Reguły sieci wychodzącej i nazwy FQDN dla klastrów usługi Azure Kubernetes Service (AKS)
Ten artykuł zawiera niezbędne szczegóły, które umożliwiają zabezpieczanie ruchu wychodzącego z usługi Azure Kubernetes Service (AKS). Zawiera wymagania dotyczące klastra dla podstawowego wdrożenia usługi AKS oraz dodatkowe wymagania dotyczące opcjonalnych dodatków i funkcji. Te informacje można zastosować do dowolnej metody ograniczenia ruchu wychodzącego lub urządzenia.
Aby wyświetlić przykładową konfigurację przy użyciu usługi Azure Firewall, odwiedź stronę Kontrolowanie ruchu wychodzącego przy użyciu usługi Azure Firewall w usłudze AKS.
Tło
Klastry AKS są wdrażane w sieci wirtualnej. Tę sieć można dostosować i wstępnie skonfigurować lub można ją utworzyć i zarządzać przez usługę AKS. W obu przypadkach klaster ma wychodzące lub wychodzące zależności od usług spoza sieci wirtualnej.
Do celów zarządzania i działania węzły w klastrze usługi AKS muszą uzyskiwać dostęp do określonych portów i w pełni kwalifikowanych nazw domen (FQDN). Te punkty końcowe są wymagane, aby węzły komunikowały się z serwerem interfejsu API lub pobierały i instalowali podstawowe składniki klastra Kubernetes i aktualizacje zabezpieczeń węzłów. Na przykład klaster musi ściągnąć podstawowe obrazy kontenerów systemu z usługi Microsoft Container Registry (MCR).
Zależności wychodzące usługi AKS są prawie całkowicie zdefiniowane przy użyciu nazw FQDN, które nie mają za nimi statycznych adresów. Brak adresów statycznych oznacza, że nie można użyć sieciowych grup zabezpieczeń w celu zablokowania ruchu wychodzącego z klastra usługi AKS.
Domyślnie klastry usługi AKS mają nieograniczony wychodzący dostęp do Internetu. Ten poziom dostępu do sieci umożliwia węzłom i usługom, które są uruchamiane w celu uzyskania dostępu do zasobów zewnętrznych zgodnie z potrzebami. Jeśli chcesz ograniczyć ruch wychodzący, ograniczona liczba portów i adresów musi być dostępna, aby zachować zadania konserwacji klastra w dobrej kondycji. Najprostszym rozwiązaniem do zabezpieczania adresów wychodzących jest użycie urządzenia zapory, które może kontrolować ruch wychodzący na podstawie nazw domen. Usługa Azure Firewall może ograniczyć wychodzący ruch HTTP i HTTPS na podstawie nazwy FQDN miejsca docelowego. Możesz również skonfigurować preferowaną zaporę i reguły zabezpieczeń, aby zezwolić na te wymagane porty i adresy.
Ważne
W tym dokumencie opisano tylko sposób blokowania ruchu opuszczającego podsieć usługi AKS. Usługa AKS domyślnie nie ma wymagań dotyczących ruchu przychodzącego. Blokowanie wewnętrznego ruchu podsieci przy użyciu sieciowych grup zabezpieczeń i zapór nie jest obsługiwane. Aby kontrolować i blokować ruch w klastrze, zobacz Zabezpieczanie ruchu między zasobnikami przy użyciu zasad sieciowych w usłudze AKS.
Wymagane reguły sieci wychodzącej i nazwy FQDN dla klastrów usługi AKS
Następujące reguły sieci i nazwy FQDN/aplikacji są wymagane dla klastra usługi AKS. Możesz ich użyć, jeśli chcesz skonfigurować rozwiązanie inne niż usługa Azure Firewall.
- Zależności adresów IP dotyczą ruchu innego niż HTTP/S (ruch TCP i UDP).
- Punkty końcowe HTTP/HTTPS nazwy FQDN można umieścić na urządzeniu zapory.
- Wieloznaczne punkty końcowe HTTP/HTTPS są zależnościami, które mogą się różnić w zależności od klastra usługi AKS w zależności od wielu kwalifikatorów.
