Übersicht über den Sperrmodus für ausgehende Daten in Azure Red Hat OpenShift
Der Sperrmodus für ausgehende Daten bietet Zugriff auf die URLs und Endpunkte, die ein Azure Red Hat OpenShift-Cluster benötigt, um effektiv zu funktionieren.
Der Sperrmodus für ausgehende Daten stellt sicher, dass Sie Zugriff auf URLs wie management.azure.com haben, sodass Sie einen weiteren Workerknoten erstellen können, der von Azure-VMs unterstützt wird. Der Sperrmodus für ausgehende Daten stellt den Zugriff auch dann sicher, wenn der ausgehende Datenverkehr durch eine Firewallappliance oder auf andere Weise eingeschränkt wird.
Der Sperrmodus für ausgehende Daten verwendet eine Sammlung von Domänen, die erforderlich sind, damit ein Azure Red Hat OpenShift-Cluster funktioniert, und leitet Aufrufe dieser Domänen per Proxy über den Azure Red Hat OpenShift-Dienst weiter. Die regionsspezifischen Domänen können nicht von Kunden konfiguriert werden.
Der Sperrmodus für ausgehende Daten ist nicht auf den Internetzugriff des Kunden angewiesen, damit Azure Red Hat OpenShift-Dienste funktionieren. Damit Cluster jeden Azure Red Hat OpenShift-Dienst erreichen können, wird der Clusterdatenverkehr über einen privaten Azure-Endpunkt geleitet, der innerhalb der Cluster-Ressourcengruppe erstellt wurde, in der alle Azure Red Hat OpenShift-Ressourcen verfügbar sind.
Die folgende Abbildung zeigt die Architekturänderungen, die den Sperrmodus für ausgehende Daten umfassen.
Eine bekannte Teilmenge von Domänen (die die Azure Red Hat OpenShift-Cluster zum Funktionieren benötigen) validiert das Ziel des Clusterdatenverkehrs. Schließlich durchläuft der Datenverkehr den Azure Red Hat OpenShift-Dienst, um eine Verbindung mit diesen URLs und Endpunkten herzustellen.
Aktivieren des Sperrmodus für ausgehenden Daten
Für die Funktion ist der Sperrmodus für ausgehende Daten auf die Erweiterung der Servernamensanzeige (SNI) für Transport Layer Security (TLS) angewiesen. Für alle Kundenworkloads, die mit der bekannten Teilmenge von Domänen kommunizieren, muss SNI aktiviert sein.
Der Sperrmodus für ausgehende Daten ist standardmäßig für die Erstellung neuer Cluster aktiviert. Um den Sperrmodus für ausgehende Daten in vorhandenen Clustern zu aktivieren, muss SNI für die Kundenworkloads aktiviert sein. Um den Sperrmodus für ausgehende Daten in Ihren vorhandenen Clustern zu aktivieren, übermitteln Sie einen Supportfall an den Microsoft-Support oder den Red Hat-Support.
Überprüfen, ob der Sperrmodus für ausgehende Daten in einem Cluster aktiviert ist
Um zu überprüfen, ob der Sperrmodus für ausgehende Daten für einen Cluster aktiviert ist, melden Sie sich bei Ihrem Azure-Cluster an, und führen Sie den folgenden Befehl aus:
$ oc get cluster.aro.openshift.io cluster -o go-template='{{ if .spec.gatewayDomains }}{{ "Egress Lockdown Feature Enabled" }}{{ else }}{{ "Egress Lockdown Feature Disabled" }}{{ end }}{{ "\n" }}'
Je nachdem, ob der Sperrmodus für ausgehende Daten aktiviert oder deaktiviert ist, wird eine der folgenden Meldungen angezeigt:
Egress Lockdown Feature EnabledEgress Lockdown Feature Disabled
Verhältnis zum Speichersperrmodus
Die Speichersperre ist ein weiteres Feature von Azure Red Hat OpenShift, das die Clustersicherheit verbessert. Speicherkonten, die mit dem Cluster erstellt wurden, sind so konfiguriert, dass jeder öffentliche Zugriff eingeschränkt wird. Ausnahmen werden für die Subnetze der Azure Red Hat OpenShift-Ressourcenbereitstellung sowie das Subnetz des Sperrmodusgateways für ausgehende Daten hinzugefügt. Clusterkomponenten, die diesen Speicher verwenden, z. B. OpenShift Image Registry, sind auf die Funktion des Sperrmodus für ausgehende Daten angewiesen, anstatt direkt auf die Speicherkonten zuzugreifen.
Nächste Schritte
Weitere Informationen zum Steuern des ausgehenden Datenverkehrs in Ihrem Azure Red Hat OpenShift-Cluster finden Sie unter Steuern des ausgehenden Datenverkehrs für Ihren Azure Red Hat OpenShift-Cluster (ARO) (Vorschau).