Ausgehende Netzwerk- und FQDN-Regeln für Azure Kubernetes Service-Cluster (AKS)
In diesem Artikel werden die erforderlichen Details zum Schutz des ausgehenden Datenverkehrs von Azure Kubernetes Service (AKS) behandelt. Er enthält die Clusteranforderungen für eine grundlegende AKS-Bereitstellung sowie zusätzliche Anforderungen für optionale Add-Ons und Features. Diese Informationen sind auf jede Einschränkungsmethode oder Appliance für ausgehenden Datenverkehr anwendbar.
Eine Beispielkonfiguration mit Azure Firewall finden Sie unter Steuern des ausgehenden Datenverkehrs mithilfe von Azure Firewall in AKS.
Hintergrund
AKS-Cluster werden in einem virtuellen Netzwerk bereitgestellt. Dieses Netzwerk kann von Ihnen angepasst und vorkonfiguriert oder von AKS erstellt und verwaltet werden. In beiden Fällen weist der Cluster ausgehende Abhängigkeiten von Diensten außerhalb des virtuellen Netzwerks auf.
Zu Verwaltungs- und Betriebszwecken müssen Knoten in einem AKS-Cluster auf bestimmte Ports und vollqualifizierte Domänennamen (FQDNs) zugreifen. Diese Endpunkte sind erforderlich, damit die Knoten mit dem API-Server kommunizieren oder Kernkomponenten des Kubernetes-Clusters sowie Sicherheitsupdates für Knoten heruntergeladen und installiert werden können. So müssen von dem Cluster beispielsweise Containerimages des Basissystems aus der Microsoft-Containerregistrierung (MCR) abgerufen werden.
Die AKS-Abhängigkeiten für ausgehenden Datenverkehr werden fast ausschließlich mit FQDNs definiert, hinter denen sich keine statischen Adressen befinden. Das Fehlen statischer Adressen bedeutet, dass Sie keine Netzwerksicherheitsgruppen (NSGs) verwenden können, um den ausgehenden Datenverkehr eines AKS-Clusters zu sperren.
Standardmäßig haben AKS-Cluster uneingeschränkten ausgehenden Internetzugriff. Diese Ebene des Netzwerkzugriffs ermöglicht, dass ausgeführte Knoten und Dienste nach Bedarf auf externe Ressourcen zugreifen können. Wenn Sie den ausgehenden Datenverkehr einschränken möchten, muss eine begrenzte Anzahl von Ports und Adressen zugänglich sein, um fehlerfreie Clusterwartungsaufgaben verwalten zu können. Die einfachste Lösung zum Schützen ausgehender Adressen besteht in der Verwendung eines Firewallgeräts, das den ausgehenden Datenverkehr auf der Grundlage von Domänennamen kontrolliert. Azure Firewall kann ausgehenden HTTP- und HTTPS-Datenverkehr basierend auf den FQDN des Ziels beschränken. Darüber hinaus können Sie Ihre bevorzugten Firewall- und Sicherheitsregeln konfigurieren, um diese erforderlichen Ports und Adressen zuzulassen.
Wichtig
In diesem Dokument wird lediglich erläutert, wie der ausgehende Datenverkehr aus dem AKS-Subnetz gesperrt wird. Für AKS gelten standardmäßig keine Anforderungen für eingehenden Datenverkehr. Das Blockieren von internem Datenverkehr im Subnetz mithilfe von Netzwerksicherheitsgruppen (NSGs) und Firewalls wird nicht unterstützt. Informationen zum Steuern und Blockieren des Datenverkehrs innerhalb des Clusters finden Sie unter Sicherer Datenverkehr zwischen Pods und Netzwerkrichtlinien in in AKS.
Erforderliche Netzwerkregeln für ausgehenden Datenverkehr und FQDNs für AKS-Cluster
Die folgenden Netzwerk- und FQDN-/Anwendungsregeln sind für einen AKS-Cluster erforderlich. Sie können diese verwenden, wenn Sie eine andere Lösung als Azure Firewall konfigurieren möchten.
