Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan los detalles necesarios que permiten proteger el tráfico saliente desde Azure Kubernetes Service (AKS). Contiene los requisitos del clúster para una implementación de AKS base y requisitos adicionales para complementos y características opcionales. Puede aplicar esta información a cualquier método de restricción de salida o dispositivo.
Para ver una configuración de ejemplo mediante Azure Firewall, visite Control del tráfico de salida mediante Azure Firewall en AKS.
Contexto
Los clústeres de AKS se implementan en una red virtual. Esta red se puede personalizar y configurar previamente por usted o puede crearla y administrarla AKS. En cualquier caso, el clúster tiene dependencias de salida, o de egreso, en servicios fuera de la red virtual.
Para fines operativos y de administración, los nodos de un clúster de AKS deben acceder a determinados puertos y nombres de dominio completos (FQDN). Estos puntos de conexión son necesarios para que los nodos se comuniquen con el servidor de API o para descargar e instalar los componentes principales del clúster de Kubernetes y las actualizaciones de seguridad del nodo. Por ejemplo, el clúster debe extraer imágenes de contenedor del Registro de artefactos de Microsoft (MAR).
Las dependencias salientes de AKS se definen casi por completo con FQDNs, los cuales no tienen direcciones estáticas asociadas. La falta de direcciones estáticas significa que no se pueden usar grupos de seguridad de red (NSG) para bloquear el tráfico saliente desde un clúster de AKS.
De forma predeterminada, los clústeres de AKS tienen acceso a Internet saliente sin restricciones. Este nivel de acceso a la red permite que los nodos y servicios que ejecuta accedan a recursos externos según sea necesario. Si desea restringir el tráfico de salida, es necesario el acceso a un número limitado de puertos y direcciones para mantener las tareas de mantenimiento del clúster en buen estado.
Un clúster de AKS aislado de red proporciona la solución más sencilla y segura para configurar restricciones de salida para un clúster de fábrica. Un clúster aislado de red extrae las imágenes de los componentes y complementos del clúster de una instancia privada de Azure Container Registry (ACR) conectada al clúster en lugar de extraer de MAR. Si las imágenes no están presentes, el ACR privado las extrae de MAR y las sirve mediante su punto de conexión privado, lo que elimina la necesidad de habilitar la salida del clúster al punto de conexión de MAR público. Después, el operador de clúster puede configurar de forma incremental el tráfico saliente permitido de forma segura a través de una red privada para cada escenario que quiera habilitar. De este modo, los operadores de clúster tienen control total sobre el diseño del tráfico saliente permitido desde sus clústeres desde el principio, lo que les permite reducir el riesgo de filtración de datos.
Otra solución para proteger las direcciones salientes es usar un dispositivo de firewall que pueda controlar el tráfico saliente en función de los nombres de dominio. Azure Firewall puede restringir el tráfico saliente HTTP y HTTPS basándose en el FQDN de destino. También puede configurar las reglas de seguridad y de firewall que prefiera para permitir estos puertos y direcciones necesarios.
Importante
En este documento solo se explica cómo bloquear el tráfico que sale de la subred de AKS. AKS no tiene requisitos de entrada de forma predeterminada. No se admite el bloqueo del tráfico interno de subred mediante grupos de seguridad de red (NSG) y firewalls. Para controlar y bloquear el tráfico dentro del clúster, consulte Protección del tráfico entre pods mediante directivas de red en AKS.
Reglas de red de salida y FQDN necesarios para clústeres de AKS
Se requieren las siguientes reglas de red y FQDN/aplicación para un clúster de AKS. Puede usarlos si desea configurar una solución distinta de Azure Firewall.
- Las dependencias de direcciones IP son para el tráfico que no es HTTP/S (tráfico TCP y UDP).
- Los puntos de conexión HTTP/HTTPS de FQDN se pueden colocar en el dispositivo de firewall.
- Los puntos de conexión HTTP/HTTPS de carácter comodín son dependencias que pueden variar con el clúster de AKS en función de una serie de calificadores.
