Aturan jaringan keluar dan FQDN untuk kluster Azure Kubernetes Service (AKS)
Artikel ini menyediakan detail yang diperlukan yang memungkinkan Anda untuk mengamankan traffic keluar dari Layanan Azure Kubernetes (AKS). Ini berisi persyaratan kluster untuk penyebaran AKS dasar dan persyaratan tambahan untuk addon dan fitur opsional. Anda dapat menerapkan informasi ini ke metode pembatasan keluar atau appliance apa pun.
Untuk melihat contoh konfigurasi menggunakan Azure Firewall, kunjungi Mengontrol lalu lintas keluar menggunakan Azure Firewall di AKS.
Latar belakang
Klaster AKS disebarkan pada jaringan virtual. Jaringan ini dapat disesuaikan dan dikonfigurasi sebelumnya oleh Anda atau dapat dibuat dan dikelola oleh AKS. Dalam kedua kasus, kluster memiliki keluar, atau keluar, dependensi pada layanan di luar jaringan virtual.
Untuk tujuan manajemen dan operasional, simpul dalam kluster AKS perlu mengakses port tertentu dan nama domain yang sepenuhnya memenuhi syarat (FQDN). Titik akhir ini diperlukan agar simpul berkomunikasi dengan server API atau untuk mengunduh dan menginstal komponen kluster Kubernetes inti dan pembaruan keamanan simpul. Misalnya, klaster perlu menarik gambar kontainer sistem dasar dari Microsoft Container Registry (MCR).
Dependensi keluar AKS hampir seluruhnya didefinisikan dengan FQDN, yang tidak memiliki alamat statis di belakang mereka. Kurangnya alamat statis berarti Anda tidak dapat menggunakan kelompok keamanan jaringan (NSG) untuk mengunci lalu lintas keluar dari kluster AKS.
Secara default, kluster AKS memiliki akses internet keluar yang tidak terbatas. Tingkat akses jaringan ini memungkinkan node dan layanan yang Anda jalankan untuk mengakses sumber daya eksternal sesuai kebutuhan. Jika Anda ingin membatasi traffic keluar, sejumlah port dan alamat terbatas harus dapat diakses untuk mempertahankan tugas pemeliharaan klaster yang sehat. Solusi paling sederhana untuk mengamankan alamat keluar adalah menggunakan perangkat firewall yang dapat mengontrol lalu lintas keluar berdasarkan nama domain. Azure Firewall dapat membatasi lalu lintas HTTP dan HTTPS keluar berdasarkan FQDN tujuan. Anda juga dapat mengonfigurasi firewall dan aturan keamanan pilihan Anda untuk mengizinkan port dan alamat yang diperlukan ini.
Penting
Dokumen ini hanya mencakup cara mengunci traffic yang meninggalkan subnet AKS. AKS tidak memiliki persyaratan masuk secara default. Memblokir lalu lintas subnet internal menggunakan kelompok keamanan jaringan (NSG) dan firewall tidak didukung. Untuk mengontrol dan memblokir lalu lintas dalam kluster, lihat Mengamankan lalu lintas antar pod menggunakan kebijakan jaringan di AKS.
Aturan jaringan keluar dan FQDN yang diperlukan untuk kluster AKS
Aturan jaringan dan FQDN/aplikasi berikut diperlukan untuk kluster AKS. Anda dapat menggunakannya jika Anda ingin mengonfigurasi solusi selain Azure Firewall.
- Dependensi alamat IP adalah untuk lalu lintas non-HTTP/S (lalu lintas TCP dan UDP).
- Titik akhir HTTP/HTTPS FQDN dapat ditempatkan di perangkat firewall Anda.
- Titik akhir WILDCARD HTTP/HTTPS adalah dependensi yang dapat bervariasi menurut klaster AKS Anda berdasarkan sejumlah kualifikasi.