- IP-Adressabhängigkeiten gelten für Nicht-HTTP/S-Datenverkehr (TCP- und UDP-Datenverkehr).
- FQDN-HTTP/HTTPS-Endpunkte können in Ihrem Firewallgerät bereitgestellt werden.
- HTTP/HTTPS-Platzhalterendpunkte sind Abhängigkeiten, die sich je nach AKS-Cluster unterscheiden können (basierend auf einer Reihe von Qualifizierern).
- AKS verwendet einen Zugangscontroller, um den FQDN als Umgebungsvariable in alle Bereitstellungen unter kube-system und gatekeeper-system zu injizieren. Dadurch wird sichergestellt, dass die gesamte Systemkommunikation zwischen Knoten und API-Server den FQDN des API-Servers und nicht die IP des API-Servers verwendet. Sie können dasselbe Verhalten bei Ihren eigenen Pods in jedem beliebigen Namespace erreichen, indem Sie die Podspezifikation mit einer Anmerkung namens
kubernetes.azure.com/set-kube-service-host-fqdnkommentieren. Wenn diese Anmerkung vorhanden ist, legt AKS die Variable KUBERNETES_SERVICE_HOST auf den Domänennamen des API-Servers fest, nicht auf die clusterinterne Dienst-IP. Dies ist in Fällen hilfreich, in denen der ausgehende Datenverkehr aus dem Cluster über eine Layer-7-Firewall gesendet wird. - Wenn Sie über eine App oder Lösung verfügen, die mit dem API-Server kommunizieren muss, müssen Sie entweder eine zusätzliche Netzwerkregel hinzufügen, um die TCP-Kommunikation mit Port 443 der IP-Adresse Ihres API-Servers zulassen, ODER Sie müssen
kubernetes.azure.com/set-kube-service-host-fqdnin Ihren Podspezifikationen festlegen, wenn Sie über eine Layer-7-Firewall verfügen, die so konfiguriert ist, dass Datenverkehr zum Domänennamen des API-Servers zugelassen ist. - In seltenen Fällen kann sich die IP-Adresse Ihres API-Servers aufgrund eines Wartungsvorgang ändern. Geplante Wartungsvorgänge, bei denen sich die IP-Adresse des API-Servers ändern kann, werden immer vorab kommuniziert.
- Unter bestimmten Umständen kann es vorkommen, dass Datenverkehr zu „md-*.blob.storage.azure.net“ erforderlich ist. Diese Abhängigkeit besteht aufgrund einiger interner Mechanismen von Azure Managed Disks. Sie sollten auch die Verwendung des Diensttags für Speicher in Betracht ziehen.
- Möglicherweise bemerken Sie Datenverkehr zum Endpunkt „umsa*.blob.core.windows.net“. Dieser Endpunkt wird verwendet, um Manifeste für Azure Linux VM Agent & Extensions zu speichern, und wird regelmäßig überprüft, um neue Versionen herunterzuladen.