- Usługa AKS używa kontrolera dostępu do wstrzykiwania nazwy FQDN jako zmiennej środowiskowej do wszystkich wdrożeń w ramach platformy kube-system i gatekeeper-system. Dzięki temu cała komunikacja systemowa między węzłami i serwerem interfejsu API używa nazwy FQDN serwera interfejsu API, a nie adresu IP serwera interfejsu API. Możesz uzyskać to samo zachowanie na własnych zasobnikach w dowolnej przestrzeni nazw, dodając adnotację do zasobnika o nazwie
kubernetes.azure.com/set-kube-service-host-fqdn. Jeśli ta adnotacja jest obecna, usługa AKS ustawi zmienną KUBERNETES_SERVICE_HOST na nazwę domeny serwera interfejsu API zamiast adresu IP usługi klastra. Jest to przydatne w przypadkach, gdy ruch wychodzący klastra odbywa się za pośrednictwem zapory warstwy 7. - Jeśli masz aplikację lub rozwiązanie, które musi komunikować się z serwerem interfejsu API, musisz dodać dodatkową regułę sieci, aby umożliwić komunikację TCP z portem 443 adresu IP serwera interfejsu API LUB , jeśli masz zaporę warstwy 7 skonfigurowaną do zezwalania na ruch do nazwy domeny serwera interfejsu API, ustaw
kubernetes.azure.com/set-kube-service-host-fqdnw specyfikacji zasobnika. - W rzadkich przypadkach, jeśli istnieje operacja konserwacji, adres IP serwera interfejsu API może ulec zmianie. Zaplanowane operacje konserwacji, które mogą zmienić adres IP serwera interfejsu API, są zawsze przekazywane z wyprzedzeniem.
- W pewnych okolicznościach może się zdarzyć, że wymagany jest ruch do "md-*.blob.storage.azure.net". Ta zależność jest spowodowana niektórymi wewnętrznymi mechanizmami usługi Azure Dyski zarządzane. Możesz również użyć tagu usługi Storage.
- Możesz zauważyć ruch do punktu końcowego "umsa*.blob.core.windows.net". Ten punkt końcowy służy do przechowywania manifestów dla agenta i rozszerzeń maszyny wirtualnej z systemem Linux platformy Azure i jest regularnie sprawdzany pod kątem pobierania nowych wersji.
Globalne reguły sieci wymagane na platformie Azure
| Docelowy punkt końcowy | Protokół | Port | Używanie |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.<Region>:1194 Or Regionalne ściągnięcia - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania. Nie jest to wymagane w przypadku klastrów prywatnych ani dla klastrów z włączonym agentem konnectivity-agent . |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or Regionalne ściągnięcia - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania. Nie jest to wymagane w przypadku klastrów prywatnych ani dla klastrów z włączonym agentem konnectivity-agent . |
*:123 lub ntp.ubuntu.com:123 (jeśli używasz reguł sieci usługi Azure Firewall) |
UDP | 123 | Wymagana do synchronizacji czasu protokołu NTP (Network Time Protocol) w węzłach systemu Linux. Nie jest to wymagane w przypadku węzłów aprowizowania po marcu 2021 r. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Jeśli używasz niestandardowych serwerów DNS, upewnij się, że są one dostępne dla węzłów klastra. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Wymagane w przypadku uruchamiania zasobników/wdrożeń, które uzyskują dostęp do serwera interfejsu API, te zasobniki/wdrożenia będą używać adresu IP interfejsu API. Ten port nie jest wymagany dla klastrów prywatnych. |
Globalna wymagana nazwa FQDN platformy Azure /reguły aplikacji
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Wymagane w przypadku <> komunikacji z serwerem interfejsu API. Zastąp <lokalizację> regionem, w którym wdrożono klaster usługi AKS. Jest to wymagane w przypadku klastrów z włączonym agentem konnectivity. Konnectivity używa również negocjacji protokołu warstwy aplikacji (ALPN) do komunikacji między agentem i serwerem. Blokowanie lub ponowne zapisywanie rozszerzenia ALPN spowoduje awarię. Nie jest to wymagane w przypadku klastrów prywatnych. |
mcr.microsoft.com |
HTTPS:443 |
Wymagane do uzyskania dostępu do obrazów w usłudze Microsoft Container Registry (MCR). Ten rejestr zawiera obrazy/wykresy pierwszej firmy (na przykład coreDNS itp.). Te obrazy są wymagane do poprawnego tworzenia i funkcjonowania klastra, w tym operacji skalowania i uaktualniania. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Wymagane w przypadku magazynu MCR wspieranego przez sieć dostarczania zawartości platformy Azure (CDN). |
management.azure.com |
HTTPS:443 |
Wymagane w przypadku operacji platformy Kubernetes względem interfejsu API platformy Azure. |
login.microsoftonline.com |
HTTPS:443 |
Wymagane do uwierzytelniania entra firmy Microsoft. |
