Uitgaande netwerk- en FQDN-regels voor AKS-clusters (Azure Kubernetes Service)
Dit artikel bevat de benodigde details waarmee u uitgaand verkeer van uw Azure Kubernetes Service (AKS) kunt beveiligen. Het bevat de clustervereisten voor een basis-AKS-implementatie en aanvullende vereisten voor optionele invoegtoepassingen en functies. U kunt deze informatie toepassen op elke uitgaande beperkingsmethode of elk apparaat.
Als u een voorbeeldconfiguratie wilt zien met behulp van Azure Firewall, gaat u naar Uitgaand verkeer beheren met behulp van Azure Firewall in AKS.
Achtergrond
AKS-clusters worden geïmplementeerd in een virtueel netwerk. Dit netwerk kan worden aangepast en vooraf geconfigureerd door u of kan worden gemaakt en beheerd door AKS. In beide gevallen heeft het cluster uitgaande of uitgaande afhankelijkheden van services buiten het virtuele netwerk.
Voor beheer- en operationele doeleinden moeten knooppunten in een AKS-cluster toegang hebben tot bepaalde poorten en FQDN's (Fully Qualified Domain Names). Deze eindpunten zijn vereist voor de knooppunten om te communiceren met de API-server of om kernonderdelen van Kubernetes-clusters en beveiligingsupdates voor knooppunten te downloaden en te installeren. Het cluster moet bijvoorbeeld installatiekopieën van de basissysteemcontainer ophalen uit Microsoft Container Registry (MCR).
De uitgaande AKS-afhankelijkheden zijn bijna volledig gedefinieerd met FQDN's, die geen statische adressen hebben. Het ontbreken van statische adressen betekent dat u geen netwerkbeveiligingsgroepen (NSG's) kunt gebruiken om het uitgaande verkeer van een AKS-cluster te vergrendelen.
AKS-clusters hebben standaard onbeperkte uitgaande internettoegang. Met dit netwerktoegangsniveau kunnen knooppunten en services die u uitvoert toegang krijgen tot externe resources, indien nodig. Als u uitgaand verkeer wilt beperken, moet een beperkt aantal poorten en adressen toegankelijk zijn voor het onderhouden van goede clusteronderhoudstaken. De eenvoudigste oplossing voor het beveiligen van uitgaande adressen is het gebruik van een firewallapparaat dat uitgaand verkeer kan beheren op basis van domeinnamen. Azure Firewall kan uitgaand HTTP- en HTTPS-verkeer beperken op basis van de FQDN van de bestemming. U kunt ook uw voorkeursfirewall en beveiligingsregels configureren om deze vereiste poorten en adressen toe te staan.
Belangrijk
In dit document wordt alleen beschreven hoe u het verkeer vergrendelt dat het AKS-subnet verlaat. AKS heeft standaard geen toegangsbeheervereisten. Het blokkeren van intern subnetverkeer met behulp van netwerkbeveiligingsgroepen (NSG's) en firewalls wordt niet ondersteund. Zie Verkeer tussen pods beveiligen met behulp van netwerkbeleid in AKS om het verkeer in het cluster te beheren en te blokkeren.
Vereiste uitgaande netwerkregels en FQDN's voor AKS-clusters
De volgende netwerk- en FQDN-/toepassingsregels zijn vereist voor een AKS-cluster. U kunt deze gebruiken als u een andere oplossing dan Azure Firewall wilt configureren.
- IP-adresafhankelijkheden zijn voor niet-HTTP/S-verkeer (zowel TCP- als UDP-verkeer).
- FQDN HTTP/HTTPS-eindpunten kunnen op uw firewallapparaat worden geplaatst.
- HTTP-/HTTPS-eindpunten met jokertekens zijn afhankelijkheden die kunnen variëren met uw AKS-cluster op basis van een aantal kwalificaties.
