قواعد الشبكة الصادرة وFQDN لمجموعات Azure Kubernetes Service (AKS)
توفر هذه المقالة التفاصيل الضرورية التي تسمح لك بتأمين حركة المرور الصادرة من Azure Kubernetes Service (AKS). يحتوي على متطلبات نظام المجموعة لتوزيع AKS الأساسي ومتطلبات إضافية للوظائف الإضافية والميزات الاختيارية. يمكنك تطبيق هذه المعلومات على أي أسلوب أو جهاز تقييد صادر.
لمشاهدة مثال على التكوين باستخدام جدار حماية Azure، تفضل بزيارة التحكم في حركة الخروج باستخدام جدار حماية Azure في AKS.
خلفية
يتم نشر أنظمة مجموعات AKS على شبكة اتصال ظاهرية. يمكن تخصيص هذه الشبكة وتكوينها مسبقا من قبلك أو يمكن إنشاؤها وإدارتها بواسطة AKS. في كلتا الحالتين، يحتوي نظام المجموعة على تبعيات صادرة أو خروج على الخدمات خارج الشبكة الظاهرية.
لأغراض الإدارة والتشغيل، تحتاج العقد في نظام مجموعة AKS إلى الوصول إلى منافذ معينة وأسماء مجالات مؤهلة بالكامل (FQDNs). نقاط النهاية هذه مطلوبة للعقد للاتصال بخادم API أو لتنزيل وتثبيت مكونات مجموعة Kubernetes الأساسية وتحديثات أمان العقدة. على سبيل المثال، يحتاج نظام المجموعة إلى سحب صور حاوية النظام الأساسي من Microsoft Container Registry (MCR).
يتم تعريف تبعيات AKS الصادرة بالكامل تقريبًا باستخدام FQDNs، والتي ليست لها عناوين ثابتة خلفها. يعني عدم وجود عناوين ثابتة أنه لا يمكنك استخدام مجموعات أمان الشبكة (NSGs) لتأمين نسبة استخدام الشبكة الصادرة من مجموعة AKS.
بشكل افتراضي، تتمتع نظم مجموعات AKS بوصول غير مقيد إلى الإنترنت الصادر. يسمح هذا المستوى من الوصول إلى الشبكة للعقد والخدمات التي تقوم بتشغيلها بالوصول إلى الموارد الخارجية حسب الحاجة. إذا كنت ترغب في تقييد حركة الخروج، يجب أن يكون هناك عدد محدود من المنافذ والعناوين متاحة للحفاظ على مهام صيانة نظام المجموعة الصحي. أبسط حل لتأمين العناوين الصادرة هو استخدام جهاز جدار حماية يمكنه التحكم في نسبة استخدام الشبكة الصادرة استنادا إلى أسماء المجالات. يمكن لجدار حماية Azure تقييد نسبة استخدام الشبكة HTTP و HTTPS الصادرة بناءً على FQDN للوجهة. يمكنك أيضًا تكوين جدار الحماية المفضل وقواعد الأمان للسماح بهذه المنافذ والعناوين المطلوبة.
هام
يغطي هذا المستند فقط كيفية تأمين حركة المرور التي تغادر الشبكة الفرعية AKS. لا توجد متطلبات دخول لـ AKS بشكل افتراضي. حظر حركة مرور الشبكة الفرعية الداخلية باستخدام مجموعات أمان الشبكة (NSGs) وجدران الحماية غير مدعوم. للتحكم في حركة المرور وحظرها داخل نظام المجموعة، راجع تأمين نسبة استخدام الشبكة بين pods باستخدام نهج الشبكة في AKS.
قواعد الشبكة الصادرة المطلوبة وFQDNs لأنظمة مجموعات AKS
قواعد الشبكة وFQDN/التطبيق التالية مطلوبة لمجموعة AKS. يمكنك استخدامها إذا كنت ترغب في تكوين حل آخر غير Azure Firewall.
- تبعيات عنوان IP مخصصة لنسبة استخدام الشبكة غير HTTP/S (كل من حركة مرور TCP وUDP).
