Azure Arc 지원 Kubernetes 네트워크 요구 사항

이 항목에서는 Kubernetes 클러스터를 Azure Arc에 연결하고 다양한 Arc 지원 Kubernetes 시나리오를 지원하기 위한 네트워킹 요구 사항에 대해 설명합니다.

세부 정보

일반적으로 연결 요구 사항에는 다음 원칙이 포함됩니다.

• 달리 지정하지 않는 한 모든 연결은 TCP입니다.
• 모든 HTTP 연결은 공식적으로 서명되고 확인 가능한 인증서와 함께 HTTPS 및 SSL/TLS를 사용합니다.
• 달리 지정하지 않는 한 모든 연결은 아웃바운드입니다.

프록시를 사용하려면 온보딩 프로세스를 수행하는 에이전트와 컴퓨터가 이 문서의 네트워크 요구 사항을 충족하는지 확인합니다.

Azure Cloud

Important

Azure Arc 에이전트가 작동하려면 함수에 대한 https://:443에서 다음 아웃바운드 URL이 필요합니다. *.servicebus.windows.net의 경우 방화벽 및 프록시에 대한 아웃바운드 액세스에 대해 websocket을 사용하도록 설정해야 합니다.

엔드포인트(DNS)	설명
https://management.azure.com	에이전트가 Azure에 연결하고 클러스터를 등록하는 데 필요합니다.
https://<region>.dp.kubernetesconfiguration.azure.com	에이전트가 상태를 푸시하고 구성 정보를 가져오기 위한 데이터 평면 엔드포인트.
https://login.microsoftonline.com https://<region>.login.microsoft.com login.windows.net	Azure Resource Manager 토큰을 가져오고 업데이트하는 데 필요합니다.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Azure Arc 에이전트의 컨테이너 이미지를 끌어오는 데 필요합니다.
https://gbl.his.arc.azure.com	시스템 할당 MSI(Managed Identity 증명서) 인증서를 끌어오기 위한 지역 엔드포인트를 가져오는 데 필요합니다.
https://*.his.arc.azure.com	시스템이 할당한 관리 ID 인증서를 가져오는 데 필요합니다.
https://k8connecthelm.azureedge.net	az connectedk8s connect는 Helm 3를 사용하여 Kubernetes 클러스터에 Azure Arc 에이전트를 배포합니다. 이 엔드포인트는 에이전트 Helm 차트의 배포를 용이하게 하기 위해 Helm 클라이언트 다운로드에 필요합니다.
guestnotificationservice.azure.com *.guestnotificationservice.azure.com sts.windows.net https://k8sconnectcsp.azureedge.net	클러스터 연결 및 사용자 지정 위치 기반 시나리오의 경우.
*.servicebus.windows.net	클러스터 연결 및 사용자 지정 위치 기반 시나리오의 경우.
https://graph.microsoft.com/	Azure RBAC가 구성될 때 필요합니다.
*.arc.azure.net	Azure Portal에서 연결된 클러스터를 관리하는 데 필요합니다.
https://<region>.obo.arc.azure.com:8084/	클러스터 연결을 구성할 때 필요합니다.
https://linuxgeneva-microsoft.azurecr.io	Azure Arc 지원 Kubernetes 확장을 사용하는 경우 필요합니다.

*.servicebus.windows.net 와일드카드를 특정 엔드포인트로 변환하려면 다음 명령을 사용합니다.

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

지역 엔드포인트의 지역 세그먼트를 가져오려면 Azure 지역 이름에서 모든 공백을 제거합니다. 예를 들어, 미국 동부 2 지역의 경우 지역 이름은 eastus2입니다.

예: *.<region>.arcdataservices.com은 미국 동부 2 지역에서 *.eastus2.arcdataservices.com여야 합니다.

모든 지역 목록을 보려면 다음 명령을 실행합니다.

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Government

Important

Azure Arc 에이전트가 작동하려면 함수에 대한 https://:443에서 다음 아웃바운드 URL이 필요합니다. *.servicebus.usgovcloudapi.net의 경우 방화벽 및 프록시에 대한 아웃바운드 액세스에 대해 websocket을 사용하도록 설정해야 합니다.

엔드포인트(DNS)	설명
https://management.usgovcloudapi.net	에이전트가 Azure에 연결하고 클러스터를 등록하는 데 필요합니다.
https://<region>.dp.kubernetesconfiguration.azure.us	에이전트가 상태를 푸시하고 구성 정보를 가져오기 위한 데이터 평면 엔드포인트.
https://login.microsoftonline.us <region>.login.microsoftonline.us	Azure Resource Manager 토큰을 가져오고 업데이트하는 데 필요합니다.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Azure Arc 에이전트의 컨테이너 이미지를 끌어오는 데 필요합니다.
https://gbl.his.arc.azure.us	시스템 할당 MSI(Managed Identity 증명서) 인증서를 끌어오기 위한 지역 엔드포인트를 가져오는 데 필요합니다.
https://usgv.his.arc.azure.us	시스템이 할당한 관리 ID 인증서를 가져오는 데 필요합니다.
https://k8connecthelm.azureedge.net	az connectedk8s connect는 Helm 3를 사용하여 Kubernetes 클러스터에 Azure Arc 에이전트를 배포합니다. 이 엔드포인트는 에이전트 Helm 차트의 배포를 용이하게 하기 위해 Helm 클라이언트 다운로드에 필요합니다.
guestnotificationservice.azure.us *.guestnotificationservice.azure.us sts.windows.net https://k8sconnectcsp.azureedge.net	클러스터 연결 및 사용자 지정 위치 기반 시나리오의 경우.
*.servicebus.usgovcloudapi.net	클러스터 연결 및 사용자 지정 위치 기반 시나리오의 경우.
https://graph.microsoft.com/	Azure RBAC가 구성될 때 필요합니다.
https://usgovvirginia.obo.arc.azure.us:8084/	클러스터 연결을 구성할 때 필요합니다.

