Azure Red Hat OpenShift 송신 잠금 개요

송신 잠금은 Azure Red Hat OpenShift 클러스터가 효과적으로 작동하는 데 필요한 URL 및 엔드포인트에 대한 액세스를 제공합니다.

송신 잠금을 사용하면 management.azure.com 같은 URL에 액세스할 수 있으므로 Azure VM에서 지원하는 다른 작업자 노드를 만들 수 있습니다. 송신 잠금은 아웃바운드(송신) 트래픽이 방화벽 어플라이언스 또는 기타 수단으로 제한되더라도 액세스를 보장합니다.

송신 잠금은 Azure Red Hat OpenShift 클러스터가 작동하는 데 필요한 도메인 컬렉션을 가져오고 Azure Red Hat OpenShift 서비스를 통해 이러한 도메인에 대한 호출을 프록시합니다. 지역별 도메인은 고객이 구성할 수 없습니다.

송신 잠금은 Azure Red Hat OpenShift 서비스가 작동하기 위해 고객 인터넷 액세스에 의존하지 않습니다. 클러스터가 Azure Red Hat OpenShift 서비스에 도달하기 위해 클러스터 트래픽은 모든 Azure Red Hat OpenShift 리소스를 사용할 수 있는 클러스터 리소스 그룹 내에서 만든 Azure 프라이빗 엔드포인트를 통해 종료됩니다.

다음 이미지는 송신 잠금을 포함하는 아키텍처 변경 내용을 표시합니다.

잘 알려진 도메인 하위 집합(Azure Red Hat OpenShift 클러스터가 작동해야 함)은 클러스터 트래픽 대상의 유효성을 검사합니다. 마지막으로 트래픽은 Azure Red Hat OpenShift 서비스를 통과하여 이러한 URL 및 엔드포인트에 연결합니다.

송신 잠금 사용

송신 잠금이 작동하려면 TLS(전송 계층 보안)에 대한 SNI(서버 이름 표시) 확장에 의존합니다. 잘 알려진 도메인 하위 집합과 통신하는 모든 고객 워크로드는 SNI를 사용하도록 설정해야 합니다.

송신 잠금은 기본적으로 새 클러스터 만들기에 대해 사용하도록 설정됩니다. 그러나 기존 클러스터에서 송신 잠금을 사용하도록 설정하려면 고객 워크로드에서 SNI를 사용하도록 설정해야 합니다. 기존 클러스터에서 송신 잠금을 사용하도록 설정하려면 지원 사례를 Microsoft 지원 또는 Red Hat 지원에 제출합니다.

클러스터에서 송신 잠금이 사용하도록 설정되어 있는지 확인

클러스터에서 송신 잠금이 사용하도록 설정되어 있는지 확인하려면 Azure 클러스터에 로그인하고 다음 명령을 실행합니다.

$ oc get cluster.aro.openshift.io cluster -o go-template='{{ if .spec.gatewayDomains }}{{ "Egress Lockdown Feature Enabled" }}{{ else }}{{ "Egress Lockdown Feature Disabled" }}{{ end }}{{ "\n" }}'

송신 잠금을 사용하도록 설정했는지 아니면 사용하지 않도록 설정했는지에 따라 다음 메시지 중 하나가 표시됩니다.

• Egress Lockdown Feature Enabled
• Egress Lockdown Feature Disabled

스토리지 잠금과의 관계

스토리지 잠금은 클러스터 보안을 개선하는 Azure Red Hat OpenShift의 또 다른 기능입니다. 클러스터를 사용하여 만든 스토리지 계정은 공용 액세스를 제한하도록 구성됩니다. Azure Red Hat OpenShift Resource Provisioner 서브넷과 송신 잠금 게이트웨이의 서브넷에 대한 예외가 추가됩니다. 이 스토리지를 활용하는 클러스터 구성 요소(예: OpenShift Image Registry)는 스토리지 계정에 직접 액세스하는 대신 송신 잠금 기능을 활용합니다.

다음 단계

Azure Red Hat OpenShift 클러스터에서 송신 트래픽을 제어하는 방법에 대한 자세한 내용은 ARO(Azure Red Hat OpenShift) 클러스터에 대한 송신 트래픽 제어(미리 보기)를 참조하세요.