نظرة عامة على تأمين خروج Azure Red Hat OpenShift
يوفر تأمين الخروج الوصول إلى عناوين URL ونقاط النهاية التي يحتاجها نظام مجموعة Azure Red Hat OpenShift للعمل بفعالية.
يضمن تأمين الخروج أن يكون لديك حق الوصول إلى عناوين URL، مثل management.azure.com، حتى تتمكن من إنشاء عقدة عاملة أخرى مدعومة من أجهزة Azure الظاهرية. يضمن تأمين الخروج الوصول حتى إذا كانت نسبة استخدام الشبكة الصادرة (الخروج) مقيدة بواسطة جهاز جدار حماية أو وسائل أخرى.
يأخذ تأمين الخروج مجموعة من المجالات المطلوبة لمجموعة Azure Red Hat OpenShift لتعمل وتستدعي الوكلاء إلى هذه المجالات من خلال خدمة Azure Red Hat OpenShift. لا يمكن تكوين المجالات، الخاصة بالمنطقة، من قبل العملاء.
لا يعتمد تأمين الخروج على وصول العميل إلى الإنترنت لخدمات Azure Red Hat OpenShift للعمل. من أجل أن تصل المجموعات إلى أي خدمة Azure Red Hat OpenShift، تخرج حركة مرور نظام المجموعة من خلال نقطة نهاية خاصة ل Azure تم إنشاؤها داخل مجموعة موارد نظام المجموعة حيث تتوفر جميع موارد Azure Red Hat OpenShift.
تعرض الصورة التالية تغييرات البنية التي تشمل تأمين الخروج.
تتحقق مجموعة فرعية معروفة من المجالات (التي تحتاجها مجموعات Azure Red Hat OpenShift من العمل) من صحة وجهة حركة مرور نظام المجموعة. وأخيرا، تمر حركة المرور عبر خدمة Azure Red Hat OpenShift للاتصال بعناوين URL ونقاط النهاية هذه.
تمكين تأمين الخروج
من أجل العمل، يعتمد تأمين الخروج على ملحق إشارة اسم الخادم (SNI) إلى أمان طبقة النقل (TLS). يجب تمكين SNI لجميع أحمال عمل العملاء التي تتصل بالمجموعة الفرعية المعروفة من المجالات.
يتم تمكين تأمين الخروج بشكل افتراضي لإنشاء نظام مجموعة جديد. ومع ذلك، لتمكين تأمين الخروج على المجموعات الموجودة، يجب تمكين SNI على أحمال عمل العميل. لتمكين تأمين الخروج على المجموعات الموجودة، أرسل حالة دعم إما إلى دعم Microsoft أو دعم Red Hat.
التحقق من تمكين تأمين الخروج على نظام مجموعة
للتحقق مما إذا كان تأمين الخروج ممكنا على نظام مجموعة، قم بتسجيل الدخول إلى نظام مجموعة Azure وتشغيل الأمر التالي:
$ oc get cluster.aro.openshift.io cluster -o go-template='{{ if .spec.gatewayDomains }}{{ "Egress Lockdown Feature Enabled" }}{{ else }}{{ "Egress Lockdown Feature Disabled" }}{{ end }}{{ "\n" }}'
استنادا إلى ما إذا كان تأمين الخروج ممكنا أو معطلا، سترى إحدى الرسائل التالية:
Egress Lockdown Feature EnabledEgress Lockdown Feature Disabled
العلاقة بتأمين التخزين
تأمين التخزين هو ميزة أخرى من Azure Red Hat OpenShift التي تعزز أمان نظام المجموعة. يتم تكوين حسابات التخزين التي تم إنشاؤها باستخدام نظام المجموعة لتقييد أي وصول عام. تتم إضافة استثناءات للشبكات الفرعية Azure Red Hat OpenShift Resource Provisioner بالإضافة إلى الشبكة الفرعية لبوابة تأمين الخروج. تعتمد مكونات نظام المجموعة التي تستخدم هذا التخزين، على سبيل المثال، OpenShift Image Registry، على وظيفة تأمين الخروج بدلا من الوصول إلى حسابات التخزين مباشرة.
الخطوات التالية
لمزيد من المعلومات حول التحكم في حركة الخروج على مجموعة Azure Red Hat OpenShift، راجع التحكم في حركة الخروج لمجموعة Azure Red Hat OpenShift (ARO) (معاينة).
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