- AKS gebruikt een toegangscontroller om de FQDN als omgevingsvariabele te injecteren voor alle implementaties onder kube-system en gatekeeper-system. Dit zorgt ervoor dat alle systeemcommunicatie tussen knooppunten en API-server gebruikmaakt van de FQDN van de API-server en niet het IP-adres van de API-server. U kunt hetzelfde gedrag op uw eigen pods krijgen, in elke naamruimte, door aantekeningen te maken op de podspecificatie met een aantekening met de naam
kubernetes.azure.com/set-kube-service-host-fqdn. Als deze aantekening aanwezig is, stelt AKS de KUBERNETES_SERVICE_HOST variabele in op de domeinnaam van de API-server in plaats van het IP-adres van de in-clusterservice. Dit is handig in gevallen waarin het uitgaand cluster zich via een laag 7-firewall bevindt. - Als u een app of oplossing hebt die moet communiceren met de API-server, moet u een extra netwerkregel toevoegen om TCP-communicatie toe te staan naar poort 443 van het IP-adres van uw API-serverOF als u een firewall van laag 7 hebt geconfigureerd om verkeer naar de domeinnaam van de API-server toe te staan, ingesteld
kubernetes.azure.com/set-kube-service-host-fqdnin de specificaties van uw pod. - Als er een onderhoudsbewerking is, kan het IP-adres van uw API-server in zeldzame gevallen veranderen. Geplande onderhoudsbewerkingen die het IP-adres van de API-server kunnen wijzigen, worden altijd vooraf gecommuniceerd.
- Onder bepaalde omstandigheden kan het gebeuren dat verkeer naar md-*.blob.storage.azure.net vereist is. Deze afhankelijkheid wordt veroorzaakt door enkele interne mechanismen van Azure Managed Disks. Mogelijk wilt u ook de Storage-servicetag gebruiken.
Vereiste netwerkregels voor Azure Global
| Doeleindpunt | Protocol | Port | Gebruik |
|---|---|---|---|
*:1194 Of ServiceTag - AzureCloud.<Region>:1194 Of Regionale CIDR's - RegionCIDRs:1194 Of APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Voor beveiligde tunnelcommunicatie tussen de knooppunten en het besturingsvlak. Dit is niet vereist voor privéclusters of voor clusters waarvoor de konnectivity-agent is ingeschakeld. |
*:9000 Of ServiceTag - AzureCloud.<Region>:9000 Of Regionale CIDR's - RegionCIDRs:9000 Of APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Voor beveiligde tunnelcommunicatie tussen de knooppunten en het besturingsvlak. Dit is niet vereist voor privéclusters of voor clusters waarvoor de konnectivity-agent is ingeschakeld. |
*:123 of ntp.ubuntu.com:123 (als u Azure Firewall-netwerkregels gebruikt) |
UDP | 123 | Vereist voor NTP-tijdsynchronisatie (Network Time Protocol) op Linux-knooppunten. Dit is niet vereist voor knooppunten die na maart 2021 zijn ingericht. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Als u aangepaste DNS-servers gebruikt, moet u ervoor zorgen dat deze toegankelijk zijn voor de clusterknooppunten. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Vereist als actieve pods/implementaties die toegang hebben tot de API-server, deze pods/implementaties gebruikmaken van het API-IP-adres. Deze poort is niet vereist voor privéclusters. |
Vereiste FQDN/toepassingsregels voor Azure Global
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Vereist voor communicatie tussen knooppunt <-> API-servers. Vervang <de locatie> door de regio waar uw AKS-cluster is geïmplementeerd. Dit is vereist voor clusters waarvoor konnectivity-agent is ingeschakeld. Konnectivity maakt ook gebruik van AlPN (Application-Layer Protocol Negotiation) om te communiceren tussen agent en server. Als u de ALPN-extensie blokkeert of herschrijft, treedt er een fout op. Dit is niet vereist voor privéclusters. |
mcr.microsoft.com |
HTTPS:443 |
Vereist voor toegang tot installatiekopieën in Microsoft Container Registry (MCR). Dit register bevat afbeeldingen/grafieken van derden (bijvoorbeeld coreDNS, enzovoort). Deze installatiekopieën zijn vereist voor het juiste maken en functioneren van het cluster, inclusief schaal- en upgradebewerkingen. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Vereist voor MCR-opslag die wordt ondersteund door het Azure CDN (Content Delivery Network). |