*.servicebus.usgovcloudapi.net 와일드카드를 특정 엔드포인트로 변환하려면 다음 명령을 사용합니다.

GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&location=region

지역 엔드포인트의 지역 세그먼트를 가져오려면 Azure 지역 이름에서 모든 공백을 제거합니다. 예를 들어, 미국 동부 2 지역의 경우 지역 이름은 eastus2입니다.

예: *.<region>.arcdataservices.com은 미국 동부 2 지역에서 *.eastus2.arcdataservices.com여야 합니다.

모든 지역 목록을 보려면 다음 명령을 실행합니다.

az account list-locations -o table

Get-AzLocation | Format-Table

21Vianet에서 운영하는 Microsoft Azure

Important

Azure Arc 에이전트가 작동하려면 함수에 대한 https://:443에서 다음 아웃바운드 URL이 필요합니다. *.servicebus.chinacloudapi.cn의 경우 방화벽 및 프록시에 대한 아웃바운드 액세스에 대해 websocket을 사용하도록 설정해야 합니다.

엔드포인트(DNS)	설명
https://management.chinacloudapi.cn	에이전트가 Azure에 연결하고 클러스터를 등록하는 데 필요합니다.
https://<region>.dp.kubernetesconfiguration.azure.cn	에이전트가 상태를 푸시하고 구성 정보를 가져오기 위한 데이터 평면 엔드포인트.
https://login.chinacloudapi.cn https://<region>.login.chinacloudapi.cn login.partner.microsoftonline.cn	Azure Resource Manager 토큰을 가져오고 업데이트하는 데 필요합니다.
mcr.azk8s.cn	Azure Arc 에이전트의 컨테이너 이미지를 끌어오는 데 필요합니다.
https://gbl.his.arc.azure.cn	시스템 할당 MSI(Managed Identity 증명서) 인증서를 끌어오기 위한 지역 엔드포인트를 가져오는 데 필요합니다.
https://*.his.arc.azure.cn	시스템이 할당한 관리 ID 인증서를 가져오는 데 필요합니다.
https://k8connecthelm.azureedge.net	az connectedk8s connect는 Helm 3를 사용하여 Kubernetes 클러스터에 Azure Arc 에이전트를 배포합니다. 이 엔드포인트는 에이전트 Helm 차트의 배포를 용이하게 하기 위해 Helm 클라이언트 다운로드에 필요합니다.
guestnotificationservice.azure.cn *.guestnotificationservice.azure.cn sts.chinacloudapi.cn https://k8sconnectcsp.azureedge.net	클러스터 연결 및 사용자 지정 위치 기반 시나리오의 경우.
*.servicebus.chinacloudapi.cn	클러스터 연결 및 사용자 지정 위치 기반 시나리오의 경우.
https://graph.chinacloudapi.cn/	Azure RBAC가 구성될 때 필요합니다.
*.arc.azure.cn	Azure Portal에서 연결된 클러스터를 관리하는 데 필요합니다.
https://<region>.obo.arc.azure.cn:8084/	클러스터 연결을 구성할 때 필요합니다.
quay.azk8s.cn registryk8s.azk8s.cn k8sgcr.azk8s.cn usgcr.azk8s.cn dockerhub.azk8s.cn/<repo-name>/<image-name>:<version>	Azure 중국 VM용 컨테이너 레지스트리 프록시 서버.

추가 엔드포인트

시나리오에 따라 Azure Portal, 관리 도구 또는 기타 Azure 서비스에서 사용하는 것과 같은 다른 URL에 대한 연결이 필요할 수 있습니다. 특히 다음 목록을 검토하여 필요한 모든 엔드포인트에 대한 연결을 허용하는지 확인합니다.

• Azure Portal URL
• 프록시 바이패스를 위한 Azure CLI 엔드포인트

Azure Arc 기능 및 Azure Arc 지원 서비스에 대한 네트워크 요구 사항 전체 목록은 Azure Arc 네트워크 요구 사항을 참조하세요.

다음 단계

• Arc 지원 Kubernetes에 대한 시스템 요구 사항을 이해합니다.
• 빠른 시작을 사용하여 클러스터를 연결합니다.
• Azure Arc 지원 Kubernetes에 대한 질문과 대답을 검토합니다.