packages.microsoft.com |
HTTPS:443 |
Ten adres to repozytorium pakietów firmy Microsoft używane do buforowanych operacji apt-get . Przykładowe pakiety to Moby, PowerShell i Interfejs wiersza polecenia platformy Azure. |
acs-mirror.azureedge.net |
HTTPS:443 |
Ten adres jest przeznaczony dla repozytorium wymaganego do pobrania i zainstalowania wymaganych plików binarnych, takich jak kubenet i Azure CNI. |
Platforma Microsoft Azure obsługiwana przez usługę 21Vianet — wymagane reguły sieci
| Docelowy punkt końcowy | Protokół | Port | Używanie |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.Region:1194 Or Regionalne ściągnięcia - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania. |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or Regionalne ściągnięcia - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania. |
*:22 Or ServiceTag - AzureCloud.<Region>:22 Or Regionalne ściągnięcia - RegionCIDRs:22 Or APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania. |
*:123 lub ntp.ubuntu.com:123 (jeśli używasz reguł sieci usługi Azure Firewall) |
UDP | 123 | Wymagana do synchronizacji czasu protokołu NTP (Network Time Protocol) w węzłach systemu Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Jeśli używasz niestandardowych serwerów DNS, upewnij się, że są one dostępne dla węzłów klastra. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Wymagane w przypadku uruchamiania zasobników/wdrożeń, które uzyskują dostęp do serwera interfejsu API, te zasobniki/wdrożenia będą używać adresu IP interfejsu API. |
Platforma Microsoft Azure obsługiwana przez wymaganą nazwę FQDN /reguły aplikacji 21Vianet
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Wymagane w przypadku <> komunikacji z serwerem interfejsu API. Zastąp <lokalizację> regionem, w którym wdrożono klaster usługi AKS. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Wymagane w przypadku <> komunikacji z serwerem interfejsu API. Zastąp <lokalizację> regionem, w którym wdrożono klaster usługi AKS. |
mcr.microsoft.com |
HTTPS:443 |
Wymagane do uzyskania dostępu do obrazów w usłudze Microsoft Container Registry (MCR). Ten rejestr zawiera obrazy/wykresy pierwszej firmy (na przykład coreDNS itp.). Te obrazy są wymagane do poprawnego tworzenia i funkcjonowania klastra, w tym operacji skalowania i uaktualniania. |
.data.mcr.microsoft.com |
HTTPS:443 |
Wymagane w przypadku magazynu MCR wspieranego przez usługę Azure Content Delivery Network (CDN). |
management.chinacloudapi.cn |
HTTPS:443 |
Wymagane w przypadku operacji platformy Kubernetes względem interfejsu API platformy Azure. |
login.chinacloudapi.cn |
HTTPS:443 |
Wymagane do uwierzytelniania entra firmy Microsoft. |
packages.microsoft.com |
HTTPS:443 |
Ten adres to repozytorium pakietów firmy Microsoft używane do buforowanych operacji apt-get . Przykładowe pakiety to Moby, PowerShell i Interfejs wiersza polecenia platformy Azure. |
*.azk8s.cn |
HTTPS:443 |
Ten adres jest przeznaczony dla repozytorium wymaganego do pobrania i zainstalowania wymaganych plików binarnych, takich jak kubenet i Azure CNI. |
Wymagane reguły sieci na platformie Azure US Government
| Docelowy punkt końcowy | Protokół | Port | Używanie |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.<Region>:1194 Or Regionalne ściągnięcia - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania. |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or Regionalne ściągnięcia - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania. |
*:123 lub ntp.ubuntu.com:123 (jeśli używasz reguł sieci usługi Azure Firewall) |
UDP | 123 | Wymagana do synchronizacji czasu protokołu NTP (Network Time Protocol) w węzłach systemu Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Jeśli używasz niestandardowych serwerów DNS, upewnij się, że są one dostępne dla węzłów klastra. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Wymagane w przypadku uruchamiania zasobników/wdrożeń, które uzyskują dostęp do serwera interfejsu API, te zasobniki/wdrożenia będą używać adresu IP interfejsu API. |
Wymagana nazwa FQDN/reguły aplikacji na platformie Azure DLA instytucji rządowych USA
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Wymagane w przypadku <> komunikacji z serwerem interfejsu API. Zastąp <lokalizację> regionem, w którym wdrożono klaster usługi AKS. |
mcr.microsoft.com |
HTTPS:443 |