- AKS usa un controlador de admisión para insertar el FQDN como una variable de entorno para todas las implementaciones en kube-system y gatekeeper-system. Esto garantiza que toda la comunicación del sistema entre los nodos y el servidor de API use el FQDN del servidor de API y no la dirección IP del servidor de API. Puede obtener el mismo comportamiento en sus propios pods, en cualquier espacio de nombres, al añadir a la especificación del pod una anotación llamada
kubernetes.azure.com/set-kube-service-host-fqdn. Si esa anotación está presente, AKS establecerá la variable KUBERNETES_SERVICE_HOST en el nombre de dominio del servidor de API en lugar de la dirección IP del servicio en clúster. Esto es útil en los casos en los que la salida del clúster se realiza a través de un firewall de nivel 7. - Si tiene una aplicación o solución que necesita comunicarse con el servidor de API, debe agregar una regla de red adicional para permitir la comunicación TCP con el puerto 443 de la dirección IP del servidor de APIO , si tiene un firewall de nivel 7 configurado para permitir el tráfico al nombre de dominio del servidor de API, establezca
kubernetes.azure.com/set-kube-service-host-fqdnen las especificaciones del pod. - En raras ocasiones, si hay una operación de mantenimiento, la dirección IP del servidor de API podría cambiar. Las operaciones de mantenimiento planeado que pueden cambiar la dirección IP del servidor de API siempre se comunican con antelación.
- Puede que note tráfico hacia el punto de conexión "md-*.blob.storage.azure.net". Este punto de conexión se usa para componentes internos de Azure Managed Disks. Bloquear el acceso a este punto de conexión desde el firewall no debe causar ningún problema.
- Es posible que observe el tráfico hacia el punto de conexión "umsa*.blob.core.windows.net". Este punto de conexión se usa para almacenar manifiestos para el agente y las extensiones de máquina virtual Linux de Azure y se comprueba periódicamente para descargar nuevas versiones. Puede encontrar más detalles sobre las extensiones de máquina virtual.
Reglas de red obligatorias globales de Azure
| Punto de conexión de destino | Protocolo | Puerto | Uso |
|---|---|---|---|
*:1194 O ServiceTag - AzureCloud.<Region>:1194 O CIDR regionales - RegionCIDRs:1194 O APIServerPublicIP:1194(only known after cluster creation) |
UDP | 1194 | Para la comunicación segura por túnel entre los nodos y el plano de control. Esto no es necesario para clústeres privados o para clústeres con el agente konnectivity habilitado . |
*:9000 O ServiceTag - AzureCloud.<Region>:9000 O CIDR regionales - RegionCIDRs:9000 O APIServerPublicIP:9000(only known after cluster creation) |
TCP | 9.000 | Para la comunicación segura por túnel entre los nodos y el plano de control. Esto no es necesario para clústeres privados o para clústeres con el agente konnectivity habilitado . |
*:123 o ntp.ubuntu.com:123 (si usa reglas de red de Azure Firewall) |
UDP | 123 | Se requiere para la sincronización de hora del Protocolo de tiempo de red (NTP) en los nodos de Linux. Esto no es necesario para los nodos aprovisionados después de marzo de 2021. |
CustomDNSIP:53(if using custom DNS servers) |
UDP | 53 | Si usa servidores DNS personalizados, debe asegurarse de que los nodos del clúster pueden acceder a ellos. |
APIServerPublicIP:443(if running pods/deployments, like Ingress Controller, that access the API Server) |
TCP | 443 | Obligatorio si se ejecutan pods o implementaciones que acceden al servidor de API (como controlador de entrada), en cuyo caso usarían la dirección IP de la API. Este puerto no es necesario para los clústeres privados. |
Reglas de aplicación o FQDN obligatorias globales de Azure
| FQDN de destino | Puerto | Uso |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Necesario para la comunicación entre el nodo < y el servidor de API >. Reemplace <la ubicación> por la región donde se implementa el clúster de AKS. Esto es necesario para los clústeres con el agente konnectivity habilitado. Konnectivity también usa la negociación de protocolos de capas de la aplicación (ALPN) para comunicarse entre el agente y el servidor. El bloqueo o la reescritura de la extensión ALPN provocará un error. Esto no es necesario para los clústeres privados. |
mcr.microsoft.com |
HTTPS:443 |
Necesario para acceder a imágenes en Microsoft Container Registry (MCR). Este registro contiene imágenes/gráficos de primera parte (por ejemplo, coreDNS, etc.). Estas imágenes son necesarias para la creación y el funcionamiento correctos del clúster, incluidas las operaciones de escalado y actualización. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Necesario para el almacenamiento MCR respaldado por la red de entrega de contenido (CDN) de Azure. |
management.azure.com |
HTTPS:443 |
Necesario para las operaciones de Kubernetes en la API de Azure. |
login.microsoftonline.com |
HTTPS:443 |
Obligatorio para la autenticación con Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Esta dirección es el repositorio de paquetes de Microsoft que se usa para las operaciones apt-get almacenadas en caché. Los paquetes de ejemplo incluyen Moby, PowerShell y la CLI de Azure. |
acs-mirror.azureedge.net |
HTTPS:443 |
Esta dirección es para el repositorio necesario para descargar e instalar archivos binarios necesarios, como kubenet y Azure CNI. |
packages.aks.azure.com |
HTTPS:443 |
Esta dirección reemplazará acs-mirror.azureedge.net en el futuro y se usará para descargar e instalar los archivos binarios de Kubernetes y Azure CNI necesarios. |
Reglas de red necesarias de Microsoft Azure operado por 21Vianet
| Punto de conexión de destino | Protocolo | Puerto | Uso |
|---|---|---|---|
*:1194 O ServiceTag - AzureCloud.Region:1194 O CIDR regionales - RegionCIDRs:1194 O APIServerPublicIP:1194(only known after cluster creation) |
UDP | 1194 | Para la comunicación segura por túnel entre los nodos y el plano de control. |
*:9000 O ServiceTag - AzureCloud.<Region>:9000 O CIDR regionales - RegionCIDRs:9000 O APIServerPublicIP:9000(only known after cluster creation) |
TCP | 9.000 | Para la comunicación segura por túnel entre los nodos y el plano de control. |
*:22 O ServiceTag - AzureCloud.<Region>:22 O CIDR regionales - RegionCIDRs:22 O APIServerPublicIP:22(only known after cluster creation) |
TCP | 22 | Para la comunicación segura por túnel entre los nodos y el plano de control. |
*:123 o ntp.ubuntu.com:123 (si usa reglas de red de Azure Firewall) |
UDP | 123 | Se requiere para la sincronización de hora del Protocolo de tiempo de red (NTP) en los nodos de Linux. |
CustomDNSIP:53(if using custom DNS servers) |
UDP | 53 | Si usa servidores DNS personalizados, debe asegurarse de que los nodos del clúster pueden acceder a ellos. |
APIServerPublicIP:443(if running pods/deployments, like Ingress Controller, that access the API Server) |
TCP | 443 | Necesario si se ejecutan pods/implementaciones que acceden al servidor de la API (como "Ingress Controller"), esos pods/implementaciones usarían la dirección IP de la API. |
Microsoft Azure operado por 21Vianet requiere FQDN / reglas de aplicación
| FQDN de destino | Puerto | Uso |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Necesario para la comunicación entre el nodo < y el servidor de API >. Reemplace <la ubicación> por la región donde se implementa el clúster de AKS. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Necesario para la comunicación entre el nodo < y el servidor de API >. Reemplace <la ubicación> por la región donde se implementa el clúster de AKS. |
mcr.microsoft.com |
HTTPS:443 |
Necesario para acceder a imágenes en Microsoft Container Registry (MCR). Este registro contiene imágenes/gráficos de primera parte (por ejemplo, coreDNS, etc.). Estas imágenes son necesarias para la creación y el funcionamiento correctos del clúster, incluidas las operaciones de escalado y actualización. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Necesario para el almacenamiento MCR respaldado por Azure Content Delivery Network (CDN). |
management.chinacloudapi.cn |
HTTPS:443 |
Necesario para las operaciones de Kubernetes en la API de Azure. |
login.chinacloudapi.cn |
HTTPS:443 |
Obligatorio para la autenticación con Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Esta dirección es el repositorio de paquetes de Microsoft que se usa para las operaciones apt-get almacenadas en caché. Los paquetes de ejemplo incluyen Moby, PowerShell y la CLI de Azure. |
