Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit les détails nécessaires qui vous permettent de sécuriser le trafic sortant à partir d’Azure Kubernetes Service (AKS). Il contient les exigences de cluster pour un déploiement AKS de base et des exigences supplémentaires pour les compléments et fonctionnalités facultatifs. Vous pouvez appliquer ces informations à n’importe quelle méthode ou appliance de restriction sortante.
Pour voir un exemple de configuration à l’aide du Pare-feu Azure, visitez Contrôler le trafic sortant à l'aide du Pare-feu Azure dans AKS.
Contexte
Les clusters AKS sont déployés sur un réseau virtuel. Ce réseau peut être personnalisé et préconfiguré par vous ou il peut être créé et géré par AKS. Dans les deux cas, le cluster a des dépendances sortantes ou sortantes, des dépendances sur les services en dehors du réseau virtuel.
À des fins de gestion et d’exploitation, les nœuds d’un cluster AKS doivent accéder à certains ports et noms de domaine complets (FQDN). Ces points de terminaison sont requis pour que les nœuds communiquent avec le serveur d’API ou téléchargent et installent les composants de cluster Kubernetes principaux et les mises à jour de sécurité des nœuds. Par exemple, le cluster doit extraire des images conteneur à partir de Microsoft Artifact Registry (MAR).
Les dépendances sortantes de l'AKS sont presque entièrement définies avec des FQDN, qui n'ont pas d'adresses statiques derrière. L’absence d’adresses statiques signifie que vous ne pouvez pas utiliser de groupes de sécurité réseau (NSG) pour verrouiller le trafic sortant à partir d’un cluster AKS.
Par défaut, les clusters AKS disposent d’un accès Internet sortant sans restriction. Ce niveau d’accès réseau permet aux nœuds et services que vous exécutez d’accéder aux ressources externes en fonction des besoins. Si vous souhaitez restreindre le trafic de sortie, un nombre limité de ports et adresses doit être accessible afin de gérer les tâches de maintenance d’intégrité du cluster.
Un cluster AKS isolé de réseau fournit la solution la plus simple et la plus sécurisée pour configurer des restrictions sortantes pour un cluster hors connexion. Un cluster isolé réseau extrait les images des composants de cluster et des modules complémentaires à partir d’une instance Azure Container Registry (ACR) privée connectée au cluster au lieu d’extraire de MAR. Si les images ne sont pas présentes, l’instance d’ACR privée les extrait de MAR, et les met à disposition via son point de terminaison privé, ce qui évite d’activer la sortie du cluster vers le point de terminaison MAR public. L’opérateur de cluster peut ensuite configurer de manière incrémentielle le trafic sortant autorisé en toute sécurité sur un réseau privé pour chaque scénario qu’il souhaite activer. Ainsi, les opérateurs de cluster ont un contrôle total sur la conception du trafic sortant autorisé à partir de leurs clusters dès le début, ce qui leur permet de réduire le risque d’exfiltration des données.
Une autre solution pour sécuriser les adresses sortantes consiste à utiliser un appareil de pare-feu capable de contrôler le trafic sortant en fonction des noms de domaine. Le Pare-feu Azure peut restreindre le trafic HTTP et HTTPS sortant en fonction du nom de domaine complet de la destination. Vous pouvez également configurer les règles de pare-feu et de sécurité de votre choix pour autoriser ces ports et adresses requis.
Important
Ce document explique uniquement comment verrouiller le trafic quittant le sous-réseau AKS. AKS n’a pas de conditions d’entrée par défaut. Le blocage du trafic de sous-réseau interne à l’aide de groupes de sécurité réseau (NSG) et des pare-feu n’est pas pris en charge. Pour contrôler et bloquer le trafic au sein du cluster, consultez Sécuriser le trafic entre les pods à l’aide de stratégies réseau dans AKS.
Règles de réseau sortant requises et noms de domaine complets pour les clusters AKS
Les règles de réseau et de nom de domaine complet/d’application suivantes sont requises pour un cluster AKS. Vous pouvez les utiliser si vous souhaitez configurer une solution autre qu’Azure Firewall.
- Les dépendances d’adresse IP concernent le trafic non HTTP/S (trafic TCP et UDP).
- Les points de terminaison HTTP/HTTPS avec des noms FQDN peuvent être placés dans votre dispositif de pare-feu.
- Les points de terminaison HTTP/HTTPS génériques sont des dépendances qui peuvent varier avec votre cluster AKS en fonction d’un certain nombre de qualificateurs.
- AKS utilise un contrôleur d’admission pour injecter le nom de domaine complet en tant que variable d’environnement pour tous les déploiements sous kube-system et gatekeeper-system. Cela garantit que toutes les communications système entre les nœuds et le serveur d’API utilisent le nom de domaine complet du serveur d’API et non l’adresse IP du serveur d’API. Vous pouvez obtenir le même comportement sur vos propres pods, dans n’importe quel espace de noms, en annotant la spécification de pod avec une annotation nommée
kubernetes.azure.com/set-kube-service-host-fqdn. Si cette annotation est présente, AKS définit la variable KUBERNETES_SERVICE_HOST sur le nom de domaine du serveur d’API au lieu de l’adresse IP du service en cluster. Cela est utile dans les cas où la sortie du cluster est via un pare-feu de couche 7. - Si vous disposez d’une application ou d’une solution qui doit communiquer avec le serveur d’API, vous devez ajouter une règle réseau supplémentaire pour autoriser la communication TCP au port 443 de l’adresse IP de votre serveur d’APIOU si vous disposez d’un pare-feu de couche 7 configuré pour autoriser le trafic vers le nom de domaine du serveur d’API, défini
kubernetes.azure.com/set-kube-service-host-fqdndans les spécifications de votre pod. - Dans de rares cas, s’il existe une opération de maintenance, l’adresse IP de votre serveur d’API peut changer. Les opérations de maintenance planifiées qui peuvent modifier l’adresse IP du serveur d’API sont toujours communiquées à l’avance.
- Vous remarquerez peut-être le trafic vers le point de terminaison « md-*.blob.storage.azure.net ». Ce point de terminaison est utilisé pour les composants internes des disques managés Azure. Le blocage de l’accès à ce point de terminaison à partir de votre pare-feu ne doit pas provoquer de problèmes.
- Vous remarquerez peut-être le trafic vers le point de terminaison « umsa*.blob.core.windows.net ». Ce point de terminaison est utilisé pour stocker des manifestes pour l’agent et les extensions de machine virtuelle Linux Azure et est régulièrement vérifié pour télécharger de nouvelles versions. Vous trouverez plus d’informations sur les extensions de machine virtuelle.
Règles de réseau requises pour Azure Global
| Point de terminaison de destination | Protocole | Port | Utiliser |
|---|---|---|---|
*:1194 Ou ServiceTag - AzureCloud.<Region>:1194 Ou CIDR régionaux - RegionCIDRs:1194 Ou APIServerPublicIP:1194(only known after cluster creation) |
UDP (User Datagram Protocol) | 1194 | Pour la communication sécurisée tunnelée entre les nœuds et le plan de contrôle. Cela n’est pas nécessaire pour les clusters privés ou pour les clusters avec l’agent konnectivity activé . |
*:9000 Ou ServiceTag - AzureCloud.<Region>:9000 Ou CIDR régionaux - RegionCIDRs:9000 Ou APIServerPublicIP:9000(only known after cluster creation) |
TCP | 9 000 | Pour la communication sécurisée tunnelée entre les nœuds et le plan de contrôle. Cela n’est pas nécessaire pour les clusters privés ou pour les clusters avec l’agent konnectivity activé . |
*:123 ou ntp.ubuntu.com:123 (si vous utilisez des règles de réseau de pare-feu Azure) |
UDP (User Datagram Protocol) | 123 | Obligatoire pour la synchronisation de temps NTP (Network Time Protocol) sur les nœuds Linux. Cela n’est pas nécessaire pour les nœuds provisionnés après mars 2021. |
CustomDNSIP:53(if using custom DNS servers) |
UDP (User Datagram Protocol) | 53 | Si vous utilisez des serveurs DNS personnalisés, vous devez vous assurer qu’ils sont accessibles par les nœuds de cluster. |
APIServerPublicIP:443(if running pods/deployments, like Ingress Controller, that access the API Server) |
TCP | 443 | Obligatoire si vous exécutez des pods/déploiements qui accèdent au serveur d’API (comme le contrôleur d’entrée), ces pods/déploiements utilisent l’adresse IP de l’API. Ce port n’est pas requis pour les clusters privés. |
Règles de nom FQDN/d’application requises pour Azure Global
| Nom FQDN de destination | Port | Utiliser |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Obligatoire pour la communication avec le serveur API de Node <->. Remplacez <l’emplacement> par la région où votre cluster AKS est déployé. Cela est nécessaire pour les clusters avec konnectivity-agent activé. Konnectivity utilise également Application-Layer Protocol Negotiation (ALPN) pour communiquer entre l’agent et le serveur. Le blocage ou la réécriture de l’extension ALPN entraîne une défaillance. Cela n’est pas nécessaire pour les clusters privés. |