Wymagane do uzyskania dostępu do obrazów w usłudze Microsoft Container Registry (MCR). Ten rejestr zawiera obrazy/wykresy pierwszej firmy (na przykład coreDNS itp.). Te obrazy są wymagane do poprawnego tworzenia i funkcjonowania klastra, w tym operacji skalowania i uaktualniania. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Wymagane w przypadku magazynu MCR wspieranego przez sieć dostarczania zawartości platformy Azure (CDN). |
management.usgovcloudapi.net |
HTTPS:443 |
Wymagane w przypadku operacji platformy Kubernetes względem interfejsu API platformy Azure. |
login.microsoftonline.us |
HTTPS:443 |
Wymagane do uwierzytelniania entra firmy Microsoft. |
packages.microsoft.com |
HTTPS:443 |
Ten adres to repozytorium pakietów firmy Microsoft używane do buforowanych operacji apt-get . Przykładowe pakiety to Moby, PowerShell i Interfejs wiersza polecenia platformy Azure. |
acs-mirror.azureedge.net |
HTTPS:443 |
Ten adres jest przeznaczony dla repozytorium wymaganego do zainstalowania wymaganych plików binarnych, takich jak kubenet i Azure CNI. |
Opcjonalna zalecana nazwa FQDN/reguły aplikacji dla klastrów usługi AKS
Następujące reguły FQDN/aplikacji nie są wymagane, ale są zalecane w przypadku klastrów usługi AKS:
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
security.ubuntu.com, , azure.archive.ubuntu.comchangelogs.ubuntu.com |
HTTP:80 |
Ten adres umożliwia węzłom klastra systemu Linux pobieranie wymaganych poprawek zabezpieczeń i aktualizacji. |
snapshot.ubuntu.com |
HTTPS:443 |
Ten adres umożliwia węzłom klastra systemu Linux pobieranie wymaganych poprawek zabezpieczeń i aktualizacji z usługi migawki systemu Ubuntu. |
Jeśli zdecydujesz się zablokować/nie zezwalać na te nazwy FQDN, węzły będą otrzymywać aktualizacje systemu operacyjnego tylko podczas uaktualniania obrazu węzła lub uaktualniania klastra. Należy pamiętać, że uaktualnienia obrazów węzłów są również dostarczane ze zaktualizowanymi pakietami, w tym poprawkami zabezpieczeń.
Klastry usługi AKS z obsługą procesora GPU wymagają nazwy FQDN/reguł aplikacji
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Ten adres jest używany do poprawnej instalacji sterownika i operacji na węzłach opartych na procesorze GPU. |
us.download.nvidia.com |
HTTPS:443 |
Ten adres jest używany do poprawnej instalacji sterownika i operacji na węzłach opartych na procesorze GPU. |
download.docker.com |
HTTPS:443 |
Ten adres jest używany do poprawnej instalacji sterownika i operacji na węzłach opartych na procesorze GPU. |
Pule węzłów oparte na systemie Windows Server wymagają nazwy FQDN/reguł aplikacji
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Aby zainstalować pliki binarne związane z systemem Windows |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Aby zainstalować pliki binarne związane z systemem Windows |
Jeśli zdecydujesz się zablokować/nie zezwalać na te nazwy FQDN, węzły będą otrzymywać aktualizacje systemu operacyjnego tylko podczas uaktualniania obrazu węzła lub uaktualniania klastra. Należy pamiętać, że uaktualnienia obrazów węzłów są również dostarczane ze zaktualizowanymi pakietami, w tym poprawkami zabezpieczeń.
Dodatki i integracje usługi AKS
Microsoft Defender dla kontenerów
Wymagana nazwa FQDN/reguły aplikacji
| Nazwa FQDN | Port | Używanie |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Platforma Azure obsługiwana przez firmę 21Vianet) |
HTTPS:443 |
Wymagane do uwierzytelniania usługi Active Directory. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government) *.ods.opinsights.azure.cn (Platforma Azure obsługiwana przez firmę 21Vianet) |
HTTPS:443 |
Usługa Microsoft Defender jest wymagana do przekazywania zdarzeń zabezpieczeń do chmury. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government) *.oms.opinsights.azure.cn (Platforma Azure obsługiwana przez firmę 21Vianet) |
HTTPS:443 |
Wymagane do uwierzytelniania za pomocą obszarów roboczych logAnalytics. |
Magazyn wpisów tajnych CSI
Wymagana nazwa FQDN/reguły aplikacji
| Nazwa FQDN | Port | Używanie |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Wymagane, aby zasobniki dodatku CSI Secret Store komunikowały się z serwerem usługi Azure KeyVault. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Wymagane w przypadku zasobników dodatków magazynu wpisów tajnych CSI do komunikacji z serwerem usługi Azure KeyVault w usłudze Azure Government. |
Usługa Azure Monitor dla kontenerów
Istnieją dwie opcje zapewniania dostępu do usługi Azure Monitor dla kontenerów:
- Zezwalaj na element ServiceTag usługi Azure Monitor.