Für Azure Global benötigte Netzwerkregeln
| Zielendpunkt | Protokoll | Port | Zweck |
|---|---|---|---|
*:1194 Oder ServiceTag - AzureCloud.<Region>:1194 Oder Regionale CIDRs - RegionCIDRs:1194 Oder APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1.194 | Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene Dies ist nicht für private Cluster oder für Cluster mit aktivierter konnectivity-agent-Option erforderlich. |
*:9000 Oder ServiceTag - AzureCloud.<Region>:9000 Oder Regionale CIDRs - RegionCIDRs:9000 Oder APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene Dies ist nicht für private Cluster oder für Cluster mit aktivierter konnectivity-agent-Option erforderlich. |
*:123 oder ntp.ubuntu.com:123 (bei Verwendung von Azure Firewall-Netzwerkregeln) |
UDP | 123 | Erforderlich für die NTP-Zeitsynchronisierung (Network Time Protocol) auf Linux-Knoten Dies ist für Knoten, die nach März 2021 bereitgestellt wurden, nicht erforderlich. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Bei Verwendung benutzerdefinierter DNS-Server müssen die Clusterknoten auf diese Server zugreifen können. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Erforderlich bei Verwendung von Pods/Bereitstellungen, die auf den API-Server zugreifen. Von diesen Pods/Bereitstellungen wird die API-IP-Adresse verwendet. Dieser Port ist für private Cluster nicht erforderlich. |
Für Azure Global benötigte FQDNs/Anwendungsregeln
| Ziel-FQDN | Port | Zweck |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Erforderlich für die Kommunikation mit dem Knoten <-> API-Server. Ersetzen Sie <location> durch die Region, in der Ihr AKS-Cluster bereitgestellt wurde. Dies ist für Cluster mit aktiviertem konnectivity-agent erforderlich. Konnectivity verwendet auch ALPN (Application-Layer Protocol Negotiation) für sie Kommunikation zwischen Agent und Server. Das Blockieren oder erneute Schreiben der ALPN-Erweiterung führt zu einem Fehler. Dies ist für private Cluster nicht erforderlich. |
mcr.microsoft.com |
HTTPS:443 |
Erforderlich für den Zugriff auf Images in Microsoft Container Registry (MCR). Diese Registrierung enthält Images/Diagramme von Erstanbietern (beispielsweise coreDNS usw.). Diese Images sind für die korrekte Erstellung und Funktionsweise des Clusters erforderlich (unter anderem für Skalierungs- und Upgradevorgänge). |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Erforderlich für den auf Azure Content Delivery Network (CDN) basierenden MCR-Speicher. |
management.azure.com |
HTTPS:443 |
Erforderlich für Kubernetes-Vorgänge für die Azure-API. |
login.microsoftonline.com |
HTTPS:443 |
Erforderlich für die Microsoft Entra-Authentifizierung. |
packages.microsoft.com |
HTTPS:443 |
Diese Adresse ist das Microsoft-Paketrepository, das für zwischengespeicherte apt-get-Vorgänge verwendet wird. Beispielpakete sind Moby, PowerShell und Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Hierbei handelt es sich um die Adresse für das Repository, das zum Herunterladen und Installieren erforderlicher Binärdateien wie kubenet und Azure CNI benötigt wird. |
Erforderliche Netzwerkregeln für Microsoft Azure, betrieben von 21Vianet
| Zielendpunkt | Protokoll | Port | Zweck |
|---|---|---|---|
*:1194 Oder ServiceTag - AzureCloud.Region:1194 Oder Regionale CIDRs - RegionCIDRs:1194 Oder APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1.194 | Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene |
*:9000 Oder ServiceTag - AzureCloud.<Region>:9000 Oder Regionale CIDRs - RegionCIDRs:9000 Oder APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene |
*:22 Oder ServiceTag - AzureCloud.<Region>:22 Oder Regionale CIDRs - RegionCIDRs:22 Oder APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene |
*:123 oder ntp.ubuntu.com:123 (bei Verwendung von Azure Firewall-Netzwerkregeln) |
UDP | 123 | Erforderlich für die NTP-Zeitsynchronisierung (Network Time Protocol) auf Linux-Knoten |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Bei Verwendung benutzerdefinierter DNS-Server müssen die Clusterknoten auf diese Server zugreifen können. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Erforderlich bei Verwendung von Pods/Bereitstellungen, die auf den API-Server zugreifen. Von diesen Pods/Bereitstellungen wird die API-IP-Adresse verwendet. |
Erforderliche FQDN-/Anwendungsregeln für Microsoft Azure, betrieben von 21Vianet
