Persyaratan jaringan Kubernetes dengan dukungan Azure Arc
Artikel
Topik ini menjelaskan persyaratan jaringan untuk menghubungkan kluster Kubernetes ke Azure Arc dan mendukung berbagai skenario Kubernetes dengan dukungan Arc.
Detail
Umumnya, persyaratan konektivitas mencakup prinsip-prinsip ini:
Semua koneksi adalah TCP kecuali ditentukan lain.
Semua koneksi HTTP menggunakan HTTPS dan SSL/TLS dengan sertifikat yang ditandatangani dan dapat diverifikasi secara resmi.
Semua koneksi keluar kecuali ditentukan lain.
Untuk menggunakan proksi, verifikasi bahwa agen dan mesin yang melakukan proses onboarding memenuhi persyaratan jaringan dalam artikel ini.
Agen Azure Arc memerlukan URL keluar berikut pada https://:443 agar berfungsi.
Untuk *.servicebus.windows.net, websocket perlu diaktifkan untuk akses keluar pada firewall dan proksi.
Titik akhir (DNS)
Deskripsi
https://management.azure.com
Diperlukan bagi agen untuk terhubung ke Azure dan mendaftarkan kluster.
Diperlukan untuk penarikan gambar kontainer untuk agen Azure Arc.
https://gbl.his.arc.azure.com
Diperlukan untuk mendapatkan titik akhir regional guna menarik sertifikat Identitas Layanan Terkelola yang ditetapkan sistem.
https://*.his.arc.azure.com
Diperlukan untuk penarikan sertifikat Identitas Terkelola yang ditetapkan sistem.
https://k8connecthelm.azureedge.net
az connectedk8s connect menggunakan Helm 3 untuk menyebarkan agen Azure Arc pada kluster Kubernetes. Titik akhir ini diperlukan bagi unduhan klien Helm untuk memfasilitasi penyebaran bagan helm agen.
Diperlukan jika menggunakan ekstensi Kubernetes dengan dukungan Azure Arc.
Untuk menerjemahkan *.servicebus.windows.net kartubebas ke titik akhir tertentu, gunakan perintah :
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
Untuk mendapatkan segmen wilayah titik akhir regional, hapus semua spasi dari nama wilayah Azure. Misalnya, wilayah US Timur 2 , nama wilayahnya adalah eastus2.
Misalnya: *.<region>.arcdataservices.com harus berada *.eastus2.arcdataservices.com di wilayah US Timur 2.
Untuk melihat daftar semua wilayah, jalankan perintah ini:
az account list-locations -o table
Get-AzLocation | Format-Table
Penting
Agen Azure Arc memerlukan URL keluar berikut pada https://:443 agar berfungsi.
Untuk *.servicebus.usgovcloudapi.net, websocket perlu diaktifkan untuk akses keluar pada firewall dan proksi.
Titik akhir (DNS)
Deskripsi
https://management.usgovcloudapi.net
Diperlukan bagi agen untuk terhubung ke Azure dan mendaftarkan kluster.
Diperlukan untuk penarikan gambar kontainer untuk agen Azure Arc.
https://gbl.his.arc.azure.us
Diperlukan untuk mendapatkan titik akhir regional guna menarik sertifikat Identitas Layanan Terkelola yang ditetapkan sistem.
https://usgv.his.arc.azure.us
Diperlukan untuk penarikan sertifikat Identitas Terkelola yang ditetapkan sistem.
https://k8connecthelm.azureedge.net
az connectedk8s connect menggunakan Helm 3 untuk menyebarkan agen Azure Arc pada kluster Kubernetes. Titik akhir ini diperlukan bagi unduhan klien Helm untuk memfasilitasi penyebaran bagan helm agen.
Untuk menerjemahkan *.servicebus.usgovcloudapi.net kartubebas ke titik akhir tertentu, gunakan perintah :
GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&location=region
Untuk mendapatkan segmen wilayah titik akhir regional, hapus semua spasi dari nama wilayah Azure. Misalnya, wilayah US Timur 2 , nama wilayahnya adalah eastus2.
Misalnya: *.<region>.arcdataservices.com harus berada *.eastus2.arcdataservices.com di wilayah US Timur 2.
Untuk melihat daftar semua wilayah, jalankan perintah ini:
az account list-locations -o table
Get-AzLocation | Format-Table
Penting
Agen Azure Arc memerlukan URL keluar berikut pada https://:443 agar berfungsi.
Untuk *.servicebus.chinacloudapi.cn, websocket perlu diaktifkan untuk akses keluar pada firewall dan proksi.
Titik akhir (DNS)
Deskripsi
https://management.chinacloudapi.cn
Diperlukan bagi agen untuk terhubung ke Azure dan mendaftarkan kluster.
Diperlukan untuk mengambil dan memperbarui token Azure Resource Manager.
mcr.azk8s.cn
Diperlukan untuk penarikan gambar kontainer untuk agen Azure Arc.
https://gbl.his.arc.azure.cn
Diperlukan untuk mendapatkan titik akhir regional guna menarik sertifikat Identitas Layanan Terkelola yang ditetapkan sistem.
https://*.his.arc.azure.cn
Diperlukan untuk penarikan sertifikat Identitas Terkelola yang ditetapkan sistem.
https://k8connecthelm.azureedge.net
az connectedk8s connect menggunakan Helm 3 untuk menyebarkan agen Azure Arc pada kluster Kubernetes. Titik akhir ini diperlukan bagi unduhan klien Helm untuk memfasilitasi penyebaran bagan helm agen.
Server proksi registri kontainer untuk VM Azure Tiongkok.
Titik akhir tambahan
Bergantung pada skenario Anda, Anda mungkin memerlukan konektivitas ke URL lain, seperti yang digunakan oleh portal Azure, alat manajemen, atau layanan Azure lainnya. Secara khusus, tinjau daftar ini untuk memastikan bahwa Anda mengizinkan konektivitas ke titik akhir yang diperlukan: