この記事では、Azure Kubernetes Service (AKS) からの送信トラフィックをセキュリティで保護するために必要な詳細について説明します。 これには、ベース AKS デプロイのクラスター要件と、オプションのアドオンと機能の追加要件が含まれています。 この情報は、任意の送信制限方法またはアプライアンスに適用できます。
Azure Firewall を使用した構成例については、「 AKS で Azure Firewall を使用してエグレス トラフィックを制御する」を参照してください。
バックグラウンド
AKS クラスターは仮想ネットワークにデプロイされます。 このネットワークは、ユーザーがカスタマイズして事前構成することも、AKS によって作成および管理することもできます。 いずれの場合も、クラスターは、仮想ネットワークの外部のサービスに対して、アウトバウンドまたはエグレス依存しています。
管理と運用上の目的で、AKS クラスター内のノードは、特定のポートと完全修飾ドメイン名 (FQDN) にアクセスする必要があります。 これらのエンドポイントは、ノードが API サーバーと通信するか、コア Kubernetes クラスター コンポーネントとノード セキュリティ更新プログラムをダウンロードしてインストールするために必要です。 たとえば、クラスターは Microsoft Artifact Registry (MAR) からコンテナー イメージをプルする必要があります。
AKS 送信依存関係は、ほぼ完全に FQDN で定義されており、その背後に静的アドレスはありません。 静的アドレスがないということは、ネットワーク セキュリティ グループ (NSG) を使用して AKS クラスターからの送信トラフィックをロックダウンできないことを意味します。
既定で、AKS クラスターは、送信インターネット アクセスが無制限です。 このレベルのネットワーク アクセスでは、実行しているノードやサービスから必要に応じて外部リソースにアクセスできます。 エグレス トラフィックを制限する場合は、正常なクラスター メンテナンス タスクを維持するために、アクセスできるポートとアドレスの数を制限する必要があります。
ネットワーク分離 AKS クラスターは、クラスターの送信制限をすぐに設定するための最もシンプルで最も安全なソリューションを提供します。 ネットワーク分離クラスターは、クラスター コンポーネントとアドオンのイメージを、MAR からプルするのではなく、クラスターに接続されているプライベート Azure Container Registry (ACR) インスタンスからプルします。 イメージが存在しない場合は、プライベート ACR は MAR からイメージをプルし、プライベート エンドポイント経由で提供するため、クラスターからパブリック MAR エンドポイントへのエグレスを有効にする必要はありません。 クラスター オペレーターは、有効にするシナリオごとに、許可された送信トラフィックをプライベート ネットワーク経由で安全に段階的に設定できます。 これにより、クラスターオペレーターは、最初からクラスターから許可された送信トラフィックを完全に制御できるため、データ流出のリスクを軽減できます。
送信アドレスをセキュリティで保護するもう 1 つの解決策は、ドメイン名に基づいて送信トラフィックを制御できるファイアウォール デバイスを使用することです。 Azure Firewall では、宛先の FQDN に基づいて送信 HTTP および HTTPS トラフィックを制限できます。 また、適切なファイアウォール規則とセキュリティ規則を構成し、これらの必要なポートとアドレスを許可することができます。
重要
このドキュメントでは、AKS サブネットから出るトラフィックをロックダウンする方法のみを説明します。 AKS には、既定ではイングレス要件はありません。 ネットワーク セキュリティ グループ (NSG) とファイアウォールを使用した 内部サブネット トラフィック のブロックはサポートされていません。 クラスター内のトラフィックを制御およびブロックするには、 AKS のネットワーク ポリシーを使用してポッド間のトラフィックをセキュリティで保護する方法に関するページを参照してください。
AKS クラスターに必要な送信ネットワーク規則と FQDN
AKS クラスターには、次のネットワーク規則と FQDN/アプリケーション規則が必要です。 Azure Firewall 以外のソリューションを構成する場合は、それらを使用できます。
- IP アドレスの依存関係は、非 HTTP/S トラフィック (TCP トラフィックと UDP トラフィックの両方) に対して行われます。
- FQDN HTTP/HTTPS エンドポイントは、ファイアウォール デバイスに配置することができます。
- ワイルドカード HTTP/HTTPS エンドポイントは、多数の修飾子に基づいて AKS クラスターによって異なる場合がある依存関係です。
- AKS では、アドミッション コントローラーを使用して、kube-system および gatekeeper-system のすべてのデプロイに環境変数として FQDN を挿入します。 これにより、ノードと API サーバー間のすべてのシステム通信で、API サーバーの IP ではなく API サーバーの FQDN が使用されます。
kubernetes.azure.com/set-kube-service-host-fqdnという名前の注釈を使用してポッド スペックに注釈を付けることで、任意の名前空間の独自のポッドで同じ動作を取得できます。 その注釈が存在する場合、AKS はクラスター内サービス IP ではなく、KUBERNETES_SERVICE_HOST変数を API サーバーのドメイン名に設定します。 これは、クラスターエグレスがレイヤー 7 ファイアウォールを経由している場合に便利です。 - API サーバーと通信する必要があるアプリまたはソリューションがある場合は、API サーバーの IP のポート 443 への TCP 通信を許可する追加のネットワーク規則を追加するか、API サーバーのドメイン名へのトラフィックを許可するようにレイヤー 7 ファイアウォールが構成されている場合は、ポッド スペックで