| Ziel-FQDN | Port | Zweck |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Erforderlich für die Kommunikation mit dem Knoten <-> API-Server. Ersetzen Sie <location> durch die Region, in der Ihr AKS-Cluster bereitgestellt wurde. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Erforderlich für die Kommunikation mit dem Knoten <-> API-Server. Ersetzen Sie <location> durch die Region, in der Ihr AKS-Cluster bereitgestellt wurde. |
mcr.microsoft.com |
HTTPS:443 |
Erforderlich für den Zugriff auf Images in Microsoft Container Registry (MCR). Diese Registrierung enthält Images/Diagramme von Erstanbietern (beispielsweise coreDNS usw.). Diese Images sind für die korrekte Erstellung und Funktionsweise des Clusters erforderlich (unter anderem für Skalierungs- und Upgradevorgänge). |
.data.mcr.microsoft.com |
HTTPS:443 |
Erforderlich für den auf Azure Content Delivery Network (CDN) basierenden MCR-Speicher. |
management.chinacloudapi.cn |
HTTPS:443 |
Erforderlich für Kubernetes-Vorgänge für die Azure-API. |
login.chinacloudapi.cn |
HTTPS:443 |
Erforderlich für die Microsoft Entra-Authentifizierung. |
packages.microsoft.com |
HTTPS:443 |
Diese Adresse ist das Microsoft-Paketrepository, das für zwischengespeicherte apt-get-Vorgänge verwendet wird. Beispielpakete sind Moby, PowerShell und Azure CLI. |
*.azk8s.cn |
HTTPS:443 |
Hierbei handelt es sich um die Adresse für das Repository, das zum Herunterladen und Installieren erforderlicher Binärdateien wie kubenet und Azure CNI benötigt wird. |
Für Azure US Government benötigte Netzwerkregeln
| Zielendpunkt | Protokoll | Port | Zweck |
|---|---|---|---|
*:1194 Oder ServiceTag - AzureCloud.<Region>:1194 Oder Regionale CIDRs - RegionCIDRs:1194 Oder APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1.194 | Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene |
*:9000 Oder ServiceTag - AzureCloud.<Region>:9000 Oder Regionale CIDRs - RegionCIDRs:9000 Oder APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene |
*:123 oder ntp.ubuntu.com:123 (bei Verwendung von Azure Firewall-Netzwerkregeln) |
UDP | 123 | Erforderlich für die NTP-Zeitsynchronisierung (Network Time Protocol) auf Linux-Knoten |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Bei Verwendung benutzerdefinierter DNS-Server müssen die Clusterknoten auf diese Server zugreifen können. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Erforderlich bei Verwendung von Pods/Bereitstellungen, die auf den API-Server zugreifen. Von diesen Pods/Bereitstellungen wird die API-IP-Adresse verwendet. |
Für Azure US Government benötigte FQDNs/Anwendungsregeln
| Ziel-FQDN | Port | Zweck |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Erforderlich für die Kommunikation mit dem Knoten <-> API-Server. Ersetzen Sie <location> durch die Region, in der Ihr AKS-Cluster bereitgestellt wurde. |
mcr.microsoft.com |
HTTPS:443 |
Erforderlich für den Zugriff auf Images in Microsoft Container Registry (MCR). Diese Registrierung enthält Images/Diagramme von Erstanbietern (beispielsweise coreDNS usw.). Diese Images sind für die korrekte Erstellung und Funktionsweise des Clusters erforderlich (unter anderem für Skalierungs- und Upgradevorgänge). |
*.data.mcr.microsoft.com |
HTTPS:443 |
Erforderlich für den auf Azure Content Delivery Network (CDN) basierenden MCR-Speicher. |
management.usgovcloudapi.net |
HTTPS:443 |
Erforderlich für Kubernetes-Vorgänge für die Azure-API. |
login.microsoftonline.us |
HTTPS:443 |
Erforderlich für die Microsoft Entra-Authentifizierung. |
packages.microsoft.com |
HTTPS:443 |
Diese Adresse ist das Microsoft-Paketrepository, das für zwischengespeicherte apt-get-Vorgänge verwendet wird. Beispielpakete sind Moby, PowerShell und Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Diese Adresse ist für das Repository, das zum Installieren erforderlicher Binärdateien wie kubenet und Azure CNI benötigt wird. |
Optional empfohlene FQDNs/Anwendungsregeln für AKS-Cluster
Die folgenden vollqualifizierten Domänennamen und Anwendungsregeln sind nicht erforderlich, werden jedoch für AKS-Cluster empfohlen:
| Ziel-FQDN | Port | Zweck |
|---|---|---|
security.ubuntu.com, azure.archive.ubuntu.com, changelogs.ubuntu.com |
HTTP:80 |
Über diese Adresse können die Linux-Clusterknoten die erforderlichen Sicherheitspatches und Updates herunterladen. |
snapshot.ubuntu.com |
HTTPS:443 |
Mit dieser Adresse können die Linux-Clusterknoten die erforderlichen Sicherheitspatches und Updates aus dem Ubuntu-Snapshot-Dienst herunterladen. |
Wenn Sie diese FQDNs blockieren/nicht zulassen, erhalten die Knoten nur Betriebssystemupdates, wenn Sie ein Upgrade für Knotenimages oder ein Clusterupgrade durchführen. Beachten Sie, dass Upgrades für Knotenimages auch aktualisierte Pakete enthalten, einschließlich Sicherheitskorrekturen.