- AKS menggunakan pengontrol penerimaan untuk menyuntikkan FQDN sebagai variabel lingkungan ke semua penyebaran di bawah sistem kube dan gatekeeper-system. Ini memastikan semua komunikasi sistem antara simpul dan server API menggunakan FQDN server API dan bukan IP server API. Anda bisa mendapatkan perilaku yang sama pada pod Anda sendiri, di namespace apa pun, dengan menganotasi spesifikasi pod dengan anotasi bernama
kubernetes.azure.com/set-kube-service-host-fqdn. Jika anotasi tersebut ada, AKS akan mengatur variabel KUBERNETES_SERVICE_HOST ke nama domain server API alih-alih IP layanan dalam kluster. Ini berguna dalam kasus di mana egress kluster melalui firewall lapisan 7. - Jika Anda memiliki aplikasi atau solusi yang perlu berbicara dengan server API, Anda harus menambahkan aturan jaringan tambahan untuk memungkinkan komunikasi TCP ke port 443 IPSERVER API Anda ATAU , jika Anda memiliki firewall lapisan 7 yang dikonfigurasi untuk memungkinkan lalu lintas ke nama domain API Server, diatur
kubernetes.azure.com/set-kube-service-host-fqdndalam spesifikasi pod Anda. - Pada kesempatan yang jarang terjadi, jika ada operasi pemeliharaan, IP server API Anda mungkin berubah. Operasi pemeliharaan terencana yang dapat mengubah IP server API selalu dikomunikasikan terlebih dahulu.
- Dalam keadaan tertentu, mungkin terjadi bahwa lalu lintas menuju "md-*.blob.storage.azure.net" diperlukan. Dependensi ini disebabkan oleh beberapa mekanisme internal Azure Managed Disks. Anda mungkin juga ingin menggunakan tag layanan Storage.
Azure Global aturan jaringan yang diperlukan
| Titik Akhir Tujuan | Protokol | Port | Menggunakan |
|---|---|---|---|
*:1194 Atau ServiceTag - AzureCloud.<Region>:1194 Atau CIDR Wilayah - RegionCIDRs:1194 Atau APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Untuk komunikasi aman tunnel antara simpul dan sarana kontrol. Ini tidak diperlukan untuk kluster privat, atau untuk kluster dengan agen konnectivitas diaktifkan. |
*:9000 Atau ServiceTag - AzureCloud.<Region>:9000 Atau CIDR Wilayah - RegionCIDRs:9000 Atau APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Untuk komunikasi aman tunnel antara simpul dan sarana kontrol. Ini tidak diperlukan untuk kluster privat, atau untuk kluster dengan agen konnectivitas diaktifkan. |
*:123 atau ntp.ubuntu.com:123 (jika menggunakan aturan jaringan Azure Firewall) |
UDP | 123 | Diperlukan untuk sinkronisasi waktu Network Time Protocol (NTP) pada node Linux. Ini tidak diperlukan untuk simpul yang disediakan setelah Maret 2021. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Jika Anda menggunakan server DNS kustom, Anda harus memastikan server tersebut dapat diakses oleh node klaster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Diperlukan jika menjalankan pod/penyebaran yang mengakses server API, pod/penyebaran tersebut akan menggunakan IP API. Port ini tidak diperlukan untuk kluster privat. |
Azure Global memerlukan aturan FQDN / aplikasi
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Diperlukan untuk komunikasi server API Node <->. Ganti <lokasi> dengan wilayah tempat kluster AKS Anda disebarkan. Ini diperlukan untuk kluster dengan konnectivity-agent diaktifkan. Konnectivity juga menggunakan Application-Layer Protocol Negotiation (ALPN) untuk berkomunikasi antara agen dan server. Memblokir atau menulis ulang ekstensi ALPN akan menyebabkan kegagalan. Ini tidak diperlukan untuk kluster privat. |
mcr.microsoft.com |
HTTPS:443 |
Diperlukan untuk mengakses gambar di Microsoft Container Registry (MCR). Registri ini berisi gambar /bagan pihak pertama (misalnya, coreDNS, dll.). Gambar-gambar ini diperlukan untuk pembuatan dan fungsi klaster yang benar, termasuk operasi skala dan peningkatan. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Diperlukan untuk penyimpanan MCR yang didukung oleh jaringan pengiriman konten Azure (CDN). |
management.azure.com |
HTTPS:443 |
Diperlukan untuk operasi Kubernetes terhadap Azure API. |
login.microsoftonline.com |
HTTPS:443 |
Diperlukan untuk autentikasi Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Alamat ini adalah repositori paket Microsoft yang digunakan untuk operasi apt-get singgahan. Contoh paket termasuk Moby, PowerShell, dan Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Alamat ini untuk repositori yang diperlukan untuk mengunduh dan menginstal biner yang diperlukan seperti kubenet dan Azure CNI. |
Microsoft Azure dioperasikan oleh 21Vianet aturan jaringan yang diperlukan
| Titik Akhir Tujuan | Protokol | Port | Menggunakan |
|---|---|---|---|
*:1194 Atau ServiceTag - AzureCloud.Region:1194 Atau CIDR Wilayah - RegionCIDRs:1194 Atau APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Untuk komunikasi aman tunnel antara simpul dan sarana kontrol. |
*:9000 Atau ServiceTag - AzureCloud.<Region>:9000 Atau CIDR Wilayah - RegionCIDRs:9000 Atau APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Untuk komunikasi aman tunnel antara simpul dan sarana kontrol. |
*:22 Atau ServiceTag - AzureCloud.<Region>:22 Atau CIDR Wilayah - RegionCIDRs:22 Atau APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | Untuk komunikasi aman tunnel antara simpul dan sarana kontrol. |
*:123 atau ntp.ubuntu.com:123 (jika menggunakan aturan jaringan Azure Firewall) |
UDP | 123 | Diperlukan untuk sinkronisasi waktu Network Time Protocol (NTP) pada node Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Jika Anda menggunakan server DNS kustom, Anda harus memastikan server tersebut dapat diakses oleh node klaster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Diperlukan jika menjalankan pod/penyebaran yang mengakses server API, pod/penyebaran tersebut akan menggunakan IP API. |
Microsoft Azure yang dioperasikan oleh 21Vianet memerlukan aturan FQDN / aplikasi
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Diperlukan untuk komunikasi server API Node <->. Ganti <lokasi> dengan wilayah tempat kluster AKS Anda disebarkan. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Diperlukan untuk komunikasi server API Node <->. Ganti <lokasi> dengan wilayah tempat kluster AKS Anda disebarkan. |
mcr.microsoft.com |
HTTPS:443 |
Diperlukan untuk mengakses gambar di Microsoft Container Registry (MCR). Registri ini berisi gambar /bagan pihak pertama (misalnya, coreDNS, dll.). Gambar-gambar ini diperlukan untuk pembuatan dan fungsi klaster yang benar, termasuk operasi skala dan peningkatan. |
.data.mcr.microsoft.com |
HTTPS:443 |
Diperlukan untuk penyimpanan MCR yang didukung oleh jaringan pengiriman konten Azure (CDN). |
management.chinacloudapi.cn |
HTTPS:443 |
Diperlukan untuk operasi Kubernetes terhadap Azure API. |
login.chinacloudapi.cn |
HTTPS:443 |
Diperlukan untuk autentikasi Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Alamat ini adalah repositori paket Microsoft yang digunakan untuk operasi apt-get singgahan. Contoh paket termasuk Moby, PowerShell, dan Azure CLI. |
*.azk8s.cn |
HTTPS:443 |
Alamat ini untuk repositori yang diperlukan untuk mengunduh dan menginstal biner yang diperlukan seperti kubenet dan Azure CNI. |
Pemerintah AS Azure memerlukan aturan jaringan
| Titik Akhir Tujuan | Protokol | Port | Menggunakan |
|---|---|---|---|
*:1194 Atau ServiceTag - AzureCloud.<Region>:1194 Atau CIDR Wilayah - RegionCIDRs:1194 Atau APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Untuk komunikasi aman tunnel antara simpul dan sarana kontrol. |