mcr.microsoft.com |
HTTPS:443 |
Requis pour accéder aux images dans Microsoft Container Registry (MCR). Ce registre contient des images/diagrammes de première partie (par exemple, coreDNS, etc.). Ces images sont requises pour la création et le fonctionnement corrects du cluster, notamment les opérations de mise à l’échelle et de mise à niveau. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Requis pour le stockage MCR soutenu par le réseau de distribution de contenu Azure (CDN). |
management.azure.com |
HTTPS:443 |
Requis pour les opérations Kubernetes sur l’API Azure. |
login.microsoftonline.com |
HTTPS:443 |
Obligatoire pour l’authentification Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Cette adresse est le référentiel de packages Microsoft utilisé pour les opérations apt-get mises en cache. Les exemples de packages incluent Moby, PowerShell et Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Cette adresse concerne le référentiel requis pour télécharger et installer les fichiers binaires requis, tels que kubenet et Azure CNI. |
packages.aks.azure.com |
HTTPS:443 |
Cette adresse sera remplacée acs-mirror.azureedge.net à l’avenir et sera utilisée pour télécharger et installer les fichiers binaires Kubernetes et Azure CNI requis. |
Règles de réseau requises par Microsoft Azure géré par 21Vianet
| Point de terminaison de destination | Protocole | Port | Utiliser |
|---|---|---|---|
*:1194 Ou ServiceTag - AzureCloud.Region:1194 Ou CIDR régionaux - RegionCIDRs:1194 Ou APIServerPublicIP:1194(only known after cluster creation) |
UDP (User Datagram Protocol) | 1194 | Pour la communication sécurisée tunnelée entre les nœuds et le plan de contrôle. |
*:9000 Ou ServiceTag - AzureCloud.<Region>:9000 Ou CIDR régionaux - RegionCIDRs:9000 Ou APIServerPublicIP:9000(only known after cluster creation) |
TCP | 9 000 | Pour la communication sécurisée tunnelée entre les nœuds et le plan de contrôle. |
*:22 Ou ServiceTag - AzureCloud.<Region>:22 Ou CIDR régionaux - RegionCIDRs:22 Ou APIServerPublicIP:22(only known after cluster creation) |
TCP | 22 | Pour la communication sécurisée tunnelée entre les nœuds et le plan de contrôle. |
*:123 ou ntp.ubuntu.com:123 (si vous utilisez des règles de réseau de pare-feu Azure) |
UDP (User Datagram Protocol) | 123 | Obligatoire pour la synchronisation de temps NTP (Network Time Protocol) sur les nœuds Linux. |
CustomDNSIP:53(if using custom DNS servers) |
UDP (User Datagram Protocol) | 53 | Si vous utilisez des serveurs DNS personnalisés, vous devez vous assurer qu’ils sont accessibles par les nœuds de cluster. |
APIServerPublicIP:443(if running pods/deployments, like Ingress Controller, that access the API Server) |
TCP | 443 | Obligatoire si vous exécutez des pods/déploiements qui accèdent au serveur d’API (comme le contrôleur d’entrée), ces pods/déploiements utilisent l’adresse IP de l’API. |
Règles FQDN / d’application requises par Microsoft Azure géré par 21Vianet
| Nom FQDN de destination | Port | Utiliser |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Obligatoire pour la communication entre le serveur d’API Node <->. Remplacez <l’emplacement> par la région où votre cluster AKS est déployé. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Obligatoire pour la communication entre Node <-> et le serveur d’API. Remplacez <l’emplacement> par la région où votre cluster AKS est déployé. |
mcr.microsoft.com |
HTTPS:443 |
Requis pour accéder aux images dans Microsoft Container Registry (MCR). Ce registre contient des images/graphiques internes (par exemple, CoreDNS), Ces images sont requises pour la création et le fonctionnement corrects du cluster, notamment les opérations de mise à l’échelle et de mise à niveau. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Requis pour le stockage MCR soutenu par le réseau de distribution de contenu Azure (CDN). |
management.chinacloudapi.cn |
HTTPS:443 |
Requis pour les opérations Kubernetes sur l’API Azure. |
login.chinacloudapi.cn |
HTTPS:443 |
Obligatoire pour l’authentification Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Cette adresse est le référentiel de packages Microsoft utilisé pour les opérations apt-get mises en cache. Les exemples de packages incluent Moby, PowerShell et Azure CLI. |
