Règles de réseau sortant et de nom de domaine complet pour des clusters Azure Kubernetes Service (AKS)
Cet article donne les informations nécessaires pour sécuriser le trafic sortant d’Azure Kubernetes Service (AKS). Elles comportent les exigences en matière de cluster pour un déploiement AKS de base, ainsi des exigences supplémentaires relatives les extensions et les fonctionnalités facultatives. Vous pouvez appliquer ces informations à n’importe quelle méthode ou appliance de restriction sortante.
Pour découvrir un exemple de configuration à l’aide de Pare-feu Azure, consultez Contrôler le trafic de sortie à l’aide de Pare-feu Azure dans AKS.
Arrière-plan
Les clusters AKS sont déployés sur un réseau virtuel. Vous pouvez personnaliser et préconfigurer ce réseau ou il peut être créé et géré par AKS. Dans les deux cas, le cluster a des dépendances sortantes, ou de sortie, sur des services en dehors du réseau virtuel.
Pour la gestion et à des fins opérationnelles, les nœuds d’un cluster AKS doivent accéder à certains ports et noms de domaine complet (FQDN). Ces points de terminaison sont nécessaires pour permettre aux nœuds de communiquer avec le serveur d’API, ou de télécharger et d’installer des composants de base du cluster Kubernetes et les correctifs de sécurité des nœuds. Par exemple, le cluster doit extraire les images conteneurs système de base de Microsoft Container Registry (MCR).
Les dépendances sortantes AKS sont presque entièrement définies avec des noms FQDN, qui n’ont pas d’adresses statiques derrière eux. L’absence d’adresses statiques signifie que vous ne pouvez pas utiliser des groupes de sécurité réseau (NSG) pour verrouiller le trafic sortant d’un cluster AKS.
Par défaut, les clusters AKS disposent d’un accès Internet sortant sans restriction. Ce niveau d’accès réseau permet aux nœuds et services que vous exécutez d’accéder aux ressources externes en fonction des besoins. Si vous souhaitez restreindre le trafic de sortie, un nombre limité de ports et adresses doit être accessible afin de gérer les tâches de maintenance d’intégrité du cluster. La solution la plus simple pour sécuriser des adresses sortantes consiste à utiliser un dispositif de pare-feu permettant de contrôler le trafic sortant en fonction des noms de domaine. Le Pare-feu Azure peut restreindre le trafic HTTP et HTTPS sortant en fonction du nom de domaine complet de la destination. Vous pouvez également configurer les règles de pare-feu et de sécurité de votre choix pour autoriser ces ports et adresses requis.
Important
Ce document explique uniquement comment verrouiller le trafic sortant du sous-réseau AKS. AKS ne présente par défaut aucune exigence d’entrée. Le blocage du trafic de sous-réseau interne en tirant parti des groupes de sécurité réseau (NSG) et de pare-feu n’est pas pris en charge. Pour contrôler et bloquer le trafic au sein du cluster, consultez Sécuriser le trafic entre les pods avec des stratégies réseau dans Azure Kubernetes Service (AKS).
Règles de réseau sortantes et noms FQDN requis pour les clusters AKS
Les règles d’application/de nom de domaine complet et de réseau suivantes sont requises pour un cluster AKS. Vous pouvez les utiliser si vous souhaitez configurer une solution autre que Pare-feu Azure.
- Les dépendances d’adresses IP sont destinées au trafic non HTTP/S (les trafics TCP et UDP).
- Les points de terminaison HTTP/HTTPS avec des noms FQDN peuvent être placés dans votre dispositif de pare-feu.
- Les points de terminaison HTTP/HTTPS avec caractères génériques constituent des dépendances qui peuvent varier avec votre cluster AKS selon le nombre de qualificateurs.