*:9000 Atau ServiceTag - AzureCloud.<Region>:9000 Atau CIDR Wilayah - RegionCIDRs:9000 Atau APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Untuk komunikasi aman tunnel antara simpul dan sarana kontrol. |
*:123 atau ntp.ubuntu.com:123 (jika menggunakan aturan jaringan Azure Firewall) |
UDP | 123 | Diperlukan untuk sinkronisasi waktu Network Time Protocol (NTP) pada node Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Jika Anda menggunakan server DNS kustom, Anda harus memastikan server tersebut dapat diakses oleh node klaster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Diperlukan jika menjalankan pod/penyebaran yang mengakses server API, pod/penyebaran tersebut akan menggunakan IP API. |
Pemerintah AS Azure memerlukan aturan FQDN / aplikasi
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Diperlukan untuk komunikasi server API Node <->. Ganti <lokasi> dengan wilayah tempat kluster AKS Anda disebarkan. |
mcr.microsoft.com |
HTTPS:443 |
Diperlukan untuk mengakses gambar di Microsoft Container Registry (MCR). Registri ini berisi gambar /bagan pihak pertama (misalnya, coreDNS, dll.). Gambar-gambar ini diperlukan untuk pembuatan dan fungsi klaster yang benar, termasuk operasi skala dan peningkatan. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Diperlukan untuk penyimpanan MCR yang didukung oleh jaringan pengiriman konten Azure (CDN). |
management.usgovcloudapi.net |
HTTPS:443 |
Diperlukan untuk operasi Kubernetes terhadap Azure API. |
login.microsoftonline.us |
HTTPS:443 |
Diperlukan untuk autentikasi Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Alamat ini adalah repositori paket Microsoft yang digunakan untuk operasi apt-get singgahan. Contoh paket termasuk Moby, PowerShell, dan Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Alamat ini untuk repositori yang diperlukan untuk mengunduh dan menginstal biner yang diperlukan seperti kubenet dan Azure CNI. |
Aturan FQDN / aplikasi opsional yang direkomendasikan untuk klaster AKS
Aturan FQDN / aplikasi berikut tidak diperlukan, tetapi direkomendasikan untuk kluster AKS:
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
security.ubuntu.com, , azure.archive.ubuntu.comchangelogs.ubuntu.com |
HTTP:80 |
Alamat ini memungkinkan node klaster Linux mengunduh patch dan pembaruan keamanan yang diperlukan. |
Jika Anda memilih untuk memblokir / tidak mengizinkan FQDN ini, node hanya akan menerima pembaruan OS ketika Anda melakukan upgrade gambar node atau pemutakhiranklaster. Perlu diingat bahwa peningkatan gambar simpul juga dilengkapi dengan paket yang diperbarui termasuk perbaikan keamanan.
Kluster AKS yang diaktifkan GPU memerlukan aturan FQDN / aplikasi
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Alamat ini digunakan untuk pemasangan dan pengoperasian pengandar yang benar pada node berbasis GPU. |
us.download.nvidia.com |
HTTPS:443 |
Alamat ini digunakan untuk pemasangan dan pengoperasian pengandar yang benar pada node berbasis GPU. |
download.docker.com |
HTTPS:443 |
Alamat ini digunakan untuk pemasangan dan pengoperasian pengandar yang benar pada node berbasis GPU. |
Kumpulan simpul berbasis Windows Server memerlukan aturan FQDN / aplikasi
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Untuk menginstal biner terkait windows |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Untuk menginstal biner terkait windows |
Jika Anda memilih untuk memblokir / tidak mengizinkan FQDN ini, node hanya akan menerima pembaruan OS ketika Anda melakukan upgrade gambar node atau pemutakhiranklaster. Perlu diingat bahwa Peningkatan Gambar Simpul juga dilengkapi dengan paket yang diperbarui termasuk perbaikan keamanan.