*.azk8s.cn |
HTTPS:443 |
Esta dirección es para el repositorio necesario para descargar e instalar archivos binarios necesarios, como kubenet y Azure CNI. |
mcr.azure.cn, *.data.mcr.azure.cn |
HTTPS:443 |
Necesario para acceder a imágenes de Microsoft Container Registry (MCR) en China Cloud (Mooncake). Este registro sirve como memoria caché para mcr.microsoft.com con una mayor confiabilidad y rendimiento. |
Reglas de red requeridas para Azure US Government
| Punto de conexión de destino | Protocolo | Puerto | Uso |
|---|---|---|---|
*:1194 O ServiceTag - AzureCloud.<Region>:1194 O CIDR regionales - RegionCIDRs:1194 O APIServerPublicIP:1194(only known after cluster creation) |
UDP | 1194 | Para la comunicación segura por túnel entre los nodos y el plano de control. |
*:9000 O ServiceTag - AzureCloud.<Region>:9000 O CIDR regionales - RegionCIDRs:9000 O APIServerPublicIP:9000(only known after cluster creation) |
TCP | 9.000 | Para la comunicación segura por túnel entre los nodos y el plano de control. |
*:123 o ntp.ubuntu.com:123 (si usa reglas de red de Azure Firewall) |
UDP | 123 | Se requiere para la sincronización de hora del Protocolo de tiempo de red (NTP) en los nodos de Linux. |
CustomDNSIP:53(if using custom DNS servers) |
UDP | 53 | Si usa servidores DNS personalizados, debe asegurarse de que los nodos del clúster pueden acceder a ellos. |
APIServerPublicIP:443(if running pods/deployments, like Ingress Controller, that access the API Server) |
TCP | 443 | Obligatorio si se ejecutan pods o implementaciones que acceden al servidor de API (como controlador de entrada), en cuyo caso usarían la dirección IP de la API. |
Reglas de aplicación o FQDN obligatorias para Azure Gobierno de EE. UU.
| FQDN de destino | Puerto | Uso |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Necesario para la comunicación entre el nodo < y el servidor de API >. Reemplace <la ubicación> por la región donde se implementa el clúster de AKS. |
mcr.microsoft.com |
HTTPS:443 |
Necesario para acceder a imágenes en Microsoft Container Registry (MCR). Este registro contiene imágenes/gráficos de primera parte (por ejemplo, coreDNS, etc.). Estas imágenes son necesarias para la creación y el funcionamiento correctos del clúster, incluidas las operaciones de escalado y actualización. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Necesario para el almacenamiento MCR respaldado por la red de entrega de contenido (CDN) de Azure. |
management.usgovcloudapi.net |
HTTPS:443 |
Necesario para las operaciones de Kubernetes en la API de Azure. |
login.microsoftonline.us |
HTTPS:443 |
Obligatorio para la autenticación con Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Esta dirección es el repositorio de paquetes de Microsoft que se usa para las operaciones apt-get almacenadas en caché. Los paquetes de ejemplo incluyen Moby, PowerShell y la CLI de Azure. |
acs-mirror.azureedge.net |
HTTPS:443 |
Esta dirección es para el repositorio necesario para instalar los archivos binarios necesarios, como kubenet y Azure CNI. |
packages.aks.azure.com |
HTTPS:443 |
Esta dirección reemplazará acs-mirror.azureedge.net en el futuro y se usará para descargar e instalar los archivos binarios de Kubernetes y Azure CNI necesarios. |
Reglas opcionales de FQDN o aplicación para clústeres de AKS
No se requieren las siguientes reglas de FQDN o de aplicación, pero se recomiendan para los clústeres de AKS:
| FQDN de destino | Puerto | Uso |
|---|---|---|
security.ubuntu.com, , azure.archive.ubuntu.com, changelogs.ubuntu.com |
HTTP:80 |
Esta dirección permite que los nodos del clúster de Linux descarguen las actualizaciones y revisiones de seguridad necesarias. |
snapshot.ubuntu.com |
HTTPS:443 |
Esta dirección permite que los nodos del clúster de Linux descarguen las revisiones de seguridad necesarias y las actualizaciones del servicio de instantáneas de Ubuntu. |
Si decide bloquear o no permitir estos FQDN, los nodos solo recibirán actualizaciones del sistema operativo cuando realice una actualización de imagen de nodo o una actualización del clúster. Tenga en cuenta que las actualizaciones de imágenes de nodo también incluyen paquetes actualizados, incluidas las correcciones de seguridad.
Los clústeres de AKS habilitados para GPU requieren FQDN o reglas de aplicación
| FQDN de destino | Puerto | Uso |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Esta dirección se usa para la instalación y el funcionamiento correctos del controlador en nodos basados en GPU. |
us.download.nvidia.com |
HTTPS:443 |
Esta dirección se usa para la instalación y el funcionamiento correctos del controlador en nodos basados en GPU. |
download.docker.com |
HTTPS:443 |
Esta dirección se usa para la instalación y el funcionamiento correctos del controlador en nodos basados en GPU. |
Los grupos de nodos basados en Windows Server requieren FQDN o reglas de aplicación
| FQDN de destino | Puerto | Uso |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Para instalar archivos binarios relacionados con Windows |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Para instalar archivos binarios relacionados con Windows |
Si decide bloquear o no permitir estos FQDN, los nodos solo recibirán actualizaciones del sistema operativo cuando realice una actualización de imagen de nodo o una actualización del clúster. Tenga en cuenta que las actualizaciones de imágenes de Node también incluyen paquetes actualizados, incluidas las correcciones de seguridad.
Características, complementos e integraciones de AKS
Identidad de carga de trabajo
Reglas de aplicación o FQDN obligatorias
| FQDN de destino | Puerto | Uso |
|---|---|---|
login.microsoftonline.com o login.chinacloudapi.cn o login.microsoftonline.us |
HTTPS:443 |
Obligatorio para la autenticación con Microsoft Entra. |
Microsoft Defender para contenedores
Reglas de aplicación o FQDN obligatorias
| nombre de dominio completo (FQDN) | Puerto | Uso |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure operado por 21Vianet) |
HTTPS:443 |
Se requiere para la autenticación de Microsoft Entra. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government) *.ods.opinsights.azure.cn (Azure operado por 21Vianet) |
HTTPS:443 |
Necesario para que Microsoft Defender cargue eventos de seguridad en la nube. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government) *.oms.opinsights.azure.cn (Azure operado por 21Vianet) |
HTTPS:443 |
Necesario para autenticarse con áreas de trabajo de Log Analytics. |
Proveedor de Azure Key Vault para el controlador de CSI del almacén de secretos
Si usa clústeres aislados de red, se recomienda configurar el punto de conexión privado para acceder a Azure Key Vault.
Si el clúster tiene enrutamiento definido por el usuario de tipo de salida y Azure Firewall, se aplican las siguientes reglas de red y reglas de aplicación:
Reglas de aplicación o FQDN obligatorias
| nombre de dominio completo (FQDN) | Puerto | Uso |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Es necesario que los pods de complementos del almacén de secretos de CSI se comuniquen con el servidor de Azure KeyVault. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Necesario para que los pods del complemento CSI Secret Store se comuniquen con el servidor de Azure KeyVault en el entorno de Azure Government. |
Azure Monitor: integración automática de Prometheus, Container Insights y Azure Monitor Application Insights administrado
Si usa clústeres aislados de red, se recomienda configurar la ingesta basada en puntos de conexión privados, que se admite para Prometheus administrado (área de trabajo de Azure Monitor), Container Insights (área de trabajo de Log Analytics) y Autoinstrumentation (recurso de Application Insights) de Azure Monitor.
