Pravidla odchozí sítě a plně kvalifikovaného názvu domény pro clustery Azure Kubernetes Service (AKS)
Tento článek obsahuje nezbytné podrobnosti, které umožňují zabezpečit odchozí provoz ze služby Azure Kubernetes Service (AKS). Obsahuje požadavky na cluster pro základní nasazení AKS a další požadavky na volitelné doplňky a funkce. Tyto informace můžete použít na jakoukoli metodu omezení odchozích přenosů nebo zařízení.
Pokud chcete zobrazit ukázkovou konfiguraci pomocí služby Azure Firewall, přejděte na téma Řízení výchozího provozu pomocí služby Azure Firewall v AKS.
Pozadí
Clustery AKS se nasazují ve virtuální síti. Tuto síť můžete buď přizpůsobit a předem nakonfigurovat, nebo ji můžete vytvořit a spravovat pomocí AKS. V obou případech má cluster odchozí nebo odchozí závislosti na službách mimo virtuální síť.
Pro účely správy a provozu musí uzly v clusteru AKS přistupovat k určitým portům a plně kvalifikovaným názvům domén (FQDN). Tyto koncové body jsou potřeba ke komunikaci uzlů se serverem rozhraní API nebo ke stažení a instalaci základních komponent clusteru Kubernetes a aktualizací zabezpečení uzlů. Cluster například potřebuje vyžádat image základního systémového kontejneru ze služby Microsoft Container Registry (MCR).
Odchozí závislosti AKS jsou téměř zcela definovány plně kvalifikovanými názvy domén, které za sebou nemají statické adresy. Nedostatek statických adres znamená, že nemůžete použít skupiny zabezpečení sítě (NSG) k uzamčení odchozího provozu z clusteru AKS.
Clustery AKS mají ve výchozím nastavení neomezený odchozí přístup k internetu. Tato úroveň síťového přístupu umožňuje uzlům a službám, které spouštíte, přistupovat k externím prostředkům podle potřeby. Pokud chcete omezit odchozí provoz, musí být k údržbě úloh údržby clusteru přístupný omezený počet portů a adres. Nejjednodušším řešením zabezpečení odchozích adres je použití zařízení brány firewall, které může řídit odchozí provoz na základě názvů domén. Azure Firewall může omezit odchozí provoz HTTP a HTTPS na základě plně kvalifikovaného názvu domény cíle. Můžete také nakonfigurovat upřednostňovaná pravidla brány firewall a zabezpečení tak, aby povolovala tyto požadované porty a adresy.
Důležité
Tento dokument popisuje, jak uzamknout provoz, který opouští podsíť AKS. AKS nemá ve výchozím nastavení žádné požadavky na příchozí přenos dat. Blokování provozu interní podsítě pomocí skupin zabezpečení sítě (NSG) a bran firewall se nepodporuje. Pokud chcete řídit a blokovat provoz v rámci clusteru, přečtěte si téma Zabezpečení provozu mezi pody pomocí zásad sítě v AKS.
Požadovaná pravidla odchozí sítě a plně kvalifikované názvy domén pro clustery AKS
Pro cluster AKS se vyžadují následující pravidla sítě a plně kvalifikovaného názvu domény nebo aplikace. Můžete je použít, pokud chcete nakonfigurovat jiné řešení než Azure Firewall.
- Závislosti IP adres jsou určené pro provoz mimo HTTP/S (provoz TCP i UDP).
- Koncové body HTTP/HTTPS plně kvalifikovaného názvu domény se dají umístit do vašeho zařízení brány firewall.
- Koncové body HTTP/HTTPS se zástupnými čísly jsou závislosti, které se můžou v clusteru AKS lišit na základě řady kvalifikátorů.