kubernetes.azure.com/set-kube-service-host-fqdn設定する必要があります。 - まれに、メンテナンス操作がある場合は、API サーバーの IP が変更される可能性があります。 API サーバーの IP を変更できる計画メンテナンス操作は、常に事前に伝達されます。
- "md-*.blob.storage.azure.net" エンドポイントへのトラフィックに気付く場合があります。 このエンドポイントは、Azure Managed Disks の内部コンポーネントに使用されます。 ファイアウォールからこのエンドポイントへのアクセスをブロックしても、問題は発生しません。
- "umsa*.blob.core.windows.net" エンドポイントへのトラフィックに気付く場合があります。 このエンドポイントは、Azure Linux VM エージェントと拡張機能のマニフェストを格納するために使用され、新しいバージョンをダウンロードするために定期的にチェックされます。 VM 拡張機能の詳細については、以下を参照してください。
Azure Global に必要なネットワーク規則
| 宛先エンドポイント | プロトコル | 港 / ポート | 用途 |
|---|---|---|---|
*:1194 又は ServiceTag - AzureCloud.<Region>:1194 又は リージョンのCIDR - RegionCIDRs:1194 又は APIServerPublicIP:1194(only known after cluster creation) |
UDP(ユーザー・データグラム・プロトコル) | 1194 | ノードとコントロールプレーン間のトンネルを利用した安全な通信のために。 これは、プライベート クラスターや konnectivity-agent が有効になっているクラスターでは必要ありません。 |
*:9000 又は ServiceTag - AzureCloud.<Region>:9000 又は リージョンのCIDR - RegionCIDRs:9000 又は APIServerPublicIP:9000(only known after cluster creation) |
TCP | 九千 | ノードとコントロールプレーン間のトンネルを利用した安全な通信のために。 これは、プライベート クラスターや konnectivity-agent が有効になっているクラスターでは必要ありません。 |
*:123 または ntp.ubuntu.com:123 (Azure Firewall ネットワーク規則を使用している場合) |
UDP(ユーザー・データグラム・プロトコル) | 123 | Linux ノードでのネットワーク タイム プロトコル (NTP) 時刻同期に必要です。 これは、2021 年 3 月以降にプロビジョニングされたノードでは必要ありません。 |
CustomDNSIP:53(if using custom DNS servers) |
UDP(ユーザー・データグラム・プロトコル) | 53 | カスタム DNS サーバーを使用している場合は、クラスター ノードからアクセスできることを確認する必要があります。 |
APIServerPublicIP:443(if running pods/deployments, like Ingress Controller, that access the API Server) |
TCP | 443 | API サーバー (イングレス コントローラーなど) にアクセスするポッド/デプロイを実行している場合は、それらのポッド/デプロイで API IP が使用されます。 プライベート クラスターでは、このポートは必要ありません。 |
Azure Global に必須の FQDN とアプリケーションのルール
| 送信先 FQDN | 港 / ポート | 用途 |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Node <-> API サーバー通信に必要です。 <location>を AKS クラスターがデプロイされているリージョンに置き換えます。 これは、 konnectivity-agent が有効になっているクラスターに必要です。 Konnectivity では、Application-Layer プロトコル ネゴシエーション (ALPN) を使用して、エージェントとサーバー間の通信も行います。 ALPN 拡張機能をブロックまたは書き直すと、エラーが発生します。 これは、プライベート クラスターでは必要ありません。 |
mcr.microsoft.com |
HTTPS:443 |
Microsoft Container Registry (MCR) のイメージにアクセスするために必要です。 このレジストリには、ファースト パーティのイメージ/グラフ (coreDNS など) が含まれています。 これらのイメージは、クラスターの正しい作成と機能 (スケール操作やアップグレード操作を含む) に必要です。 |
*.data.mcr.microsoft.com、mcr-0001.mcr-msedge.net |
HTTPS:443 |
Azure コンテンツ配信ネットワーク (CDN) によってサポートされる MCR ストレージに必要です。 |
management.azure.com |
HTTPS:443 |
Azure API に対する Kubernetes 操作に必要です。 |
login.microsoftonline.com |
HTTPS:443 |
Microsoft Entra 認証に必要です。 |
packages.microsoft.com |
HTTPS:443 |
このアドレスは、キャッシュされた apt-get 操作に使用される Microsoft パッケージ リポジトリです。 パッケージの例には、Moby、PowerShell、Azure CLI などがあります。 |
acs-mirror.azureedge.net |
HTTPS:443 |
このアドレスは、kubenet や Azure CNI などの必要なバイナリをダウンロードしてインストールするために必要なリポジトリ用です。 |
packages.aks.azure.com |
