Azure Red Hat OpenShift 輸出鎖定概觀

輸出鎖定可讓您存取 Azure Red Hat OpenShift 叢集有效運作所需的 URL 和端點。

輸出鎖定可確保您能夠存取 URL，例如 management.azure.com，以便您可建立 Azure VM 支援的另一個背景工作節點。 輸出鎖定可確保即使輸出流量受到防火牆設備或其他方式限制，仍能存取。

輸出鎖定會採用 Azure Red Hat OpenShift 叢集所需的網域集合，透過 Azure Red Hat OpenShift 服務對這些網域進行函式和 Proxy 通話。 客戶無法設定區域特定的網域。

輸出鎖定不需依賴客戶網際網路存取便能讓 Azure Red Hat OpenShift 服務運作。 為了讓叢集連線到任何 Azure Red Hat OpenShift 服務，叢集流量會透過叢集資源群組內建立的 Azure 私人端點結束，該資源群組中所有 Azure Red Hat OpenShift 資源都可供使用。

下圖顯示包含輸出鎖定的架構變更。

網域的已知子集 (Azure Red Hat OpenShift 叢集運作所需) 會驗證叢集流量的目的地。 最後，流量會通過 Azure Red Hat OpenShift 服務，以連線到這些 URL 和端點。

啟用輸出鎖定

為了運作，輸出鎖定依賴傳輸層安全性 (TLS) 的伺服器名稱指示 (SNI) 延伸模組。 與網域已知子集通訊的所有客戶工作負載都必須啟用 SNI。

預設會針對新的叢集建立啟用輸出鎖定。 不過，若要在現有的叢集上啟用輸出鎖定，您必須在客戶工作負載上啟用 SNI。 若要在現有的叢集上啟用輸出鎖定，請將支援案例提交至 Microsoft 支援服務或 Red Hat 支援服務。

確認叢集上已啟用輸出鎖定

若要確認是否已在叢集上啟用輸出鎖定，請登入您的 Azure 叢集，然後執行下列命令：

$ oc get cluster.aro.openshift.io cluster -o go-template='{{ if .spec.gatewayDomains }}{{ "Egress Lockdown Feature Enabled" }}{{ else }}{{ "Egress Lockdown Feature Disabled" }}{{ end }}{{ "\n" }}'

視是否啟用或停用輸出鎖定而定，您會看到下列其中一則訊息：

• Egress Lockdown Feature Enabled
• Egress Lockdown Feature Disabled

與儲存體鎖定的關聯

儲存體鎖定是 Azure Red Hat OpenShift 的另一個增強叢集安全性的功能。 使用叢集建立的儲存體帳戶會設定為限制任何公用存取。 為 Azure Red Hat OpenShift Resource Provisioner 子網路以及輸出鎖定閘道的子網路新增了例外狀況。 使用此儲存體的叢集元件 (例如 OpenShift Image Registry) 依賴輸出鎖定功能，而不是直接存取儲存體帳戶。

下一步

如需在 Azure Red Hat OpenShift 叢集上控制輸出流量的詳細資訊，請參閱控制 Azure Red Hat OpenShift (ARO) 叢集的輸出流量 (預覽)。