- AKS používá kontroler přístupu k vložení plně kvalifikovaného názvu domény jako proměnné prostředí do všech nasazení v rámci kube-system a gatekeeper-system. Tím zajistíte, že veškerá systémová komunikace mezi uzly a serverem rozhraní API používá plně kvalifikovaný název domény serveru API, a ne IP adresu serveru rozhraní API. Stejné chování můžete získat u vlastních podů v libovolném oboru názvů anotací specifikace podu s názvem
kubernetes.azure.com/set-kube-service-host-fqdn. Pokud je tato poznámka k dispozici, AKS nastaví proměnnou KUBERNETES_SERVICE_HOST na název domény serveru rozhraní API místo IP adresy služby v clusteru. To je užitečné v případech, kdy výchozí přenos dat clusteru probíhá přes bránu firewall vrstvy 7. - Pokud máte aplikaci nebo řešení, které potřebuje komunikovat se serverem rozhraní API, musíte buď přidat další síťové pravidlo, které povolí komunikaci TCP na port 443 IP adresy serveru ROZHRANÍ API NEBO , pokud máte nakonfigurovanou bránu firewall vrstvy 7 tak, aby povolovala provoz do názvu domény serveru API, který je nastavený
kubernetes.azure.com/set-kube-service-host-fqdnve specifikacích podů. - Pokud dojde k operaci údržby, může se ip adresa serveru API změnit ve výjimečných případech. Operace plánované údržby, které můžou změnit IP adresu serveru rozhraní API, se vždy předávají předem.
- Za určitých okolností se může stát, že se vyžaduje provoz směrem k md-*.blob.storage.azure.net. Tato závislost je způsobená některými interními mechanismy azure Spravované disky. Můžete také chtít použít značku služby Storage.
- Můžete si všimnout provozu do koncového bodu "umsa*.blob.core.windows.net". Tento koncový bod se používá k ukládání manifestů pro agenta a rozšíření virtuálních počítačů Azure s Linuxem a pravidelně se kontroluje stahování nových verzí.
Globální pravidla sítě Azure
| Cílový koncový bod | Protokol | Port | Používání |
|---|---|---|---|
*:1194 Nebo ServiceTag - AzureCloud.<Region>:1194 Nebo Regionální identifikátory CIDR - RegionCIDRs:1194 Nebo APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Pro tunelovanou zabezpečenou komunikaci mezi uzly a řídicí rovinou. To se nevyžaduje pro privátní clustery ani pro clustery s povoleným agentem konnectivity. |
*:9000 Nebo ServiceTag - AzureCloud.<Region>:9000 Nebo Regionální identifikátory CIDR - RegionCIDRs:9000 Nebo APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Pro tunelovanou zabezpečenou komunikaci mezi uzly a řídicí rovinou. To se nevyžaduje pro privátní clustery ani pro clustery s povoleným agentem konnectivity. |
*:123 nebo ntp.ubuntu.com:123 (pokud používáte síťová pravidla služby Azure Firewall) |
UDP | 123 | Vyžaduje se synchronizace času protokolu NTP (Network Time Protocol) na linuxových uzlech. To se nevyžaduje pro uzly zřízené po březnu 2021. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Pokud používáte vlastní servery DNS, musíte zajistit, aby byly přístupné uzly clusteru. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Vyžaduje se, pokud spouštíte pody nebo nasazení, které přistupují k serveru API, tyto pody/nasazení budou používat IP adresu rozhraní API. Tento port není nutný pro privátní clustery. |
Globální požadovaný plně kvalifikovaný název domény Azure / pravidla aplikací
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Vyžaduje se pro komunikaci uzlu <–> server API. > Umístění nahraďte <oblastí, ve které je nasazený cluster AKS. To se vyžaduje pro clustery s povoleným agentem konnectivity. Konnectivity také ke komunikaci mezi agentem a serverem používá protokol ALPN (Application-Layer Protocol Negotiation). Blokování nebo přepsání rozšíření ALPN způsobí selhání. To se nevyžaduje pro privátní clustery. |
mcr.microsoft.com |
HTTPS:443 |