GPU-fähige AKS-Cluster, die FQDN-/Anwendungsregeln erforderten
| Ziel-FQDN | Port | Zweck |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Diese Adresse wird für die ordnungsgemäße Treiberinstallation und -ausführung für GPU-basierte Knoten verwendet. |
us.download.nvidia.com |
HTTPS:443 |
Diese Adresse wird für die ordnungsgemäße Treiberinstallation und -ausführung für GPU-basierte Knoten verwendet. |
download.docker.com |
HTTPS:443 |
Diese Adresse wird für die ordnungsgemäße Treiberinstallation und -ausführung für GPU-basierte Knoten verwendet. |
Windows Server-basierte Knotenpools erforderten FQDN-/Anwendungsregeln
| Ziel-FQDN | Port | Zweck |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Zum Installieren Windows-bezogener Binärdateien |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Zum Installieren Windows-bezogener Binärdateien |
Wenn Sie diese FQDNs blockieren/nicht zulassen, erhalten die Knoten nur Betriebssystemupdates, wenn Sie ein Upgrade für Knotenimages oder ein Clusterupgrade durchführen. Beachten Sie, dass Upgrades für Knotenimages auch aktualisierte Pakete enthalten, einschließlich Sicherheitskorrekturen.
AKS-Add-Ons und -Integrationen
Microsoft Defender für Container
Benötigte FQDNs/Anwendungsregeln
| FQDN | Port | Zweck |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure, betrieben von 21Vianet) |
HTTPS:443 |
Erforderlich für die Active Directory-Authentifizierung |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government) *.ods.opinsights.azure.cn (Azure, betrieben von 21Vianet) |
HTTPS:443 |
Erforderlich, damit Microsoft Defender sicherheitsrelevante Ereignisse in die Cloud hochlädt |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government) *.oms.opinsights.azure.cn (Azure, betrieben von 21Vianet) |
HTTPS:443 |
Erforderlich für die Authentifizierung mit LogAnalytics-Arbeitsbereichen |
CSI-Geheimnisspeicher
Benötigte FQDNs/Anwendungsregeln
| FQDN | Port | Zweck |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Erforderlich für Add-On-Pods des CSI-Geheimnisspeichers, um mit dem Azure KeyVault-Server zu kommunizieren. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Erforderlich für Add-On-Pods des CSI-Geheimnisspeichers, um mit dem Azure KeyVault-Server in Azure Government zu kommunizieren. |
Azure Monitor für Container
Es gibt zwei Optionen, um den Zugriff auf Azure Monitor für Container bereitzustellen:
- Lassen Sie das Azure Monitor ServiceTag zu.
- Gewähren Sie Zugriff auf die erforderlichen FQDN-/Anwendungsregeln.