management.azure.com |
HTTPS:443 |
Vereist voor Kubernetes-bewerkingen op basis van de Azure-API. |
login.microsoftonline.com |
HTTPS:443 |
Vereist voor Microsoft Entra-verificatie. |
packages.microsoft.com |
HTTPS:443 |
Dit adres is de Opslagplaats voor Microsoft-pakketten die wordt gebruikt voor apt-get-bewerkingen in de cache. Voorbeelden van pakketten zijn Moby, PowerShell en Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Dit adres is bedoeld voor de opslagplaats die is vereist voor het downloaden en installeren van vereiste binaire bestanden, zoals kubenet en Azure CNI. |
Microsoft Azure beheerd door 21Vianet vereiste netwerkregels
| Doeleindpunt | Protocol | Port | Gebruik |
|---|---|---|---|
*:1194 Of ServiceTag - AzureCloud.Region:1194 Of Regionale CIDR's - RegionCIDRs:1194 Of APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Voor beveiligde tunnelcommunicatie tussen de knooppunten en het besturingsvlak. |
*:9000 Of ServiceTag - AzureCloud.<Region>:9000 Of Regionale CIDR's - RegionCIDRs:9000 Of APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Voor beveiligde tunnelcommunicatie tussen de knooppunten en het besturingsvlak. |
*:22 Of ServiceTag - AzureCloud.<Region>:22 Of Regionale CIDR's - RegionCIDRs:22 Of APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | Voor beveiligde tunnelcommunicatie tussen de knooppunten en het besturingsvlak. |
*:123 of ntp.ubuntu.com:123 (als u Azure Firewall-netwerkregels gebruikt) |
UDP | 123 | Vereist voor NTP-tijdsynchronisatie (Network Time Protocol) op Linux-knooppunten. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Als u aangepaste DNS-servers gebruikt, moet u ervoor zorgen dat deze toegankelijk zijn voor de clusterknooppunten. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Vereist als actieve pods/implementaties die toegang hebben tot de API-server, gebruiken deze pods/implementaties het API-IP-adres. |
Microsoft Azure beheerd door 21Vianet vereiste FQDN/toepassingsregels
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Vereist voor communicatie tussen knooppunt <-> API-servers. Vervang <de locatie> door de regio waar uw AKS-cluster is geïmplementeerd. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Vereist voor communicatie tussen knooppunt <-> API-servers. Vervang <de locatie> door de regio waar uw AKS-cluster is geïmplementeerd. |
mcr.microsoft.com |
HTTPS:443 |
Vereist voor toegang tot installatiekopieën in Microsoft Container Registry (MCR). Dit register bevat afbeeldingen/grafieken van derden (bijvoorbeeld coreDNS, enzovoort). Deze installatiekopieën zijn vereist voor het juiste maken en functioneren van het cluster, inclusief schaal- en upgradebewerkingen. |
.data.mcr.microsoft.com |
HTTPS:443 |
Vereist voor MCR-opslag die wordt ondersteund door het Azure Content Delivery Network (CDN). |
management.chinacloudapi.cn |
HTTPS:443 |
Vereist voor Kubernetes-bewerkingen op basis van de Azure-API. |
login.chinacloudapi.cn |
HTTPS:443 |
Vereist voor Microsoft Entra-verificatie. |
packages.microsoft.com |
HTTPS:443 |
Dit adres is de Opslagplaats voor Microsoft-pakketten die wordt gebruikt voor apt-get-bewerkingen in de cache. Voorbeelden van pakketten zijn Moby, PowerShell en Azure CLI. |
*.azk8s.cn |
HTTPS:443 |
Dit adres is bedoeld voor de opslagplaats die is vereist voor het downloaden en installeren van vereiste binaire bestanden, zoals kubenet en Azure CNI. |
Vereiste netwerkregels voor Azure US Government
| Doeleindpunt | Protocol | Port | Gebruik |
|---|---|---|---|
*:1194 Of ServiceTag - AzureCloud.<Region>:1194 Of Regionale CIDR's - RegionCIDRs:1194 Of APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Voor beveiligde tunnelcommunicatie tussen de knooppunten en het besturingsvlak. |
