Condividi tramite


Regole di rete e FQDN in uscita per i cluster del servizio Azure Kubernetes

Questo articolo fornisce i dettagli necessari per proteggere il traffico in uscita dal servizio Azure Kubernetes. Contiene i requisiti del cluster per una distribuzione del servizio Azure Kubernetes di base e requisiti aggiuntivi per componenti aggiuntivi e funzionalità facoltativi. È possibile applicare queste informazioni a qualsiasi metodo di restrizione in uscita o appliance.

Per visualizzare una configurazione di esempio con Firewall di Azure, vedere Controllare il traffico in uscita usando Firewall di Azure nel servizio Azure Kubernetes.

Background

I cluster del servizio Azure Kubernetes vengono distribuiti in una rete virtuale. Questa rete può essere personalizzata e preconfigurata dall'utente oppure può essere creata e gestita dal servizio Azure Kubernetes. In entrambi i casi, il cluster ha dipendenze in uscita da servizi esterni alla rete virtuale.

A scopi di gestione e operativi, i nodi in un cluster del servizio Azure Kubernetes devono poter accedere a porte e nomi di dominio completi (FQDN) specifici. Questi endpoint sono necessari per consentire ai nodi di comunicare con il server API o di scaricare e installare i componenti del cluster Kubernetes di base e gli aggiornamenti della sicurezza dei nodi. Ad esempio, il cluster deve eseguire il pull delle immagini dei contenitori di sistema di base da Microsoft Container Registry.

Le dipendenze in uscita del servizio Azure Kubernetes sono quasi interamente definite con nomi di dominio completo, senza indirizzi statici sottostanti. La mancanza di indirizzi statici significa che non è possibile usare gruppi di sicurezza di rete per bloccare il traffico in uscita da un cluster del servizio Azure Kubernetes.

Per impostazione predefinita, i cluster del servizio Azure Kubernetes hanno accesso a Internet in uscita senza restrizioni. Questo livello di accesso alla rete consente a nodi e servizi in esecuzione di accedere alle risorse esterne in base alle esigenze. Se si vuole limitare il traffico in uscita, è necessario rendere accessibile un numero limitato di porte e indirizzi per mantenere l'integrità delle attività di manutenzione del cluster. La soluzione più semplice per proteggere gli indirizzi in uscita consiste nell'usare un dispositivo firewall in grado di controllare il traffico in uscita in base ai nomi di dominio. Firewall di Azure può limitare il traffico HTTP e HTTPS in uscita in base all'FQDN della destinazione. È anche possibile configurare le regole di sicurezza e del firewall preferite per consentire le porte e gli indirizzi necessari.

Importante

Questo documento illustra solo come bloccare il traffico in uscita dalla subnet del servizio Azure Kubernetes. Il servizio Azure Kubernetes non prevede requisiti per il traffico in ingresso per impostazione predefinita. Il blocco del traffico interno della subnet usando gruppi di sicurezza di rete e firewall non è supportato. Per controllare e bloccare il traffico all'interno del cluster, vedere Proteggere il traffico tra i pod usando i criteri di rete nel servizio Azure Kubernetes.

Regole di rete e FQDN in uscita necessarie per i cluster del servizio Azure Kubernetes

Per un cluster del servizio Azure Kubernetes sono necessarie le regole di rete e FQDN/applicazioni seguenti. È possibile usarle se si vuole configurare una soluzione diversa da Firewall di Azure.

