Wymagania sieciowe platformy Kubernetes z obsługą usługi Azure Arc
Artykuł
W tym temacie opisano wymagania sieciowe dotyczące łączenia klastra Kubernetes z usługą Azure Arc i obsługi różnych scenariuszy platformy Kubernetes z obsługą usługi Arc.
Szczegóły
Ogólnie rzecz biorąc, wymagania dotyczące łączności obejmują następujące zasady:
Wszystkie połączenia są tcp, chyba że określono inaczej.
Wszystkie połączenia HTTP używają protokołów HTTPS i SSL/TLS z oficjalnie podpisanymi i weryfikowalnymi certyfikatami.
Wszystkie połączenia są wychodzące, chyba że określono inaczej.
Aby użyć serwera proxy, sprawdź, czy agenci i maszyna wykonująca proces dołączania spełniają wymagania sieciowe w tym artykule.
Agenci usługi Azure Arc wymagają następujących adresów URL ruchu wychodzącego do https://:443 działania.
W przypadku *.servicebus.windows.netobiektów websocket należy włączyć dostęp wychodzący na zaporze i serwerze proxy.
Punkt końcowy (DNS)
opis
https://management.azure.com
Wymagane, aby agent nawiązał połączenie z platformą Azure i zarejestrował klaster.
Wymagane do ściągania obrazów kontenerów dla agentów usługi Azure Arc.
https://gbl.his.arc.azure.com
Wymagany do pobrania regionalnego punktu końcowego na potrzeby ściągania certyfikatów tożsamości zarządzanej przypisanej przez system.
https://*.his.arc.azure.com
Wymagane do ściągnięcia certyfikatów tożsamości zarządzanej przypisanej przez system.
https://k8connecthelm.azureedge.net
az connectedk8s connect program Helm 3 służy do wdrażania agentów usługi Azure Arc w klastrze Kubernetes. Ten punkt końcowy jest potrzebny do pobrania klienta programu Helm, aby ułatwić wdrażanie pakietu helm agenta.
Aby przetłumaczyć *.servicebus.windows.net symbol wieloznaczny na określone punkty końcowe, użyj polecenia :
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
Aby uzyskać segment regionu regionalnego punktu końcowego, usuń wszystkie spacje z nazwy regionu świadczenia usługi Azure. Na przykład region Wschodnie stany USA 2 nazwa regionu to eastus2.
Na przykład: *.<region>.arcdataservices.com powinien znajdować się *.eastus2.arcdataservices.com w regionie Wschodnie stany USA 2.
Aby wyświetlić listę wszystkich regionów, uruchom następujące polecenie:
az account list-locations -o table
Get-AzLocation | Format-Table
Ważne
Agenci usługi Azure Arc wymagają następujących adresów URL ruchu wychodzącego do https://:443 działania.
W przypadku *.servicebus.usgovcloudapi.netobiektów websocket należy włączyć dostęp wychodzący na zaporze i serwerze proxy.
Punkt końcowy (DNS)
opis
https://management.usgovcloudapi.net
Wymagane, aby agent nawiązał połączenie z platformą Azure i zarejestrował klaster.
Wymagane do ściągania obrazów kontenerów dla agentów usługi Azure Arc.
https://gbl.his.arc.azure.us
Wymagany do pobrania regionalnego punktu końcowego na potrzeby ściągania certyfikatów tożsamości zarządzanej przypisanej przez system.
https://usgv.his.arc.azure.us
Wymagane do ściągnięcia certyfikatów tożsamości zarządzanej przypisanej przez system.
https://k8connecthelm.azureedge.net
az connectedk8s connect program Helm 3 służy do wdrażania agentów usługi Azure Arc w klastrze Kubernetes. Ten punkt końcowy jest potrzebny do pobrania klienta programu Helm, aby ułatwić wdrażanie pakietu helm agenta.
Aby przetłumaczyć *.servicebus.usgovcloudapi.net symbol wieloznaczny na określone punkty końcowe, użyj polecenia :
GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&location=region
Aby uzyskać segment regionu regionalnego punktu końcowego, usuń wszystkie spacje z nazwy regionu świadczenia usługi Azure. Na przykład region Wschodnie stany USA 2 nazwa regionu to eastus2.
Na przykład: *.<region>.arcdataservices.com powinien znajdować się *.eastus2.arcdataservices.com w regionie Wschodnie stany USA 2.
Aby wyświetlić listę wszystkich regionów, uruchom następujące polecenie:
az account list-locations -o table
Get-AzLocation | Format-Table
Ważne
Agenci usługi Azure Arc wymagają następujących adresów URL ruchu wychodzącego do https://:443 działania.
W przypadku *.servicebus.chinacloudapi.cnobiektów websocket należy włączyć dostęp wychodzący na zaporze i serwerze proxy.
Punkt końcowy (DNS)
opis
https://management.chinacloudapi.cn
Wymagane, aby agent nawiązał połączenie z platformą Azure i zarejestrował klaster.
Wymagany do pobierania i aktualizowania tokenów usługi Azure Resource Manager.
mcr.azk8s.cn
Wymagane do ściągania obrazów kontenerów dla agentów usługi Azure Arc.
https://gbl.his.arc.azure.cn
Wymagany do pobrania regionalnego punktu końcowego na potrzeby ściągania certyfikatów tożsamości zarządzanej przypisanej przez system.
https://*.his.arc.azure.cn
Wymagane do ściągnięcia certyfikatów tożsamości zarządzanej przypisanej przez system.
https://k8connecthelm.azureedge.net
az connectedk8s connect program Helm 3 służy do wdrażania agentów usługi Azure Arc w klastrze Kubernetes. Ten punkt końcowy jest potrzebny do pobrania klienta programu Helm, aby ułatwić wdrażanie pakietu helm agenta.
Serwery proxy usługi Container Registry dla maszyn wirtualnych platformy Azure w Chinach.
Dodatkowe punkty końcowe
W zależności od scenariusza może być konieczne połączenie z innymi adresami URL, takimi jak te używane przez witrynę Azure Portal, narzędzia do zarządzania lub inne usługi platformy Azure. W szczególności przejrzyj te listy, aby zapewnić łączność z dowolnymi niezbędnymi punktami końcowymi:
Aby uzyskać pełną listę wymagań sieciowych dotyczących funkcji usługi Azure Arc i usług z obsługą usługi Azure Arc, zobacz Wymagania dotyczące sieci usługi Azure Arc.