*:9000 Of ServiceTag - AzureCloud.<Region>:9000 Of Regionale CIDR's - RegionCIDRs:9000 Of APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Voor beveiligde tunnelcommunicatie tussen de knooppunten en het besturingsvlak. |
*:123 of ntp.ubuntu.com:123 (als u Azure Firewall-netwerkregels gebruikt) |
UDP | 123 | Vereist voor NTP-tijdsynchronisatie (Network Time Protocol) op Linux-knooppunten. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Als u aangepaste DNS-servers gebruikt, moet u ervoor zorgen dat deze toegankelijk zijn voor de clusterknooppunten. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Vereist als actieve pods/implementaties die toegang hebben tot de API-server, deze pods/implementaties gebruikmaken van het API-IP-adres. |
Vereiste FQDN/toepassingsregels voor Azure US Government
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Vereist voor communicatie tussen knooppunt <-> API-servers. Vervang <de locatie> door de regio waar uw AKS-cluster is geïmplementeerd. |
mcr.microsoft.com |
HTTPS:443 |
Vereist voor toegang tot installatiekopieën in Microsoft Container Registry (MCR). Dit register bevat afbeeldingen/grafieken van derden (bijvoorbeeld coreDNS, enzovoort). Deze installatiekopieën zijn vereist voor het juiste maken en functioneren van het cluster, inclusief schaal- en upgradebewerkingen. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Vereist voor MCR-opslag die wordt ondersteund door het Azure CDN (Content Delivery Network). |
management.usgovcloudapi.net |
HTTPS:443 |
Vereist voor Kubernetes-bewerkingen op basis van de Azure-API. |
login.microsoftonline.us |
HTTPS:443 |
Vereist voor Microsoft Entra-verificatie. |
packages.microsoft.com |
HTTPS:443 |
Dit adres is de Opslagplaats voor Microsoft-pakketten die wordt gebruikt voor apt-get-bewerkingen in de cache. Voorbeelden van pakketten zijn Moby, PowerShell en Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Dit adres is bedoeld voor de opslagplaats die is vereist voor het installeren van vereiste binaire bestanden, zoals kubenet en Azure CNI. |
Optioneel aanbevolen FQDN/toepassingsregels voor AKS-clusters
De volgende FQDN-/toepassingsregels zijn niet vereist, maar worden aanbevolen voor AKS-clusters:
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
security.ubuntu.com, , azure.archive.ubuntu.comchangelogs.ubuntu.com |
HTTP:80 |
Met dit adres kunnen de Linux-clusterknooppunten de vereiste beveiligingspatches en -updates downloaden. |
Als u ervoor kiest om deze FQDN's te blokkeren/niet toe te staan, ontvangen de knooppunten alleen updates van het besturingssysteem wanneer u een upgrade van een knooppuntinstallatiekopieën of clusterupgrade uitvoert. Houd er rekening mee dat upgrades van knooppuntinstallatiekopieën ook worden geleverd met bijgewerkte pakketten, waaronder beveiligingsoplossingen.
AKS-clusters met GPU vereist FQDN/toepassingsregels
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Dit adres wordt gebruikt voor de juiste installatie en bewerking van stuurprogramma's op GPU-knooppunten. |
us.download.nvidia.com |
HTTPS:443 |
Dit adres wordt gebruikt voor de juiste installatie en bewerking van stuurprogramma's op GPU-knooppunten. |
download.docker.com |
HTTPS:443 |
Dit adres wordt gebruikt voor de juiste installatie en bewerking van stuurprogramma's op GPU-knooppunten. |
Op Windows Server gebaseerde knooppuntgroepen vereist FQDN/toepassingsregels
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Binaire bestanden met Betrekking tot Windows installeren |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Binaire bestanden met Betrekking tot Windows installeren |
Als u ervoor kiest om deze FQDN's te blokkeren/niet toe te staan, ontvangen de knooppunten alleen updates van het besturingssysteem wanneer u een upgrade van een knooppuntinstallatiekopieën of clusterupgrade uitvoert. Houd er rekening mee dat knooppuntinstallatiekopieënupgrades ook worden geleverd met bijgewerkte pakketten, waaronder beveiligingsoplossingen.