*.azk8s.cn |
HTTPS:443 |
Cette adresse concerne le référentiel requis pour télécharger et installer les fichiers binaires requis, tels que kubenet et Azure CNI. |
mcr.azure.cn, *.data.mcr.azure.cn |
HTTPS:443 |
Requis pour accéder aux images Microsoft Container Registry (MCR) dans le cloud chinois (Mooncake). Ce registre sert de cache pour mcr.microsoft.com avec une fiabilité et des performances améliorées. |
Règles réseau requises par Azure US Government
| Point de terminaison de destination | Protocole | Port | Utiliser |
|---|---|---|---|
*:1194 Ou ServiceTag - AzureCloud.<Region>:1194 Ou CIDR régionaux - RegionCIDRs:1194 Ou APIServerPublicIP:1194(only known after cluster creation) |
UDP (User Datagram Protocol) | 1194 | Pour la communication sécurisée tunnelée entre les nœuds et le plan de contrôle. |
*:9000 Ou ServiceTag - AzureCloud.<Region>:9000 Ou CIDR régionaux - RegionCIDRs:9000 Ou APIServerPublicIP:9000(only known after cluster creation) |
TCP | 9 000 | Pour la communication sécurisée tunnelée entre les nœuds et le plan de contrôle. |
*:123 ou ntp.ubuntu.com:123 (si vous utilisez des règles de réseau de pare-feu Azure) |
UDP (User Datagram Protocol) | 123 | Obligatoire pour la synchronisation de temps NTP (Network Time Protocol) sur les nœuds Linux. |
CustomDNSIP:53(if using custom DNS servers) |
UDP (User Datagram Protocol) | 53 | Si vous utilisez des serveurs DNS personnalisés, vous devez vous assurer qu’ils sont accessibles par les nœuds de cluster. |
APIServerPublicIP:443(if running pods/deployments, like Ingress Controller, that access the API Server) |
TCP | 443 | Obligatoire si vous exécutez des pods/déploiements qui accèdent au serveur d’API (comme le contrôleur d’entrée), ces pods/déploiements utilisent l’adresse IP de l’API. |
Règles de noms de domaine entièrement qualifiés et d’application requises par Azure pour le gouvernement des États-Unis
| Nom FQDN de destination | Port | Utiliser |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Obligatoire pour la communication avec le serveur API de Node <->. Remplacez <l’emplacement> par la région où votre cluster AKS est déployé. |
mcr.microsoft.com |
HTTPS:443 |
Requis pour accéder aux images dans Microsoft Container Registry (MCR). Ce registre contient des images/diagrammes de première partie (par exemple, coreDNS, etc.). Ces images sont requises pour la création et le fonctionnement corrects du cluster, notamment les opérations de mise à l’échelle et de mise à niveau. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Requis pour le stockage MCR soutenu par le réseau de distribution de contenu Azure (CDN). |
management.usgovcloudapi.net |
HTTPS:443 |
Requis pour les opérations Kubernetes sur l’API Azure. |
login.microsoftonline.us |
HTTPS:443 |
Obligatoire pour l’authentification Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Cette adresse est le référentiel de packages Microsoft utilisé pour les opérations apt-get mises en cache. Les exemples de packages incluent Moby, PowerShell et Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Cette adresse concerne le référentiel requis pour installer les fichiers binaires requis, tels que kubenet et Azure CNI. |
packages.aks.azure.com |
HTTPS:443 |
Cette adresse sera remplacée acs-mirror.azureedge.net à l’avenir et sera utilisée pour télécharger et installer les fichiers binaires Kubernetes et Azure CNI requis. |
Règles de nom de domaine complet (FQDN) et règles applicatives recommandées facultatives pour les clusters AKS
Les règles de domaine complet/d’application suivantes ne sont pas requises, mais sont recommandées pour les clusters AKS :
| Nom FQDN de destination | Port | Utiliser |
|---|---|---|
security.ubuntu.com, azure.archive.ubuntu.com, changelogs.ubuntu.com |
HTTP:80 |
Cette adresse permet aux nœuds de cluster Linux de télécharger les correctifs et mises à jour de sécurité requis. |
snapshot.ubuntu.com |
HTTPS:443 |
Cette adresse permet aux nœuds de cluster Linux de télécharger les correctifs de sécurité et les mises à jour requis à partir du service d’instantané Ubuntu. |
Si vous choisissez de bloquer/ne pas autoriser ces noms de domaine complets, les nœuds reçoivent uniquement les mises à jour du système d’exploitation lorsque vous effectuez une mise à niveau d’image de nœud ou une mise à niveau de cluster. N’oubliez pas que les mises à niveau d’images de nœud sont également fournies avec des packages mis à jour, notamment des correctifs de sécurité.