- Zapewnianie dostępu do wymaganych reguł FQDN/aplikacji.
Wymagane reguły sieci
| Docelowy punkt końcowy | Protokół | Port | Używanie |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Ten punkt końcowy służy do wysyłania danych metryk i dzienników do usług Azure Monitor i Log Analytics. |
Wymagana nazwa FQDN/reguły aplikacji
| Nazwa FQDN | Port | Używanie |
|---|---|---|
dc.services.visualstudio.com |
HTTPS:443 |
Ten punkt końcowy jest używany przez telemetrię agenta usługi Azure Monitor for Containers. |
*.ods.opinsights.azure.com |
HTTPS:443 |
Ten punkt końcowy jest używany przez usługę Azure Monitor do pozyskiwania danych analizy dzienników. |
*.oms.opinsights.azure.com |
HTTPS:443 |
Ten punkt końcowy jest używany przez agenta omsagent, który służy do uwierzytelniania usługi log analytics. |
*.monitoring.azure.com |
HTTPS:443 |
Ten punkt końcowy służy do wysyłania danych metryk do usługi Azure Monitor. |
<cluster-region-name>.ingest.monitor.azure.com |
HTTPS:443 |
Ten punkt końcowy jest używany przez usługę zarządzaną usługi Azure Monitor na potrzeby pozyskiwania metryk Prometheus. |
<cluster-region-name>.handler.control.monitor.azure.com |
HTTPS:443 |
Ten punkt końcowy służy do pobierania reguł zbierania danych dla określonego klastra. |
Platforma Microsoft Azure obsługiwana przez wymaganą nazwę FQDN /reguły aplikacji 21Vianet
| Nazwa FQDN | Port | Używanie |
|---|---|---|
dc.services.visualstudio.cn |
HTTPS:443 |
Ten punkt końcowy jest używany przez telemetrię agenta usługi Azure Monitor for Containers. |
*.ods.opinsights.azure.cn |
HTTPS:443 |
Ten punkt końcowy jest używany przez usługę Azure Monitor do pozyskiwania danych analizy dzienników. |
*.oms.opinsights.azure.cn |
HTTPS:443 |
Ten punkt końcowy jest używany przez agenta omsagent, który służy do uwierzytelniania usługi log analytics. |
global.handler.control.monitor.azure.cn |
HTTPS:443 |
Ten punkt końcowy jest używany przez usługę Azure Monitor do uzyskiwania dostępu do usługi kontroli. |
<cluster-region-name>.handler.control.monitor.azure.cn |
HTTPS:443 |
Ten punkt końcowy służy do pobierania reguł zbierania danych dla określonego klastra. |
Wymagana nazwa FQDN/reguły aplikacji na platformie Azure DLA instytucji rządowych USA
| Nazwa FQDN | Port | Używanie |
|---|---|---|
dc.services.visualstudio.us |
HTTPS:443 |
Ten punkt końcowy jest używany przez telemetrię agenta usługi Azure Monitor for Containers. |
*.ods.opinsights.azure.us |
HTTPS:443 |
Ten punkt końcowy jest używany przez usługę Azure Monitor do pozyskiwania danych analizy dzienników. |
*.oms.opinsights.azure.us |
HTTPS:443 |
Ten punkt końcowy jest używany przez agenta omsagent, który służy do uwierzytelniania usługi log analytics. |
global.handler.control.monitor.azure.us |
HTTPS:443 |
Ten punkt końcowy jest używany przez usługę Azure Monitor do uzyskiwania dostępu do usługi kontroli. |
<cluster-region-name>.handler.control.monitor.azure.us |
HTTPS:443 |
Ten punkt końcowy służy do pobierania reguł zbierania danych dla określonego klastra. |
Azure Policy
Wymagana nazwa FQDN/reguły aplikacji
| Nazwa FQDN | Port | Używanie |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Ten adres służy do ściągania zasad platformy Kubernetes i raportowania stanu zgodności klastra do usługi zasad. |
store.policy.core.windows.net |
HTTPS:443 |
Ten adres służy do ściągania artefaktów usługi Gatekeeper wbudowanych zasad. |
dc.services.visualstudio.com |
HTTPS:443 |
Dodatek usługi Azure Policy, który wysyła dane telemetryczne do punktu końcowego szczegółowych informacji o aplikacjach. |
Platforma Microsoft Azure obsługiwana przez wymaganą nazwę FQDN /reguły aplikacji 21Vianet
| Nazwa FQDN | Port | Używanie |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Ten adres służy do ściągania zasad platformy Kubernetes i raportowania stanu zgodności klastra do usługi zasad. |
store.policy.azure.cn |
HTTPS:443 |
Ten adres służy do ściągania artefaktów usługi Gatekeeper wbudowanych zasad. |
Wymagana nazwa FQDN/reguły aplikacji na platformie Azure DLA instytucji rządowych USA
