Netzwerkanforderungen von Kubernetes mit Azure Arc-Unterstützung
In diesem Thema werden die Netzwerkanforderungen für die Verbindung eines Kubernetes-Clusters mit Azure Arc und die Unterstützung verschiedener Arc-fähigen Kubernetes-Szenarien beschrieben.
Details
Die Konnektivitätsanforderungen umfassen im Allgemeinen die folgenden Prinzipien:
- Alle Verbindungen sind TCP, sofern nicht anders angegeben.
- Alle HTTP-Verbindungen verwenden HTTPS und SSL/TLS mit offiziell signierten und überprüfbaren Zertifikaten.
- Sofern nicht anders angegeben, sind alle Verbindungen ausgehend.
Um einen Proxy zu verwenden, stellen Sie sicher, dass die Agenten und der Rechner, der den Onboarding-Prozess durchführt, die Netzwerkanforderungen in diesem Artikel erfüllen.
Wichtig
Azure Arc-Agents müssen über die folgenden ausgehenden URLs unter https://:443
verfügen, um zu funktionieren:
Für *.servicebus.windows.net
müssen Websockets für den ausgehenden Zugriff auf die Firewall und den Proxy aktiviert werden.
Endpunkt (DNS) | BESCHREIBUNG |
---|---|
https://management.azure.com |
Erforderlich, damit der Agent eine Verbindung mit Azure herstellen und den Cluster registrieren kann. |
https://<region>.dp.kubernetesconfiguration.azure.com |
Endpunkt auf Datenebene, über den der Agent Statusinformationen mithilfe von Push übermitteln und Konfigurationsinformationen abrufen kann |
https://login.microsoftonline.com https://<region>.login.microsoft.com login.windows.net |
Erforderlich zum Abrufen und Aktualisieren von Azure Resource Manager-Token. |
https://mcr.microsoft.com https://*.data.mcr.microsoft.com |
Erforderlich zum Pullen von Containerimages für Azure Arc-Agents. |
https://gbl.his.arc.azure.com |
Erforderlich, um den regionalen Endpunkt zum Abrufen von Zertifikaten systemseitig zugewiesener verwalteter Identitäten per Pull zu erhalten. |
https://*.his.arc.azure.com |
Erforderlich zum Pullen vom System zugewiesener Zertifikate für verwaltete Identitäten. |
https://k8connecthelm.azureedge.net |
az connectedk8s connect verwendet Helm 3 zum Bereitstellen von Azure Arc-Agents im Kubernetes-Cluster. Dieser Endpunkt wird für den Helm-Clientdownload benötigt, um die Bereitstellung des Helm-Charts für den Agent zu vereinfachen. |
guestnotificationservice.azure.com *.guestnotificationservice.azure.com sts.windows.net https://k8sconnectcsp.azureedge.net |
Für Szenarien, die auf Cluster Connect und benutzerdefinierten Speicherorten basieren. |
*.servicebus.windows.net |
Für Szenarien, die auf Cluster Connect und benutzerdefinierten Speicherorten basieren. |
https://graph.microsoft.com/ |
Erforderlich, wenn Azure RBAC konfiguriert ist. |
*.arc.azure.net |
Erforderlich zum Verwalten verbundener Cluster in Azure-Portal. |
https://<region>.obo.arc.azure.com:8084/ |
Erforderlich, wenn Cluster Connect konfiguriert ist. |
https://linuxgeneva-microsoft.azurecr.io |
Erforderlich, wenn Azure Arc-fähige Kubernetes-Erweiterungen verwendet werden. |
Um den Platzhalter *.servicebus.windows.net
in bestimmte Endpunkte zu übersetzen, verwenden Sie den Befehl:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
Um das Regionssegment eines regionalen Endpunkts abzurufen, entfernen Sie alle Leerzeichen aus dem Namen der Azure-Region. Beispiel: Der Regionsname für die Region USA, Osten 2 lautet eastus2
.
Beispiel: Bei der Region „USA, Osten 2“ sollte *.<region>.arcdataservices.com
*.eastus2.arcdataservices.com
sein.
Führen Sie den folgenden Befehl aus, um eine Liste aller Regionen anzuzeigen:
az account list-locations -o table
Get-AzLocation | Format-Table
Zusätzliche Endpunkte
Je nach Ihrem Szenario benötigen Sie möglicherweise eine Verbindung zu anderen URLs, z. B. zu denen, die vom Azure-Portal, von Verwaltungstools oder anderen Azure-Diensten verwendet werden. Überprüfen Sie insbesondere diese Listen, um sicherzustellen, dass Sie die Verbindung zu allen erforderlichen Endpunkten zulassen:
Eine vollständige Liste der Netzwerkanforderungen für Azure Arc-Features und Azure Arc-fähige Dienste finden Sie unter Azure Arc-Netzwerkanforderungen.
Nächste Schritte
- Grundlegendes zu Systemanforderungen für Arc-fähige Kubernetes.
- Verwenden Sie unsere Schnellstartanleitung, um Ihren Cluster zu verbinden.
- Lesen Sie häufig gestellten Fragen zu Arc-fähigen Kubernetes.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Einreichen und Feedback anzeigen für