HTTPS:443 |
このアドレスは今後、 acs-mirror.azureedge.net を置き換える予定であり、必要な Kubernetes と Azure CNI バイナリをダウンロードしてインストールするために使用されます。 |
21Vianet によって運営される Microsoft Azure で必要なネットワーク規則
| 宛先エンドポイント | プロトコル | 港 / ポート | 用途 |
|---|---|---|---|
*:1194 又は ServiceTag - AzureCloud.Region:1194 又は リージョンのCIDR - RegionCIDRs:1194 又は APIServerPublicIP:1194(only known after cluster creation) |
UDP(ユーザー・データグラム・プロトコル) | 1194 | ノードとコントロールプレーン間のトンネルを利用した安全な通信のために。 |
*:9000 又は ServiceTag - AzureCloud.<Region>:9000 又は リージョンのCIDR - RegionCIDRs:9000 又は APIServerPublicIP:9000(only known after cluster creation) |
TCP | 九千 | ノードとコントロールプレーン間のトンネルを利用した安全な通信のために。 |
*:22 又は ServiceTag - AzureCloud.<Region>:22 又は リージョンのCIDR - RegionCIDRs:22 又は APIServerPublicIP:22(only known after cluster creation) |
TCP | 22 | ノードとコントロールプレーン間のトンネルを利用した安全な通信のために。 |
*:123 または ntp.ubuntu.com:123 (Azure Firewall ネットワーク規則を使用している場合) |
UDP(ユーザー・データグラム・プロトコル) | 123 | Linux ノードでのネットワーク タイム プロトコル (NTP) 時刻同期に必要です。 |
CustomDNSIP:53(if using custom DNS servers) |
UDP(ユーザー・データグラム・プロトコル) | 53 | カスタム DNS サーバーを使用している場合は、クラスター ノードからアクセスできることを確認する必要があります。 |
APIServerPublicIP:443(if running pods/deployments, like Ingress Controller, that access the API Server) |
TCP | 443 | API サーバー (イングレス コントローラーなど) にアクセスするポッド/デプロイを実行している場合は、それらのポッド/デプロイで API IP が使用されます。 |
21Vianet によって運営される Microsoft Azure で必要な FQDN とアプリケーションの規則
| 送信先 FQDN | 港 / ポート | 用途 |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Node <-> API サーバー通信に必要です。 <location>を AKS クラスターがデプロイされているリージョンに置き換えます。 |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Node <-> API サーバー通信に必要です。 <location>を AKS クラスターがデプロイされているリージョンに置き換えます。 |
mcr.microsoft.com |
HTTPS:443 |
Microsoft Container Registry (MCR) のイメージにアクセスするために必要です。 このレジストリには、ファースト パーティのイメージ/グラフ (coreDNS など) が含まれています。 これらのイメージは、クラスターの正しい作成と機能 (スケール操作やアップグレード操作を含む) に必要です。 |
*.data.mcr.microsoft.com |
HTTPS:443 |
Azure Content Delivery Network (CDN) によってサポートされる MCR ストレージに必要です。 |
management.chinacloudapi.cn |
HTTPS:443 |
Azure API に対する Kubernetes 操作に必要です。 |
login.chinacloudapi.cn |
HTTPS:443 |
Microsoft Entra 認証に必要です。 |
packages.microsoft.com |
HTTPS:443 |
このアドレスは、キャッシュされた apt-get 操作に使用される Microsoft パッケージ リポジトリです。 パッケージの例には、Moby、PowerShell、Azure CLI などがあります。 |
*.azk8s.cn |
HTTPS:443 |
このアドレスは、kubenet や Azure CNI などの必要なバイナリをダウンロードしてインストールするために必要なリポジトリ用です。 |
mcr.azure.cn、*.data.mcr.azure.cn |
HTTPS:443 |
China Cloud (Mooncake) で Microsoft Container Registry (MCR) のイメージにアクセスするために必要です。 このレジストリは、信頼性とパフォーマンスが向上した mcr.microsoft.com のキャッシュとして機能します。 |
Azure US Government に必要なネットワーク規則
| 宛先エンドポイント | プロトコル | 港 / ポート | 用途 |
|---|---|---|---|
*:1194 又は ServiceTag - AzureCloud.<Region>:1194 又は リージョンのCIDR - RegionCIDRs:1194 又は APIServerPublicIP:1194(only known after cluster creation) |