- AKS utilise un contrôleur d’admission pour injecter le nom de domaine complet en tant que variable d’environnement dans tous les déploiements sous kube-system et gatekeeper-system. Ce permet de garantir que l’ensemble de la communication système entre des nœuds et un serveur utilise le nom de domaine complet du serveur d’API et non l’adresse IP du serveur d’API. Vous pouvez obtenir le même comportement sur vos propres pods, dans n’importe quel espace de noms, en annotant la spécification de pod avec
kubernetes.azure.com/set-kube-service-host-fqdn. Si cette annotation est présente, AKS définit la variable KUBERNETES_SERVICE_HOST sur le nom de domaine du serveur d’API au lieu de l’IP du service dans le cluster. Cela est utile dans les cas où la sortie du cluster utilise un pare-feu de couche 7. - Si vous avez une application ou une solution qui doit communiquer avec le serveur d’API, vous devez ajouter une règle de réseau supplémentaire pour autoriser la communication TCP sur le port 443 de l’IP de votre serveur d’API OU, si vous avez un pare-feu de couche 7 configuré pour autoriser le trafic vers le nom de domaine du serveur d’API, définir
kubernetes.azure.com/set-kube-service-host-fqdndans les spécifications de votre pod. - Il est possible, en de rares occasions, que l’adresse IP de votre serveur d’API change en cas d’opération de maintenance. Les opérations de maintenance planifiée susceptibles de modifier l’adresse IP du serveur d’API sont toujours communiquées à l’avance.
- Dans certaines circonstances, le trafic vers « md-*.blob.storage.azure.net » peut être nécessaire. Cette dépendance est due à certains mécanismes internes des Disques managés Azure. Vous pouvez également utiliser l’étiquette de service Stockage.
- Vous remarquerez peut-être le trafic vers le point de terminaison « umsa*.blob.core.windows.net ». Ce point de terminaison est utilisé pour stocker des manifestes pour l’agent et les extensions de machine virtuelle Linux Azure et est régulièrement vérifié pour télécharger de nouvelles versions.
Règles de réseau requises pour Azure Global
| Point de terminaison de destination | Protocol | Port | Utilisation |
|---|---|---|---|
*:1194 Or Balise de service - AzureCloud.<Region>:1194 Or CIDR régionaux - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle. Cette action n’est pas obligatoire pour les clusters privés ou pour les clusters dont l’agent konnectivity-agent est activé. |
*:9000 Or Balise de service - AzureCloud.<Region>:9000 Or CIDR régionaux - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle. Cette action n’est pas obligatoire pour les clusters privés ou pour les clusters dont l’agent konnectivity-agent est activé. |
*:123 ou ntp.ubuntu.com:123 (en cas d’utilisation de règles de réseau de Pare-feu Azure) |
UDP | 123 | Obligatoire pour la synchronisation date/heure NTP (Network Time Protocol) sur les nœuds Linux. Elle n’est pas nécessaire pour des nœuds approvisionnés après mars 2021. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Si vous utilisez des serveurs DNS personnalisés, vous devez vérifier qu’ils sont accessibles par les nœuds de cluster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Obligatoire en cas d’exécution de pods/déploiements qui accèdent au serveur d’API. Ces pods/déploiements utiliseront l’adresse IP de l’API. Ce port n’est pas obligatoire pour des clusters privés. |
Règles de nom FQDN/d’application requises pour Azure Global
| Nom FQDN de destination | Port | Utilisation |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Obligatoire pour la communication Nœud <-> Serveur d’API. Remplacez <location> par la région où votre cluster AKS est déployé. Ceci est obligatoire pour les clusters avec konnectivity-agent activé. Konnectivity utilise également la négociation du protocole de la couche Application (ALPN) pour communiquer entre l’agent et le serveur. Le blocage ou la réécriture de l’extension ALPN entraîne un échec. Cela n’est pas requis pour des clusters privés. |
mcr.microsoft.com |
HTTPS:443 |
Obligatoire pour l’accès aux images de Microsoft Container Registry (MCR). Ce registre contient des images/graphiques internes (par exemple, CoreDNS), qui sont nécessaires à la création et au bon fonctionnement du cluster, y compris les opérations de scaling et de mise à niveau. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Obligatoire pour le stockage MCR assuré par Azure Content Delivery Network (CDN). |
management.azure.com |
HTTPS:443 |
Obligatoire pour les opérations Kubernetes sur l’API Azure. |