- يمكن وضع نقاط النهاية لـ FQDN HTTP/HTTPS في جهاز جدار الحماية.
- نقاط النهاية لـ HTTP/HTTPS البدل هي تبعيات يمكن أن تختلف مع نظام مجموعة AKS استنادًا إلى عدد من التصفيات.
- تستخدم AKS وحدة تحكم القبول لإدخال FQDN كمتغير بيئة لجميع عمليات النشر ضمن نظام kube ونظام gatekeeper. وهذا يضمن أن جميع اتصالات النظام بين العقد وخادم API يستخدم خادم API FQDN وليس عنوان IP لخادم API. يمكنك الحصول على نفس السلوك على الحجيرات الخاصة بك، في أي مساحة اسم، عن طريق إضافة تعليق توضيحي على مواصفات pod مع تعليق توضيحي باسم
kubernetes.azure.com/set-kube-service-host-fqdn
. إذا كان هذا التعليق التوضيحي موجودا، فسيضبط AKS المتغير KUBERNETES_SERVICE_HOST على اسم المجال لخادم API بدلا من IP خدمة داخل نظام المجموعة. وهذا مفيد في الحالات التي يكون فيها خروج نظام المجموعة عبر جدار حماية الطبقة 7. - إذا كان لديك تطبيق أو حل يحتاج إلى التحدث إلى خادم API، فيجب عليك إما إضافة قاعدة شبكة إضافية للسماح لاتصال TCP بالمنفذ 443 من IP الخاص بخادم API أو ، إذا كان لديك جدار حماية من الطبقة 7 تم تكوينه للسماح بنسبة استخدام الشبكة إلى اسم مجال API Server، يتم تعيينه
kubernetes.azure.com/set-kube-service-host-fqdn
في مواصفات الجراب. - في حالات نادرة، إذا كانت هناك عملية صيانة، فقد يتغير عنوان IP لخادم API. يتم دائمًا الاتصال مسبقًا بعمليات الصيانة المخططة التي يمكن أن تغير IP خادم API.
- في ظل ظروف معينة، قد يحدث أن حركة المرور نحو "md-*.blob.storage.azure.net" مطلوبة. هذه التبعية بسبب بعض الآليات الداخلية لأقراص Azure المدارة. قد تحتاج أيضا إلى استخدام علامة خدمة التخزين.
- قد تلاحظ حركة المرور نحو نقطة نهاية "umsa*.blob.core.windows.net". يتم استخدام نقطة النهاية هذه لتخزين بيانات عامل الجهاز الظاهري ل Azure Linux وملحقاته ويتم التحقق منها بانتظام لتنزيل الإصدارات الجديدة.
قواعد شبكة الاتصال المطلوبة Azure Global
نقطة نهاية الوجهة | البروتوكول | المنفذ | استخدام |
---|---|---|---|
*:1194 أو علامة الخدمة - AzureCloud.<Region>:1194 أو CIDRs الإقليمية - RegionCIDRs:1194 أو APIServerPublicIP:1194 (only known after cluster creation) |
بروتوكول مخطط بيانات المستخدم | 1194 | للاتصال الآمن النفقي بين العقد ووحدة التحكم. هذا غير مطلوب للمجموعات الخاصة، أو للمجموعات التي تم تمكين عامل konnectivity. |
*:9000 أو علامة الخدمة - AzureCloud.<Region>:9000 أو CIDRs الإقليمية - RegionCIDRs:9000 أو APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | للاتصال الآمن النفقي بين العقد ووحدة التحكم. هذا غير مطلوب للمجموعات الخاصة، أو للمجموعات التي تم تمكين عامل konnectivity. |
*:123 أو ntp.ubuntu.com:123 (إذا كنت تستخدم قواعد شبكة Azure Firewall) |
بروتوكول مخطط بيانات المستخدم | 123 | مطلوب لمزامنة وقت Network Time Protocol (NTP) على عقد Linux. هذا غير مطلوب للعقد التي تم توفيرها بعد مارس 2021. |
CustomDNSIP:53 (if using custom DNS servers) |
