Requisitos de rede do Kubernetes habilitado para Azure Arc

  • Artigo

Este tópico descreve os requisitos de rede para conectar um cluster Kubernetes ao Azure Arc e dar suporte a vários cenários Kubernetes habilitados para Arc.

Detalhes

Geralmente, os requisitos de conectividade incluem estes princípios:

  • Todas as conexões são TCP, a menos que especificado de outra forma.
  • Todas as conexões HTTP usam HTTPS e SSL/TLS com certificados oficialmente assinados e verificáveis.
  • Todas as conexões são de saída, a menos que especificado de outra forma.

Para usar um proxy, verifique se os agentes e a máquina que executa o processo de integração atendem aos requisitos de rede neste artigo.

Importante

Os agentes do Azure Arc exigem as seguintes URLs de saída para https://:443 funcionar. Para *.servicebus.windows.neto , os websockets precisam estar habilitados para acesso de saída em firewall e proxy.

Ponto final (DNS) Description
https://management.azure.com Necessário para que o agente se conecte ao Azure e registre o cluster.
https://<region>.dp.kubernetesconfiguration.azure.com O ponto final do plano de dados para o agente emitir o estado e obter as informações de configuração.
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net		 É necessário obter e atualizar os tokens do Azure Resource Manager.
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com		 Necessário para extrair imagens de contêiner para agentes do Azure Arc.
https://gbl.his.arc.azure.com Necessário para obter o ponto de extremidade regional para obter certificados de Identidade Gerenciada atribuídos pelo sistema.
https://*.his.arc.azure.com Necessário para obter certificados de Identidade Gerenciada atribuídos pelo sistema.
https://k8connecthelm.azureedge.net az connectedk8s connect usa o Helm 3 para implantar agentes do Azure Arc no cluster do Kubernetes. Esse ponto de extremidade é necessário para o download do cliente Helm para facilitar a implantação do gráfico de leme do agente.
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net		 Para Cluster Connect e para cenários baseados em Localização Personalizada.
*.servicebus.windows.net Para Cluster Connect e para cenários baseados em Localização Personalizada.
https://graph.microsoft.com/ Necessário quando o RBAC do Azure está configurado.
*.arc.azure.net Necessário para gerenciar clusters conectados no portal do Azure.
https://<region>.obo.arc.azure.com:8084/ Necessário quando o Cluster Connect está configurado.
dl.k8s.io Necessário quando a atualização automática do agente está ativada.

Para traduzir o curinga *.servicebus.windows.net em pontos de extremidade específicos, use o comando:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Para obter o segmento de região de um ponto de extremidade regional, remova todos os espaços do nome da região do Azure. Por exemplo, região Leste dos EUA 2 , o nome da região é eastus2.

Por exemplo: *.<region>.arcdataservices.com deve estar *.eastus2.arcdataservices.com na região Leste dos EUA 2.

Para ver uma lista de todas as regiões, execute este comando:

az account list-locations -o table

Get-AzLocation | Format-Table

Parâmetros de avaliação adicionais

Dependendo do seu cenário, você pode precisar de conectividade com outras URLs, como as usadas pelo portal do Azure, ferramentas de gerenciamento ou outros serviços do Azure. Em particular, revise essas listas para garantir que você permita a conectividade com quaisquer pontos de extremidade necessários:

Para obter uma lista completa dos requisitos de rede para recursos do Azure Arc e serviços habilitados para Azure Arc, consulte Requisitos de rede do Azure Arc.

Próximos passos