AKS(Azure Kubernetes Service) 클러스터에 대한 아웃바운드 네트워크 및 FQDN 규칙
이 문서에서는 AKS(Azure Kubernetes Service)에서 아웃바운드 트래픽을 보호하는 데 필요한 세부 정보를 제공합니다. 여기에는 기본 AKS 배포에 대한 클러스터 요구 사항과 선택적 추가 기능 및 기능에 대한 추가 요구 사항이 포함되어 있습니다. 이 정보는 아웃바운드 제한 방법 또는 어플라이언스에 적용할 수 있습니다.
Azure Firewall을 사용한 구성 예를 보려면 AKS에서 Azure Firewall을 사용하여 송신 트래픽 제어를 참조하세요.
배경
AKS 클러스터는 가상 네트워크에 배포됩니다. 이 네트워크는 사용자가 사용자 지정하고 미리 구성하거나 AKS에서 만들고 관리할 수 있습니다. 두 경우 모두 클러스터에는 가상 네트워크 외부 서비스에 대한 아웃바운드 또는 송신 종속성이 있습니다.
관리와 운영을 목적으로 AKS 클러스터의 노드는 특정 포트와 FQDN(정규화된 도메인 이름)에 액세스해야 합니다. 이러한 엔드포인트는 노드가 API 서버와 통신하거나 핵심 Kubernetes 클러스터 구성 요소 및 노드 보안 업데이트를 다운로드 및 설치하는 데 필요합니다. 예를 들어 클러스터는 MCR(Microsoft Container Registry)에서 기본 시스템 컨테이너 이미지를 가져와야 합니다.
AKS 아웃바운드 종속성은 FQDN으로 거의 완전히 정의되며 뒤에 고정 주소가 없습니다. 고정 주소가 없다는 것은 NSG(네트워크 보안 그룹)를 사용하여 AKS 클러스터의 아웃바운드 트래픽을 잠글 수 없다는 것을 의미합니다.
기본적으로 AKS 클러스터에는 무제한 아웃바운드 인터넷 액세스가 있습니다. 이러한 수준의 네트워크 액세스가 있으면 사용자가 실행하는 노드와 서비스는 필요할 때마다 외부 리소스에 액세스할 수 있습니다. 송신 트래픽을 제한하려면 정상적인 클러스터 유지 관리 작업을 유지할 수 있도록 제한된 수의 포트 및 주소에 액세스할 수 있어야 합니다. 아웃바운드 주소를 보호하는 가장 간단한 솔루션은 도메인 이름을 기반으로 아웃바운드 트래픽을 제어할 수 있는 방화벽 디바이스를 사용하는 것입니다. Azure Firewall은 대상의 FQDN을 기반으로 아웃바운드 HTTP 및 HTTPS 트래픽을 제한할 수 있습니다. 이러한 필수 포트와 주소를 허용하도록 기본 방화벽 및 보안 규칙을 구성할 수도 있습니다.
Important
이 문서에서는 AKS 서브넷에서 나가는 트래픽을 잠그는 방법에 대해서만 설명합니다. 기본적으로 AKS에는 수신 요구 사항이 없습니다. NSG(네트워크 보안 그룹) 및 방화벽을 사용하여 내부 서브넷 트래픽을 차단하는 것은 지원되지 않습니다. 클러스터 내 트래픽을 제어하고 차단하려면 AKS에서 네트워크 정책을 사용하여 Pod 간 트래픽 보안를 참조하세요.
AKS 클러스터에 필요한 아웃바운드 네트워크 규칙 및 FQDN
AKS 클러스터에는 다음 네트워크 및 FQDN/애플리케이션 규칙이 필요합니다. Azure Firewall 이외의 솔루션을 구성하려는 경우 이를 사용할 수 있습니다.
- IP 주소 종속성은 HTTP/S가 아닌 트래픽(TCP 및 UDP 모두)에 대한 것입니다.
- FQDN HTTP/HTTPS 엔드포인트는 방화벽 디바이스에 배치할 수 있습니다.
- 와일드카드 HTTP/HTTPS 엔드포인트는 몇 가지 한정자를 기반으로 하여 AKS에 따라 달라질 수 있는 종속성입니다.
- AKS는 승인 컨트롤러를 사용하여 FQDN을 kube-system 및 Gatekeeper-system 아래의 모든 배포에 환경 변수로 삽입합니다. 이렇게 하면 노드와 API 서버 간의 모든 시스템 통신이 API 서버 IP가 아닌 API 서버 FQDN을 사용하도록 보장됩니다.
kubernetes.azure.com/set-kube-service-host-fqdn라는 주석을 Pod 사양에 추가하여 모든 네임스페이스의 고유한 Pod에서 동일한 동작을 가져올 수 있습니다. 해당 주석이 있는 경우 AKS는 KUBERNETES_SERVICE_HOST 변수를 클러스터 내 서비스 IP 대신 API 서버의 도메인 이름으로 설정합니다. 이 방식은 클러스터 송신이 계층 7 방화벽을 통해 수신되는 경우에 유용합니다. - API 서버와 통신해야 하는 앱이나 솔루션이 있는 경우 추가 네트워크 규칙을 추가하여 API 서버 IP의 포트 443에 TCP 통신을 허용해야 합니다. 또는 API 서벙의 도메인 이름으로의 트래픽을 허용하도록 구성된 계층 7 방화벽이 있는 경우 pod 사양에
kubernetes.azure.com/set-kube-service-host-fqdn을 설정합니다. - 드문 경우지만 API 서버 IP가 변경될 수 있는 유지 관리 작업이 있는 경우가 있습니다. API 서버 IP를 변경할 수 있는 계획된 유지 관리 작업은 항상 미리 전달됩니다.
- 특정 상황에서는 "md-*.blob.storage.azure.net"에 대한 트래픽이 필요할 수 있습니다. 이 종속성은 Azure Managed Disks의 일부 내부 메커니즘으로 인해 발생합니다. Storage 서비스 태그를 사용할 수도 있습니다.
Azure 글로벌 필수 네트워크 규칙
| 대상 엔드포인트 | 프로토콜 | Port | 사용할 용어 |
|---|---|---|---|
*:1194 Or 서비스 태그 - AzureCloud.<Region>:1194 Or 지역 CIDR - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | 노드와 컨트롤 평면 간의 터널링된 보안 통신의 경우 프라이빗 클러스터 또는 connectivity-agent가 사용된 클러스터에는 필요하지 않습니다. |
*:9000 Or 서비스 태그 - AzureCloud.<Region>:9000 Or 지역 CIDR - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | 노드와 컨트롤 평면 간의 터널링된 보안 통신의 경우 프라이빗 클러스터 또는 connectivity-agent가 사용된 클러스터에는 필요하지 않습니다. |
*:123 또는 ntp.ubuntu.com:123(Azure Firewall 네트워크 규칙을 사용하는 경우) |
UDP | 123 | Linux 노드에서 NTP(Network Time Protocol) 시간 동기화(Linux 노드)에 필요합니다. 2021년 3월 이후에 프로비전된 노드에는 필요하지 않습니다. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | 사용자 지정 DNS 서버를 사용하는 경우 클러스터 노드에서 액세스할 수 있는지 확인해야 합니다. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | API 서버에 액세스하는 Pod/배포를 실행하는 경우 필요하며 해당 Pod/배포는 API IP를 사용합니다. 프라이빗 클러스터에는 이 포트가 필요하지 않습니다. |
Azure 글로벌 필수 FQDN/애플리케이션 규칙
| 대상 FQDN | 포트 | 사용할 용어 |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
노드 <-> API 서버 통신에 필요합니다. <location>을 AKS 클러스터가 배포된 지역으로 바꾸세요. connectivity-agent가 활성화된 클러스터에 필요합니다. 또한 Konnectivity는 ALPN(Application-Layer Protocol Negotiation)을 사용하여 에이전트와 서버 간에 통신합니다. ALPN 확장을 차단하거나 다시 작성하면 오류가 발생합니다. 프라이빗 클러스터에는 필요하지 않습니다. |
mcr.microsoft.com |
HTTPS:443 |
MCR(Microsoft 컨테이너 레지스트리)의 이미지에 액세스하는 데 필요합니다. 이 레지스트리에는 자사 이미지/차트(예: coreDNS 등)가 포함되어 있습니다. 이러한 이미지는 확장 및 업그레이드 작업을 포함하여 클러스터를 올바르게 생성하고 작동하는 데 필요합니다. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Azure CDN(Content Delivery Network)이 지원하는 MCR 스토리지에 필요합니다. |
management.azure.com |
HTTPS:443 |
Azure API에 대한 Kubernetes 작업에 필요합니다. |
login.microsoftonline.com |
HTTPS:443 |
Microsoft Entra 인증에 필요합니다. |
packages.microsoft.com |
HTTPS:443 |
이 주소는 캐시된 apt-get 작업에 사용되는 Microsoft 패키지 리포지토리입니다. 예제 패키지에는 Moby, PowerShell 및 Azure CLI가 포함됩니다. |
acs-mirror.azureedge.net |
HTTPS:443 |
이 주소는 kubenet 및 Azure CNI와 같은 필수 이진 파일을 다운로드 및 설치하는 데 필요한 리포지토리입니다. |
21Vianet에서 운영하는 Microsoft Azure 필수 네트워크 규칙
| 대상 엔드포인트 | 프로토콜 | Port | 사용할 용어 |
|---|---|---|---|
*:1194 Or 서비스 태그 - AzureCloud.Region:1194 Or 지역 CIDR - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | 노드와 컨트롤 평면 간의 터널링된 보안 통신의 경우 |
*:9000 Or 서비스 태그 - AzureCloud.<Region>:9000 Or 지역 CIDR - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | 노드와 컨트롤 평면 간의 터널링된 보안 통신의 경우 |
*:22 Or 서비스 태그 - AzureCloud.<Region>:22 Or 지역 CIDR - RegionCIDRs:22 Or APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | 노드와 컨트롤 평면 간의 터널링된 보안 통신의 경우 |
*:123 또는 ntp.ubuntu.com:123(Azure Firewall 네트워크 규칙을 사용하는 경우) |
UDP | 123 | Linux 노드에서 NTP(Network Time Protocol) 시간 동기화(Linux 노드)에 필요합니다. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | 사용자 지정 DNS 서버를 사용하는 경우 클러스터 노드에서 액세스할 수 있는지 확인해야 합니다. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | API 서버에 액세스하는 Pod/배포를 실행하는 경우 필요하며 해당 Pod/배포는 API IP를 사용합니다. |
21Vianet에서 운영하는 Microsoft Azure에는 FQDN/애플리케이션 규칙이 필요합니다.
| 대상 FQDN | 포트 | 사용할 용어 |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
노드 <-> API 서버 통신에 필요합니다. <location>을 AKS 클러스터가 배포된 지역으로 바꾸세요. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
노드 <-> API 서버 통신에 필요합니다. <location>을 AKS 클러스터가 배포된 지역으로 바꾸세요. |
mcr.microsoft.com |
HTTPS:443 |
MCR(Microsoft 컨테이너 레지스트리)의 이미지에 액세스하는 데 필요합니다. 이 레지스트리에는 자사 이미지/차트(예: coreDNS 등)가 포함되어 있습니다. 이러한 이미지는 확장 및 업그레이드 작업을 포함하여 클러스터를 올바르게 생성하고 작동하는 데 필요합니다. |
.data.mcr.microsoft.com |
HTTPS:443 |
Azure CDN(Content Delivery Network)이 지원하는 MCR 스토리지에 필요합니다. |
management.chinacloudapi.cn |
HTTPS:443 |
Azure API에 대한 Kubernetes 작업에 필요합니다. |
login.chinacloudapi.cn |
HTTPS:443 |
Microsoft Entra 인증에 필요합니다. |
packages.microsoft.com |
HTTPS:443 |
이 주소는 캐시된 apt-get 작업에 사용되는 Microsoft 패키지 리포지토리입니다. 예제 패키지에는 Moby, PowerShell 및 Azure CLI가 포함됩니다. |
*.azk8s.cn |
HTTPS:443 |
이 주소는 kubenet 및 Azure CNI와 같은 필수 이진 파일을 다운로드 및 설치하는 데 필요한 리포지토리입니다. |
Azure 미국 정부 필수 네트워크 규칙
| 대상 엔드포인트 | 프로토콜 | Port | 사용할 용어 |
|---|---|---|---|
*:1194 Or 서비스 태그 - AzureCloud.<Region>:1194 Or 지역 CIDR - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | 노드와 컨트롤 평면 간의 터널링된 보안 통신의 경우 |
*:9000 Or 서비스 태그 - AzureCloud.<Region>:9000 Or 지역 CIDR - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | 노드와 컨트롤 평면 간의 터널링된 보안 통신의 경우 |
*:123 또는 ntp.ubuntu.com:123(Azure Firewall 네트워크 규칙을 사용하는 경우) |
UDP | 123 | Linux 노드에서 NTP(Network Time Protocol) 시간 동기화(Linux 노드)에 필요합니다. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | 사용자 지정 DNS 서버를 사용하는 경우 클러스터 노드에서 액세스할 수 있는지 확인해야 합니다. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | API 서버에 액세스하는 Pod/배포를 실행하는 경우 필요하며 해당 Pod/배포는 API IP를 사용합니다. |
Azure 미국 정부 필수 FQDN/애플리케이션 규칙
| 대상 FQDN | 포트 | 사용할 용어 |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