بروتوكول مخطط بيانات المستخدم | 53 | إذا كنت تستخدم خوادم DNS مخصصة، يجب التأكد من إمكانية الوصول إليها بواسطة عقد نظام المجموعة. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | مطلوبة إذا كان تشغيل pods/عمليات النشر التي تصل إلى خادم API، فستستخدم هذه pods/عمليات النشر IP API. هذا المنفذ غير مطلوب للمجموعات الخاصة. |
قواعد تطبيق / FQDN المطلوبة والخاصة بـ Azure Global
Microsoft Azure المشغل بواسطة قواعد الشبكة المطلوبة 21Vianet
نقطة نهاية الوجهة | البروتوكول | المنفذ | استخدام |
---|---|---|---|
*:1194 أو علامة الخدمة - AzureCloud.Region:1194 أو CIDRs الإقليمية - RegionCIDRs:1194 أو APIServerPublicIP:1194 (only known after cluster creation) |
بروتوكول مخطط بيانات المستخدم | 1194 | للاتصال الآمن النفقي بين العقد ووحدة التحكم. |
*:9000 أو علامة الخدمة - AzureCloud.<Region>:9000 أو CIDRs الإقليمية - RegionCIDRs:9000 أو APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | للاتصال الآمن النفقي بين العقد ووحدة التحكم. |
*:22 أو علامة الخدمة - AzureCloud.<Region>:22 أو CIDRs الإقليمية - RegionCIDRs:22 أو APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | للاتصال الآمن النفقي بين العقد ووحدة التحكم. |
*:123 أو ntp.ubuntu.com:123 (إذا كنت تستخدم قواعد شبكة Azure Firewall) |
بروتوكول مخطط بيانات المستخدم | 123 | مطلوب لمزامنة وقت Network Time Protocol (NTP) على عقد Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
بروتوكول مخطط بيانات المستخدم | 53 | إذا كنت تستخدم خوادم DNS مخصصة، يجب التأكد من إمكانية الوصول إليها بواسطة عقد نظام المجموعة. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | مطلوبة إذا كان تشغيل pods/عمليات النشر التي تصل إلى خادم API، ستستخدم هذه pod/عمليات النشر IP API. |
Microsoft Azure المشغل بواسطة 21Vianet المطلوبة FQDN / قواعد التطبيق
وجهة FQDN | المنفذ | استخدام |
---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
مطلوب لعقدة <-> اتصال خادم API. استبدل <location> بالمنطقة حيث تم نشر نظام مجموعة AKS بها. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
مطلوب لعقدة <-> اتصال خادم API. استبدل <location> بالمنطقة حيث تم نشر نظام مجموعة AKS بها. |
mcr.microsoft.com |
HTTPS:443 |
مطلوب للوصول إلى الصور في Microsoft Container Registry (MCR). يحتوي هذا التسجيل على صور/مخططات الطرف الأول (على سبيل المثال، coreDNS، إلخ). هذه الصور مطلوبة لإنشاء نظام المجموعة وعمله بشكل صحيح، بما في ذلك عمليات القياس والترقية. |
.data.mcr.microsoft.com |
HTTPS:443 |
مطلوب لتخزين MCR مدعوم من قبل شبكة توصيل المحتوى Azure (CDN). |
management.chinacloudapi.cn |
HTTPS:443 |
مطلوب لعمليات Kubernetes مقابل API Azure. |
login.chinacloudapi.cn |
HTTPS:443 |
مطلوب لمصادقة Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
هذا العنوان هو مستودع حزم Microsoft المستخدمة لعمليات apt-get المخزنة مؤقتًا. تتضمن حزم المثال Moby وPowerShell وAzure CLI. |
*.azk8s.cn |
HTTPS:443 |
هذا العنوان هو للمستودع المطلوب لتحميل وتثبيت الثنائيات المطلوبة مثل kubenet وAzure CNI. |
قواعد الشبكة المطلوبة والخاصة بـ Azure US Government