Vyžaduje se pro přístup k imagím ve službě Microsoft Container Registry (MCR). Tento registr obsahuje obrázky a grafy první strany (například coreDNS atd.). Tyto image se vyžadují pro správné vytvoření a fungování clusteru, včetně operací škálování a upgradu. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Vyžaduje se pro úložiště MCR zálohované sítí pro doručování obsahu Azure (CDN). |
management.azure.com |
HTTPS:443 |
Vyžaduje se pro operace Kubernetes s rozhraním Azure API. |
login.microsoftonline.com |
HTTPS:443 |
Vyžaduje se pro ověřování Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Tato adresa je úložiště balíčků Microsoftu používané pro operace apt-get uložené v mezipaměti. Mezi příklady balíčků patří Moby, PowerShell a Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Tato adresa je určená pro úložiště potřebné ke stažení a instalaci požadovaných binárních souborů, jako je kubenet a Azure CNI. |
Microsoft Azure provozovaný společností 21Vianet – požadovaná síťová pravidla
| Cílový koncový bod | Protokol | Port | Používání |
|---|---|---|---|
*:1194 Nebo ServiceTag - AzureCloud.Region:1194 Nebo Regionální identifikátory CIDR - RegionCIDRs:1194 Nebo APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Pro tunelovanou zabezpečenou komunikaci mezi uzly a řídicí rovinou. |
*:9000 Nebo ServiceTag - AzureCloud.<Region>:9000 Nebo Regionální identifikátory CIDR - RegionCIDRs:9000 Nebo APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Pro tunelovanou zabezpečenou komunikaci mezi uzly a řídicí rovinou. |
*:22 Nebo ServiceTag - AzureCloud.<Region>:22 Nebo Regionální identifikátory CIDR - RegionCIDRs:22 Nebo APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | Pro tunelovanou zabezpečenou komunikaci mezi uzly a řídicí rovinou. |
*:123 nebo ntp.ubuntu.com:123 (pokud používáte síťová pravidla služby Azure Firewall) |
UDP | 123 | Vyžaduje se synchronizace času protokolu NTP (Network Time Protocol) na linuxových uzlech. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Pokud používáte vlastní servery DNS, musíte zajistit, aby byly přístupné uzly clusteru. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Vyžaduje se, pokud spouštíte pody nebo nasazení, které přistupují k serveru ROZHRANÍ API, budou tyto pody nebo nasazení používat IP adresu rozhraní API. |
Microsoft Azure provozovaný společností 21Vianet – požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Vyžaduje se pro komunikaci uzlu <–> server API. > Umístění nahraďte <oblastí, ve které je nasazený cluster AKS. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Vyžaduje se pro komunikaci uzlu <–> server API. > Umístění nahraďte <oblastí, ve které je nasazený cluster AKS. |
mcr.microsoft.com |
HTTPS:443 |
Vyžaduje se pro přístup k imagím ve službě Microsoft Container Registry (MCR). Tento registr obsahuje obrázky a grafy první strany (například coreDNS atd.). Tyto image se vyžadují pro správné vytvoření a fungování clusteru, včetně operací škálování a upgradu. |
.data.mcr.microsoft.com |
HTTPS:443 |
Vyžaduje se pro úložiště MCR zálohované službou Azure Content Delivery Network (CDN). |
management.chinacloudapi.cn |
HTTPS:443 |
Vyžaduje se pro operace Kubernetes s rozhraním Azure API. |
login.chinacloudapi.cn |
HTTPS:443 |
Vyžaduje se pro ověřování Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Tato adresa je úložiště balíčků Microsoftu používané pro operace apt-get uložené v mezipaměti. Mezi příklady balíčků patří Moby, PowerShell a Azure CLI. |
*.azk8s.cn |
HTTPS:443 |
Tato adresa je určená pro úložiště potřebné ke stažení a instalaci požadovaných binárních souborů, jako je kubenet a Azure CNI. |
Požadovaná pravidla sítě pro Azure US Government
| Cílový koncový bod | Protokol | Port | Používání |
|---|---|---|---|
*:1194 Nebo ServiceTag - AzureCloud.<Region>:1194 Nebo Regionální identifikátory CIDR - RegionCIDRs:1194 Nebo APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Pro tunelovanou zabezpečenou komunikaci mezi uzly a řídicí rovinou. |