| Nazwa FQDN | Port | Używanie |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Ten adres służy do ściągania zasad platformy Kubernetes i raportowania stanu zgodności klastra do usługi zasad. |
store.policy.azure.us |
HTTPS:443 |
Ten adres służy do ściągania artefaktów usługi Gatekeeper wbudowanych zasad. |
Dodatek do analizy kosztów usługi AKS
Wymagana nazwa FQDN/reguły aplikacji
| Nazwa FQDN | Port | Używanie |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Azure Government) management.chinacloudapi.cn (Platforma Azure obsługiwana przez firmę 21Vianet) |
HTTPS:443 |
Wymagane w przypadku operacji platformy Kubernetes względem interfejsu API platformy Azure. |
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Platforma Azure obsługiwana przez firmę 21Vianet) |
HTTPS:443 |
Wymagane do uwierzytelniania identyfikatora Entra firmy Microsoft. |
Rozszerzenia klastra
Wymagana nazwa FQDN/reguły aplikacji
| Nazwa FQDN | Port | Używanie |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Ten adres służy do pobierania informacji o konfiguracji z usługi Rozszerzenia klastra i raportowania stanu rozszerzenia do usługi. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Ten adres jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania agentów rozszerzenia klastra w klastrze usługi AKS. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Ten adres jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń witryny Marketplace w klastrze usługi AKS. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Ten adres dotyczy regionalnego punktu końcowego danych w Indiach Środkowych i jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń witryny Marketplace w klastrze usługi AKS. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Ten adres jest przeznaczony dla regionalnego punktu końcowego danych w Japonii Wschodniej i jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń witryny Marketplace w klastrze usługi AKS. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Ten adres dotyczy regionalnego punktu końcowego danych w regionie Zachodnie stany USA2 i jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń witryny Marketplace w klastrze usługi AKS. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Ten adres jest przeznaczony dla regionalnego punktu końcowego danych w regionie Europa Zachodnia i jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń witryny Marketplace w klastrze usługi AKS. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Ten adres jest przeznaczony dla regionalnego punktu końcowego danych w regionie Wschodnie stany USA i jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń witryny Marketplace w klastrze usługi AKS. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Ten adres służy do wysyłania danych metryk agentów na platformę Azure. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Ten adres służy do wysyłania niestandardowego użycia opartego na miernikach do interfejsu API pomiaru handlu. |
Wymagana nazwa FQDN/reguły aplikacji na platformie Azure DLA instytucji rządowych USA
| Nazwa FQDN | Port | Używanie |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Ten adres służy do pobierania informacji o konfiguracji z usługi Rozszerzenia klastra i raportowania stanu rozszerzenia do usługi. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Ten adres jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania agentów rozszerzenia klastra w klastrze usługi AKS. |
Uwaga
W przypadku wszystkich dodatków, które nie zostały jawnie określone w tym miejscu, podstawowe wymagania obejmują je.
Następne kroki
W tym artykule przedstawiono, jakie porty i adresy mają być dozwolone, jeśli chcesz ograniczyć ruch wychodzący dla klastra.
Jeśli chcesz ograniczyć sposób komunikacji zasobników między samymi sobą a ograniczeniami ruchu wschodnio-zachodniego w klastrze, zobacz Zabezpieczanie ruchu między zasobnikami przy użyciu zasad sieciowych w usłudze AKS.
Współpracuj z nami w serwisie GitHub
Źródło tej zawartości można znaleźć w witrynie GitHub, gdzie można również tworzyć i przeglądać problemy i żądania ściągnięcia. Więcej informacji znajdziesz w naszym przewodniku dla współtwórców.
Azure Kubernetes Service