نقطة نهاية الوجهة | البروتوكول | المنفذ | استخدام |
---|---|---|---|
*:1194 أو علامة الخدمة - AzureCloud.<Region>:1194 أو CIDRs الإقليمية - RegionCIDRs:1194 أو APIServerPublicIP:1194 (only known after cluster creation) |
بروتوكول مخطط بيانات المستخدم | 1194 | للاتصال الآمن النفقي بين العقد ووحدة التحكم. |
*:9000 أو علامة الخدمة - AzureCloud.<Region>:9000 أو CIDRs الإقليمية - RegionCIDRs:9000 أو APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | للاتصال الآمن النفقي بين العقد ووحدة التحكم. |
*:123 أو ntp.ubuntu.com:123 (إذا كنت تستخدم قواعد شبكة Azure Firewall) |
بروتوكول مخطط بيانات المستخدم | 123 | مطلوب لمزامنة وقت Network Time Protocol (NTP) على عقد Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
بروتوكول مخطط بيانات المستخدم | 53 | إذا كنت تستخدم خوادم DNS مخصصة، يجب التأكد من إمكانية الوصول إليها بواسطة عقد نظام المجموعة. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | مطلوبة إذا كان تشغيل pods/عمليات النشر التي تصل إلى خادم API، فستستخدم هذه pods/عمليات النشر IP API. |
قواعد التطبيق / FQDN المطلوبة والخاصة بـ Azure US Government
وجهة FQDN | المنفذ | استخدام |
---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
مطلوب لعقدة <-> اتصال خادم API. استبدل <location> بالمنطقة حيث تم نشر نظام مجموعة AKS بها. |
mcr.microsoft.com |
HTTPS:443 |
مطلوب للوصول إلى الصور في Microsoft Container Registry (MCR). يحتوي هذا التسجيل على صور/مخططات الطرف الأول (على سبيل المثال، coreDNS، إلخ). هذه الصور مطلوبة لإنشاء نظام المجموعة وعمله بشكل صحيح، بما في ذلك عمليات القياس والترقية. |
*.data.mcr.microsoft.com |
HTTPS:443 |
مطلوب لتخزين MCR مدعومة من قبل شبكة توصيل المحتوى Azure (CDN). |
management.usgovcloudapi.net |
HTTPS:443 |
مطلوب لعمليات Kubernetes مقابل API Azure. |
login.microsoftonline.us |
HTTPS:443 |
مطلوب لمصادقة Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
هذا العنوان هو مستودع حزم Microsoft المستخدمة لعمليات apt-get المخزنة مؤقتًا. تتضمن حزم المثال Moby وPowerShell وAzure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
هذا العنوان للمستودع المطلوب لتثبيت الثنائيات المطلوبة مثل kubenet وAzure CNI. |
قواعد التطبيق / FQDN الموصى بها الاختيارية لأنظمة مجموعات AKS
قواعد FQDN / التطبيق التالية غير مطلوبة، ولكن يوصى بها لمجموعات AKS:
وجهة FQDN | المنفذ | استخدام |
---|---|---|
security.ubuntu.com ، ، azure.archive.ubuntu.com changelogs.ubuntu.com |
HTTP:80 |
يتيح هذا العنوان لعقد نظام التشغيل Linux تنزيل تصحيحات الأمان المطلوبة والتحديثات. |
snapshot.ubuntu.com |
HTTPS:443 |
يتيح هذا العنوان لعقد نظام مجموعة Linux تنزيل تصحيحات الأمان المطلوبة والتحديثات من خدمة لقطة ubuntu. |
إذا اخترت حظر/عدم السماح لهذه FQDNs، فسوف تتلقى العقد تحديثات نظام التشغيل فقط عندما تقوم بترقية صورة عقدة أو ترقية نظام المجموعة. ضع في اعتبارك أن ترقيات صورة العقدة تأتي أيضا مع حزم محدثة بما في ذلك إصلاحات الأمان.
