Vue d’ensemble du verrouillage de sortie d’Azure Red Hat OpenShift
Le verrouillage de sortie permet d’accéder aux URL et aux points de terminaison dont un cluster Azure Red Hat OpenShift a besoin pour fonctionner efficacement.
Le verrouillage de sortie garantit que vous avez accès aux URL, comme management.azure.com, afin que vous puissiez créer un autre nœud de travail soutenu par des machines virtuelles Azure. Le verrouillage de sortie garantit l’accès même si le trafic sortant est restreint par un pare-feu ou un autre moyen.
Le verrouillage de sortie prend un ensemble de domaines nécessaires au fonctionnement d’un cluster Azure Red Hat OpenShift et transmet les appels à ces domaines par le biais du service Azure Red Hat OpenShift. Les domaines, qui sont spécifiques à une région, ne peuvent pas être configurés par les clients.
Le verrouillage de sortie ne dépend pas de l’accès Internet du client pour que les services Azure Red Hat OpenShift fonctionnent. Pour que les clusters accèdent à n’importe quel service Azure Red Hat OpenShift, le trafic de cluster quitte un point de terminaison privé Azure créé dans le groupe de ressources de cluster où toutes les ressources Azure Red Hat OpenShift sont disponibles.
L’illustration suivante présente les modifications d’architecture qui englobent le verrouillage de sortie.
Un sous-ensemble de domaines bien connu (dont les clusters Azure Red Hat OpenShift ont besoin pour fonctionner) valide la destination du trafic du cluster. Enfin, le trafic passe par le service Azure Red Hat OpenShift pour se connecter à ces URL et points de terminaison.
Activer le verrouillage de sortie
Pour fonctionner, le verrouillage de sortie s’appuie sur l’extension Indication du nom du serveur (SNI) pour TLS (Transport Layer Security). L’option SNI doit être activée pour toutes les charges de travail client qui communiquent avec le sous-ensemble de domaines bien connus.
Le verrouillage de sortie est activé par défaut pour la création de nouveaux clusters. Toutefois, pour activer le verrouillage de sortie sur les clusters existants, SNI doit être activé sur les charges de travail client. Pour activer le verrouillage de sortie sur vos clusters existants, envoyez un cas de support au Support Microsoft ou au Support Red Hat.
Vérifier que le verrouillage de sortie est activé sur un cluster
Pour vérifier que le verrouillage de sortie est activé sur un cluster, connectez-vous à votre cluster Azure et exécutez la commande suivante :
$ oc get cluster.aro.openshift.io cluster -o go-template='{{ if .spec.gatewayDomains }}{{ "Egress Lockdown Feature Enabled" }}{{ else }}{{ "Egress Lockdown Feature Disabled" }}{{ end }}{{ "\n" }}'
En fonction de l’activation ou de la désactivation du verrouillage de sortie, l’un des messages suivants s’affiche :
Egress Lockdown Feature EnabledEgress Lockdown Feature Disabled
Relation avec le verrouillage du stockage
Le verrouillage du stockage est une autre fonctionnalité d’Azure Red Hat OpenShift qui améliore la sécurité du cluster. Les comptes de stockage créés avec le cluster sont configurés de manière à restreindre tout accès public. Les exceptions sont ajoutées pour les sous-réseaux du fournisseur de ressources Azure Red Hat OpenShift, ainsi que pour le sous-réseau de la passerelle de verrouillage de sortie. Les composants de cluster qui utilisent ce stockage (par ex. OpenShift Image Registry) s’appuient sur la fonctionnalité de verrouillage de sortie au lieu d’accéder directement aux comptes de stockage.
Étapes suivantes
Pour plus d’informations sur le contrôle du trafic sortant sur votre cluster Azure Red Hat OpenShift, consultez Contrôler le trafic de sortie pour votre cluster Azure Red Hat OpenShift (ARO) (préversion).