  • Le dipendenze degli indirizzi IP sono per il traffico non HTTP/S (traffico sia TCP che UDP).
  • Gli endpoint HTTP/HTTPS con nome di dominio completo possono essere posizionati nel dispositivo firewall.
  • Gli endpoint HTTP/HTTPS con caratteri jolly sono dipendenze che possono variare con l'ambiente del servizio Azure Kubernetes in base a diversi qualificatori.
  • Il servizio Azure Kubernetes usa un controller di ammissione per inserire il nome di dominio completo come variabile di ambiente a tutte le distribuzioni in kube-system e gatekeeper-system. In questo modo, tutte le comunicazioni di sistema tra nodi e server API usano il nome di dominio completo del server API e non l'indirizzo IP del server API. È possibile ottenere lo stesso comportamento nei pod personalizzati, in qualsiasi spazio dei nomi, annotando la specifica del pod con un'annotazione denominata kubernetes.azure.com/set-kube-service-host-fqdn. Se questa annotazione è presente, il servizio Azure Kubernetes imposta la variabile KUBERNETES_SERVICE_HOST sul nome di dominio del server API anziché sull'indirizzo IP del servizio nel cluster. Questo approccio è utile nei casi in cui il traffico del cluster transita tramite un firewall di livello 7.
  • Se si dispone di un'app o di una soluzione che deve comunicare con il server API, è necessario aggiungere una regola di rete aggiuntiva per consentire la comunicazione TCP alla porta 443 dell'indirizzo IP del server APIOPPURE, se è configurato un firewall di livello 7 per consentire il traffico verso il nome di dominio del server API, impostare kubernetes.azure.com/set-kube-service-host-fqdn nelle specifiche del pod.
  • In rari casi, ad esempio durante un'operazione di manutenzione, l'indirizzo IP del server API potrebbe cambiare. Le operazioni di manutenzione pianificata che possono modificare l'indirizzo IP del server API vengono sempre comunicate in anticipo.
  • In determinate circostanze, potrebbe essere necessario indirizzare il traffico verso "md-*.blob.storage.azure.net". Questa dipendenza è dovuta ad alcuni meccanismi interni di Azure Managed Disks. È anche possibile usare il tag del servizio di archiviazione.

Regole di rete necessarie per Azure a livello globale

Endpoint di destinazione Protocollo Port Utilizzo
*:1194
Or
Tag del servizio - AzureCloud.<Region>:1194
Or
CIDR regionali - RegionCIDRs:1194
Or
APIServerPublicIP:1194 (only known after cluster creation)
UDP 1194 Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo. Non è necessaria per i cluster privati o per i cluster in cui è abilitato konnectivity-agent.
*:9000
Or
Tag del servizio - AzureCloud.<Region>:9000
Or
CIDR regionali - RegionCIDRs:9000
Or
APIServerPublicIP:9000 (only known after cluster creation)
TCP 9000 Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo. Non è necessaria per i cluster privati o per i cluster in cui è abilitato konnectivity-agent.
*:123 o ntp.ubuntu.com:123 (se si usano le regole di rete di Firewall di Azure) UDP 123 Necessaria per la sincronizzazione dell'ora del protocollo NTP (Network Time Protocol) nei nodi Linux. Non è necessaria per i nodi di cui è stato effettuato il provisioning dopo marzo 2021.
CustomDNSIP:53 (if using custom DNS servers) UDP 53 Se si usano server DNS personalizzati, è necessario assicurarsi che siano accessibili dai nodi del cluster.
APIServerPublicIP:443 (if running pods/deployments that access the API Server) TCP 443 Necessaria se si eseguono pod/distribuzioni che accedono al server API. In tal caso, i pod/distribuzioni useranno l'indirizzo IP dell'API. Questa porta non è necessaria per i cluster privati.