AKS addons dan integrasi
Pertahanan Microsoft untuk Kontainer
Aturan FQDN / aplikasi yang diperlukan
| FQDN | Port | Menggunakan |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure dioperasikan oleh 21Vianet) |
HTTPS:443 |
Diperlukan untuk Autentikasi Active Directory. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government) *.ods.opinsights.azure.cn (Azure dioperasikan oleh 21Vianet) |
HTTPS:443 |
Diperlukan Microsoft Defender untuk mengunggah peristiwa keamanan ke cloud. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government) *.oms.opinsights.azure.cn (Azure dioperasikan oleh 21Vianet) |
HTTPS:443 |
Diperlukan untuk Mengautentikasi dengan ruang kerja LogAnalytics. |
Penyimpanan Rahasia CSI
Aturan FQDN / aplikasi yang diperlukan
| FQDN | Port | Menggunakan |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Diperlukan untuk pod addon Penyimpanan Rahasia CSI untuk berbicara dengan server Azure KeyVault. |
Tanya Jawab Umum Azure Monitor untuk kontainer
Ada dua opsi untuk menyediakan akses ke Azure Monitor untuk kontainer:
- Izinkan Azure Monitor ServiceTag.
- Berikan akses ke aturan FQDN/aplikasi yang diperlukan.
Aturan jaringan yang diperlukan
| Titik Akhir Tujuan | Protokol | Port | Menggunakan |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Titik akhir ini digunakan untuk mengirim data metrik dan log ke Azure Monitor dan Analitik Log. |
Aturan FQDN / aplikasi yang diperlukan
| FQDN | Port | Menggunakan |
|---|---|---|
dc.services.visualstudio.com |
HTTPS:443 |
Endpoint ini digunakan untuk metrik dan telemetri pemantauan menggunakan Azure Monitor. |
*.ods.opinsights.azure.com |
HTTPS:443 |
Endpoint ini digunakan oleh Azure Monitor untuk menelan data analitik log. |
*.oms.opinsights.azure.com |
HTTPS:443 |
Titik akhir ini digunakan oleh omsagent, yang digunakan untuk mengautentikasi layanan analitik log. |
*.monitoring.azure.com |
HTTPS:443 |
Titik akhir ini digunakan untuk mengirim data metrik ke Azure Monitor. |
<cluster-region-name>.ingest.monitor.azure.com |
HTTPS:443 |
Titik akhir ini digunakan oleh layanan terkelola Azure Monitor untuk penyerapan metrik Prometheus. |
<cluster-region-name>.handler.control.monitor.azure.com |
HTTPS:443 |
Titik akhir ini digunakan untuk mengambil aturan pengumpulan data untuk kluster tertentu. |
Microsoft Azure yang dioperasikan oleh 21Vianet memerlukan aturan FQDN / aplikasi
| FQDN | Port | Menggunakan |
|---|---|---|
dc.services.visualstudio.com |
HTTPS:443 |
Endpoint ini digunakan untuk metrik dan telemetri pemantauan menggunakan Azure Monitor. |
*.ods.opinsights.azure.cn |
HTTPS:443 |
Endpoint ini digunakan oleh Azure Monitor untuk menelan data analitik log. |
*.oms.opinsights.azure.cn |
HTTPS:443 |
Titik akhir ini digunakan oleh omsagent, yang digunakan untuk mengautentikasi layanan analitik log. |
global.handler.control.monitor.azure.cn |
HTTPS:443 |
Titik akhir ini digunakan oleh Azure Monitor untuk mengakses layanan kontrol. |
<cluster-region-name>.handler.control.monitor.azure.cn |
HTTPS:443 |
Titik akhir ini digunakan untuk mengambil aturan pengumpulan data untuk kluster tertentu. |
Pemerintah AS Azure memerlukan aturan FQDN / aplikasi
| FQDN | Port | Menggunakan |
|---|---|---|
dc.services.visualstudio.com |
HTTPS:443 |
Endpoint ini digunakan untuk metrik dan telemetri pemantauan menggunakan Azure Monitor. |
*.ods.opinsights.azure.us |
HTTPS:443 |
Endpoint ini digunakan oleh Azure Monitor untuk menelan data analitik log. |
*.oms.opinsights.azure.us |
HTTPS:443 |
Titik akhir ini digunakan oleh omsagent, yang digunakan untuk mengautentikasi layanan analitik log. |
global.handler.control.monitor.azure.us |
HTTPS:443 |
Titik akhir ini digunakan oleh Azure Monitor untuk mengakses layanan kontrol. |
<cluster-region-name>.handler.control.monitor.azure.us |
HTTPS:443 |
Titik akhir ini digunakan untuk mengambil aturan pengumpulan data untuk kluster tertentu. |
Kebijakan Azure
Aturan FQDN / aplikasi yang diperlukan
