hat OpenShift, ruch klastra kończy się za pośrednictwem prywatnego punktu końcowego platformy Azure utworzonego w grupie zasobów klastra, w której są dostępne wszystkie zasoby usługi Azure Red Hat OpenShift.
Na poniższej ilustracji przedstawiono zmiany architektury, które obejmują blokadę ruchu wychodzącego.
Dobrze znany podzbiór domen (że klastry Usługi Azure Red Hat OpenShift muszą działać) weryfikuje miejsce docelowe ruchu klastra. Na koniec ruch przechodzi przez usługę Azure Red Hat OpenShift w celu nawiązania połączenia z tymi adresami URL i punktami końcowymi.
Włączanie blokady ruchu wychodzącego
Aby można było działać, blokada ruchu wychodzącego opiera się na rozszerzeniu SNI (Server Name Indication) do protokołu Transport Layer Security (TLS). Wszystkie obciążenia klientów komunikujące się z dobrze znanym podzbiorem domen muszą mieć włączoną funkcję SNI.
Blokada ruchu wychodzącego jest domyślnie włączona na potrzeby tworzenia nowego klastra. Aby jednak włączyć blokowanie ruchu wychodzącego w istniejących klastrach, musisz mieć włączoną funkcję SNI dla obciążeń klienta. Aby włączyć blokowanie ruchu wychodzącego w istniejących klastrach, prześlij zgłoszenie do pomocy technicznej do pomoc techniczna firmy Microsoft lub obsługi oprogramowania Red Hat.
Sprawdź, czy blokada ruchu wychodzącego jest włączona w klastrze
Aby sprawdzić, czy blokada ruchu wychodzącego jest włączona w klastrze, zaloguj się do klastra platformy Azure i uruchom następujące polecenie:
$ oc get cluster.aro.openshift.io cluster -o go-template='{{ if .spec.gatewayDomains }}{{ "Egress Lockdown Feature Enabled" }}{{ else }}{{ "Egress Lockdown Feature Disabled" }}{{ end }}{{ "\n" }}'
W zależności od tego, czy blokada ruchu wychodzącego jest włączona, czy wyłączona, zobaczysz jeden z następujących komunikatów:
Egress Lockdown Feature EnabledEgress Lockdown Feature Disabled
Relacja z blokadą magazynu
Blokada magazynu to kolejna funkcja usługi Azure Red Hat OpenShift, która zwiększa bezpieczeństwo klastra. Konta magazynu utworzone za pomocą klastra są skonfigurowane tak, aby ograniczyć dostęp publiczny. Wyjątki są dodawane dla podsieci usługi Azure Red Hat OpenShift Resource Provisioner, a także podsieci bramy blokady ruchu wychodzącego. Składniki klastra korzystające z tego magazynu, na przykład OpenShift Image Registry, korzystają z funkcji blokady ruchu wychodzącego zamiast bezpośredniego uzyskiwania dostępu do kont magazynu.
Następne kroki
Aby uzyskać więcej informacji na temat kontrolowania ruchu wychodzącego w klastrze usługi Azure Red Hat OpenShift, zobacz Kontrolowanie ruchu wychodzącego dla klastra usługi Azure Red Hat OpenShift (ARO) (wersja zapoznawcza).