Panoramica del blocco in uscita di Azure Red Hat OpenShift
Il blocco in uscita consente di accedere agli URL e agli endpoint di un cluster Azure Red Hat OpenShift per funzionare in modo efficace.
Il blocco in uscita garantisce l'accesso agli URL, ad esempio management.azure.com, in modo da poter creare un altro nodo di lavoro supportato da macchine virtuali di Azure. Il blocco in uscita garantisce l'accesso anche se il traffico in uscita (in uscita) è limitato da un'appliance firewall o da altri mezzi.
Il blocco in uscita accetta una raccolta di domini necessari per un cluster Azure Red Hat OpenShift per il funzionamento e i proxy delle chiamate a questi domini tramite il servizio Azure Red Hat OpenShift. I domini, specifici dell'area, non possono essere configurati dai clienti.
Il blocco in uscita non si basa sull'accesso a Internet dei clienti per il funzionamento dei servizi Azure Red Hat OpenShift. Per consentire ai cluster di raggiungere qualsiasi servizio Azure Red Hat OpenShift, il traffico del cluster viene chiuso tramite un endpoint privato di Azure creato all'interno del gruppo di risorse del cluster in cui sono disponibili tutte le risorse di Azure Red Hat OpenShift.
L'immagine seguente mostra le modifiche all'architettura che includono il blocco in uscita.
Un sottoinsieme noto di domini (che i cluster Azure Red Hat OpenShift devono funzionare) convalida la destinazione del traffico del cluster. Infine, il traffico passa attraverso il servizio Azure Red Hat OpenShift per connettersi a questi URL ed endpoint.
Abilitare il blocco in uscita
Per funzionare, il blocco in uscita si basa sull'estensione SNI (Server Name Indication) per Transport Layer Security (TLS). Tutti i carichi di lavoro dei clienti che comunicano con il sottoinsieme noto di domini devono avere SNI abilitato.
Il blocco in uscita è abilitato per impostazione predefinita per la creazione di un nuovo cluster. Tuttavia, per abilitare il blocco in uscita nei cluster esistenti, è necessario abilitare SNI nei carichi di lavoro dei clienti. Per abilitare il blocco in uscita nei cluster esistenti, inviare un caso di supporto al Supporto tecnico Microsoft o Supporto Red Hat.
Verificare che il blocco in uscita sia abilitato in un cluster
Per verificare se il blocco in uscita è abilitato in un cluster, accedere al cluster di Azure ed eseguire il comando seguente:
$ oc get cluster.aro.openshift.io cluster -o go-template='{{ if .spec.gatewayDomains }}{{ "Egress Lockdown Feature Enabled" }}{{ else }}{{ "Egress Lockdown Feature Disabled" }}{{ end }}{{ "\n" }}'
A seconda che il blocco in uscita sia abilitato o disabilitato, verrà visualizzato uno dei messaggi seguenti:
Egress Lockdown Feature EnabledEgress Lockdown Feature Disabled
Relazione con il blocco dell'archiviazione
Il blocco dell'archiviazione è un'altra funzionalità di Azure Red Hat OpenShift che migliora la sicurezza del cluster. Gli account di archiviazione creati con il cluster sono configurati per limitare qualsiasi accesso pubblico. Vengono aggiunte eccezioni per le subnet di Azure Red Hat OpenShift Resource Provisioner e la subnet del gateway di blocco in uscita. I componenti del cluster che usano questa risorsa di archiviazione, ad esempio OpenShift Image Registry, si basano sulla funzionalità di blocco in uscita anziché accedere direttamente agli account di archiviazione.
Passaggi successivi
Per altre informazioni sul controllo del traffico in uscita nel cluster Azure Red Hat OpenShift, vedere Controllare il traffico in uscita per il cluster Azure Red Hat OpenShift (anteprima).