*:9000 Nebo ServiceTag - AzureCloud.<Region>:9000 Nebo Regionální identifikátory CIDR - RegionCIDRs:9000 Nebo APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Pro tunelovanou zabezpečenou komunikaci mezi uzly a řídicí rovinou. |
*:123 nebo ntp.ubuntu.com:123 (pokud používáte síťová pravidla služby Azure Firewall) |
UDP | 123 | Vyžaduje se synchronizace času protokolu NTP (Network Time Protocol) na linuxových uzlech. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Pokud používáte vlastní servery DNS, musíte zajistit, aby byly přístupné uzly clusteru. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Vyžaduje se, pokud spouštíte pody nebo nasazení, které přistupují k serveru API, tyto pody/nasazení budou používat IP adresu rozhraní API. |
Požadovaná plně kvalifikovaný název domény nebo pravidla aplikací pro Azure US Government
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Vyžaduje se pro komunikaci uzlu <–> server API. > Umístění nahraďte <oblastí, ve které je nasazený cluster AKS. |
mcr.microsoft.com |
HTTPS:443 |
Vyžaduje se pro přístup k imagím ve službě Microsoft Container Registry (MCR). Tento registr obsahuje obrázky a grafy první strany (například coreDNS atd.). Tyto image se vyžadují pro správné vytvoření a fungování clusteru, včetně operací škálování a upgradu. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Vyžaduje se pro úložiště MCR zálohované sítí pro doručování obsahu Azure (CDN). |
management.usgovcloudapi.net |
HTTPS:443 |
Vyžaduje se pro operace Kubernetes s rozhraním Azure API. |
login.microsoftonline.us |
HTTPS:443 |
Vyžaduje se pro ověřování Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Tato adresa je úložiště balíčků Microsoftu používané pro operace apt-get uložené v mezipaměti. Mezi příklady balíčků patří Moby, PowerShell a Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Tato adresa je určená pro úložiště potřebné k instalaci požadovaných binárních souborů, jako je kubenet a Azure CNI. |
Nepovinný doporučený plně kvalifikovaný název domény nebo pravidla aplikace pro clustery AKS
Následující pravidla plně kvalifikovaného názvu domény nebo aplikace se nevyžadují, ale doporučuje se pro clustery AKS:
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
security.ubuntu.com, , azure.archive.ubuntu.comchangelogs.ubuntu.com |
HTTP:80 |
Tato adresa umožňuje uzlům clusteru s Linuxem stáhnout požadované opravy zabezpečení a aktualizace. |
snapshot.ubuntu.com |
HTTPS:443 |
Tato adresa umožňuje uzlům clusteru s Linuxem stáhnout požadované opravy zabezpečení a aktualizace ze služby snímků Ubuntu. |
Pokud se rozhodnete blokovat nebo nepovolit tyto plně kvalifikované názvy domén, uzly budou přijímat aktualizace operačního systému jenom při upgradu image uzlu nebo upgradu clusteru. Mějte na paměti, že upgrady imagí uzlů mají aktualizované balíčky, včetně oprav zabezpečení.
Clustery AKS s podporou GPU vyžadují plně kvalifikovaný název domény nebo pravidla aplikací
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Tato adresa se používá pro správnou instalaci a operaci ovladače na uzlech založených na GPU. |
us.download.nvidia.com |
HTTPS:443 |
Tato adresa se používá pro správnou instalaci a operaci ovladače na uzlech založených na GPU. |
download.docker.com |
HTTPS:443 |
Tato adresa se používá pro správnou instalaci a operaci ovladače na uzlech založených na GPU. |
Fondy uzlů založené na Windows Serveru vyžadují plně kvalifikovaný název domény nebo pravidla aplikací.
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Instalace binárních souborů souvisejících s Windows |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Instalace binárních souborů souvisejících s Windows |
Pokud se rozhodnete blokovat nebo nepovolit tyto plně kvalifikované názvy domén, uzly budou přijímat aktualizace operačního systému jenom při upgradu image uzlu nebo upgradu clusteru. Mějte na paměti, že upgrady imagí uzlů mají aktualizované balíčky, včetně oprav zabezpečení.