UDP(ユーザー・データグラム・プロトコル) | 1194 | ノードとコントロールプレーン間のトンネルを利用した安全な通信のために。 |
*:9000 又は ServiceTag - AzureCloud.<Region>:9000 又は リージョンのCIDR - RegionCIDRs:9000 又は APIServerPublicIP:9000(only known after cluster creation) |
TCP | 九千 | ノードとコントロールプレーン間のトンネルを利用した安全な通信のために。 |
*:123 または ntp.ubuntu.com:123 (Azure Firewall ネットワーク規則を使用している場合) |
UDP(ユーザー・データグラム・プロトコル) | 123 | Linux ノードでのネットワーク タイム プロトコル (NTP) 時刻同期に必要です。 |
CustomDNSIP:53(if using custom DNS servers) |
UDP(ユーザー・データグラム・プロトコル) | 53 | カスタム DNS サーバーを使用している場合は、クラスター ノードからアクセスできることを確認する必要があります。 |
APIServerPublicIP:443(if running pods/deployments, like Ingress Controller, that access the API Server) |
TCP | 443 | API サーバー (イングレス コントローラーなど) にアクセスするポッド/デプロイを実行している場合は、それらのポッド/デプロイで API IP が使用されます。 |
Azure US Government に必要な FQDN とアプリケーションの規則
| 送信先 FQDN | 港 / ポート | 用途 |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Node <-> API サーバー通信に必要です。 <location>を AKS クラスターがデプロイされているリージョンに置き換えます。 |
mcr.microsoft.com |
HTTPS:443 |
Microsoft Container Registry (MCR) のイメージにアクセスするために必要です。 このレジストリには、ファースト パーティのイメージ/グラフ (coreDNS など) が含まれています。 これらのイメージは、クラスターの正しい作成と機能 (スケール操作やアップグレード操作を含む) に必要です。 |
*.data.mcr.microsoft.com |
HTTPS:443 |
Azure コンテンツ配信ネットワーク (CDN) によってサポートされる MCR ストレージに必要です。 |
management.usgovcloudapi.net |
HTTPS:443 |
Azure API に対する Kubernetes 操作に必要です。 |
login.microsoftonline.us |
HTTPS:443 |
Microsoft Entra 認証に必要です。 |
packages.microsoft.com |
HTTPS:443 |
このアドレスは、キャッシュされた apt-get 操作に使用される Microsoft パッケージ リポジトリです。 パッケージの例には、Moby、PowerShell、Azure CLI などがあります。 |
acs-mirror.azureedge.net |
HTTPS:443 |
このアドレスは、kubenet や Azure CNI などの必要なバイナリをインストールするために必要なリポジトリ用です。 |
packages.aks.azure.com |
HTTPS:443 |
このアドレスは今後、 acs-mirror.azureedge.net を置き換える予定であり、必要な Kubernetes と Azure CNI バイナリをダウンロードしてインストールするために使用されます。 |
AKS クラスターに推奨されるオプションの FQDN/アプリケーション 規則
次の FQDN/アプリケーション 規則は必要ありませんが、AKS クラスターには推奨されます。
| 送信先 FQDN | 港 / ポート | 用途 |
|---|---|---|
security.ubuntu.com、 azure.archive.ubuntu.com、 changelogs.ubuntu.com |
HTTP:80 |
このアドレスにより、Linux クラスター ノードは必要なセキュリティ パッチと更新プログラムをダウンロードできます。 |
snapshot.ubuntu.com |
HTTPS:443 |
このアドレスにより、Linux クラスター ノードは、ubuntu スナップショット サービスから必要なセキュリティ パッチと更新プログラムをダウンロードできます。 |
これらの FQDN をブロックまたは許可しない場合、ノードは、 ノード イメージのアップグレード または クラスターのアップグレードを行うときにのみ OS 更新プログラムを受け取ります。 ノード イメージのアップグレードには、セキュリティ修正を含む更新されたパッケージも付属しています。
GPU 対応 AKS クラスターに必要な FQDN/アプリケーション ルール
| 送信先 FQDN | 港 / ポート | 用途 |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
このアドレスは、GPU ベースのノードでの正しいドライバーのインストールと操作に使用されます。 |
us.download.nvidia.com |
HTTPS:443 |
このアドレスは、GPU ベースのノードでの正しいドライバーのインストールと操作に使用されます。 |
download.docker.com |
HTTPS:443 |
このアドレスは、GPU ベースのノードでの正しいドライバーのインストールと操作に使用されます。 |
Windows Server ベースのノード プールに必要な FQDN/アプリケーション規則
| 送信先 FQDN | 港 / ポート | 用途 |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Windows 関連のバイナリをインストールするには |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Windows 関連のバイナリをインストールするには |
これらの FQDN をブロックまたは許可しない場合、ノードは、 ノード イメージのアップグレード または クラスターのアップグレードを行うときにのみ OS 更新プログラムを受け取ります。 ノード イメージのアップグレードには、セキュリティ修正を含む更新されたパッケージも付属しています。
AKS の機能、アドオン、統合
ワークロード識別子
必要な FQDN/アプリケーション 規則
| 送信先 FQDN | 港 / ポート | 用途 |
|---|---|---|
login.microsoftonline.com または login.chinacloudapi.cn または login.microsoftonline.us |
HTTPS:443 |
Microsoft Entra 認証に必要です。 |
Microsoft Defender for Containers (コンテナー用マイクロソフト ディフェンダー)
必要な FQDN/アプリケーション 規則
| FQDN (フル クオリファイド ドメイン ネーム) | 港 / ポート | 用途 |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government)login.microsoftonline.cn (21Vianet が運営する Azure) |
HTTPS:443 |
Microsoft Entra 認証に必要です。 |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government)*.ods.opinsights.azure.cn (21Vianet が運営する Azure) |
HTTPS:443 |
Microsoft Defender がセキュリティ イベントをクラウドにアップロードするために必要です。 |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government)*.oms.opinsights.azure.cn (21Vianet が運営する Azure) |
HTTPS:443 |
Log Analytics ワークスペースで認証するために必要です。 |
シークレット ストア CSI ドライバー用 Azure Key Vault プロバイダー
ネットワーク分離クラスターを使用する場合は、 Azure Key Vault にアクセスするようにプライベート エンドポイントを設定することをお勧めします。
クラスターに送信タイプのユーザー定義ルーティングと Azure Firewall がある場合は、次のネットワーク規則とアプリケーション規則が適用されます。
必要な FQDN/アプリケーション 規則
| FQDN (フル クオリファイド ドメイン ネーム) | 港 / ポート | 用途 |
|---|---|---|
vault.azure.net |
HTTPS:443 |
CSI シークレット ストア アドオン ポッドが Azure KeyVault サーバーと通信するために必要です。 |
*.vault.usgovcloudapi.net |
HTTPS:443 |
CSI シークレット ストア アドオン ポッドが Azure Government の Azure KeyVault サーバーと通信するために必要です。 |
Azure Monitor - Managed Prometheus、Container Insights、Azure Monitor Application Insights 自動インストルメンテーション
ネットワーク分離クラスターを使用する場合は、Managed Prometheus (Azure Monitor ワークスペース)、Container Insights (Log Analytics ワークスペース)、Azure Monitor Application Insights Autoinstrumentation (Application Insights リソース) でサポートされる プライベート エンドポイント ベースのインジェストを設定することをお勧めします。
クラスターに送信タイプのユーザー定義ルーティングと Azure Firewall がある場合は、次のネットワーク規則とアプリケーション規則が適用されます。
必要なネットワーク 規則
| 宛先エンドポイント | プロトコル | 港 / ポート | 用途 |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | このエンドポイントは、メトリックデータとログを Azure Monitor と Log Analytics に送信するために使用されます。 |
Azure パブリック クラウドに必要な FQDN/アプリケーション ルール
| エンドポイント | 目的 | 港 / ポート |
|---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.in.applicationinsights.azure.com |
Application Insights 自動インストルメンテーション。 スコープを制限するには、宛先リソースの接続文字列内のエンドポイントのみを許可するように変更できます | 443 |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
[アクセス制御サービス] | 443 |
*.ingest.monitor.azure.com |
Container Insights - ログ収集エンドポイント (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
Prometheus の Azure Monitor 管理サービス - メトリック インジェスト エンドポイント (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