login.microsoftonline.com |
HTTPS:443 |
Obligatoire pour l’authentification Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Cette adresse est le référentiel de packages Microsoft utilisé pour les opérations apt-get mises en cache. Moby, PowerShell et Azure CLI sont des exemples de packages. |
acs-mirror.azureedge.net |
HTTPS:443 |
Cette adresse correspond au référentiel nécessaire pour télécharger et installer les binaires requis, comme kubenet et Azure CNI. |
Règles de réseau requises par Microsoft Azure géré par 21Vianet
| Point de terminaison de destination | Protocol | Port | Utilisation |
|---|---|---|---|
*:1194 Or Balise de service - AzureCloud.Region:1194 Or CIDR régionaux - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle. |
*:9000 Or Balise de service - AzureCloud.<Region>:9000 Or CIDR régionaux - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle. |
*:22 Or Balise de service - AzureCloud.<Region>:22 Or CIDR régionaux - RegionCIDRs:22 Or APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle. |
*:123 ou ntp.ubuntu.com:123 (en cas d’utilisation de règles de réseau de Pare-feu Azure) |
UDP | 123 | Obligatoire pour la synchronisation date/heure NTP (Network Time Protocol) sur les nœuds Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Si vous utilisez des serveurs DNS personnalisés, vous devez vérifier qu’ils sont accessibles par les nœuds de cluster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Obligatoire en cas d’exécution de pods/déploiements qui accèdent au serveur d’API. Ces pods/déploiements utiliseront l’adresse IP de l’API. |
Règles FQDN / d’application requises par Microsoft Azure géré par 21Vianet
| Nom FQDN de destination | Port | Utilisation |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Obligatoire pour la communication Nœud <-> Serveur d’API. Remplacez <location> par la région où votre cluster AKS est déployé. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Obligatoire pour la communication Nœud <-> Serveur d’API. Remplacez <location> par la région où votre cluster AKS est déployé. |
mcr.microsoft.com |
HTTPS:443 |
Obligatoire pour l’accès aux images de Microsoft Container Registry (MCR). Ce registre contient des images/graphiques internes (par exemple, CoreDNS), qui sont nécessaires à la création et au bon fonctionnement du cluster, y compris les opérations de scaling et de mise à niveau. |
.data.mcr.microsoft.com |
HTTPS:443 |
Obligatoire pour le stockage MCR assuré par Azure Content Delivery Network (CDN). |
management.chinacloudapi.cn |
HTTPS:443 |
Obligatoire pour les opérations Kubernetes sur l’API Azure. |
login.chinacloudapi.cn |
HTTPS:443 |
Obligatoire pour l’authentification Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Cette adresse est le référentiel de packages Microsoft utilisé pour les opérations apt-get mises en cache. Moby, PowerShell et Azure CLI sont des exemples de packages. |
*.azk8s.cn |
HTTPS:443 |
Cette adresse correspond au référentiel nécessaire pour télécharger et installer les binaires requis, comme kubenet et Azure CNI. |
Règles de réseau requises pour Azure US Government
| Point de terminaison de destination | Protocol | Port | Utilisation |
|---|---|---|---|
*:1194 Or Balise de service - AzureCloud.<Region>:1194 Or CIDR régionaux - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle. |
*:9000 Or Balise de service - AzureCloud.<Region>:9000 Or CIDR régionaux - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle. |
*:123 ou ntp.ubuntu.com:123 (en cas d’utilisation de règles de réseau de Pare-feu Azure) |
UDP | 123 | Obligatoire pour la synchronisation date/heure NTP (Network Time Protocol) sur les nœuds Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Si vous utilisez des serveurs DNS personnalisés, vous devez vérifier qu’ils sont accessibles par les nœuds de cluster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Obligatoire en cas d’exécution de pods/déploiements qui accèdent au serveur d’API. Ces pods/déploiements utiliseront l’adresse IP de l’API. |
Règles de nom FQDN/d’application requises pour Azure US Government
| Nom FQDN de destination | Port | Utilisation |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Obligatoire pour la communication Nœud <-> Serveur d’API. Remplacez <location> par la région où votre cluster AKS est déployé. |
mcr.microsoft.com |
HTTPS:443 |
