Configuration requise pour le réseau Kubernetes compatible avec Azure Arc

Cette rubrique décrit la configuration du réseau requise pour connecter un cluster Kubernetes à Azure Arc et prendre en charge différents scénarios Kubernetes avec Arc.

Détails

En règle générale, les exigences de connectivité incluent les principes suivants :

• Toutes les connexions sont TCP, sauf indication contraire.
• Toutes les connexions HTTP utilisent HTTPS et SSL/TLS avec des certificats officiellement signés et vérifiables.
• Toutes les connexions sont sortantes, sauf indication contraire.

Pour utiliser un proxy, vérifiez que les agents et l’ordinateur effectuant le processus d’intégration répondent aux exigences réseau requises dans cet article.

Cloud Azure

Important

Les agents Azure Arc nécessitent les URL sortantes suivantes sur https://:443 pour fonctionner. En ce qui concerne *.servicebus.windows.net, les WebSockets doivent être activés pour l’accès sortant sur le pare-feu et le proxy.

Point de terminaison (DNS)	Description
https://management.azure.com	Requis pour que l’agent se connecte à Azure et inscrive le cluster.
https://<region>.dp.kubernetesconfiguration.azure.com	Point de terminaison du plan de données permettant à l’agent d’envoyer (push) le statut et de récupérer (fetch) les informations de configuration.
https://login.microsoftonline.com https://<region>.login.microsoft.com login.windows.net	Requis pour extraire et mettre à jour des jetons Azure Resource Manager.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Requis pour extraire des images conteneurs pour les agents Azure Arc.
https://gbl.his.arc.azure.com	Requis pour obtenir le point de terminaison régional pour l’extraction des certificats d’identité managée affectée par le système.
https://*.his.arc.azure.com	Nécessaire pour tirer (pull) les certificats d’identité managée affectée par le système.
https://k8connecthelm.azureedge.net	az connectedk8s connect utilise Helm 3 pour déployer des agents Azure Arc sur le cluster Kubernetes. Ce point de terminaison est nécessaire pour le téléchargement du client Helm afin de faciliter le déploiement du graphique Helm de l’agent.
guestnotificationservice.azure.com *.guestnotificationservice.azure.com sts.windows.net https://k8sconnectcsp.azureedge.net	Pour les scénarios basés sur les connexions de cluster et sur les localisations personnalisées.
*.servicebus.windows.net	Pour les scénarios basés sur les connexions de cluster et sur les localisations personnalisées.
https://graph.microsoft.com/	Obligatoire lorsque le contrôle d’accès en fonction du rôle (RBAC) Azure est configuré.
*.arc.azure.net	Requis pour gérer les clusters connectés dans le Portail Azure.
https://<region>.obo.arc.azure.com:8084/	Requis lorsque cluster Connect est configuré.
https://linuxgeneva-microsoft.azurecr.io	Obligatoire si vous utilisez des extensions Kubernetes compatibles avec Azure Arc.

Pour traduire le caractère générique *.servicebus.windows.net dans des points de terminaison spécifiques, utilisez la commande :

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Pour obtenir le segment de région d’un point de terminaison régional, supprimez tous les espaces du nom de la région Azure. Par exemple, région USA Est 2 , le nom de la région est eastus2.

Par exemple : *.<region>.arcdataservices.com doit se trouver *.eastus2.arcdataservices.com dans la région USA Est 2.

Pour afficher la liste de toutes les régions, exécutez cette commande :

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Government

Important

Les agents Azure Arc nécessitent les URL sortantes suivantes sur https://:443 pour fonctionner. En ce qui concerne *.servicebus.usgovcloudapi.net, les WebSockets doivent être activés pour l’accès sortant sur le pare-feu et le proxy.

Point de terminaison (DNS)	Description
https://management.usgovcloudapi.net	Requis pour que l’agent se connecte à Azure et inscrive le cluster.
https://<region>.dp.kubernetesconfiguration.azure.us	Point de terminaison du plan de données permettant à l’agent d’envoyer (push) le statut et de récupérer (fetch) les informations de configuration.
https://login.microsoftonline.us <region>.login.microsoftonline.us	Requis pour extraire et mettre à jour des jetons Azure Resource Manager.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Requis pour extraire des images conteneurs pour les agents Azure Arc.
https://gbl.his.arc.azure.us	Requis pour obtenir le point de terminaison régional pour l’extraction des certificats d’identité managée affectée par le système.
https://usgv.his.arc.azure.us	Nécessaire pour tirer (pull) les certificats d’identité managée affectée par le système.
https://k8connecthelm.azureedge.net	az connectedk8s connect utilise Helm 3 pour déployer des agents Azure Arc sur le cluster Kubernetes. Ce point de terminaison est nécessaire pour le téléchargement du client Helm afin de faciliter le déploiement du graphique Helm de l’agent.
guestnotificationservice.azure.us *.guestnotificationservice.azure.us sts.windows.net https://k8sconnectcsp.azureedge.net	Pour les scénarios basés sur les connexions de cluster et sur les localisations personnalisées.
*.servicebus.usgovcloudapi.net	Pour les scénarios basés sur les connexions de cluster et sur les localisations personnalisées.
https://graph.microsoft.com/	Obligatoire lorsque le contrôle d’accès en fonction du rôle (RBAC) Azure est configuré.
https://usgovvirginia.obo.arc.azure.us:8084/	Requis lorsque cluster Connect est configuré.