Regole FQDN/applicazione necessarie per Azure a livello globale

FQDN di destinazione Porta Utilizzo
*.hcp.<location>.azmk8s.io HTTPS:443 Necessaria per la comunicazione Nodo <-> Server API. Sostituire <località> con l'area in cui è distribuito il cluster del servizio Azure Kubernetes. Questa operazione è necessaria per i cluster in cui è abilitato konnectivity-agent. Konnectivity usa anche ALPN (Application-Layer Protocol Negotiation) per la comunicazione tra agente e server. Il blocco o la riscrittura dell'estensione ALPN genera un errore. Non è necessaria per i cluster privati.
mcr.microsoft.com HTTPS:443 Necessaria per accedere alle immagini in Microsoft Container Registry. Questo registro contiene immagini/grafici proprietari, ad esempio coreDNS e così via. Queste immagini sono necessarie per la creazione e il funzionamento corretti del cluster, incluse le operazioni di scalabilità e aggiornamento.
*.data.mcr.microsoft.com HTTPS:443 Necessaria per l'archiviazione di Microsoft Container Registry basata sul servizio Rete di distribuzione dei contenuti di Azure.
management.azure.com HTTPS:443 Necessaria per le operazioni Kubernetes sull'API di Azure.
login.microsoftonline.com HTTPS:443 Necessaria per l'autenticazione di Microsoft Entra.
packages.microsoft.com HTTPS:443 Questo indirizzo è il repository di pacchetti Microsoft usato per le operazioni apt-get memorizzate nella cache. I pacchetti di esempio includono Moby, PowerShell e l'interfaccia della riga di comando di Azure.
acs-mirror.azureedge.net HTTPS:443 Questo indirizzo è per il repository necessario per installare i file binari necessari, come kubenet e Azure CNI.

Regole di rete necessarie per Microsoft Azure gestito da 21Vianet

Endpoint di destinazione Protocollo Port Utilizzo
*:1194
Or
Tag del servizio - AzureCloud.Region:1194
Or
CIDR regionali - RegionCIDRs:1194
Or
APIServerPublicIP:1194 (only known after cluster creation)
UDP 1194 Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo.
*:9000
Or
Tag del servizio - AzureCloud.<Region>:9000
Or
CIDR regionali - RegionCIDRs:9000
Or
APIServerPublicIP:9000 (only known after cluster creation)
TCP 9000 Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo.
*:22
Or
Tag del servizio - AzureCloud.<Region>:22
Or
CIDR regionali - RegionCIDRs:22
Or
APIServerPublicIP:22 (only known after cluster creation)
TCP 22 Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo.
*:123 o ntp.ubuntu.com:123 (se si usano le regole di rete di Firewall di Azure) UDP 123 Necessaria per la sincronizzazione dell'ora del protocollo NTP (Network Time Protocol) nei nodi Linux.
CustomDNSIP:53 (if using custom DNS servers) UDP 53 Se si usano server DNS personalizzati, è necessario assicurarsi che siano accessibili dai nodi del cluster.
APIServerPublicIP:443 (if running pods/deployments that access the API Server) TCP 443 Necessaria se si eseguono pod/distribuzioni che accedono al server API, tali pod/distribuzioni userebbero l'IP dell'API.

Regole FQDN/applicazione necessarie per Microsoft Azure gestito da 21 Vianet

FQDN di destinazione Porta Utilizzo
*.hcp.<location>.cx.prod.service.azk8s.cn HTTPS:443 Necessaria per la comunicazione Nodo <-> Server API. Sostituire <località> con l'area in cui è distribuito il cluster del servizio Azure Kubernetes.
*.tun.<location>.cx.prod.service.azk8s.cn HTTPS:443 Necessaria per la comunicazione Nodo <-> Server API. Sostituire <località> con l'area in cui è distribuito il cluster del servizio Azure Kubernetes.
mcr.microsoft.com HTTPS:443 Necessaria per accedere alle immagini in Microsoft Container Registry. Questo registro contiene immagini/grafici proprietari, ad esempio coreDNS e così via. Queste immagini sono necessarie per la creazione e il funzionamento corretti del cluster, incluse le operazioni di scalabilità e aggiornamento.
.data.mcr.microsoft.com HTTPS:443 Necessaria per l'archiviazione di Microsoft Container Registry basata sul servizio Rete di distribuzione dei contenuti di Azure.
management.chinacloudapi.cn HTTPS:443 Necessaria per le operazioni Kubernetes sull'API di Azure.
login.chinacloudapi.cn HTTPS:443 Necessaria per l'autenticazione di Microsoft Entra.
packages.microsoft.com HTTPS:443 Questo indirizzo è il repository di pacchetti Microsoft usato per le operazioni apt-get memorizzate nella cache. I pacchetti di esempio includono Moby, PowerShell e l'interfaccia della riga di comando di Azure.
*.azk8s.cn HTTPS:443 Questo indirizzo è per il repository necessario per installare i file binari necessari, come kubenet e Azure CNI.