노드 <-> API 서버 통신에 필요합니다. <location>을 AKS 클러스터가 배포된 지역으로 바꾸세요. |
mcr.microsoft.com |
HTTPS:443 |
MCR(Microsoft 컨테이너 레지스트리)의 이미지에 액세스하는 데 필요합니다. 이 레지스트리에는 자사 이미지/차트(예: coreDNS 등)가 포함되어 있습니다. 이러한 이미지는 확장 및 업그레이드 작업을 포함하여 클러스터를 올바르게 생성하고 작동하는 데 필요합니다. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Azure CDN(Content Delivery Network)이 지원하는 MCR 스토리지에 필요합니다. |
management.usgovcloudapi.net |
HTTPS:443 |
Azure API에 대한 Kubernetes 작업에 필요합니다. |
login.microsoftonline.us |
HTTPS:443 |
Microsoft Entra 인증에 필요합니다. |
packages.microsoft.com |
HTTPS:443 |
이 주소는 캐시된 apt-get 작업에 사용되는 Microsoft 패키지 리포지토리입니다. 예제 패키지에는 Moby, PowerShell 및 Azure CLI가 포함됩니다. |
acs-mirror.azureedge.net |
HTTPS:443 |
이 주소는 kubenet 및 Azure CNI와 같은 필수 이진 파일을 설치하는 데 필요한 리포지토리입니다. |
AKS 클러스터용 권장 FQDN/애플리케이션 규칙(선택 사항)
다음 FQDN/애플리케이션 규칙은 필수는 아니지만 AKS 클러스터에 권장됩니다.
| 대상 FQDN | 포트 | 사용할 용어 |
|---|---|---|
security.ubuntu.com, azure.archive.ubuntu.com, changelogs.ubuntu.com |
HTTP:80 |
이 주소를 통해 Linux 클러스터 노드가 필요한 보안 패치와 업데이트를 다운로드할 수 있습니다. |
이러한 FQDN을 차단/허용 안 함으로 선택하는 경우 노드는 노드 이미지 업그레이드 또는 클러스터 업그레이드를 수행할 때만 OS 업데이트를 수신합니다. 노드 이미지 업그레이드는 보안 수정 사항을 포함하여 업데이트된 패키지와 함께 제공된다는 점에 유의합니다.
GPU 지원 AKS 클러스터에는 FQDN/애플리케이션 규칙이 필요합니다.
| 대상 FQDN | 포트 | 사용할 용어 |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
이 주소는 GPU 기반 노드에서 올바른 드라이버 설치 및 작동에 사용됩니다. |
us.download.nvidia.com |
HTTPS:443 |
이 주소는 GPU 기반 노드에서 올바른 드라이버 설치 및 작동에 사용됩니다. |
download.docker.com |
HTTPS:443 |
이 주소는 GPU 기반 노드에서 올바른 드라이버 설치 및 작동에 사용됩니다. |
Windows Server 기반 노드 풀에는 FQDN/애플리케이션 규칙이 필요합니다.
| 대상 FQDN | 포트 | 사용할 용어 |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Windows 관련 이진 파일을 설치하려면 필요합니다. |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Windows 관련 이진 파일을 설치하려면 필요합니다. |
이러한 FQDN을 차단/허용 안 함으로 선택하는 경우 노드는 노드 이미지 업그레이드 또는 클러스터 업그레이드를 수행할 때만 OS 업데이트를 수신합니다. 노드 이미지 업그레이드는 보안 수정 사항을 포함하여 업데이트된 패키지와 함께 제공된다는 점에 유의합니다.
AKS 추가 기능 및 통합
컨테이너용 Microsoft Defender
필수 FQDN/애플리케이션 규칙
| FQDN | 포트 | 사용할 용어 |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us(Azure Government) login.microsoftonline.cn(21Vianet에서 운영하는 Azure) |
HTTPS:443 |
Active Directory 인증에 필요합니다. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us(Azure Government) *.ods.opinsights.azure.cn(21Vianet에서 운영하는 Azure) |
HTTPS:443 |
Microsoft Defender가 보안 이벤트를 클라우드에 업로드하는 데 필요합니다. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us(Azure Government) *.oms.opinsights.azure.cn(21Vianet에서 운영하는 Azure) |
HTTPS:443 |
LogAnalytics 작업 영역을 사용하여 인증하는 데 필요합니다. |
CSI 비밀 저장소
필수 FQDN/애플리케이션 규칙
| FQDN | 포트 | 사용할 용어 |
|---|---|---|
vault.azure.net |
HTTPS:443 |
CSI 비밀 저장소 추가 기능 Pod가 Azure KeyVault 서버와 통신하는 데 필요합니다. |
컨테이너용 Azure Monitor
컨테이너용 Azure Monitor에 대한 액세스를 제공하는 두 가지 옵션이 있습니다.
