Требования к сети Kubernetes с поддержкой Azure Arc

  • Статья

В этом разделе описываются требования к сети для подключения кластера Kubernetes к Azure Arc и поддержки различных сценариев Kubernetes с поддержкой Arc.

Сведения

Как правило, требования к подключению включают следующие принципы:

  • Все подключения являются TCP, если иное не указано.
  • Все HTTP-подключения используют ПРОТОКОЛ HTTPS и SSL/TLS с официально подписанными и проверяемыми сертификатами.
  • Все подключения исходящие, если иное не указано.

Чтобы использовать прокси-сервер, убедитесь, что агенты и компьютер, выполняющие процесс подключения, соответствуют требованиям к сети в этой статье.

Внимание

Для работы агентов Azure Arc требуются следующие исходящие URL-адреса (https://:443). Для *.servicebus.windows.net в брандмауэре и прокси-сервере необходимо включить WebSocket для исходящего доступа.

Конечная точка (DNS) Description
https://management.azure.com Требуется для подключения агента к Azure и регистрации кластера.
https://<region>.dp.kubernetesconfiguration.azure.com Конечная точка плоскости данных, через которую агент будет отправлять сведения о состоянии и извлекать сведения о конфигурации.
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net		 Требуется для извлечения и обновления маркеров Azure Resource Manager.
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com		 Требуется агентам Azure Arc для извлечения образов контейнеров.
https://gbl.his.arc.azure.com Требуется для получения региональной конечной точки, позволяющей запрашивать назначенные системой сертификаты управляемых удостоверений.
https://*.his.arc.azure.com Требуется для получения сертификатов управляемого удостоверения, назначаемого системой.
https://k8connecthelm.azureedge.net az connectedk8s connect использует Helm 3 для развертывания агентов Arc Azure в кластере Kubernetes. Эта конечная точка необходима для загрузки клиента Helm, чтобы упростить развертывание чарта агента Helm.
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net		 Для подключения кластера и сценариев на основе пользовательского расположения.
*.servicebus.windows.net Для подключения кластера и сценариев на основе пользовательского расположения.
https://graph.microsoft.com/ Требуется при настройке Azure RBAC .
*.arc.azure.net Требуется для управления подключенными кластерами в портал Azure.
https://<region>.obo.arc.azure.com:8084/ Требуется при настройке Подключение кластера.
dl.k8s.io Требуется при включенном автоматическом обновлении агента.

Чтобы перевести дикую *.servicebus.windows.net карта в определенные конечные точки, используйте команду:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Чтобы получить сегмент региона региональной конечной точки, удалите все пробелы из имени региона Azure. Например, регион "Восточная часть США 2 " — eastus2имя региона.

Например, *.<region>.arcdataservices.com должно находиться *.eastus2.arcdataservices.com в регионе "Восточная часть США 2".

Чтобы просмотреть список всех регионов, выполните следующую команду:

az account list-locations -o table

Get-AzLocation | Format-Table

Дополнительные конечные точки

В зависимости от вашего сценария может потребоваться подключение к другим URL-адресам, таким как те, которые используются портал Azure, средствами управления или другими службами Azure. В частности, просмотрите эти списки, чтобы обеспечить подключение к любым необходимым конечным точкам:

Полный список требований к сети для функций Azure Arc и служб с поддержкой Azure Arc см. в статье о требованиях к сети Azure Arc.

Следующие шаги