AKS-invoegtoepassingen en -integraties
Microsoft Defender voor containers
Vereiste FQDN/toepassingsregels
| FQDN | Poort | Gebruik |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure beheerd door 21Vianet) |
HTTPS:443 |
Vereist voor Active Directory-verificatie. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government) *.ods.opinsights.azure.cn (Azure beheerd door 21Vianet) |
HTTPS:443 |
Vereist voor het uploaden van beveiligingsevenementen naar de cloud door Microsoft Defender. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government) *.oms.opinsights.azure.cn (Azure beheerd door 21Vianet) |
HTTPS:443 |
Vereist voor verificatie met LogAnalytics-werkruimten. |
CSI Secret Store
Vereiste FQDN/toepassingsregels
| FQDN | Poort | Gebruik |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Vereist voor CSI Secret Store-invoegtoepassingspods om te communiceren met de Azure KeyVault-server. |
Azure Monitor voor containers
Er zijn twee opties om toegang te bieden tot Azure Monitor voor containers:
- Sta de Azure Monitor ServiceTag toe.
- Geef toegang tot de vereiste FQDN-/toepassingsregels.
Vereiste netwerkregels
| Doeleindpunt | Protocol | Port | Gebruik |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Dit eindpunt wordt gebruikt voor het verzenden van metrische gegevens en logboeken naar Azure Monitor en Log Analytics. |
Vereiste FQDN/toepassingsregels
| FQDN | Poort | Gebruik |
|---|---|---|
dc.services.visualstudio.com |
HTTPS:443 |
Dit eindpunt wordt gebruikt voor metrische gegevens en het bewaken van telemetrie met behulp van Azure Monitor. |
*.ods.opinsights.azure.com |
HTTPS:443 |
Dit eindpunt wordt door Azure Monitor gebruikt voor het opnemen van log analytics-gegevens. |
*.oms.opinsights.azure.com |
HTTPS:443 |
Dit eindpunt wordt gebruikt door omsagent, die wordt gebruikt om de Log Analytics-service te verifiëren. |
*.monitoring.azure.com |
HTTPS:443 |
Dit eindpunt wordt gebruikt om metrische gegevens naar Azure Monitor te verzenden. |
<cluster-region-name>.ingest.monitor.azure.com |
HTTPS:443 |
Dit eindpunt wordt gebruikt door de beheerde Azure Monitor-service voor opname van metrische gegevens van Prometheus. |
<cluster-region-name>.handler.control.monitor.azure.com |
HTTPS:443 |
Dit eindpunt wordt gebruikt voor het ophalen van regels voor gegevensverzameling voor een specifiek cluster. |
Microsoft Azure beheerd door 21Vianet vereiste FQDN/toepassingsregels
| FQDN | Poort | Gebruik |
|---|---|---|
dc.services.visualstudio.com |
HTTPS:443 |
Dit eindpunt wordt gebruikt voor metrische gegevens en het bewaken van telemetrie met behulp van Azure Monitor. |
*.ods.opinsights.azure.cn |
HTTPS:443 |
Dit eindpunt wordt door Azure Monitor gebruikt voor het opnemen van log analytics-gegevens. |
*.oms.opinsights.azure.cn |
HTTPS:443 |
Dit eindpunt wordt gebruikt door omsagent, die wordt gebruikt om de Log Analytics-service te verifiëren. |
global.handler.control.monitor.azure.cn |
HTTPS:443 |
Dit eindpunt wordt door Azure Monitor gebruikt voor toegang tot de beheerservice. |
<cluster-region-name>.handler.control.monitor.azure.cn |
HTTPS:443 |
Dit eindpunt wordt gebruikt voor het ophalen van regels voor gegevensverzameling voor een specifiek cluster. |
Vereiste FQDN/toepassingsregels voor Azure US Government
| FQDN | Poort | Gebruik |
|---|---|---|
dc.services.visualstudio.com |
HTTPS:443 |
Dit eindpunt wordt gebruikt voor metrische gegevens en het bewaken van telemetrie met behulp van Azure Monitor. |
*.ods.opinsights.azure.us |
HTTPS:443 |
Dit eindpunt wordt door Azure Monitor gebruikt voor het opnemen van log analytics-gegevens. |
*.oms.opinsights.azure.us |
HTTPS:443 |
Dit eindpunt wordt gebruikt door omsagent, die wordt gebruikt om de Log Analytics-service te verifiëren. |
global.handler.control.monitor.azure.us |
HTTPS:443 |
Dit eindpunt wordt door Azure Monitor gebruikt voor toegang tot de beheerservice. |
<cluster-region-name>.handler.control.monitor.azure.us |
HTTPS:443 |
Dit eindpunt wordt gebruikt voor het ophalen van regels voor gegevensverzameling voor een specifiek cluster. |
Azure Policy
Vereiste FQDN/toepassingsregels
| FQDN | Poort | Gebruik |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Dit adres wordt gebruikt om het Kubernetes-beleid op te halen en de nalevingsstatus van het cluster te rapporteren aan de beleidsservice. |