- Azure Monitor ServiceTag를 허용합니다.
- 필수 FQDN/애플리케이션 규칙에 대한 액세스를 제공합니다.
필수 네트워크 규칙
| 대상 엔드포인트 | 프로토콜 | Port | 사용할 용어 |
|---|---|---|---|
서비스 태그 - AzureMonitor:443 |
TCP | 443 | 이 엔드포인트는 Azure Monitor 및 Log Analytics에 메트릭 데이터와 로그를 전송하는 데 사용됩니다. |
필수 FQDN/애플리케이션 규칙
| FQDN | 포트 | 사용할 용어 |
|---|---|---|
dc.services.visualstudio.com |
HTTPS:443 |
이 엔드포인트는 Azure Monitor를 사용하는 모니터링 원격 분석 및 메트릭에 사용됩니다. |
*.ods.opinsights.azure.com |
HTTPS:443 |
이 엔드포인트는 Azure Monitor가 로그 분석 데이터를 수집하는 데 사용됩니다. |
*.oms.opinsights.azure.com |
HTTPS:443 |
이 엔드포인트는 로그 분석 서비스를 인증하는 데 사용되는 omsagent에서 사용합니다. |
*.monitoring.azure.com |
HTTPS:443 |
이 엔드포인트는 Azure Monitor에 메트릭 데이터를 전송하는 데 사용됩니다. |
<cluster-region-name>.ingest.monitor.azure.com |
HTTPS:443 |
이 엔드포인트는 Prometheus용 Azure Monitor 관리 서비스 메트릭 수집에 사용됩니다. |
<cluster-region-name>.handler.control.monitor.azure.com |
HTTPS:443 |
이 엔드포인트는 특정 클러스터에 대한 데이터 수집 규칙을 가져오는 데 사용됩니다. |
21Vianet에서 운영하는 Microsoft Azure에는 FQDN/애플리케이션 규칙이 필요합니다.
| FQDN | 포트 | 사용할 용어 |
|---|---|---|
dc.services.visualstudio.com |
HTTPS:443 |
이 엔드포인트는 Azure Monitor를 사용하는 모니터링 원격 분석 및 메트릭에 사용됩니다. |
*.ods.opinsights.azure.cn |
HTTPS:443 |
이 엔드포인트는 Azure Monitor가 로그 분석 데이터를 수집하는 데 사용됩니다. |
*.oms.opinsights.azure.cn |
HTTPS:443 |
이 엔드포인트는 로그 분석 서비스를 인증하는 데 사용되는 omsagent에서 사용합니다. |
global.handler.control.monitor.azure.cn |
HTTPS:443 |
이 엔드포인트는 Azure Monitor에서 제어 서비스에 액세스하는 데 사용됩니다. |
<cluster-region-name>.handler.control.monitor.azure.cn |
HTTPS:443 |
이 엔드포인트는 특정 클러스터에 대한 데이터 수집 규칙을 가져오는 데 사용됩니다. |
Azure 미국 정부 필수 FQDN/애플리케이션 규칙
| FQDN | 포트 | 사용할 용어 |
|---|---|---|
dc.services.visualstudio.com |
HTTPS:443 |
이 엔드포인트는 Azure Monitor를 사용하는 모니터링 원격 분석 및 메트릭에 사용됩니다. |
*.ods.opinsights.azure.us |
HTTPS:443 |
이 엔드포인트는 Azure Monitor가 로그 분석 데이터를 수집하는 데 사용됩니다. |
*.oms.opinsights.azure.us |
HTTPS:443 |
이 엔드포인트는 로그 분석 서비스를 인증하는 데 사용되는 omsagent에서 사용합니다. |
global.handler.control.monitor.azure.us |
HTTPS:443 |
이 엔드포인트는 Azure Monitor에서 제어 서비스에 액세스하는 데 사용됩니다. |
<cluster-region-name>.handler.control.monitor.azure.us |
HTTPS:443 |
이 엔드포인트는 특정 클러스터에 대한 데이터 수집 규칙을 가져오는 데 사용됩니다. |
Azure Policy
필수 FQDN/애플리케이션 규칙
| FQDN | 포트 | 사용할 용어 |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
이 주소는 Kubernetes 정책을 가져오고 클러스터 준수 상태를 정책 서비스에 보고하는 데 사용됩니다. |
store.policy.core.windows.net |
HTTPS:443 |
이 주소는 기본 제공 정책의 Gatekeeper 아티팩트를 가져오는 데 사용됩니다. |
dc.services.visualstudio.com |
HTTPS:443 |
원격 분석 데이터를 Application Insights 엔드포인트로 보내는 Azure Policy 추가 기능입니다. |
21Vianet에서 운영하는 Microsoft Azure에는 FQDN/애플리케이션 규칙이 필요합니다.
