Wymagania sieciowe platformy Kubernetes z obsługą usługi Azure Arc

  • Artykuł

W tym temacie opisano wymagania sieciowe dotyczące łączenia klastra Kubernetes z usługą Azure Arc i obsługi różnych scenariuszy platformy Kubernetes z obsługą usługi Arc.

Szczegóły

Ogólnie rzecz biorąc, wymagania dotyczące łączności obejmują następujące zasady:

  • Wszystkie połączenia są tcp, chyba że określono inaczej.
  • Wszystkie połączenia HTTP używają protokołów HTTPS i SSL/TLS z oficjalnie podpisanymi i weryfikowalnymi certyfikatami.
  • Wszystkie połączenia są wychodzące, chyba że określono inaczej.

Aby użyć serwera proxy, sprawdź, czy agenci i maszyna wykonująca proces dołączania spełniają wymagania sieciowe w tym artykule.

Ważne

Agenci usługi Azure Arc wymagają następujących adresów URL ruchu wychodzącego do https://:443 działania. W przypadku *.servicebus.windows.netobiektów websocket należy włączyć dostęp wychodzący na zaporze i serwerze proxy.

Punkt końcowy (DNS) opis
https://management.azure.com Wymagane, aby agent nawiązał połączenie z platformą Azure i zarejestrował klaster.
https://<region>.dp.kubernetesconfiguration.azure.com Punkt końcowy płaszczyzny danych dla agenta umożliwiający wypychanie informacji o stanie i pobieranie informacji o konfiguracji.
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net		 Wymagany do pobierania i aktualizowania tokenów usługi Azure Resource Manager.
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com		 Wymagane do ściągania obrazów kontenerów dla agentów usługi Azure Arc.
https://gbl.his.arc.azure.com Wymagany do pobrania regionalnego punktu końcowego na potrzeby ściągania certyfikatów tożsamości zarządzanej przypisanej przez system.
https://*.his.arc.azure.com Wymagane do ściągnięcia certyfikatów tożsamości zarządzanej przypisanej przez system.
https://k8connecthelm.azureedge.net az connectedk8s connect program Helm 3 służy do wdrażania agentów usługi Azure Arc w klastrze Kubernetes. Ten punkt końcowy jest potrzebny do pobrania klienta programu Helm, aby ułatwić wdrażanie pakietu helm agenta.
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net		 W przypadku scenariuszy opartych na Połączenie klastra i w scenariuszach opartych na lokalizacji niestandardowej.
*.servicebus.windows.net W przypadku scenariuszy opartych na Połączenie klastra i w scenariuszach opartych na lokalizacji niestandardowej.
https://graph.microsoft.com/ Wymagane w przypadku skonfigurowania kontroli dostępu opartej na rolach platformy Azure.
*.arc.azure.net Wymagane do zarządzania połączonymi klastrami w witrynie Azure Portal.
https://<region>.obo.arc.azure.com:8084/ Wymagane, gdy skonfigurowano Połączenie klastra.
dl.k8s.io Wymagane po włączeniu automatycznego uaktualniania agenta.

Aby przetłumaczyć *.servicebus.windows.net symbol wieloznaczny na określone punkty końcowe, użyj polecenia :

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Aby uzyskać segment regionu regionalnego punktu końcowego, usuń wszystkie spacje z nazwy regionu świadczenia usługi Azure. Na przykład region Wschodnie stany USA 2 nazwa regionu to eastus2.

Na przykład: *.<region>.arcdataservices.com powinien znajdować się *.eastus2.arcdataservices.com w regionie Wschodnie stany USA 2.

Aby wyświetlić listę wszystkich regionów, uruchom następujące polecenie:

az account list-locations -o table

Get-AzLocation | Format-Table

Dodatkowe punkty końcowe

W zależności od scenariusza może być konieczne połączenie z innymi adresami URL, takimi jak te używane przez witrynę Azure Portal, narzędzia do zarządzania lub inne usługi platformy Azure. W szczególności przejrzyj te listy, aby zapewnić łączność z dowolnymi niezbędnymi punktami końcowymi:

Aby uzyskać pełną listę wymagań sieciowych dotyczących funkcji usługi Azure Arc i usług z obsługą usługi Azure Arc, zobacz Wymagania dotyczące sieci usługi Azure Arc.

Następne kroki