Doplňky a integrace AKS
Microsoft Defender pro kontejnery
Požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace
| FQDN | Port | Používání |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure provozovaný společností 21Vianet) |
HTTPS:443 |
Vyžaduje se pro ověřování active directory. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government) *.ods.opinsights.azure.cn (Azure provozovaný společností 21Vianet) |
HTTPS:443 |
Vyžaduje se, aby Microsoft Defender nahrál události zabezpečení do cloudu. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government) *.oms.opinsights.azure.cn (Azure provozovaný společností 21Vianet) |
HTTPS:443 |
Vyžaduje se k ověření pomocí pracovních prostorů LogAnalytics. |
Úložiště tajných kódů CSI
Požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace
| FQDN | Port | Používání |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Vyžaduje se, aby doplňky úložiště tajných kódů CSI komunikují se serverem Azure KeyVault. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Vyžaduje se, aby doplňky úložiště tajných kódů CSI komunikují se serverem Azure KeyVault ve službě Azure Government. |
Azure Monitor pro kontejnery
Existují dvě možnosti, jak poskytnout přístup ke službě Azure Monitor pro kontejnery:
- Povolte jmenovku služby Azure Monitor.
- Zadejte přístup k požadovaným pravidlům plně kvalifikovaného názvu domény nebo aplikace.
Požadovaná pravidla sítě
| Cílový koncový bod | Protokol | Port | Používání |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Tento koncový bod se používá k odesílání dat metrik a protokolů do služby Azure Monitor a Log Analytics. |
Požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace
| FQDN | Port | Používání |
|---|---|---|
dc.services.visualstudio.com |
HTTPS:443 |
Tento koncový bod používá telemetrie agenta azure Monitoru pro kontejnery. |
*.ods.opinsights.azure.com |
HTTPS:443 |
Tento koncový bod používá Azure Monitor k ingestování dat analýzy protokolů. |
*.oms.opinsights.azure.com |
HTTPS:443 |
Tento koncový bod používá omsagent, který se používá k ověření služby Log Analytics. |
*.monitoring.azure.com |
HTTPS:443 |
Tento koncový bod se používá k odesílání dat metrik do služby Azure Monitor. |
<cluster-region-name>.ingest.monitor.azure.com |
HTTPS:443 |
Tento koncový bod používá spravovaná služba Azure Monitoru pro příjem metrik Prometheus. |
<cluster-region-name>.handler.control.monitor.azure.com |
HTTPS:443 |
Tento koncový bod slouží k načtení pravidel shromažďování dat pro konkrétní cluster. |
Microsoft Azure provozovaný společností 21Vianet – požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace
| FQDN | Port | Používání |
|---|---|---|
dc.services.visualstudio.cn |
HTTPS:443 |
Tento koncový bod používá telemetrie agenta azure Monitoru pro kontejnery. |
*.ods.opinsights.azure.cn |
HTTPS:443 |
Tento koncový bod používá Azure Monitor k ingestování dat analýzy protokolů. |
*.oms.opinsights.azure.cn |
HTTPS:443 |
Tento koncový bod používá omsagent, který se používá k ověření služby Log Analytics. |
global.handler.control.monitor.azure.cn |
HTTPS:443 |
Tento koncový bod používá Azure Monitor pro přístup k řídicí službě. |
<cluster-region-name>.handler.control.monitor.azure.cn |
HTTPS:443 |
Tento koncový bod slouží k načtení pravidel shromažďování dat pro konkrétní cluster. |
Požadovaná plně kvalifikovaný název domény nebo pravidla aplikací pro Azure US Government
| FQDN | Port | Používání |
|---|---|---|
dc.services.visualstudio.us |
HTTPS:443 |
Tento koncový bod používá telemetrie agenta azure Monitoru pro kontejnery. |
*.ods.opinsights.azure.us |
HTTPS:443 |
Tento koncový bod používá Azure Monitor k ingestování dat analýzy protokolů. |
*.oms.opinsights.azure.us |
HTTPS:443 |
Tento koncový bod používá omsagent, který se používá k ověření služby Log Analytics. |
global.handler.control.monitor.azure.us |
HTTPS:443 |
Tento koncový bod používá Azure Monitor pro přístup k řídicí službě. |
<cluster-region-name>.handler.control.monitor.azure.us |
HTTPS:443 |
Tento koncový bod slouží k načtení pravidel shromažďování dat pro konkrétní cluster. |
Azure Policy
Požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace
| FQDN | Port | Používání |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Tato adresa se používá k vyžádání zásad Kubernetes a k hlášení stavu dodržování předpisů clusteru do služby zásad. |
store.policy.core.windows.net |
HTTPS:443 |
Tato adresa se používá k načtení artefaktů Gatekeeper předdefinovaných zásad. |