Pour traduire le caractère générique *.servicebus.usgovcloudapi.net dans des points de terminaison spécifiques, utilisez la commande :

GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&location=region

Pour obtenir le segment de région d’un point de terminaison régional, supprimez tous les espaces du nom de la région Azure. Par exemple, région USA Est 2 , le nom de la région est eastus2.

Par exemple : *.<region>.arcdataservices.com doit se trouver *.eastus2.arcdataservices.com dans la région USA Est 2.

Pour afficher la liste de toutes les régions, exécutez cette commande :

az account list-locations -o table

Get-AzLocation | Format-Table

Microsoft Azure géré par 21Vianet

Important

Les agents Azure Arc nécessitent les URL sortantes suivantes sur https://:443 pour fonctionner. En ce qui concerne *.servicebus.chinacloudapi.cn, les WebSockets doivent être activés pour l’accès sortant sur le pare-feu et le proxy.

Point de terminaison (DNS)	Description
https://management.chinacloudapi.cn	Requis pour que l’agent se connecte à Azure et inscrive le cluster.
https://<region>.dp.kubernetesconfiguration.azure.cn	Point de terminaison du plan de données permettant à l’agent d’envoyer (push) le statut et de récupérer (fetch) les informations de configuration.
https://login.chinacloudapi.cn https://<region>.login.chinacloudapi.cn login.partner.microsoftonline.cn	Requis pour extraire et mettre à jour des jetons Azure Resource Manager.
mcr.azk8s.cn	Requis pour extraire des images conteneurs pour les agents Azure Arc.
https://gbl.his.arc.azure.cn	Requis pour obtenir le point de terminaison régional pour l’extraction des certificats d’identité managée affectée par le système.
https://*.his.arc.azure.cn	Nécessaire pour tirer (pull) les certificats d’identité managée affectée par le système.
https://k8connecthelm.azureedge.net	az connectedk8s connect utilise Helm 3 pour déployer des agents Azure Arc sur le cluster Kubernetes. Ce point de terminaison est nécessaire pour le téléchargement du client Helm afin de faciliter le déploiement du graphique Helm de l’agent.
guestnotificationservice.azure.cn *.guestnotificationservice.azure.cn sts.chinacloudapi.cn https://k8sconnectcsp.azureedge.net	Pour les scénarios basés sur les connexions de cluster et sur les localisations personnalisées.
*.servicebus.chinacloudapi.cn	Pour les scénarios basés sur les connexions de cluster et sur les localisations personnalisées.
https://graph.chinacloudapi.cn/	Obligatoire lorsque le contrôle d’accès en fonction du rôle (RBAC) Azure est configuré.
*.arc.azure.cn	Requis pour gérer les clusters connectés dans le Portail Azure.
https://<region>.obo.arc.azure.cn:8084/	Requis lorsque cluster Connect est configuré.
quay.azk8s.cn registryk8s.azk8s.cn k8sgcr.azk8s.cn usgcr.azk8s.cn dockerhub.azk8s.cn/<repo-name>/<image-name>:<version>	Serveurs proxy de registre de conteneurs pour les machines virtuelles Azure Chine.

Points de terminaison supplémentaires

Selon votre scénario, vous devrez peut-être vous connecter à d’autres URL, telles que celles utilisées par le Portail Azure, les outils de gestion ou d’autres services Azure. En particulier, passez en revue ces listes pour vous assurer que vous autorisez la connectivité à tous les points de terminaison nécessaires :

• URLs du Portail Azure
• Points de terminaison Azure CLI pour le contournement du proxy

Pour obtenir la liste complète des exigences réseau pour les fonctionnalités Azure Arc et les services compatibles avec Azure Arc, consultez Configuration réseau requise pour Azure Arc.

Étapes suivantes

• Comprendre les exigences du système pour les Kubernetes compatibles avec Arc.
• Utilisez notre guide de démarrage rapide pour connecter votre cluster.
• Examinez les questions fréquemment posées sur Kubernetes compatible avec Arc.