مجموعات AKS الممكنة لوحدة معالجة الرسومات (GPU) المطلوبة FQDN / قواعد التطبيق
وجهة FQDN | المنفذ | استخدام |
---|---|---|
nvidia.github.io |
HTTPS:443 |
يستخدم هذا العنوان لتثبيت برنامج التشغيل الصحيح وتشغيله على العقد المستندة إلى GPU. |
us.download.nvidia.com |
HTTPS:443 |
يستخدم هذا العنوان لتثبيت برنامج التشغيل الصحيح وتشغيله على العقد المستندة إلى GPU. |
download.docker.com |
HTTPS:443 |
يستخدم هذا العنوان لتثبيت برنامج التشغيل الصحيح وتشغيله على العقد المستندة إلى GPU. |
تتطلب تجمعات العقد المستندة إلى Windows Server قواعد FQDN / التطبيق
وجهة FQDN | المنفذ | استخدام |
---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
لتثبيت الثنائيات المرتبطة بالنوافذ |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
لتثبيت الثنائيات المرتبطة بالنوافذ |
إذا اخترت حظر/عدم السماح لهذه FQDNs، فسوف تتلقى العقد تحديثات نظام التشغيل فقط عندما تقوم بترقية صورة عقدة أو ترقية نظام المجموعة. ضع في اعتبارك أن ترقيات صورة العقدة تأتي أيضا مع حزم محدثة بما في ذلك إصلاحات الأمان.
إضافات وتكاملات AKS
Microsoft Defender for Containers
قواعد التطبيق / FQDN المطلوبة
FQDN | المنفذ | استخدام |
---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (يتم تشغيل Azure بواسطة 21Vianet) |
HTTPS:443 |
مطلوب لمصادقة Active Directory. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government) *.ods.opinsights.azure.cn (يتم تشغيل Azure بواسطة 21Vianet) |
HTTPS:443 |
مطلوب لـ Microsoft Defender لتحميل أحداث الأمان إلى السحابة. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government) *.oms.opinsights.azure.cn (يتم تشغيل Azure بواسطة 21Vianet) |
HTTPS:443 |
تلزم المصادقة باستخدام مساحات عمل LogAnalytics. |
تخزين بيانات CSI السرية
قواعد التطبيق / FQDN المطلوبة
FQDN | المنفذ | استخدام |
---|---|---|
vault.azure.net |
HTTPS:443 |
مطلوب لـ CSI Secret Store للتحدث إلى خادم Azure KeyVault. |
مراقب Azure للحاويات
هناك خياران لتوفير الوصول إلى Azure Monitor للحاويات:
- السماح ب Azure Monitor ServiceTag.
- توفير الوصول إلى قواعد FQDN/التطبيق المطلوبة.
قواعد الشبكة المطلوبة
نقطة نهاية الوجهة | البروتوكول | المنفذ | استخدام |
---|---|---|---|
علامة الخدمة - AzureMonitor:443 |
TCP | 443 | يتم استخدام نقطة النهاية هذه لإرسال بيانات المقاييس والسجلات إلى Azure Monitor وLog Analytics. |
قواعد التطبيق / FQDN المطلوبة
FQDN | المنفذ | استخدام |
---|---|---|
dc.services.visualstudio.com |
HTTPS:443 |
يتم استخدام نقطة النهاية هذه بواسطة Azure Monitor for Containers Agent Telemetry. |
*.ods.opinsights.azure.com |
HTTPS:443 |
يتم استخدام نقطة النهاية هذه من قبل Azure Monitor لاستيعاب بيانات تحليلات السجل. |
*.oms.opinsights.azure.com |
HTTPS:443 |
يتم استخدام نقطة النهاية هذه من قبل omsagent، والتي تستخدم للمصادقة على خدمة تحليلات السجل. |
*.monitoring.azure.com |
HTTPS:443 |
يتم استخدام نقطة النهاية هذه لإرسال بيانات المقاييس إلى Azure Monitor. |
<cluster-region-name>.ingest.monitor.azure.com |
HTTPS:443 |
يتم استخدام نقطة النهاية هذه بواسطة خدمة Azure Monitor المدارة لاستيعاب مقاييس Prometheus. |