Regole di rete necessarie per Azure US Government

Endpoint di destinazione Protocollo Port Utilizzo
*:1194
Or
Tag del servizio - AzureCloud.<Region>:1194
Or
CIDR regionali - RegionCIDRs:1194
Or
APIServerPublicIP:1194 (only known after cluster creation)
UDP 1194 Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo.
*:9000
Or
Tag del servizio - AzureCloud.<Region>:9000
Or
CIDR regionali - RegionCIDRs:9000
Or
APIServerPublicIP:9000 (only known after cluster creation)
TCP 9000 Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo.
*:123 o ntp.ubuntu.com:123 (se si usano le regole di rete di Firewall di Azure) UDP 123 Necessaria per la sincronizzazione dell'ora del protocollo NTP (Network Time Protocol) nei nodi Linux.
CustomDNSIP:53 (if using custom DNS servers) UDP 53 Se si usano server DNS personalizzati, è necessario assicurarsi che siano accessibili dai nodi del cluster.
APIServerPublicIP:443 (if running pods/deployments that access the API Server) TCP 443 Necessaria se si eseguono pod/distribuzioni che accedono al server API. In tal caso, i pod/distribuzioni useranno l'indirizzo IP dell'API.

Regole FQDN/applicazione necessarie per Azure US Government

FQDN di destinazione Porta Utilizzo
*.hcp.<location>.cx.aks.containerservice.azure.us HTTPS:443 Necessaria per la comunicazione Nodo <-> Server API. Sostituire <località> con l'area in cui è distribuito il cluster del servizio Azure Kubernetes.
mcr.microsoft.com HTTPS:443 Necessaria per accedere alle immagini in Microsoft Container Registry. Questo registro contiene immagini/grafici proprietari, ad esempio coreDNS e così via. Queste immagini sono necessarie per la creazione e il funzionamento corretti del cluster, incluse le operazioni di scalabilità e aggiornamento.
*.data.mcr.microsoft.com HTTPS:443 Necessaria per l'archiviazione di Microsoft Container Registry basata sul servizio Rete di distribuzione dei contenuti di Azure.
management.usgovcloudapi.net HTTPS:443 Necessaria per le operazioni Kubernetes sull'API di Azure.
login.microsoftonline.us HTTPS:443 Necessaria per l'autenticazione di Microsoft Entra.
packages.microsoft.com HTTPS:443 Questo indirizzo è il repository di pacchetti Microsoft usato per le operazioni apt-get memorizzate nella cache. I pacchetti di esempio includono Moby, PowerShell e l'interfaccia della riga di comando di Azure.
acs-mirror.azureedge.net HTTPS:443 Questo indirizzo è per il repository necessario per installare i file binari richiesti, come Kubenet e Azure CNI.

Le regole FQDN/applicazione seguenti non sono obbligatorie ma sono consigliate per il corretto funzionamento dei cluster del servizio Azure Kubernetes:

FQDN di destinazione Porta Utilizzo
security.ubuntu.com, azure.archive.ubuntu.com, changelogs.ubuntu.com HTTP:80 Questo indirizzo consente ai nodi del cluster Linux di scaricare le patch di sicurezza e gli aggiornamenti necessari.

Se si sceglie di bloccare o non consentire questi nomi FQDN, i nodi riceveranno gli aggiornamenti del sistema operativo solo quando si esegue un aggiornamento dell'immagine del nodo o un aggiornamento del cluster. Tenere presente che gli aggiornamenti delle immagini del nodo comprendono anche pacchetti aggiornati, incluse le correzioni di sicurezza.