Obligatoire pour l’accès aux images de Microsoft Container Registry (MCR). Ce registre contient des images/graphiques internes (par exemple, CoreDNS), qui sont nécessaires à la création et au bon fonctionnement du cluster, y compris les opérations de scaling et de mise à niveau. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Obligatoire pour le stockage MCR assuré par Azure Content Delivery Network (CDN). |
management.usgovcloudapi.net |
HTTPS:443 |
Obligatoire pour les opérations Kubernetes sur l’API Azure. |
login.microsoftonline.us |
HTTPS:443 |
Obligatoire pour l’authentification Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Cette adresse est le référentiel de packages Microsoft utilisé pour les opérations apt-get mises en cache. Moby, PowerShell et Azure CLI sont des exemples de packages. |
acs-mirror.azureedge.net |
HTTPS:443 |
Cette adresse correspond au référentiel requis pour installer les fichiers binaires requis comme kubenet et Azure CNI. |
Règles de nom FQDN/d’application facultatives mais recommandées pour les clusters AKS
Les règles d’application/de nom de domaine complet suivantes sont recommandées pour des clusters AKS :
| Nom FQDN de destination | Port | Utilisation |
|---|---|---|
security.ubuntu.com, azure.archive.ubuntu.com, changelogs.ubuntu.com |
HTTP:80 |
Cette adresse permet aux nœuds de cluster Linux de télécharger les correctifs et mises à jour de sécurité requis. |
snapshot.ubuntu.com |
HTTPS:443 |
Cette adresse permet aux nœuds de cluster Linux de télécharger les correctifs et mises à jour de sécurité requis du service d’instantané ubuntu. |
Si vous choisissez de bloquer/ne pas autoriser ces noms FQDN, les nœuds ne recevront les mises à jour du système d’exploitation que lors des mises à niveau des images de nœuds et des mises à niveau du cluster. N’oubliez pas que les mises à niveau d’images de nœud sont également fournies avec des packages mis à jour, y compris des correctifs de sécurité.
Règles de nom de domaine complet/d’application requises pour des clusters AKS avec GPU
| Nom FQDN de destination | Port | Utilisation |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Cette adresse est utilisée pour la bonne installation du pilote et un bon fonctionnement sur les nœuds basés sur le processeur graphique. |
us.download.nvidia.com |
HTTPS:443 |
Cette adresse est utilisée pour la bonne installation du pilote et un bon fonctionnement sur les nœuds basés sur le processeur graphique. |
download.docker.com |
HTTPS:443 |
Cette adresse est utilisée pour la bonne installation du pilote et un bon fonctionnement sur les nœuds basés sur le processeur graphique. |
Règles de nom de domaine complet/d’application requises pour des pools de nœuds Windows Server
| Nom FQDN de destination | Port | Utilisation |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Pour installer les fichiers binaires liés à Windows |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Pour installer les fichiers binaires liés à Windows |
Si vous choisissez de bloquer/ne pas autoriser ces noms FQDN, les nœuds ne recevront les mises à jour du système d’exploitation que lors des mises à niveau des images de nœuds et des mises à niveau du cluster. N’oubliez pas que les mises à niveau d’image de nœud sont également fournies avec des packages mis à jour, y compris des correctifs de sécurité.
Modules complémentaires et intégrations AKS
Microsoft Defender pour les conteneurs
Règles de nom FQDN/d’application requises
| FQDN | Port | Utilisation |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Gouvernement Azure) login.microsoftonline.cn (Azure géré par 21Vianet) |
HTTPS:443 |
Obligatoire pour l’authentification Active Directory. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Gouvernement Azure) *.ods.opinsights.azure.cn (Azure géré par 21Vianet) |
HTTPS:443 |
Obligatoire pour que Microsoft Defender charge les événements de sécurité dans le cloud. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Gouvernement Azure) *.oms.opinsights.azure.cn (Azure géré par 21Vianet) |
HTTPS:443 |
Obligatoire pour l’authentification avec les espaces de travail Log Analytics. |
Magasin des secrets CSI
Règles de nom FQDN/d’application requises
| FQDN | Port | Utilisation |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Obligatoire pour que les pods du magasin de secrets CSI communiquent avec le serveur Azure KeyVault. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Obligatoire pour que les pods du module complémentaire Magasin des secrets CSI puissent communiquer avec le serveur Azure KeyVault dans Azure Government. |
Azure Monitor pour des conteneurs
Il existe deux options pour fournir un accès à Azure Monitor pour des conteneurs :
- Autorisez le ServiceTag d’Azure Monitor.
