Обзор блокировки исходящего трафика Azure Red Hat OpenShift
Блокировка исходящего трафика обеспечивает доступ к URL-адресам и конечным точкам кластера Azure Red Hat OpenShift, который должен эффективно функционировать.
Блокировка исходящего трафика гарантирует, что у вас есть доступ к URL-адресам, таким как management.azure.com, чтобы можно было создать другой рабочий узел, поддерживаемый виртуальными машинами Azure. Блокировка исходящего трафика обеспечивает доступ, даже если исходящий трафик (исходящий трафик) ограничен устройством брандмауэра или другими средствами.
Блокировка исходящего трафика принимает коллекцию доменов, необходимых для кластера Azure Red Hat OpenShift для работы и вызовов прокси-серверов к этим доменам через службу Azure Red Hat OpenShift. Домены, которые относятся к регионам, не могут быть настроены клиентами.
Блокировка исходящего трафика не зависит от доступа к Интернету клиента для служб Azure Red Hat OpenShift для работы. Чтобы кластеры достигли любой службы Azure Red Hat OpenShift, трафик кластера выходит из частной конечной точки Azure, созданной в группе ресурсов кластера, где доступны все ресурсы Azure Red Hat OpenShift.
На следующем рисунке отображаются изменения архитектуры, охватывающие блокировку исходящего трафика.
Известное подмножество доменов (что кластеры Azure Red Hat OpenShift должны функционировать) проверяет назначение трафика кластера. Наконец, трафик проходит через службу Azure Red Hat OpenShift для подключения к этим URL-адресам и конечным точкам.
Включение блокировки исходящего трафика
Чтобы обеспечить функцию, блокировка исходящего трафика зависит от расширения "Указание имени сервера" (SNI) к протоколу TLS. Все рабочие нагрузки клиентов, взаимодействующие с хорошо известным подмножеством доменов, должны включать SNI.
Блокировка исходящего трафика включена по умолчанию для создания нового кластера. Однако для включения блокировки исходящего трафика в существующих кластерах необходимо включить SNI для рабочих нагрузок клиента. Чтобы включить блокировку исходящего трафика в существующих кластерах, отправьте обращение в службу поддержки служба поддержки Майкрософт или Red Hat Support.
Проверка блокировки исходящего трафика включена в кластере
Чтобы проверить, включена ли блокировка исходящего трафика в кластере, войдите в кластер Azure и выполните следующую команду:
$ oc get cluster.aro.openshift.io cluster -o go-template='{{ if .spec.gatewayDomains }}{{ "Egress Lockdown Feature Enabled" }}{{ else }}{{ "Egress Lockdown Feature Disabled" }}{{ end }}{{ "\n" }}'
В зависимости от того, включена ли блокировка исходящего трафика или отключена, вы увидите одно из следующих сообщений:
Egress Lockdown Feature EnabledEgress Lockdown Feature Disabled
Отношение к блокировке хранилища
Блокировка хранилища — это еще одна функция Azure Red Hat OpenShift, которая повышает безопасность кластера. Учетные записи хранения, созданные с помощью кластера, настроены для ограничения общего доступа. Исключения добавляются для подсетей подготовки ресурсов Azure Red Hat OpenShift, а также подсети шлюза блокировки исходящего трафика. Компоненты кластера, использующие это хранилище, например, Реестр образов OpenShift, используют функции блокировки исходящего трафика вместо прямого доступа к учетным записям хранения.
Следующие шаги
Дополнительные сведения об управлении исходящим трафиком в кластере Azure Red Hat OpenShift см. в статье "Управление исходящим трафиком для кластера Azure Red Hat OpenShift (предварительная версия)".