Cluster del servizio Azure Kubernetes abilitati per GPU: regole FQDN/applicazione necessarie

FQDN di destinazione Porta Utilizzo
nvidia.github.io HTTPS:443 Questo indirizzo viene usato per l'installazione e il funzionamento corretti dei driver nei nodi basati su GPU.
us.download.nvidia.com HTTPS:443 Questo indirizzo viene usato per l'installazione e il funzionamento corretti dei driver nei nodi basati su GPU.
download.docker.com HTTPS:443 Questo indirizzo viene usato per l'installazione e il funzionamento corretti dei driver nei nodi basati su GPU.

Regole FQDN/applicazione necessarie per i pool di nodi basati su Windows Server

FQDN di destinazione Porta Utilizzo
onegetcdn.azureedge.net, go.microsoft.com HTTPS:443 Per installare file binari correlati a Windows
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com HTTP:80 Per installare file binari correlati a Windows

Se si sceglie di bloccare o non consentire questi nomi FQDN, i nodi riceveranno gli aggiornamenti del sistema operativo solo quando si esegue un aggiornamento dell'immagine del nodo o un aggiornamento del cluster. Tenere presente che gli aggiornamenti delle immagini del nodo comprendono anche pacchetti aggiornati, incluse le correzioni di sicurezza.

Componenti aggiuntivi e integrazioni del servizio Azure Kubernetes

Microsoft Defender per contenitori

Regole FQDN/applicazione necessarie

FQDN Porta Utilizzo
login.microsoftonline.com
login.microsoftonline.us (Azure per enti pubblici)
login.microsoftonline.cn (Azure gestito da 21Vianet)
HTTPS:443 Necessaria per l'autenticazione di Active Directory.
*.ods.opinsights.azure.com
*.ods.opinsights.azure.us (Azure per enti pubblici)
*.ods.opinsights.azure.cn (Azure gestito da 21Vianet)
HTTPS:443 Necessaria per consentire a Microsoft Defender di caricare gli eventi di sicurezza nel cloud.
*.oms.opinsights.azure.com
*.oms.opinsights.azure.us (Azure per enti pubblici)
*.oms.opinsights.azure.cn (Azure gestito da 21Vianet)
HTTPS:443 Necessaria per eseguire l'autenticazione con le aree di lavoro Log Analytics.

Archivio di segreti CSI

Regole FQDN/applicazione necessarie

FQDN Porta Utilizzo
vault.azure.net HTTPS:443 Necessaria per i pod del componente aggiuntivo Archivio di segreti CSI per comunicare con il server Azure KeyVault.

Monitoraggio di Azure per contenitori

Sono disponibili due opzioni per fornire l'accesso a Monitoraggio di Azure per contenitori:

  • Consentire il Tag del servizio di Monitoraggio di Azure.
  • Fornire l'accesso alle regole FQDN/applicazione necessarie.

Regole di rete necessarie

Endpoint di destinazione Protocollo Port Utilizzo
Tag del servizio - AzureMonitor:443 TCP 443 Questo endpoint viene usato per inviare dati e log delle metriche a Monitoraggio di Azure e Log Analytics.

Regole FQDN/applicazione necessarie

FQDN Porta Utilizzo
dc.services.visualstudio.com HTTPS:443 Questo endpoint viene usato da Monitoraggio di Azure per i dati di telemetria dell'agente contenitori.
*.ods.opinsights.azure.com HTTPS:443 Questo endpoint viene usato da Monitoraggio di Azure per l'inserimento dei dati di Log Analytics.
*.oms.opinsights.azure.com HTTPS:443 Questo indirizzo viene usato da omsagent, che consente di autenticare il servizio Log Analytics.
*.monitoring.azure.com HTTPS:443 Questo endpoint viene usato per l'invio dei dati delle metriche a Monitoraggio di Azure.
<cluster-region-name>.ingest.monitor.azure.com HTTPS:443 Questo endpoint viene usato dal servizio gestito per Prometheus di Monitoraggio di Azure per l'inserimento delle metriche.
<cluster-region-name>.handler.control.monitor.azure.com HTTPS:443 Questo endpoint viene usato per recuperare le regole di raccolta dati per un cluster specifico.

