Requisitos de rede do Kubernetes habilitado para Azure Arc

  • Artigo

Este tópico descreve os requisitos de rede para conectar um cluster do Kubernetes ao Azure Arc e dar suporte a vários cenários do Kubernetes habilitados para Arc.

Detalhes

Geralmente os requisitos de conectividade incluem esses princípios.

  • Todas as conexões são TCP, a menos que especificado de outra forma.
  • Todas as conexões HTTP usam HTTPS e SSL/TLS com certificados oficialmente assinados e verificáveis.
  • Todas as conexões são de saída, a menos que especificado de outra forma.

Para usar um proxy, verifique se os agentes e o computador que executam o processo de integração atendem aos requisitos de rede neste artigo.

Importante

Para funcionar, os agentes do Azure Arc exigem as URLs de saída a seguir em https://:443. Para *.servicebus.windows.net, os websockets precisam ser habilitados para acesso de saída no firewall e no proxy.

Ponto de extremidade (DNS) Descrição
https://management.azure.com Necessário para que o agente se conecte ao Azure e registre o cluster.
https://<region>.dp.kubernetesconfiguration.azure.com Ponto de extremidade do plano de dados para o agente enviar o status por push e buscar informações de configuração.
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net		 Necessário para buscar e atualizar tokens do Azure Resource Manager.
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com		 Necessário para efetuar pull de imagens de contêiner para agentes do Azure Arc.
https://gbl.his.arc.azure.com Necessário para obter o ponto de extremidade regional para extrair certificados da Identidade Gerenciada atribuída pelo sistema.
https://*.his.arc.azure.com Necessário para efetuar pull dos certificados de Identidade Gerenciada atribuída pelo sistema.
https://k8connecthelm.azureedge.net O az connectedk8s connect usa o Helm 3 para implantar agentes do Azure Arc no cluster do Kubernetes. Esse ponto de extremidade é necessário para o download do cliente Helm para facilitar a implantação do gráfico do Helm do agente.
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net		 Para cenários baseados em Conexão de Cluster e Localização Personalizada.
*.servicebus.windows.net Para cenários baseados em Conexão de Cluster e Localização Personalizada.
https://graph.microsoft.com/ Necessário quando o RBAC do Azure está configurado.
*.arc.azure.net Necessário para gerenciar clusters conectados em portal do Azure.
https://<region>.obo.arc.azure.com:8084/ Necessário quando Cluster Connect é configurado.
dl.k8s.io Necessário quando atualização automática do agente está habilitado.

Para traduzir o *.servicebus.windows.net caractere curinga em pontos de extremidade específicos, use o comando:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Para obter o segmento de região de um ponto de extremidade regional, remova todos os espaços do nome da região do Azure. Por exemplo, região Leste dos EUA 2, o nome da região é eastus2.

Por exemplo: *.<region>.arcdataservices.com deve estar *.eastus2.arcdataservices.com na região Leste dos EUA 2.

Para ver uma lista de todas as regiões, execute este comando:

az account list-locations -o table

Get-AzLocation | Format-Table

Pontos de extremidade adicionais

Dependendo do seu cenário, pode ser necessário haver conectividade com outras URLs, como as usadas pelo portal do Azure, ferramentas de gerenciamento ou outros serviços do Azure. Em particular, examine estas listas para garantir que haja conectividade com todos os pontos de extremidade necessários:

Para obter uma lista completa dos requisitos de rede para recursos do Azure Arc e serviços habilitados para Azure Arc, consulte Requisitos de rede do Azure Arc.

Próximas etapas