特定のクラスターのデータ収集ルールを取得する | 443 |
21Vianet クラウドで運用されている Microsoft Azure では、FQDN/アプリケーション規則が必要です
| エンドポイント | 目的 | 港 / ポート |
|---|---|---|
*.ods.opinsights.azure.cn |
データ インジェスト | 443 |
*.oms.opinsights.azure.cn |
Azure Monitor エージェント (AMA) のオンボード | 443 |
dc.services.visualstudio.com |
Azure パブリック クラウド Application Insights を使用するエージェント テレメトリの場合 | 443 |
*.in.applicationinsights.azure.com |
Application Insights 自動インストルメンテーション。 スコープを制限するには、宛先リソースの接続文字列内のエンドポイントのみを許可するように変更できます | 443 |
global.handler.control.monitor.azure.cn |
[アクセス制御サービス] | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
特定のクラスターのデータ収集ルールを取得する | 443 |
*.ingest.monitor.azure.cn |
Container Insights - ログ収集エンドポイント (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
Prometheus の Azure Monitor 管理サービス - メトリック インジェスト エンドポイント (DCE) | 443 |
Azure Government クラウドで必要な FQDN/アプリケーション ルール
| エンドポイント | 目的 | 港 / ポート |
|---|---|---|
*.ods.opinsights.azure.us |
データ インジェスト | 443 |
*.oms.opinsights.azure.us |
Azure Monitor エージェント (AMA) のオンボード | 443 |
dc.services.visualstudio.com |
Azure パブリック クラウド Application Insights を使用するエージェント テレメトリの場合 | 443 |
*.in.applicationinsights.azure.com |
Application Insights の自動インストゥルメンテーション。 スコープを制限するには、宛先リソースの接続文字列内のエンドポイントのみを許可するように変更できます | 443 |
global.handler.control.monitor.azure.us |
[アクセス制御サービス] | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
特定のクラスターのデータ収集ルールを取得する | 443 |
*.ingest.monitor.azure.us |
Container Insights - ログ収集エンドポイント (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
Prometheus の Azure Monitor 管理サービス - メトリック インジェスト エンドポイント (DCE) | 443 |
Azure Policy
必要な FQDN/アプリケーション 規則
| FQDN (フル クオリファイド ドメイン ネーム) | 港 / ポート | 用途 |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
このアドレスは、Kubernetes ポリシーをプルし、クラスターコンプライアンスの状態をポリシー サービスに報告するために使用されます。 |
store.policy.core.windows.net |
HTTPS:443 |
このアドレスは、組み込みポリシーの Gatekeeper アーティファクトをプルするために使用されます。 |
dc.services.visualstudio.com |
HTTPS:443 |
テレメトリ データをアプリケーション分析情報エンドポイントに送信する Azure Policy アドオン。 |
21Vianet によって運営される Microsoft Azure で必要な FQDN とアプリケーションの規則
| FQDN (フル クオリファイド ドメイン ネーム) | 港 / ポート | 用途 |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
このアドレスは、Kubernetes ポリシーをプルし、クラスターコンプライアンスの状態をポリシー サービスに報告するために使用されます。 |
store.policy.azure.cn |
HTTPS:443 |
このアドレスは、組み込みポリシーの Gatekeeper アーティファクトをプルするために使用されます。 |
Azure US Government に必要な FQDN とアプリケーションの規則
| FQDN (フル クオリファイド ドメイン ネーム) | 港 / ポート | 用途 |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
このアドレスは、Kubernetes ポリシーをプルし、クラスターコンプライアンスの状態をポリシー サービスに報告するために使用されます。 |
store.policy.azure.us |
HTTPS:443 |
このアドレスは、組み込みポリシーの Gatekeeper アーティファクトをプルするために使用されます。 |
AKS コスト分析アドオン
必要な FQDN/アプリケーション 規則
| FQDN (フル クオリファイド ドメイン ネーム) | 港 / ポート | 用途 |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Azure Government)management.chinacloudapi.cn (21Vianet が運営する Azure) |