<cluster-region-name>.handler.control.monitor.azure.com |
HTTPS:443 |
يتم استخدام نقطة النهاية هذه لجلب قواعد جمع البيانات لمجموعة معينة. |
Microsoft Azure المشغل بواسطة 21Vianet المطلوبة FQDN / قواعد التطبيق
FQDN | المنفذ | استخدام |
---|---|---|
dc.services.visualstudio.cn |
HTTPS:443 |
يتم استخدام نقطة النهاية هذه بواسطة Azure Monitor for Containers Agent Telemetry. |
*.ods.opinsights.azure.cn |
HTTPS:443 |
يتم استخدام نقطة النهاية هذه من قبل Azure Monitor لاستيعاب بيانات تحليلات السجل. |
*.oms.opinsights.azure.cn |
HTTPS:443 |
يتم استخدام نقطة النهاية هذه من قبل omsagent، والتي تستخدم للمصادقة على خدمة تحليلات السجل. |
global.handler.control.monitor.azure.cn |
HTTPS:443 |
يتم استخدام نقطة النهاية هذه من قبل Azure Monitor للوصول إلى خدمة التحكم. |
<cluster-region-name>.handler.control.monitor.azure.cn |
HTTPS:443 |
يتم استخدام نقطة النهاية هذه لجلب قواعد جمع البيانات لمجموعة معينة. |
قواعد التطبيق / FQDN المطلوبة والخاصة بـ Azure US Government
FQDN | المنفذ | استخدام |
---|---|---|
dc.services.visualstudio.us |
HTTPS:443 |
يتم استخدام نقطة النهاية هذه بواسطة Azure Monitor for Containers Agent Telemetry. |
*.ods.opinsights.azure.us |
HTTPS:443 |
يتم استخدام نقطة النهاية هذه من قبل Azure Monitor لاستيعاب بيانات تحليلات السجل. |
*.oms.opinsights.azure.us |
HTTPS:443 |
يتم استخدام نقطة النهاية هذه من قبل omsagent، والتي تستخدم للمصادقة على خدمة تحليلات السجل. |
global.handler.control.monitor.azure.us |
HTTPS:443 |
يتم استخدام نقطة النهاية هذه من قبل Azure Monitor للوصول إلى خدمة التحكم. |
<cluster-region-name>.handler.control.monitor.azure.us |
HTTPS:443 |
يتم استخدام نقطة النهاية هذه لجلب قواعد جمع البيانات لمجموعة معينة. |
نهج Azure
قواعد التطبيق / FQDN المطلوبة
FQDN | المنفذ | استخدام |
---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
يستخدم هذا العنوان لسحب نهج Kubernetes والإبلاغ عن حالة التوافق مع نظام المجموعة إلى خدمة النهج. |
store.policy.core.windows.net |
HTTPS:443 |
يستخدم هذا العنوان لسحب الأجزاء الاصطناعية الخاصة بـ Gatekeeper من النهج المدمج. |
dc.services.visualstudio.com |
HTTPS:443 |
الوظيفة الإضافية لـ Azure Policy التي ترسل بيانات القياس عن بُعد إلى نقطة نهاية رؤى التطبيقات. |
Microsoft Azure المشغل بواسطة 21Vianet المطلوبة FQDN / قواعد التطبيق
FQDN | المنفذ | استخدام |
---|---|---|
data.policy.azure.cn |
HTTPS:443 |
يستخدم هذا العنوان لسحب نهج Kubernetes والإبلاغ عن حالة التوافق مع نظام المجموعة إلى خدمة النهج. |
store.policy.azure.cn |
HTTPS:443 |
يستخدم هذا العنوان لسحب الأجزاء الاصطناعية الخاصة بـ Gatekeeper من النهج المدمج. |
قواعد التطبيق / FQDN المطلوبة والخاصة بـ Azure US Government
FQDN | المنفذ | استخدام |
---|---|---|
data.policy.azure.us |
HTTPS:443 |
يستخدم هذا العنوان لسحب نهج Kubernetes والإبلاغ عن حالة التوافق مع نظام المجموعة إلى خدمة النهج. |
store.policy.azure.us |
HTTPS:443 |
يستخدم هذا العنوان لسحب الأجزاء الاصطناعية الخاصة بـ Gatekeeper من النهج المدمج. |