| FQDN | Port | Menggunakan |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Alamat ini digunakan untuk menarik kebijakan Kubernetes dan melaporkan status kepatuhan klaster ke layanan kebijakan. |
store.policy.core.windows.net |
HTTPS:443 |
Alamat ini digunakan untuk menarik artefak Gatekeeper dari kebijakan bawaan. |
dc.services.visualstudio.com |
HTTPS:443 |
Add-on Kebijakan Azure yang mengirim data telemetri ke titik akhir wawasan aplikasi. |
Microsoft Azure yang dioperasikan oleh 21Vianet memerlukan aturan FQDN / aplikasi
| FQDN | Port | Menggunakan |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Alamat ini digunakan untuk menarik kebijakan Kubernetes dan melaporkan status kepatuhan klaster ke layanan kebijakan. |
store.policy.azure.cn |
HTTPS:443 |
Alamat ini digunakan untuk menarik artefak Gatekeeper dari kebijakan bawaan. |
Pemerintah AS Azure memerlukan aturan FQDN / aplikasi
| FQDN | Port | Menggunakan |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Alamat ini digunakan untuk menarik kebijakan Kubernetes dan melaporkan status kepatuhan klaster ke layanan kebijakan. |
store.policy.azure.us |
HTTPS:443 |
Alamat ini digunakan untuk menarik artefak Gatekeeper dari kebijakan bawaan. |
Ekstensi kluster
Aturan FQDN / aplikasi yang diperlukan
| FQDN | Port | Menggunakan |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Alamat ini digunakan untuk mengambil informasi konfigurasi dari layanan Ekstensi Kluster dan melaporkan status ekstensi ke layanan. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Alamat ini diperlukan untuk menarik gambar kontainer untuk memasang agen ekstensi kluster pada kluster AKS. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Alamat ini diperlukan untuk menarik gambar kontainer untuk menginstal ekstensi marketplace pada kluster AKS. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Alamat ini untuk titik akhir data regional India Tengah dan diperlukan untuk menarik gambar kontainer untuk menginstal ekstensi marketplace pada kluster AKS. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Alamat ini untuk titik akhir data regional Jepang Timur dan diperlukan untuk menarik gambar kontainer untuk menginstal ekstensi marketplace pada kluster AKS. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Alamat ini untuk titik akhir data regional US2 Barat dan diperlukan untuk menarik gambar kontainer untuk menginstal ekstensi marketplace pada kluster AKS. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Alamat ini untuk titik akhir data regional Eropa Barat dan diperlukan untuk menarik gambar kontainer untuk menginstal ekstensi marketplace pada kluster AKS. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Alamat ini untuk titik akhir data regional US Timur dan diperlukan untuk menarik gambar kontainer untuk menginstal ekstensi marketplace pada kluster AKS. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Alamat ini digunakan untuk mengirim data metrik agen ke Azure. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Alamat ini digunakan untuk mengirim penggunaan berbasis meteran kustom ke API pengukuran perdagangan. |
Pemerintah AS Azure memerlukan aturan FQDN / aplikasi
| FQDN | Port | Menggunakan |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Alamat ini digunakan untuk mengambil informasi konfigurasi dari layanan Ekstensi Kluster dan melaporkan status ekstensi ke layanan. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Alamat ini diperlukan untuk menarik gambar kontainer untuk memasang agen ekstensi kluster pada kluster AKS. |
Catatan
Untuk setiap addon yang tidak secara eksplisit dinyatakan di sini, persyaratan inti mencakupnya.
Langkah berikutnya
Dalam artikel ini, Anda mempelajari port dan alamat apa yang diizinkan jika Anda ingin membatasi traffic keluar untuk klaster.
Jika Anda ingin membatasi bagaimana Pod berkomunikasi antara mereka sendiri dan pembatasan traffic East-West dalam klaster, lihat Amankan traffic antar-Pod menggunakan kebijakan jaringan di AKS.