Si el clúster tiene enrutamiento definido por el usuario de tipo de salida y Azure Firewall, se aplican las siguientes reglas de red y reglas de aplicación:
Reglas de red necesarias
| Punto de conexión de destino | Protocolo | Puerto | Uso |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Este punto de conexión se usa para enviar datos y registros de métricas a Azure Monitor y Log Analytics. |
Reglas de FQDN o de aplicación requeridas por la nube pública de Azure
| Punto final | Propósito | Puerto |
|---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.in.applicationinsights.azure.com |
Implementación automática de Application Insights. Para limitar el ámbito, solo se puede cambiar para permitir puntos de conexión en cadenas de conexión para los recursos de destino | 443 |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
Servicio de Control de Acceso | 443 |
*.ingest.monitor.azure.com |
Container Insights: punto de conexión de ingesta de registros (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
Servicio administrado de Azure Monitor para Prometheus: punto de conexión de ingesta de métricas (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
Obtener reglas de recopilación de datos para un clúster específico | 443 |
Microsoft Azure operado por la nube 21Vianet requiere FQDN o reglas de aplicación
| Punto final | Propósito | Puerto |
|---|---|---|
*.ods.opinsights.azure.cn |
Ingesta de datos | 443 |
*.oms.opinsights.azure.cn |
Incorporación del agente de Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
Para la telemetría del agente que usa Application Insights en la nube pública de Azure. | 443 |
*.in.applicationinsights.azure.com |
Implementación automática de Application Insights. Para limitar el ámbito, solo se puede cambiar para permitir puntos de conexión en cadenas de conexión para los recursos de destino | 443 |
global.handler.control.monitor.azure.cn |
Servicio de Control de Acceso | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
Obtener reglas de recopilación de datos para un clúster específico | 443 |
*.ingest.monitor.azure.cn |
Container Insights: punto de conexión de ingesta de registros (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
Servicio administrado de Azure Monitor para Prometheus: punto de conexión de ingesta de métricas (DCE) | 443 |
Reglas de FQDN o de aplicación requeridas por la nube de Azure Government
| Punto final | Propósito | Puerto |
|---|---|---|
*.ods.opinsights.azure.us |
Ingesta de datos | 443 |
*.oms.opinsights.azure.us |
Incorporación del agente de Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
Para la telemetría del agente que usa Application Insights en la nube pública de Azure. | 443 |
*.in.applicationinsights.azure.com |
Implementación automática de Application Insights. Para limitar el ámbito, solo se puede cambiar para permitir puntos de conexión en cadenas de conexión para los recursos de destino | 443 |
global.handler.control.monitor.azure.us |
Servicio de Control de Acceso | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
Obtener reglas de recopilación de datos para un clúster específico | 443 |
*.ingest.monitor.azure.us |
Container Insights: punto de conexión de ingesta de registros (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
Servicio administrado de Azure Monitor para Prometheus: punto de conexión de ingesta de métricas (DCE) | 443 |
Azure Policy
Reglas de aplicación o FQDN obligatorias
| nombre de dominio completo (FQDN) | Puerto | Uso |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Esta dirección se usa para extraer las directivas de Kubernetes y para notificar el estado de cumplimiento del clúster al servicio de directivas. |
store.policy.core.windows.net |
HTTPS:443 |
Esta dirección se usa para extraer los artefactos de Gatekeeper de las directivas integradas. |
dc.services.visualstudio.com |
HTTPS:443 |
Complemento de Azure Policy que envía datos de telemetría al punto de conexión de Application Insights. |
Microsoft Azure operado por 21Vianet requiere FQDN / reglas de aplicación
| nombre de dominio completo (FQDN) | Puerto | Uso |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Esta dirección se usa para extraer las directivas de Kubernetes y para notificar el estado de cumplimiento del clúster al servicio de directivas. |
store.policy.azure.cn |
HTTPS:443 |
Esta dirección se usa para extraer los artefactos de Gatekeeper de las directivas integradas. |
Reglas de aplicación o FQDN obligatorias para Azure Gobierno de EE. UU.
