Requisitos de red de Kubernetes habilitado para Azure Arc
Artigo
En este tema se describen los requisitos de red para conectar un clúster de Kubernetes a Azure Arc y admitir varios escenarios de Kubernetes habilitados para Arc.
Detalles
Por lo general, los requisitos de conectividad incluyen estos principios:
Todas las conexiones son TCP a menos que se especifique lo contrario.
Todas las conexiones HTTP usan HTTPS y SSL/TLS con certificados firmados oficialmente y verificables.
Todas las conexiones son salientes a menos que se especifique lo contrario.
Para utilizar un proxy, compruebe que los agentes y la máquina que realiza el proceso de incorporación cumplen los requisitos de red indicados en este artículo.
Los agentes de Azure Arc necesitan las siguientes direcciones URL de salida en https://:443 para funcionar:
Para *.servicebus.windows.net, los websockets deben estar habilitados para el acceso saliente en el firewall y el proxy.
Punto de conexión (DNS)
Descripción
https://management.azure.com
Necesario para que el agente se conecte a Azure y registre el clúster.
Necesario para extraer imágenes de contenedor para agentes de Azure Arc.
https://gbl.his.arc.azure.com
Necesario para obtener el punto de conexión regional para extraer los certificados de la identidad administrada asignada por el sistema.
https://*.his.arc.azure.com
Necesario para extraer certificados de identidad administrados que haya asignado el sistema.
https://k8connecthelm.azureedge.net
az connectedk8s connect usa Helm 3 para implementar agentes de Azure Arc en el clúster de Kubernetes. Este punto de conexión es necesario para que el cliente de Helm descargue para facilitar la implementación del gráfico de Helm del agente.
Para convertir el carácter comodín *.servicebus.windows.net en puntos de conexión específicos, use el comando:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
Para obtener el segmento de región de un punto de conexión regional, quite todos los espacios del nombre de la región de Azure. Por ejemplo, en la región Este de EE. UU. 2, el nombre de la región es eastus2.
Por ejemplo: *.<region>.arcdataservices.com debe ser *.eastus2.arcdataservices.com en la región Este de EE. UU. 2.
Para ver una lista de todas las regiones, ejecute este comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Importante
Los agentes de Azure Arc necesitan las siguientes direcciones URL de salida en https://:443 para funcionar:
Para *.servicebus.usgovcloudapi.net, los websockets deben estar habilitados para el acceso saliente en el firewall y el proxy.
Punto de conexión (DNS)
Descripción
https://management.usgovcloudapi.net
Necesario para que el agente se conecte a Azure y registre el clúster.
Necesario para extraer imágenes de contenedor para agentes de Azure Arc.
https://gbl.his.arc.azure.us
Necesario para obtener el punto de conexión regional para extraer los certificados de la identidad administrada asignada por el sistema.
https://usgv.his.arc.azure.us
Necesario para extraer certificados de identidad administrados que haya asignado el sistema.
https://k8connecthelm.azureedge.net
az connectedk8s connect usa Helm 3 para implementar agentes de Azure Arc en el clúster de Kubernetes. Este punto de conexión es necesario para que el cliente de Helm descargue para facilitar la implementación del gráfico de Helm del agente.
Para convertir el carácter comodín *.servicebus.usgovcloudapi.net en puntos de conexión específicos, use el comando:
GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&location=region
Para obtener el segmento de región de un punto de conexión regional, quite todos los espacios del nombre de la región de Azure. Por ejemplo, en la región Este de EE. UU. 2, el nombre de la región es eastus2.
Por ejemplo: *.<region>.arcdataservices.com debe ser *.eastus2.arcdataservices.com en la región Este de EE. UU. 2.
Para ver una lista de todas las regiones, ejecute este comando:
az account list-locations -o table
Get-AzLocation | Format-Table
Importante
Los agentes de Azure Arc necesitan las siguientes direcciones URL de salida en https://:443 para funcionar:
Para *.servicebus.chinacloudapi.cn, los websockets deben estar habilitados para el acceso saliente en el firewall y el proxy.
Punto de conexión (DNS)
Descripción
https://management.chinacloudapi.cn
Necesario para que el agente se conecte a Azure y registre el clúster.
Necesario para capturar y actualizar tokens de Azure Resource Manager.
mcr.azk8s.cn
Necesario para extraer imágenes de contenedor para agentes de Azure Arc.
https://gbl.his.arc.azure.cn
Necesario para obtener el punto de conexión regional para extraer los certificados de la identidad administrada asignada por el sistema.
https://*.his.arc.azure.cn
Necesario para extraer certificados de identidad administrados que haya asignado el sistema.
https://k8connecthelm.azureedge.net
az connectedk8s connect usa Helm 3 para implementar agentes de Azure Arc en el clúster de Kubernetes. Este punto de conexión es necesario para que el cliente de Helm descargue para facilitar la implementación del gráfico de Helm del agente.
Servidores proxy de Registro de contenedor para máquinas virtuales de Azure China.
Puntos de conexión adicionales
En función de su escenario, es posible que necesite conectividad con otras direcciones URL, como las que usa Azure Portal, las herramientas de administración u otros servicios de Azure. En concreto, revise estas listas para asegurarse de que permite la conectividad a los puntos de conexión necesarios:
Para obtener una lista completa de los requisitos de red para las características de Azure Arc y los servicios habilitados para Azure Arc, consulte Requisitos de red de Azure Arc.