Règles de nom de domaine complet/d’application requises pour des clusters AKS avec GPU
| Nom FQDN de destination | Port | Utiliser |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Cette adresse est utilisée pour l’installation et l’opération correctes du pilote sur les nœuds basés sur GPU. |
us.download.nvidia.com |
HTTPS:443 |
Cette adresse est utilisée pour l’installation et l’opération correctes du pilote sur les nœuds basés sur GPU. |
download.docker.com |
HTTPS:443 |
Cette adresse est utilisée pour l’installation et l’opération correctes du pilote sur les nœuds basés sur GPU. |
Les pools de nœuds basés sur Windows Server nécessitent des règles de nom de domaine complet et d'application.
| Nom FQDN de destination | Port | Utiliser |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Pour installer des fichiers binaires liés à Windows |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Pour installer des fichiers binaires liés à Windows |
Si vous choisissez de bloquer/ne pas autoriser ces noms de domaine complets, les nœuds reçoivent uniquement les mises à jour du système d’exploitation lorsque vous effectuez une mise à niveau d’image de nœud ou une mise à niveau de cluster. N’oubliez pas que les mises à niveau d’image de nœud sont également fournies avec des packages mis à jour, y compris des correctifs de sécurité.
Fonctionnalités, compléments et intégrations AKS
Identité de charge de travail
Règles de nom de domaine complet/d’application requises
| Nom FQDN de destination | Port | Utiliser |
|---|---|---|
login.microsoftonline.com ou login.chinacloudapi.cn ou login.microsoftonline.us |
HTTPS:443 |
Obligatoire pour l’authentification Microsoft Entra. |
Microsoft Defender pour conteneurs
Règles de nom de domaine complet/d’application requises
| nom de domaine pleinement qualifié (FQDN) | Port | Utiliser |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Gouvernement Azure) login.microsoftonline.cn (Azure géré par 21Vianet) |
HTTPS:443 |
Obligatoire pour l’authentification Microsoft Entra. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Gouvernement Azure) *.ods.opinsights.azure.cn (Azure géré par 21Vianet) |
HTTPS:443 |
Requis pour que Microsoft Defender charge les événements de sécurité dans le cloud. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Gouvernement Azure) *.oms.opinsights.azure.cn (Azure géré par 21Vianet) |
HTTPS:443 |
Requis pour s’authentifier auprès des espaces de travail Log Analytics. |
Fournisseur Azure Key Vault pour Secrets Store CSI Driver
Si vous utilisez des clusters isolés réseau, il est recommandé de configurer un point de terminaison privé pour accéder à Azure Key Vault.
Si votre cluster a un routage défini par l’utilisateur de type sortant et un pare-feu Azure, les règles réseau et les règles d’application suivantes s’appliquent :
Règles de nom de domaine complet/d’application requises
| nom de domaine pleinement qualifié (FQDN) | Port | Utiliser |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Requis pour que les pods du module complémentaire CSI Secret Store communiquent avec le serveur Azure KeyVault. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Requis pour que les pods du module complémentaire CSI Secret Store communiquent avec le serveur Azure KeyVault dans Azure Government. |
Azure Monitor - Prometheus managé, Container Insights et Azure Monitor Application Insights Autoinstrumentation
Si vous utilisez des clusters isolés réseau, il est recommandé de configurer l’ingestion basée sur un point de terminaison privé, qui est prise en charge pour Managed Prometheus (espace de travail Azure Monitor), Container Insights (espace de travail Log Analytics) et l’autoinstrumentation d’Azure Monitor Application Insights (ressource Application Insights).