| FQDN | 포트 | 사용할 용어 |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
이 주소는 Kubernetes 정책을 가져오고 클러스터 준수 상태를 정책 서비스에 보고하는 데 사용됩니다. |
store.policy.azure.cn |
HTTPS:443 |
이 주소는 기본 제공 정책의 Gatekeeper 아티팩트를 가져오는 데 사용됩니다. |
Azure 미국 정부 필수 FQDN/애플리케이션 규칙
| FQDN | 포트 | 사용할 용어 |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
이 주소는 Kubernetes 정책을 가져오고 클러스터 준수 상태를 정책 서비스에 보고하는 데 사용됩니다. |
store.policy.azure.us |
HTTPS:443 |
이 주소는 기본 제공 정책의 Gatekeeper 아티팩트를 가져오는 데 사용됩니다. |
클러스터 확장
필수 FQDN/애플리케이션 규칙
| FQDN | 포트 | 사용할 용어 |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
이 주소는 클러스터 확장 서비스에서 구성 정보를 가져오고 확장 상태를 서비스에 보고하는 데 사용됩니다. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
이 주소는 AKS 클러스터에 클러스터 확장 에이전트를 설치하기 위해 컨테이너 이미지를 끌어오는 데 필요합니다. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
이 주소는 AKS 클러스터에 마켓플레이스 확장을 설치하기 위해 컨테이너 이미지를 가져오는 데 필요합니다. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
이 주소는 인도 중부 지역 데이터 엔드포인트용이며 AKS 클러스터에 마켓플레이스 확장을 설치하기 위해 컨테이너 이미지를 가져오는 데 필요합니다. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
이 주소는 일본 동부 지역 데이터 엔드포인트용이며 AKS 클러스터에 마켓플레이스 확장을 설치하기 위해 컨테이너 이미지를 가져오는 데 필요합니다. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
이 주소는 미국 서부 2 지역 데이터 엔드포인트용이며 AKS 클러스터에 마켓플레이스 확장을 설치하기 위해 컨테이너 이미지를 가져오는 데 필요합니다. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
이 주소는 서유럽 지역 데이터 엔드포인트용이며 AKS 클러스터에 마켓플레이스 확장을 설치하기 위해 컨테이너 이미지를 가져오는 데 필요합니다. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
이 주소는 미국 동부 지역 데이터 엔드포인트용이며 AKS 클러스터에 마켓플레이스 확장을 설치하기 위해 컨테이너 이미지를 가져오는 데 필요합니다. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
이 주소는 에이전트 메트릭 데이터를 Azure로 보내는 데 사용됩니다. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
이 주소는 사용자 지정 미터 기반 사용량을 상거래 미터링 API로 보내는 데 사용됩니다. |
Azure 미국 정부 필수 FQDN/애플리케이션 규칙
| FQDN | 포트 | 사용할 용어 |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
이 주소는 클러스터 확장 서비스에서 구성 정보를 가져오고 확장 상태를 서비스에 보고하는 데 사용됩니다. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
이 주소는 AKS 클러스터에 클러스터 확장 에이전트를 설치하기 위해 컨테이너 이미지를 끌어오는 데 필요합니다. |
참고 항목
여기에 명시적으로 명시되지 않은 추가 기능의 경우 핵심 요구 사항이 적용됩니다.
다음 단계
이 문서에서는 클러스터의 송신 트래픽을 제한하는 경우 허용할 포트와 주소를 알아보았습니다.
Pod가 자체적으로 및 클러스터 내 동-서 트래픽 제한 간에 통신하는 방법을 제한하려면 AKS의 네트워크 정책을 사용하여 Pod 간 트래픽 보안을 참조하세요.