Přehled uzamčení výchozího přenosu dat v Azure Red Hat OpenShiftu

Uzamčení výchozího přenosu dat poskytuje přístup k adresám URL a koncovým bodům, které cluster Azure Red Hat OpenShift potřebuje efektivně fungovat.

Uzamčení výchozího přenosu dat zajišťuje, že máte přístup k adresám URL, jako je management.azure.com, abyste mohli vytvořit další pracovní uzel založený na virtuálních počítačích Azure. Uzamčení výchozího přenosu zajišťuje přístup, i když je odchozí provoz omezený zařízením brány firewall nebo jiným způsobem.

Uzamčení výchozího přenosu dat přebírá kolekci domén potřebných pro cluster Azure Red Hat OpenShift k fungování a volání proxy serverů do těchto domén prostřednictvím služby Azure Red Hat OpenShift. Domény, které jsou specifické pro jednotlivé oblasti, nejdou nakonfigurovat zákazníky.

Uzamčení výchozího přenosu dat nespoléhá na internetový přístup zákazníků, aby služby Azure Red Hat OpenShift fungovaly. Aby se clustery dostaly k jakékoli službě Azure Red Hat OpenShift, provoz clusteru se ukončí prostřednictvím privátního koncového bodu Azure vytvořeného ve skupině prostředků clusteru, kde jsou k dispozici všechny prostředky Azure Red Hat OpenShiftu.

Následující obrázek zobrazuje změny architektury, které zahrnují uzamčení výchozího přenosu dat.

Diagram architektury pro komponenty uzamčení výchozího přenosu dat Azure Red Hat OpenShift

Dobře známá podmnožina domén (že clustery Azure Red Hat OpenShift musí fungovat) ověřuje cíl provozu clusteru. Nakonec provoz prochází službou Azure Red Hat OpenShift, aby se připojil k těmto adresám URL a koncovým bodům.

Povolení uzamčení výchozího přenosu dat

Aby bylo možné fungovat, výchozí uzamčení spoléhá na rozšíření SNI (Server Name Indication) na tls (Transport Layer Security). Všechny úlohy zákazníků, které komunikují s dobře známou podmnožinou domén, musí mít povolené SNI.

Výchozí uzamčení výchozího přenosu dat je povolené pro vytvoření nového clusteru. Pokud ale chcete povolit uzamčení výchozího přenosu dat u existujících clusterů, musíte mít pro úlohy zákazníka povolené SNI. Pokud chcete povolit uzamčení výchozího přenosu dat ve stávajících clusterech, odešlete případ podpory podpora Microsoftu nebo podpoře Red Hat.

Ověření povolení uzamčení výchozího přenosu dat v clusteru

Pokud chcete ověřit, jestli je v clusteru povolený zámek výchozího přenosu dat, přihlaste se ke clusteru Azure a spusťte následující příkaz:

$ oc get cluster.aro.openshift.io cluster -o go-template='{{ if .spec.gatewayDomains }}{{ "Egress Lockdown Feature Enabled" }}{{ else }}{{ "Egress Lockdown Feature Disabled" }}{{ end }}{{ "\n" }}'

V závislosti na tom, jestli je povolený nebo zakázaný výchozí uzamčení, se zobrazí jedna z následujících zpráv:

  • Egress Lockdown Feature Enabled
  • Egress Lockdown Feature Disabled

Vztah k uzamčení úložiště

Uzamčení úložiště je další funkcí Azure Red Hat OpenShiftu, která vylepšuje zabezpečení clusteru. Účty úložiště vytvořené pomocí clusteru jsou nakonfigurované tak, aby omezovaly jakýkoli veřejný přístup. Výjimky se přidávají pro podsítě Azure Red Hat OpenShift Resource Provisioner a také podsíť brány uzamčení výchozího přenosu dat. Komponenty clusteru, které využívají toto úložiště, například OpenShift Image Registry, využívají funkci uzamčení výchozího přenosu dat místo přímého přístupu k účtům úložiště.

Další kroky

Další informace o řízení výchozího provozu v clusteru Azure Red Hat OpenShift najdete v tématu Řízení výchozího provozu clusteru Azure Red Hat OpenShift (ARO) (Preview).