store.policy.core.windows.net |
HTTPS:443 |
Dit adres wordt gebruikt om de Gatekeeper-artefacten van ingebouwde beleidsregels op te halen. |
dc.services.visualstudio.com |
HTTPS:443 |
Azure Policy-invoegtoepassing waarmee telemetriegegevens worden verzonden naar het eindpunt voor inzichten in toepassingen. |
Microsoft Azure beheerd door 21Vianet vereiste FQDN/toepassingsregels
| FQDN | Poort | Gebruik |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Dit adres wordt gebruikt om het Kubernetes-beleid op te halen en de nalevingsstatus van het cluster te rapporteren aan de beleidsservice. |
store.policy.azure.cn |
HTTPS:443 |
Dit adres wordt gebruikt om de Gatekeeper-artefacten van ingebouwde beleidsregels op te halen. |
Vereiste FQDN/toepassingsregels voor Azure US Government
| FQDN | Poort | Gebruik |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Dit adres wordt gebruikt om het Kubernetes-beleid op te halen en de nalevingsstatus van het cluster te rapporteren aan de beleidsservice. |
store.policy.azure.us |
HTTPS:443 |
Dit adres wordt gebruikt om de Gatekeeper-artefacten van ingebouwde beleidsregels op te halen. |
Clusterextensies
Vereiste FQDN/toepassingsregels
| FQDN | Poort | Gebruik |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Dit adres wordt gebruikt om configuratiegegevens op te halen van de clusterextensiesservice en de status van de extensie te rapporteren aan de service. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Dit adres is vereist voor het ophalen van containerinstallatiekopieën voor het installeren van clusteruitbreidingsagents op een AKS-cluster. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Dit adres is vereist voor het ophalen van containerinstallatiekopieën voor het installeren van Marketplace-extensies op een AKS-cluster. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Dit adres is bedoeld voor het regionale eindpunt voor regionale gegevens in India en is vereist voor het ophalen van containerinstallatiekopieën voor het installeren van Marketplace-extensies in een AKS-cluster. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Dit adres is bedoeld voor het eindpunt voor regionale gegevens in Oost Japan en is vereist voor het ophalen van containerinstallatiekopieën voor het installeren van Marketplace-extensies op een AKS-cluster. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Dit adres is bedoeld voor het regionale gegevenseindpunt US2 - west en is vereist voor het ophalen van containerinstallatiekopieën voor het installeren van Marketplace-extensies in een AKS-cluster. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Dit adres is bedoeld voor het regionale gegevenseindpunt europa - west en is vereist voor het ophalen van containerinstallatiekopieën voor het installeren van Marketplace-extensies in een AKS-cluster. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Dit adres is voor het regionale gegevenseindpunt VS - oost en is vereist voor het ophalen van containerinstallatiekopieën voor het installeren van Marketplace-extensies in een AKS-cluster. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Dit adres wordt gebruikt om metrische gegevens van agents naar Azure te verzenden. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Dit adres wordt gebruikt voor het verzenden van aangepast gebruik op basis van een meter naar de API voor handelslicentiecontrole. |
Vereiste FQDN/toepassingsregels voor Azure US Government
| FQDN | Poort | Gebruik |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Dit adres wordt gebruikt om configuratiegegevens op te halen van de clusterextensiesservice en de status van de extensie te rapporteren aan de service. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Dit adres is vereist voor het ophalen van containerinstallatiekopieën voor het installeren van clusteruitbreidingsagents op een AKS-cluster. |
Notitie
Voor eventuele invoegtoepassingen die hier niet expliciet worden vermeld, worden deze door de kernvereisten behandeld.
Volgende stappen
In dit artikel hebt u geleerd welke poorten en adressen u wilt toestaan als u uitgaand verkeer voor het cluster wilt beperken.
Zie Verkeer tussen pods beveiligen tussen pods in AKS als u wilt beperken hoe pods communiceren tussen zichzelf en Oost-West-verkeer binnen het cluster.