Si votre cluster a un routage défini par l’utilisateur de type sortant et un pare-feu Azure, les règles réseau et les règles d’application suivantes s’appliquent :
Règles réseau requises
| Point de terminaison de destination | Protocole | Port | Utiliser |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Ce point de terminaison est utilisé pour envoyer les données de métriques et des journaux à Azure Monitor et à Log Analytics. |
Les règles de nom de domaine entièrement qualifié (FQDN) et d'application sont requises pour le cloud public Azure.
| Point de terminaison | Objectif | Port |
|---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.in.applicationinsights.azure.com |
Autoinstrumentation d’Application Insights. Pour limiter l'étendue, cela peut être modifié afin de n'autoriser que les points de terminaison dans les chaînes de connexion pour les ressources de destination. | 443 |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
Service de contrôle d'accès | 443 |
*.ingest.monitor.azure.com |
Container Insights : point de terminaison d’ingestion des journaux (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
Service managé Azure Monitor pour Prometheus - point de terminaison d’ingestion des métriques (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
Récupérer (fetch) les règles de collecte de données d’un cluster spécifique | 443 |
Microsoft Azure exploitée par le nuage 21Vianet nécessite un nom de domaine complet ainsi que des règles d'application.
| Point de terminaison | Objectif | Port |
|---|---|---|
*.ods.opinsights.azure.cn |
Ingestion des données | 443 |
*.oms.opinsights.azure.cn |
Intégration de l’agent Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
Pour la télémétrie de l’agent qui utilise Azure Public Cloud Application Insights | 443 |
*.in.applicationinsights.azure.com |
Autoinstrumentation d’Application Insights. Pour limiter la portée, cela peut être modifié pour n’autoriser que les points de terminaison dans les chaînes de connexion des ressources de destination. | 443 |
global.handler.control.monitor.azure.cn |
Service de contrôle d'accès | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
Récupérer (fetch) les règles de collecte de données d’un cluster spécifique | 443 |
*.ingest.monitor.azure.cn |
Container Insights : point de terminaison d’ingestion des journaux (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
Service managé Azure Monitor pour Prometheus - point de terminaison d’ingestion des métriques (DCE) | 443 |
Règles FQDN / d’application requises pour le cloud Azure Government
| Point de terminaison | Objectif | Port |
|---|---|---|
*.ods.opinsights.azure.us |
Ingestion des données | 443 |
*.oms.opinsights.azure.us |
Intégration de l’agent Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
Pour la télémétrie de l’agent qui utilise Azure Public Cloud Application Insights | 443 |
*.in.applicationinsights.azure.com |
Autoinstrumentation d’Application Insights. Pour limiter l’étendue, il est possible de le modifier afin de n'autoriser que les points de terminaison dans les chaînes de connexion pour les ressources de destination. | 443 |
global.handler.control.monitor.azure.us |
Service de contrôle d'accès | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
Récupérer (fetch) les règles de collecte de données d’un cluster spécifique | 443 |
*.ingest.monitor.azure.us |
Container Insights : point de terminaison d’ingestion des journaux (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
Service managé Azure Monitor pour Prometheus - point de terminaison d’ingestion des métriques (DCE) | 443 |
Azure Policy
Règles de nom de domaine complet/d’application requises
| nom de domaine pleinement qualifié (FQDN) | Port | Utiliser |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Cette adresse est utilisée pour extraire les stratégies Kubernetes et signaler l’état de conformité du cluster au service de stratégie. |
store.policy.core.windows.net |
HTTPS:443 |
Cette adresse est utilisée pour extraire les artefacts Gatekeeper de stratégies intégrées. |
dc.services.visualstudio.com |
HTTPS:443 |
Module complémentaire Azure Policy qui envoie des données de télémétrie au point de terminaison Applications Insights. |
Règles FQDN / d’application requises par Microsoft Azure géré par 21Vianet
| nom de domaine pleinement qualifié (FQDN) | Port | Utiliser |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Cette adresse est utilisée pour extraire les stratégies Kubernetes et signaler l’état de conformité du cluster au service de stratégie. |
store.policy.azure.cn |
HTTPS:443 |
Cette adresse est utilisée pour extraire les artefacts Gatekeeper de stratégies intégrées. |
Règles de noms de domaine entièrement qualifiés et d’application requises par Azure pour le gouvernement des États-Unis
| nom de domaine pleinement qualifié (FQDN) | Port | Utiliser |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Cette adresse est utilisée pour extraire les stratégies Kubernetes et signaler l’état de conformité du cluster au service de stratégie. |
store.policy.azure.us |