الوظيفة الإضافية لتحليل تكلفة AKS
قواعد التطبيق / FQDN المطلوبة
FQDN | المنفذ | استخدام |
---|---|---|
management.azure.com management.usgovcloudapi.net (Azure Government) management.chinacloudapi.cn (يتم تشغيل Azure بواسطة 21Vianet) |
HTTPS:443 |
مطلوب لعمليات Kubernetes مقابل API Azure. |
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (يتم تشغيل Azure بواسطة 21Vianet) |
HTTPS:443 |
مطلوب لمصادقة معرف Microsoft Entra. |
ملحقات المجموعات
قواعد التطبيق / FQDN المطلوبة
FQDN | ميناء | استخدام |
---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
يستخدم هذا العنوان لجلب معلومات التكوين من خدمة Cluster Extensions وحالة ملحق التقرير إلى الخدمة. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
مطلوب هذا العنوان لسحب صور الحاوية لتثبيت عوامل ملحق نظام المجموعة على نظام المجموعة AKS. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
هذا العنوان مطلوب لسحب صور الحاوية لتثبيت ملحقات السوق على نظام مجموعة AKS. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
هذا العنوان مخصص لنقطة نهاية البيانات الإقليمية في وسط الهند وهو مطلوب لسحب صور الحاوية لتثبيت ملحقات السوق على نظام مجموعة AKS. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
هذا العنوان مخصص لنقطة نهاية البيانات الإقليمية لشرق اليابان وهو مطلوب لسحب صور الحاوية لتثبيت ملحقات السوق على نظام مجموعة AKS. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
هذا العنوان مخصص لنقطة نهاية البيانات الإقليمية غرب الولايات المتحدة 2 وهو مطلوب لسحب صور الحاوية لتثبيت ملحقات السوق على نظام مجموعة AKS. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
هذا العنوان مخصص لنقطة نهاية البيانات الإقليمية لغرب أوروبا وهو مطلوب لسحب صور الحاوية لتثبيت ملحقات السوق على نظام مجموعة AKS. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
هذا العنوان مخصص لنقطة نهاية البيانات الإقليمية لشرق الولايات المتحدة وهو مطلوب لسحب صور الحاوية لتثبيت ملحقات السوق على نظام مجموعة AKS. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
يستخدم هذا العنوان لإرسال بيانات مقاييس العوامل إلى Azure. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
يستخدم هذا العنوان لإرسال استخدام مخصص قائم على العداد إلى واجهة برمجة تطبيقات قياس التجارة. |
قواعد التطبيق / FQDN المطلوبة والخاصة بـ Azure US Government
FQDN | المنفذ | استخدام |
---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
يستخدم هذا العنوان لجلب معلومات التكوين من خدمة Cluster Extensions وحالة ملحق التقرير إلى الخدمة. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
مطلوب هذا العنوان لسحب صور الحاوية لتثبيت عوامل ملحق نظام المجموعة على نظام المجموعة AKS. |
إشعار
بالنسبة لأي إضافات لم يتم ذكرها صراحة هنا، تغطي المتطلبات الأساسية ذلك.
الخطوات التالية
في هذه المقالة، تعرف على المنافذ والعناوين التي تمكنك إذا كنت تريد تقييد حركة مرور الخروج عن نظام المجموعة.
إذا كنت تريد تقييد كيفية تواصل القرون بينها وبين East-West قيود حركة المرور داخل نظام المجموعة، راجع حركة المرور الآمنة بين pods باستخدام سياسات الشبكة في AKS.
Azure Kubernetes Service