Visão geral do bloqueio de saída do Azure Red Hat OpenShift
O bloqueio de saída fornece acesso às URLs e pontos de extremidade de que um cluster do Azure Red Hat OpenShift precisa para funcionar de forma eficaz.
O bloqueio de saída garante que você tenha acesso a URLs, como management.azure.com, para que possa criar outro nó de trabalho apoiado por VMs do Azure. O bloqueio de saída garante o acesso mesmo se o tráfego de saída (saída) for restringido por um dispositivo de firewall ou outros meios.
O bloqueio de saída usa uma coleção de domínios necessários para que um cluster do Azure Red Hat OpenShift funcione e faz chamadas de proxies para esses domínios por meio do serviço Azure Red Hat OpenShift. Os domínios, que são específicos da região, não podem ser configurados pelos clientes.
O bloqueio de saída não depende do acesso à Internet do cliente para que os serviços do Azure Red Hat OpenShift funcionem. Para que os clusters alcancem qualquer serviço do Azure Red Hat OpenShift, o tráfego do cluster sai por meio de um ponto de extremidade privado do Azure criado dentro do grupo de recursos de cluster onde todos os recursos do Red Hat OpenShift do Azure estão disponíveis.
A imagem a seguir exibe as alterações de arquitetura que englobam o bloqueio de saída.
Um subconjunto bem conhecido de domínios (que os clusters do Azure Red Hat OpenShift precisam para funcionar) valida o destino do tráfego do cluster. Finalmente, o tráfego passa pelo serviço Azure Red Hat OpenShift para se conectar a essas URLs e pontos de extremidade.
Ativar bloqueio de saída
Para funcionar, o bloqueio de saída depende da extensão SNI (Indicação de Nome do Servidor) para o TLS (Transport Layer Security). Todas as cargas de trabalho do cliente que se comunicam com o subconjunto conhecido de domínios devem ter o SNI habilitado.
O bloqueio de saída está habilitado por padrão para a criação de novos clusters. No entanto, para habilitar o bloqueio de saída em clusters existentes, você deve ter o SNI habilitado nas cargas de trabalho do cliente. Para habilitar o bloqueio de saída em seus clusters existentes, envie um caso de suporte para o Suporte da Microsoft ou para o Suporte Red Hat.
Verificar se o bloqueio de saída está habilitado em um cluster
Para verificar se o bloqueio de saída está habilitado em um cluster, entre no cluster do Azure e execute o seguinte comando:
$ oc get cluster.aro.openshift.io cluster -o go-template='{{ if .spec.gatewayDomains }}{{ "Egress Lockdown Feature Enabled" }}{{ else }}{{ "Egress Lockdown Feature Disabled" }}{{ end }}{{ "\n" }}'
Dependendo se o bloqueio de saída está ativado ou desativado, você verá uma das seguintes mensagens:
Egress Lockdown Feature EnabledEgress Lockdown Feature Disabled
Relação com o bloqueio de armazenamento
O bloqueio de armazenamento é outro recurso do Azure Red Hat OpenShift que aprimora a segurança do cluster. As Contas de Armazenamento criadas com o cluster são configuradas para restringir qualquer acesso público. Exceções são adicionadas para as sub-redes do Azure Red Hat OpenShift Resource Provisioner, bem como para a sub-rede do gateway de bloqueio de saída. Os componentes de cluster que utilizam esse armazenamento, por exemplo, o OpenShift Image Registry, dependem da funcionalidade de bloqueio de saída em vez de acessar diretamente as contas de armazenamento.
Próximos passos
Para obter mais informações sobre como controlar o tráfego de saída em seu cluster do Azure Red Hat OpenShift, consulte Controlar o tráfego de saída para seu cluster do Azure Red Hat OpenShift (ARO) (visualização).