- Fournissez un accès aux règles de nom de domaine complet/d’application requises.
Règles de réseau requises
| Point de terminaison de destination | Protocol | Port | Utilisation |
|---|---|---|---|
Balise de service - AzureMonitor:443 |
TCP | 443 | Ce point de terminaison est utilisé pour envoyer les données de métriques et des journaux à Azure Monitor et à Log Analytics. |
Règles de nom FQDN/d’application requises
| FQDN | Port | Utilisation |
|---|---|---|
dc.services.visualstudio.com |
HTTPS:443 |
Ce point de terminaison est utilisé par l’agent de télémétrie Azure Monitor pour des conteneurs. |
*.ods.opinsights.azure.com |
HTTPS:443 |
Ce point de terminaison est utilisé par Azure Monitor pour l’ingestion des données Log Analytics. |
*.oms.opinsights.azure.com |
HTTPS:443 |
Ce point de terminaison est utilisé par omsagent, qui sert à authentifier le service Log Analytics. |
*.monitoring.azure.com |
HTTPS:443 |
Ce point de terminaison est utilisé pour envoyer des données de métriques à Azure Monitor. |
<cluster-region-name>.ingest.monitor.azure.com |
HTTPS:443 |
Ce point de terminaison est utilisé par l’ingestion de métriques du service managé Azure Monitor pour Prometheus. |
<cluster-region-name>.handler.control.monitor.azure.com |
HTTPS:443 |
Ce point de terminaison sert à extraire des règles de collecte de données pour un cluster spécifique. |
Règles FQDN / d’application requises par Microsoft Azure géré par 21Vianet
| FQDN | Port | Utilisation |
|---|---|---|
dc.services.visualstudio.cn |
HTTPS:443 |
Ce point de terminaison est utilisé par l’agent de télémétrie Azure Monitor pour des conteneurs. |
*.ods.opinsights.azure.cn |
HTTPS:443 |
Ce point de terminaison est utilisé par Azure Monitor pour l’ingestion des données Log Analytics. |
*.oms.opinsights.azure.cn |
HTTPS:443 |
Ce point de terminaison est utilisé par omsagent, qui sert à authentifier le service Log Analytics. |
global.handler.control.monitor.azure.cn |
HTTPS:443 |
Ce point de terminaison est utilisé par Azure Monitor pour accéder au service de contrôle. |
<cluster-region-name>.handler.control.monitor.azure.cn |
HTTPS:443 |
Ce point de terminaison sert à extraire des règles de collecte de données pour un cluster spécifique. |
Règles de nom FQDN/d’application requises pour Azure US Government
| FQDN | Port | Utilisation |
|---|---|---|
dc.services.visualstudio.us |
HTTPS:443 |
Ce point de terminaison est utilisé par l’agent de télémétrie Azure Monitor pour des conteneurs. |
*.ods.opinsights.azure.us |
HTTPS:443 |
Ce point de terminaison est utilisé par Azure Monitor pour l’ingestion des données Log Analytics. |
*.oms.opinsights.azure.us |
HTTPS:443 |
Ce point de terminaison est utilisé par omsagent, qui sert à authentifier le service Log Analytics. |
global.handler.control.monitor.azure.us |
HTTPS:443 |
Ce point de terminaison est utilisé par Azure Monitor pour accéder au service de contrôle. |
<cluster-region-name>.handler.control.monitor.azure.us |
HTTPS:443 |
Ce point de terminaison sert à extraire des règles de collecte de données pour un cluster spécifique. |
Azure Policy
Règles de nom FQDN/d’application requises
| FQDN | Port | Utilisation |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Cette adresse est utilisée pour extraire les stratégies Kubernetes et pour signaler l’état de conformité du cluster au service de stratégie. |
store.policy.core.windows.net |
HTTPS:443 |
Cette adresse est utilisée pour extraire les artefacts Gatekeeper de stratégies intégrées. |
dc.services.visualstudio.com |
HTTPS:443 |
Le module complémentaire Azure Policy envoie des données de télémétrie au point de terminaison Applications Insights. |
Règles FQDN / d’application requises par Microsoft Azure géré par 21Vianet
| FQDN | Port | Utilisation |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Cette adresse est utilisée pour extraire les stratégies Kubernetes et pour signaler l’état de conformité du cluster au service de stratégie. |
store.policy.azure.cn |
HTTPS:443 |
Cette adresse est utilisée pour extraire les artefacts Gatekeeper de stratégies intégrées. |
Règles de nom FQDN/d’application requises pour Azure US Government