Regole FQDN/applicazione necessarie per Microsoft Azure gestito da 21Vianet

FQDN Porta Utilizzo
dc.services.visualstudio.cn HTTPS:443 Questo endpoint viene usato da Monitoraggio di Azure per i dati di telemetria dell'agente contenitori.
*.ods.opinsights.azure.cn HTTPS:443 Questo endpoint viene usato da Monitoraggio di Azure per l'inserimento dei dati di Log Analytics.
*.oms.opinsights.azure.cn HTTPS:443 Questo indirizzo viene usato da omsagent, che consente di autenticare il servizio Log Analytics.
global.handler.control.monitor.azure.cn HTTPS:443 Questo endpoint viene usato da Monitoraggio di Azure per accedere al servizio di controllo.
<cluster-region-name>.handler.control.monitor.azure.cn HTTPS:443 Questo endpoint viene usato per recuperare le regole di raccolta dati per un cluster specifico.

Regole FQDN/applicazione necessarie per Azure US Government

FQDN Porta Utilizzo
dc.services.visualstudio.us HTTPS:443 Questo endpoint viene usato da Monitoraggio di Azure per i dati di telemetria dell'agente contenitori.
*.ods.opinsights.azure.us HTTPS:443 Questo endpoint viene usato da Monitoraggio di Azure per l'inserimento dei dati di Log Analytics.
*.oms.opinsights.azure.us HTTPS:443 Questo indirizzo viene usato da omsagent, che consente di autenticare il servizio Log Analytics.
global.handler.control.monitor.azure.us HTTPS:443 Questo endpoint viene usato da Monitoraggio di Azure per accedere al servizio di controllo.
<cluster-region-name>.handler.control.monitor.azure.us HTTPS:443 Questo endpoint viene usato per recuperare le regole di raccolta dati per un cluster specifico.

Criteri di Azure

Regole FQDN/applicazione necessarie

FQDN Porta Utilizzo
data.policy.core.windows.net HTTPS:443 Questo indirizzo viene usato per eseguire il pull dei criteri Kubernetes e per segnalare lo stato di conformità del cluster al servizio dei criteri.
store.policy.core.windows.net HTTPS:443 Questo indirizzo viene usato per eseguire il pull degli artefatti di Gatekeeper dei criteri predefiniti.
dc.services.visualstudio.com HTTPS:443 Componente aggiuntivo di Criteri di Azure che invia i dati di telemetria all'endpoint di Application Insights.

Regole FQDN/applicazione necessarie per Microsoft Azure gestito da 21Vianet

FQDN Porta Utilizzo
data.policy.azure.cn HTTPS:443 Questo indirizzo viene usato per eseguire il pull dei criteri Kubernetes e per segnalare lo stato di conformità del cluster al servizio dei criteri.
store.policy.azure.cn HTTPS:443 Questo indirizzo viene usato per eseguire il pull degli artefatti di Gatekeeper dei criteri predefiniti.

Regole FQDN/applicazione necessarie per Azure US Government

FQDN Porta Utilizzo
data.policy.azure.us HTTPS:443 Questo indirizzo viene usato per eseguire il pull dei criteri Kubernetes e per segnalare lo stato di conformità del cluster al servizio dei criteri.
store.policy.azure.us HTTPS:443 Questo indirizzo viene usato per eseguire il pull degli artefatti di Gatekeeper dei criteri predefiniti.

Componente aggiuntivo di analisi dei costi del servizio Azure Kubernetes

Regole FQDN/applicazione necessarie

FQDN Porta Utilizzo
management.azure.com
management.usgovcloudapi.net (Azure per enti pubblici)
management.chinacloudapi.cn (Azure gestito da 21Vianet)
HTTPS:443 Necessaria per le operazioni Kubernetes sull'API di Azure.
login.microsoftonline.com
login.microsoftonline.us (Azure per enti pubblici)
login.microsoftonline.cn (Azure gestito da 21Vianet)
HTTPS:443 Necessario per l'autenticazione di Microsoft Entra ID.