HTTPS:443 |
Azure API に対する Kubernetes 操作に必要です。 |
login.microsoftonline.com login.microsoftonline.us (Azure Government)login.microsoftonline.cn (21Vianet が運営する Azure) |
HTTPS:443 |
Microsoft Entra ID 認証に必要です。 |
クラスター拡張機能
必要な FQDN/アプリケーション 規則
| FQDN (フル クオリファイド ドメイン ネーム) | ポート | 用途 |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
このアドレスは、クラスター拡張機能サービスから構成情報をフェッチし、拡張機能の状態をサービスに報告するために使用されます。 |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
このアドレスは、AKS クラスターにクラスター拡張エージェントをインストールするためにコンテナー イメージをプルするために必要です。 |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
このアドレスは、AKS クラスターに Marketplace 拡張機能をインストールするためにコンテナー イメージをプルするために必要です。 |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
このアドレスはインド中部リージョンのデータ エンドポイント用であり、AKS クラスターに Marketplace 拡張機能をインストールするためにコンテナー イメージをプルするために必要です。 |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
このアドレスは東日本リージョン のデータ エンドポイント用であり、AKS クラスターに Marketplace 拡張機能をインストールするためにコンテナー イメージをプルするために必要です。 |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
このアドレスは米国西部 2 リージョンのデータ エンドポイント用であり、AKS クラスターに Marketplace 拡張機能をインストールするためにコンテナー イメージをプルするために必要です。 |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
このアドレスは西ヨーロッパのリージョン データ エンドポイント用であり、AKS クラスターに Marketplace 拡張機能をインストールするためにコンテナー イメージをプルするために必要です。 |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
このアドレスは米国東部のリージョン データ エンドポイント用であり、AKS クラスターに Marketplace 拡張機能をインストールするためにコンテナー イメージをプルするために必要です。 |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
このアドレスは、エージェントのメトリック データを Azure に送信するために使用されます。 |
marketplaceapi.microsoft.com |
HTTPS: 443 |
このアドレスは、コマース測定 API にカスタム測定ベースの使用状況を送信するために使用されます。 |
Azure US Government に必要な FQDN とアプリケーションの規則
| FQDN (フル クオリファイド ドメイン ネーム) | 港 / ポート | 用途 |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
このアドレスは、クラスター拡張機能サービスから構成情報をフェッチし、拡張機能の状態をサービスに報告するために使用されます。 |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
このアドレスは、AKS クラスターにクラスター拡張エージェントをインストールするためにコンテナー イメージをプルするために必要です。 |
注
ここに明示的に記載されていないアドオンについては、コア要件で対応します。
Istio ベースのサービス メッシュ アドオン
Istio=based サービス メッシュ アドオンでは、プラグイン証明機関 (CA) を使用して istiod を設定する場合、またはセキュリティで保護されたイングレス ゲートウェイを設定する場合は、これらの機能に対してシークレット ストア CSI ドライバー用の Azure Key Vault プロバイダーが必要です。 シークレット ストア CSI ドライバー用の Azure Key Vault プロバイダーの送信ネットワーク要件については、 こちらをご覧ください。
アプリケーション ルーティング アドオン
アプリケーション ルーティング アドオンは、Azure Key Vault に格納されている証明書を使用したイングレスでの SSL 終了をサポートします。 シークレット ストア CSI ドライバー用の Azure Key Vault プロバイダーの送信ネットワーク要件については、 こちらをご覧ください。
次のステップ
この記事では、クラスターのエグレス トラフィックを制限する場合に許可するポートとアドレスについて学習しました。
ポッド間の通信方法とクラスター内の East-West トラフィック制限を制限する場合は、 AKS のネットワーク ポリシーを使用してポッド間のトラフィックをセキュリティで保護する方法を参照してください。
GitHub で Microsoft と共同作業する
このコンテンツのソースは GitHub にあります。そこで、issue や pull request を作成および確認することもできます。 詳細については、共同作成者ガイドを参照してください。
Azure Kubernetes Service