你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure Red Hat OpenShift 出口锁定概述

出口锁定提供对 Azure Red Hat OpenShift群集有效运行所需的 URL 和终结点的访问。

出口锁定可确保你有权访问 URL（如 management.azure.com），以便可以创建另一个由 Azure VM 支持的工作线程节点。 出口锁定可确保访问，即使出站（出口）流量受到防火墙设备或其他方式的限制也能访问

出口锁定需要 Azure Red Hat OpenShift群集所需的域集合来运行，并通过 Azure Red Hat OpenShift 服务代理对这些域的调用。 这些域特定于区域，无法由客户配置。

出口锁定不依赖于 Azure Red Hat OpenShift 服务的客户 Internet 访问来工作。 为了使集群能够访问任何 Azure Red Hat OpenShift 服务，群集流量通过在群集资源组中创建的 Azure 专用终结点退出，其中所有 Azure Red Hat OpenShift 资源都可用。

下图显示包含出口锁定的体系结构项更改。

一个众所周知的域子集（Azure Red Hat OpenShift 集群需要运行）验证群集流量的目标。 最后，流量通过 Azure Red Hat OpenShift 服务连接到这些 URL 和终结点。

启用出口锁定

为了正常工作，出口锁定依赖于服务器名称指示 (SNI) 对传输层安全性 (TLS) 的扩展。 与已知域子集通信的所有客户工作负载都必须启用 SNI。

创建新群集时默认启用出口锁定。 但是，要在现有集群上启用出口锁定，你必须在客户工作负载上启用 SNI。 要在现有集群上启用出口锁定，请向 Microsoft 支持部门或 Red Hat 支持部门支持提交支持案例。

验证群集上是否启用了出口锁定

若要验证是否在群集上启用了出口锁定，请登录到 Azure 群集并运行以下命令：

$ oc get cluster.aro.openshift.io cluster -o go-template='{{ if .spec.gatewayDomains }}{{ "Egress Lockdown Feature Enabled" }}{{ else }}{{ "Egress Lockdown Feature Disabled" }}{{ end }}{{ "\n" }}'

根据是启用还是禁用出口锁定，你将看到以下消息之一：

• Egress Lockdown Feature Enabled
• Egress Lockdown Feature Disabled

与存储锁定的关系

存储锁定是 Azure Red Hat OpenShift 的另一项功能，它可增强群集安全性。 使用群集创建的存储帐户配置为限制任何公共访问。 为 Azure Red Hat OpenShift 资源预配程序子网以及出口锁定网关的子网添加了例外。 利用此存储的群集组件（例如 OpenShift 映像注册表）依赖于出口锁定功能，而不是直接访问存储帐户。

后续步骤

有关控制 Azure Red Hat OpenShift群集上的出口流量的详细信息，请参阅控制 Azure Red Hat OpenShift (ARO) 群集（预览版）的出口流量。