Estensioni dei cluster

Regole FQDN/applicazione necessarie

FQDN Porta Utilizzo
<region>.dp.kubernetesconfiguration.azure.com HTTPS:443 Questo indirizzo viene usato per recuperare le informazioni di configurazione dal servizio Estensioni cluster e segnalare lo stato dell'estensione al servizio.
mcr.microsoft.com, *.data.mcr.microsoft.com HTTPS:443 Questo indirizzo è necessario per eseguire il pull delle immagini del contenitore per l'installazione degli agenti di estensione del cluster nel cluster del servizio Azure Kubernetes.
arcmktplaceprod.azurecr.io HTTPS:443 Questo indirizzo è necessario per eseguire il pull delle immagini del contenitore per l'installazione delle estensioni del marketplace nel cluster del servizio Azure Kubernetes.
arcmktplaceprod.centralindia.data.azurecr.io HTTPS:443 Questo indirizzo è destinato all'endpoint dati per l'area India centrale ed è necessario per eseguire il pull delle immagini del contenitore per l'installazione delle estensioni del marketplace nel cluster del servizio Azure Kubernetes.
arcmktplaceprod.japaneast.data.azurecr.io HTTPS:443 Questo indirizzo è destinato all'endpoint dati per l'area Giappone orientale ed è necessario per eseguire il pull delle immagini del contenitore per l'installazione delle estensioni del marketplace nel cluster del servizio Azure Kubernetes.
arcmktplaceprod.westus2.data.azurecr.io HTTPS:443 Questo indirizzo è destinato all'endpoint dati per l'area Stati Uniti occidentali 2 ed è necessario per eseguire il pull delle immagini del contenitore per l'installazione delle estensioni del marketplace nel cluster del servizio Azure Kubernetes.
arcmktplaceprod.westeurope.data.azurecr.io HTTPS:443 Questo indirizzo è destinato all'endpoint dati per l'area Europa occidentale ed è necessario per eseguire il pull delle immagini del contenitore per l'installazione delle estensioni del marketplace nel cluster del servizio Azure Kubernetes.
arcmktplaceprod.eastus.data.azurecr.io HTTPS:443 Questo indirizzo è destinato all'endpoint dati per l'area Stati Uniti orientali ed è necessario per eseguire il pull delle immagini del contenitore per l'installazione delle estensioni del marketplace nel cluster del servizio Azure Kubernetes.
*.ingestion.msftcloudes.com, *.microsoftmetrics.com HTTPS:443 Questo indirizzo viene usato per inviare i dati delle metriche degli agenti ad Azure.
marketplaceapi.microsoft.com HTTPS: 443 Questo indirizzo viene usato per inviare l'utilizzo basato su contatori personalizzati all'API di misurazione commerciale.

Regole FQDN/applicazione necessarie per Azure US Government

FQDN Porta Utilizzo
<region>.dp.kubernetesconfiguration.azure.us HTTPS:443 Questo indirizzo viene usato per recuperare le informazioni di configurazione dal servizio Estensioni cluster e segnalare lo stato dell'estensione al servizio.
mcr.microsoft.com, *.data.mcr.microsoft.com HTTPS:443 Questo indirizzo è necessario per eseguire il pull delle immagini del contenitore per l'installazione degli agenti di estensione del cluster nel cluster del servizio Azure Kubernetes.

Nota

Per tutti i componenti aggiuntivi che non sono indicati in modo esplicito qui, è prevista la copertura dei requisiti di base.

Passaggi successivi

In questo articolo sono state fornite informazioni sulle porte e sugli indirizzi da consentire se si vuole limitare il traffico in uscita per il cluster.

Se si vuole limitare il modo in cui i pod comunicano tra loro e le restrizioni del traffico orizzontale destra-sinistra all'interno del cluster, vedere Proteggere il traffico tra i pod usando i criteri di rete nel servizio Azure Kubernetes.