dc.services.visualstudio.com |
HTTPS:443 |
Doplněk Azure Policy, který odesílá telemetrická data do koncového bodu Application Insights. |
Microsoft Azure provozovaný společností 21Vianet – požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace
| FQDN | Port | Používání |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Tato adresa se používá k vyžádání zásad Kubernetes a k hlášení stavu dodržování předpisů clusteru do služby zásad. |
store.policy.azure.cn |
HTTPS:443 |
Tato adresa se používá k načtení artefaktů Gatekeeper předdefinovaných zásad. |
Požadovaná plně kvalifikovaný název domény nebo pravidla aplikací pro Azure US Government
| FQDN | Port | Používání |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Tato adresa se používá k vyžádání zásad Kubernetes a k hlášení stavu dodržování předpisů clusteru do služby zásad. |
store.policy.azure.us |
HTTPS:443 |
Tato adresa se používá k načtení artefaktů Gatekeeper předdefinovaných zásad. |
Doplněk pro analýzu nákladů AKS
Požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace
| FQDN | Port | Používání |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Azure Government) management.chinacloudapi.cn (Azure provozovaný společností 21Vianet) |
HTTPS:443 |
Vyžaduje se pro operace Kubernetes s rozhraním Azure API. |
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure provozovaný společností 21Vianet) |
HTTPS:443 |
Vyžaduje se pro ověřování Microsoft Entra ID. |
Rozšíření clusteru
Požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace
| FQDN | Přístav | Používání |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Tato adresa slouží k načtení informací o konfiguraci ze služby Rozšíření clusteru a hlášení stavu rozšíření do služby. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Tato adresa se vyžaduje k vyžádání imagí kontejneru pro instalaci agentů rozšíření clusteru do clusteru AKS. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Tato adresa se vyžaduje k vyžádání imagí kontejneru pro instalaci rozšíření Marketplace v clusteru AKS. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Tato adresa je určená pro koncový bod dat v oblasti Indie – střed a vyžaduje se pro vyžádání imagí kontejneru pro instalaci rozšíření marketplace v clusteru AKS. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Tato adresa je určená pro koncový bod dat oblasti Východní Japonsko a vyžaduje se pro vyžádání imagí kontejneru pro instalaci rozšíření marketplace v clusteru AKS. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Tato adresa je určená pro koncový bod dat oblasti USA – západ 2 a je nutná k vyžádání imagí kontejneru pro instalaci rozšíření marketplace v clusteru AKS. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Tato adresa je určená pro koncový bod dat v oblasti Západní Evropa a vyžaduje se k vyžádání imagí kontejneru pro instalaci rozšíření marketplace v clusteru AKS. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Tato adresa je určená pro koncový bod dat oblasti USA – východ a vyžaduje se k vyžádání imagí kontejneru pro instalaci rozšíření marketplace v clusteru AKS. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Tato adresa se používá k odesílání dat metrik agentů do Azure. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Tato adresa se používá k odesílání vlastního využití založeného na měřičích do rozhraní API pro měření obchodu. |
Požadovaná plně kvalifikovaný název domény nebo pravidla aplikací pro Azure US Government
| FQDN | Port | Používání |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Tato adresa slouží k načtení informací o konfiguraci ze služby Rozšíření clusteru a hlášení stavu rozšíření do služby. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Tato adresa se vyžaduje k vyžádání imagí kontejneru pro instalaci agentů rozšíření clusteru do clusteru AKS. |
Poznámka:
Pro všechny doplňky, které zde nejsou explicitně uvedené, se vztahují základní požadavky.
Další kroky
V tomto článku jste zjistili, jaké porty a adresy chcete povolit, pokud chcete omezit odchozí provoz pro cluster.
Pokud chcete omezit, jak pody komunikují mezi sebou a omezeními provozu východ-západ v rámci clusteru, podívejte se na zabezpečený provoz mezi pody pomocí zásad sítě v AKS.
Spolupracujte s námi na GitHubu
Zdroj tohoto obsahu najdete na GitHubu, kde můžete také vytvářet a kontrolovat problémy a žádosti o přijetí změn. Další informace najdete v našem průvodci pro přispěvatele.
Azure Kubernetes Service