Benötigte Netzwerkregeln
| Zielendpunkt | Protokoll | Port | Zweck |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Dieser Endpunkt dient zum Senden von Metrikdaten und Protokollen an Azure Monitor und Log Analytics. |
Benötigte FQDNs/Anwendungsregeln
| FQDN | Port | Zweck |
|---|---|---|
dc.services.visualstudio.com |
HTTPS:443 |
Dieser Endpunkt wird von Azure Monitor für Container-Agent-Telemetriedaten verwendet. |
*.ods.opinsights.azure.com |
HTTPS:443 |
Dieser Endpunkt wird von Azure Monitor zur Erfassung von Log Analytics-Daten verwendet. |
*.oms.opinsights.azure.com |
HTTPS:443 |
Dieser Endpunkt wird von „omsagent“ verwendet. „omsagent“ dient zur Authentifizierung des Log Analytics-Diensts. |
*.monitoring.azure.com |
HTTPS:443 |
Dieser Endpunkt wird zum Senden von Metrikdaten an Azure Monitor verwendet. |
<cluster-region-name>.ingest.monitor.azure.com |
HTTPS:443 |
Dieser Endpunkt wird vom verwalteten Azure Monitor-Dienst für Prometheus (Metrikerfassung) verwendet. |
<cluster-region-name>.handler.control.monitor.azure.com |
HTTPS:443 |
Dieser Endpunkt wird verwendet, um Datensammlungsregeln für einen bestimmten Cluster abzurufen. |
Erforderliche FQDN-/Anwendungsregeln für Microsoft Azure, betrieben von 21Vianet
| FQDN | Port | Zweck |
|---|---|---|
dc.services.visualstudio.cn |
HTTPS:443 |
Dieser Endpunkt wird von Azure Monitor für Container-Agent-Telemetriedaten verwendet. |
*.ods.opinsights.azure.cn |
HTTPS:443 |
Dieser Endpunkt wird von Azure Monitor zur Erfassung von Log Analytics-Daten verwendet. |
*.oms.opinsights.azure.cn |
HTTPS:443 |
Dieser Endpunkt wird von „omsagent“ verwendet. „omsagent“ dient zur Authentifizierung des Log Analytics-Diensts. |
global.handler.control.monitor.azure.cn |
HTTPS:443 |
Dieser Endpunkt wird von Azure Monitor für den Zugriff auf den Kontrolldienst verwendet. |
<cluster-region-name>.handler.control.monitor.azure.cn |
HTTPS:443 |
Dieser Endpunkt wird verwendet, um Datensammlungsregeln für einen bestimmten Cluster abzurufen. |
Für Azure US Government benötigte FQDNs/Anwendungsregeln
| FQDN | Port | Zweck |
|---|---|---|
dc.services.visualstudio.us |
HTTPS:443 |
Dieser Endpunkt wird von Azure Monitor für Container-Agent-Telemetriedaten verwendet. |
*.ods.opinsights.azure.us |
HTTPS:443 |
Dieser Endpunkt wird von Azure Monitor zur Erfassung von Log Analytics-Daten verwendet. |
*.oms.opinsights.azure.us |
HTTPS:443 |
Dieser Endpunkt wird von „omsagent“ verwendet. „omsagent“ dient zur Authentifizierung des Log Analytics-Diensts. |
global.handler.control.monitor.azure.us |
HTTPS:443 |
Dieser Endpunkt wird von Azure Monitor für den Zugriff auf den Kontrolldienst verwendet. |
<cluster-region-name>.handler.control.monitor.azure.us |
HTTPS:443 |
Dieser Endpunkt wird verwendet, um Datensammlungsregeln für einen bestimmten Cluster abzurufen. |
Azure Policy
Benötigte FQDNs/Anwendungsregeln
| FQDN | Port | Zweck |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Diese Adresse wird verwendet, um die Kubernetes-Richtlinien abzurufen und den Konformitätsstatus des Clusters an den Richtliniendienst zu melden. |
store.policy.core.windows.net |
HTTPS:443 |
Diese Adresse wird zum Abrufen der Gatekeeper-Artefakte integrierter Richtlinien verwendet. |
dc.services.visualstudio.com |
HTTPS:443 |
Das Azure Policy-Add-On, das Telemetriedaten an den Application Insights-Endpunkt sendet. |
Erforderliche FQDN-/Anwendungsregeln für Microsoft Azure, betrieben von 21Vianet
| FQDN | Port | Zweck |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Diese Adresse wird verwendet, um die Kubernetes-Richtlinien abzurufen und den Konformitätsstatus des Clusters an den Richtliniendienst zu melden. |
store.policy.azure.cn |
HTTPS:443 |
Diese Adresse wird zum Abrufen der Gatekeeper-Artefakte integrierter Richtlinien verwendet. |
Für Azure US Government benötigte FQDNs/Anwendungsregeln
