Översikt över Azure Red Hat OpenShift-utgående låsning
Utgående låsning ger åtkomst till url:er och slutpunkter som ett Azure Red Hat OpenShift-kluster behöver för att fungera effektivt.
Utgående låsning säkerställer att du har åtkomst till URL:er, till exempel management.azure.com, så att du kan skapa en annan arbetsnod som backas upp av virtuella Azure-datorer. Utgående låsning säkerställer åtkomst även om den utgående trafiken (utgående) begränsas av en brandväggsinstallation eller på annat sätt.
Utgående låsning tar en samling domäner som krävs för ett Azure Red Hat OpenShift-kluster för att fungera och proxyservrar anropar dessa domäner via Azure Red Hat OpenShift-tjänsten. Domänerna, som är regionspecifika, kan inte konfigureras av kunder.
Utgående låsning förlitar sig inte på kundåtkomst till Internet för att Azure Red Hat OpenShift-tjänster ska fungera. För att kluster ska kunna nå en Azure Red Hat OpenShift-tjänst avslutas klustertrafiken via en privat Azure-slutpunkt som skapats i klusterresursgruppen där alla Azure Red Hat OpenShift-resurser är tillgängliga.
Följande bild visar de arkitekturändringar som omfattar utgående låsning.
En välkänd delmängd av domäner (som Azure Red Hat OpenShift-kluster måste fungera) validerar målet för klustertrafiken. Slutligen passerar trafiken via Azure Red Hat OpenShift-tjänsten för att ansluta till dessa URL:er och slutpunkter.
Aktivera utgående låsning
För att fungera förlitar sig utgående låsning på SNI-tillägget (Server Name Indication) till TLS (Transport Layer Security). Alla kundarbetsbelastningar som kommunicerar med den välkända delmängden av domäner måste ha SNI aktiverat.
Utgående låsning är aktiverat som standard för att skapa nya kluster. Men för att aktivera utgående låsning på befintliga kluster måste du ha SNI aktiverat på kundens arbetsbelastningar. Om du vill aktivera utgående låsning i dina befintliga kluster skickar du ett supportärende till antingen Microsoft Support eller Red Hat Support.
Kontrollera att utgående låsning är aktiverat i ett kluster
Om du vill kontrollera om utgående låsning är aktiverat i ett kluster loggar du in på ditt Azure-kluster och kör följande kommando:
$ oc get cluster.aro.openshift.io cluster -o go-template='{{ if .spec.gatewayDomains }}{{ "Egress Lockdown Feature Enabled" }}{{ else }}{{ "Egress Lockdown Feature Disabled" }}{{ end }}{{ "\n" }}'
Beroende på om utgående låsning är aktiverat eller inaktiverat visas något av följande meddelanden:
Egress Lockdown Feature EnabledEgress Lockdown Feature Disabled
Relation till lagringslåsning
Lagringslåsning är en annan funktion i Azure Red Hat OpenShift som förbättrar klustersäkerheten. Lagringskonton som skapats med klustret är konfigurerade för att begränsa all offentlig åtkomst. Undantag läggs till för Azure Red Hat OpenShift Resource Provisioner-undernäten samt undernätet för utgående låsningsgateway. Klusterkomponenter som använder den här lagringen, till exempel OpenShift Image Registry, förlitar sig på funktioner för utgående nedlåsning i stället för att komma åt lagringskontona direkt.
Nästa steg
Mer information om hur du styr utgående trafik på ditt Azure Red Hat OpenShift-kluster finns i Kontrollera utgående trafik för ditt Azure Red Hat OpenShift-kluster (ARO) (förhandsversion).