| FQDN | Port | Utilisation |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Cette adresse est utilisée pour extraire les stratégies Kubernetes et pour signaler l’état de conformité du cluster au service de stratégie. |
store.policy.azure.us |
HTTPS:443 |
Cette adresse est utilisée pour extraire les artefacts Gatekeeper de stratégies intégrées. |
Module complémentaire d’analyse des coûts AKS
Règles de nom FQDN/d’application requises
| FQDN | Port | Utilisation |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Gouvernement Azure) management.chinacloudapi.cn (Azure géré par 21Vianet) |
HTTPS:443 |
Obligatoire pour les opérations Kubernetes sur l’API Azure. |
login.microsoftonline.com login.microsoftonline.us (Gouvernement Azure) login.microsoftonline.cn (Azure géré par 21Vianet) |
HTTPS:443 |
Obligatoire pour l’authentification Microsoft Entra ID. |
Extensions de cluster
Règles de nom FQDN/d’application requises
| FQDN | Port | Utilisation |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Cette adresse est utilisée pour récupérer les informations de configuration du service Extensions du cluster et de l’état de l’extension de rapport jusqu’au service. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Cette adresse est nécessaire pour extraire les images conteneur pour l’installation des agents d’extension de cluster sur le cluster AKS. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Cette adresse est nécessaire pour extraire des images de conteneur pour l’installation des extensions du marketplace sur un cluster AKS. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Cette adresse concerne le point de terminaison de données régional de l’Inde centrale et est requise pour extraire des images de conteneurs afin d’installer des extensions de marché sur le cluster AKS. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Cette adresse concerne le point de terminaison de données régional de l’est du Japon et est requise pour extraire des images de conteneur afin d’installer des extensions de marché sur le cluster AKS. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Cette adresse est destinée au point de terminaison de données régional West US2 et est requise pour extraire des images de conteneur afin d'installer des extensions de marché sur le cluster AKS. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Cette adresse est destinée au point de terminaison de données régional d'Europe de l'Ouest et est requise pour extraire des images de conteneur afin d'installer des extensions de marché sur le cluster AKS. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Cette adresse concerne le point de terminaison de données régional de l’Est des États-Unis et est requise pour extraire des images de conteneur afin d’installer des extensions de marché sur le cluster AKS. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Cette adresse est utilisée pour envoyer des données de métriques d’agents vers Azure. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Cette adresse est utilisée pour envoyer une utilisation personnalisée basée sur un compteur à l’API de contrôle du commerce. |
Règles de nom FQDN/d’application requises pour Azure US Government
| FQDN | Port | Utilisation |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Cette adresse est utilisée pour récupérer les informations de configuration du service Extensions du cluster et de l’état de l’extension de rapport jusqu’au service. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Cette adresse est nécessaire pour extraire les images conteneur pour l’installation des agents d’extension de cluster sur le cluster AKS. |
Notes
Les exigences de base couvrent tous les modules complémentaires qui ne sont pas explicitement indiqués ici.
Étapes suivantes
Dans cet article, vous avez découvert les ports et adresses à autoriser pour limiter le trafic de sortie du cluster.
Si vous souhaitez limiter la communication entre les pods et le trafic Est-Ouest au sein du cluster, consultez Sécurisation du trafic entre les pods à l’aide de stratégies réseau dans AKS.
Collaborer avec nous sur GitHub
La source de ce contenu se trouve sur GitHub, où vous pouvez également créer et examiner les problèmes et les demandes de tirage (pull requests). Pour plus d’informations, consultez notre guide du contributeur.
Azure Kubernetes Service