| nombre de dominio completo (FQDN) | Puerto | Uso |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Esta dirección se usa para extraer las directivas de Kubernetes y para notificar el estado de cumplimiento del clúster al servicio de directivas. |
store.policy.azure.us |
HTTPS:443 |
Esta dirección se usa para extraer los artefactos de Gatekeeper de las directivas integradas. |
Complemento de análisis de costos de AKS
Reglas de aplicación o FQDN obligatorias
| nombre de dominio completo (FQDN) | Puerto | Uso |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Azure Government) management.chinacloudapi.cn (Azure operado por 21Vianet) |
HTTPS:443 |
Necesario para las operaciones de Kubernetes en la API de Azure. |
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure operado por 21Vianet) |
HTTPS:443 |
Se requiere para la autenticación de identidad digital de Microsoft Entra. |
Extensiones de clúster
Reglas de aplicación o FQDN obligatorias
| nombre de dominio completo (FQDN) | Puerto | Uso |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Esta dirección se usa para capturar información de configuración del servicio Extensiones de clúster y notificar el estado de la extensión al servicio. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Esta dirección es necesaria para extraer imágenes de contenedor para instalar agentes de extensión de clúster en el clúster de AKS. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Esta dirección es necesaria para extraer imágenes de contenedor para instalar extensiones de Marketplace en el clúster de AKS. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Esta dirección es para el punto de conexión de datos regional del Centro de la India, y es necesaria para extraer imágenes de contenedor para instalar extensiones de marketplace en el clúster de AKS. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Esta dirección es para el punto de conexión de datos regional del Este de Japón, y es necesaria para extraer imágenes de contenedor para instalar extensiones de marketplace en el clúster de AKS. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Esta dirección es para el punto de conexión de datos regional del Oeste de EE. UU. 2, y es necesaria para extraer imágenes de contenedor para instalar extensiones de marketplace en el clúster de AKS. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Esta dirección es para el punto de conexión de datos regional del Oeste de Europa, y es necesaria para extraer imágenes de contenedor para instalar extensiones de marketplace en el clúster de AKS. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Esta dirección es para el punto de conexión de datos regional del Este de EE. UU., y es necesaria para extraer imágenes de contenedor para instalar extensiones de marketplace en el clúster de AKS. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Esta dirección se usa para enviar datos de métricas de agentes a Azure. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Esta dirección se usa para enviar el uso personalizado basado en medidores a la API de medición comercial. |
Reglas de aplicación o FQDN obligatorias para Azure Gobierno de EE. UU.
| nombre de dominio completo (FQDN) | Puerto | Uso |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Esta dirección se usa para capturar información de configuración del servicio Extensiones de clúster y notificar el estado de la extensión al servicio. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Esta dirección es necesaria para extraer imágenes de contenedor para instalar agentes de extensión de clúster en el clúster de AKS. |
Nota:
En el caso de los complementos que no se indiquen explícitamente aquí, los requisitos principales lo cubren.
Complemento de malla de servicio basado en Istio
En el complemento de malla de servicio basado en Istio, si va a configurar istiod con una entidad de certificación (CA) del complemento o si va a configurar una puerta de enlace de entrada segura, se requiere el proveedor de Azure Key Vault para el controlador CSI del almacén de secretos para estas características. Puede encontrar los requisitos de la red de salida del proveedor de Azure Key Vault para el controlador CSI del almacén de secretos aquí.
Complemento para el enrutamiento de aplicaciones
El complemento de enrutamiento de aplicaciones admite la terminación SSL en la entrada con certificados almacenados en Azure Key Vault. Puede encontrar los requisitos de la red de salida del proveedor de Azure Key Vault para el controlador CSI del almacén de secretos aquí.
Pasos siguientes
En este artículo, ha aprendido qué puertos y direcciones se deben permitir si se quiere restringir el tráfico de salida para el clúster.
Si quiere restringir cómo se comunican los pods entre sí y con las restricciones de tráfico horizontal de derecha a izquierda en el clúster, vea Protección del tráfico entre pods mediante directivas de red en AKS.
Colaborar con nosotros en GitHub
El origen de este contenido se puede encontrar en GitHub, donde también puede crear y revisar problemas y solicitudes de incorporación de cambios. Para más información, consulte nuestra guía para colaboradores.
Azure Kubernetes Service