| FQDN | Port | Zweck |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Diese Adresse wird verwendet, um die Kubernetes-Richtlinien abzurufen und den Konformitätsstatus des Clusters an den Richtliniendienst zu melden. |
store.policy.azure.us |
HTTPS:443 |
Diese Adresse wird zum Abrufen der Gatekeeper-Artefakte integrierter Richtlinien verwendet. |
Add-On für die AKS-Kostenanalyse
Benötigte FQDNs/Anwendungsregeln
| FQDN | Port | Zweck |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Azure Government) management.chinacloudapi.cn (Azure, betrieben von 21Vianet) |
HTTPS:443 |
Erforderlich für Kubernetes-Vorgänge für die Azure-API. |
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure, betrieben von 21Vianet) |
HTTPS:443 |
Erforderlich für die Authentifizierung von Microsoft Entra ID |
Clustererweiterungen
Benötigte FQDNs/Anwendungsregeln
| FQDN | Port | Verwendung |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Diese Adresse wird verwendet, um Konfigurationsinformationen aus dem Clustererweiterungsdienst abzurufen und den Erweiterungsstatus an den Dienst zu melden. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Diese Adresse ist erforderlich, um Containerimages für die Installation von Clustererweiterungs-Agents aus dem AKS-Cluster zu pullen. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Diese Adresse ist erforderlich, um Containerimages für die Installation von Marketplace-Erweiterungen aus dem AKS-Cluster zu pullen. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Diese Adresse ist für den regionalen Datenendpunkt in Zentralindien und wird benötigt, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster zu beziehen. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Diese Adresse ist für den regionalen Datenendpunkt Ostjapan und wird benötigt, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster zu beziehen. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Diese Adresse gilt für den regionalen US2-Datenendpunkt „Westen“ und ist erforderlich, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster abzurufen. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Diese Adresse gilt für den regionalen Endpunkt für westeuropäische Daten und ist erforderlich, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster abzurufen. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Diese Adresse gilt für den regionalen Ost-US-Datenendpunkt und ist erforderlich, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster abzurufen. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Diese Adresse wird verwendet, um Agent-Metrikdaten an Azure zu senden. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Diese Adresse wird verwendet, um eine benutzerdefinierte meterbasierte Nutzung an die E-Commerce-Verbrauchs-API zu senden. |
Für Azure US Government benötigte FQDNs/Anwendungsregeln
| FQDN | Port | Zweck |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Diese Adresse wird verwendet, um Konfigurationsinformationen aus dem Clustererweiterungsdienst abzurufen und den Erweiterungsstatus an den Dienst zu melden. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Diese Adresse ist erforderlich, um Containerimages für die Installation von Clustererweiterungs-Agents aus dem AKS-Cluster zu pullen. |
Hinweis
Für alle Add-Ons, die hier nicht explizit angegeben sind, decken die Kernanforderungen dies ab.
Nächste Schritte
In diesem Artikel haben Sie gelernt, welche Ports und Adressen zugelassen werden müssen, wenn Sie den ausgehenden Datenverkehr für den Cluster einschränken möchten.
Informationen zur Einschränkung der Kommunikation zwischen Pods sowie zu Ost-West-Datenverkehrseinschränkungen innerhalb des Clusters finden Sie unter Sicherer Datenverkehr zwischen Pods durch Netzwerkrichtlinien in Azure Kubernetes Service (AKS).
Arbeiten Sie mit uns auf GitHub zusammen
Die Quelle für diesen Inhalt finden Sie auf GitHub, wo Sie auch Issues und Pull Requests erstellen und überprüfen können. Weitere Informationen finden Sie in unserem Leitfaden für Mitwirkende.
Azure Kubernetes Service