HTTPS:443 |
Cette adresse est utilisée pour extraire les artefacts Gatekeeper de stratégies intégrées. |
Module complémentaire d’analyse des coûts AKS
Règles de nom de domaine complet/d’application requises
| nom de domaine pleinement qualifié (FQDN) | Port | Utiliser |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Gouvernement Azure) management.chinacloudapi.cn (Azure géré par 21Vianet) |
HTTPS:443 |
Requis pour les opérations Kubernetes sur l’API Azure. |
login.microsoftonline.com login.microsoftonline.us (Gouvernement Azure) login.microsoftonline.cn (Azure géré par 21Vianet) |
HTTPS:443 |
Obligatoire pour l’authentification d’ID Microsoft Entra. |
Extensions de cluster
Règles de nom de domaine complet/d’application requises
| nom de domaine pleinement qualifié (FQDN) | Port | Utiliser |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Cette adresse est utilisée pour extraire les informations de configuration du service Extensions de cluster et signaler l’état de l’extension au service. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Cette adresse est nécessaire pour extraire des images conteneur pour installer des agents d’extension de cluster sur un cluster AKS. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Cette adresse est nécessaire pour extraire des images de conteneurs pour installer des extensions du Marketplace sur un cluster d'AKS. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Cette adresse concerne le point de terminaison de données régional de l’Inde centrale et est nécessaire pour extraire des images conteneur pour installer des extensions de place de marché sur un cluster AKS. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Cette adresse concerne le point de terminaison de données régional du Japon Est et est nécessaire pour extraire des images conteneur pour installer des extensions de place de marché sur un cluster AKS. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Cette adresse est destinée au point de terminaison de données régional Ouest US2 et est nécessaire pour extraire des images de conteneur afin d'installer des extensions du Marketplace sur un cluster AKS. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Cette adresse concerne le point de terminaison de données régional Europe Ouest et est nécessaire pour récupérer des images de conteneur afin d'installer des extensions de place de marché sur un cluster AKS. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Cette adresse est celle du point de terminaison de données régional pour l'Est des États-Unis et est nécessaire pour télécharger des images de conteneur afin d'installer des extensions marketplace sur un cluster AKS. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Cette adresse est utilisée pour envoyer des données de métriques d’agents à Azure. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Cette adresse est utilisée pour envoyer une utilisation personnalisée basée sur un compteur à l’API de contrôle du commerce. |
Règles de noms de domaine entièrement qualifiés et d’application requises par Azure pour le gouvernement des États-Unis
| nom de domaine pleinement qualifié (FQDN) | Port | Utiliser |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Cette adresse est utilisée pour extraire les informations de configuration du service Extensions de cluster et signaler l’état de l’extension au service. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Cette adresse est nécessaire pour extraire des images conteneur pour installer des agents d’extension de cluster sur un cluster AKS. |
Remarque
Pour tous les compléments qui ne sont pas explicitement indiqués ici, les exigences principales le couvrent.
Module complémentaire de maillage de services Istio
Dans le module complémentaire de maillage de services Istio=based, si vous configurez istiod avec une autorité de certification de plug-in ou si vous configurez une passerelle d’entrée sécurisée, le pilote CSI du fournisseur Azure Key Vault pour le magasin de secrets est requis pour ces fonctionnalités. La configuration réseau sortante requise pour le fournisseur du Secrets Store CSI Driver d'Azure Key Vault est disponible ici.
Module complémentaire de routage des applications
Le module complémentaire de routage d’applications prend en charge l’arrêt SSL à l’entrée avec des certificats stockés dans Azure Key Vault. La configuration réseau sortante requise pour le pilote CSI du fournisseur Azure Key Vault pour le magasin de secrets est disponible ici.
Étapes suivantes
Dans cet article, vous avez découvert les ports et adresses à autoriser pour limiter le trafic de sortie du cluster.
Si vous souhaitez limiter la communication entre les pods et le trafic Est-Ouest au sein du cluster, consultez Sécurisation du trafic entre les pods à l’aide de stratégies réseau dans AKS.
Collaborer avec nous sur GitHub
La source de ce contenu se trouve sur GitHub, où vous pouvez également créer et examiner les problèmes et les demandes de tirage (pull requests). Pour plus d’informations, consultez notre guide du contributeur.
Azure Kubernetes Service