Azure Arc-aktiverade Kubernetes-nätverkskrav

I det här avsnittet beskrivs nätverkskraven för att ansluta ett Kubernetes-kluster till Azure Arc och stödja olika Arc-aktiverade Kubernetes-scenarier.

Details

I allmänhet omfattar anslutningskrav följande principer:

• Alla anslutningar är TCP om inget annat anges.
• Alla HTTP-anslutningar använder HTTPS- och SSL/TLS med officiellt signerade och verifierbara certifikat.
• Alla anslutningar är utgående om inget annat anges.

Om du vill använda en proxy kontrollerar du att agenterna och datorn som utför registreringsprocessen uppfyller nätverkskraven i den här artikeln.

Azure Cloud

Viktigt!

Azure Arc-agenter kräver följande utgående URL:er https://:443 för att fungera. För *.servicebus.windows.netmåste websockets aktiveras för utgående åtkomst i brandväggen och proxyn.

Slutpunkt (DNS)	beskrivning
https://management.azure.com	Krävs för att agenten ska kunna ansluta till Azure och registrera klustret.
https://<region>.dp.kubernetesconfiguration.azure.com	Dataplanets slutpunkt för agenten för att push-överföra status och hämta konfigurationsinformation.
https://login.microsoftonline.com https://<region>.login.microsoft.com login.windows.net	Krävs för att hämta och uppdatera Azure Resource Manager-token.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Krävs för att hämta containeravbildningar för Azure Arc-agenter.
https://gbl.his.arc.azure.com	Krävs för att hämta den regionala slutpunkten för att hämta systemtilldelade hanterade identitetscertifikat.
https://*.his.arc.azure.com	Krävs för att hämta systemtilldelade hanterade identitetscertifikat.
https://k8connecthelm.azureedge.net	az connectedk8s connect använder Helm 3 för att distribuera Azure Arc-agenter i Kubernetes-klustret. Den här slutpunkten behövs för nedladdning av Helm-klienten för att underlätta distributionen av agentens helm-diagram.
guestnotificationservice.azure.com *.guestnotificationservice.azure.com sts.windows.net https://k8sconnectcsp.azureedge.net	För Klusteranslutning och för scenarier baserade på anpassad plats .
*.servicebus.windows.net	För Klusteranslutning och för scenarier baserade på anpassad plats .
https://graph.microsoft.com/	Krävs när Azure RBAC har konfigurerats.
*.arc.azure.net	Krävs för att hantera anslutna kluster i Azure Portal.
https://<region>.obo.arc.azure.com:8084/	Krävs när Cluster Connect har konfigurerats.
https://linuxgeneva-microsoft.azurecr.io	Krävs om du använder Azure Arc-aktiverade Kubernetes-tillägg.

Om du vill översätta *.servicebus.windows.net jokertecknet till specifika slutpunkter använder du kommandot:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Om du vill hämta regionsegmentet för en regional slutpunkt tar du bort alla blanksteg från Namnet på Azure-regionen. Till exempel regionen USA, östra 2 , är eastus2regionnamnet .

Till exempel: *.<region>.arcdataservices.com bör finnas *.eastus2.arcdataservices.com i regionen USA, östra 2.

Om du vill se en lista över alla regioner kör du det här kommandot:

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Government

Viktigt!

Azure Arc-agenter kräver följande utgående URL:er https://:443 för att fungera. För *.servicebus.usgovcloudapi.netmåste websockets aktiveras för utgående åtkomst i brandväggen och proxyn.

Slutpunkt (DNS)	beskrivning
https://management.usgovcloudapi.net	Krävs för att agenten ska kunna ansluta till Azure och registrera klustret.
https://<region>.dp.kubernetesconfiguration.azure.us	Dataplanets slutpunkt för agenten för att push-överföra status och hämta konfigurationsinformation.
https://login.microsoftonline.us <region>.login.microsoftonline.us	Krävs för att hämta och uppdatera Azure Resource Manager-token.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Krävs för att hämta containeravbildningar för Azure Arc-agenter.
https://gbl.his.arc.azure.us	Krävs för att hämta den regionala slutpunkten för att hämta systemtilldelade hanterade identitetscertifikat.
https://usgv.his.arc.azure.us	Krävs för att hämta systemtilldelade hanterade identitetscertifikat.
https://k8connecthelm.azureedge.net	az connectedk8s connect använder Helm 3 för att distribuera Azure Arc-agenter i Kubernetes-klustret. Den här slutpunkten behövs för nedladdning av Helm-klienten för att underlätta distributionen av agentens helm-diagram.
guestnotificationservice.azure.us *.guestnotificationservice.azure.us sts.windows.net https://k8sconnectcsp.azureedge.net	För Klusteranslutning och för scenarier baserade på anpassad plats .
*.servicebus.usgovcloudapi.net	För Klusteranslutning och för scenarier baserade på anpassad plats .
https://graph.microsoft.com/	Krävs när Azure RBAC har konfigurerats.
https://usgovvirginia.obo.arc.azure.us:8084/	Krävs när Cluster Connect har konfigurerats.

Om du vill översätta *.servicebus.usgovcloudapi.net jokertecknet till specifika slutpunkter använder du kommandot:

GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&location=region

Om du vill hämta regionsegmentet för en regional slutpunkt tar du bort alla blanksteg från Namnet på Azure-regionen. Till exempel regionen USA, östra 2 , är eastus2regionnamnet .

Till exempel: *.<region>.arcdataservices.com bör finnas *.eastus2.arcdataservices.com i regionen USA, östra 2.

Om du vill se en lista över alla regioner kör du det här kommandot:

az account list-locations -o table

Get-AzLocation | Format-Table

Microsoft Azure drivs av 21Vianet

Viktigt!

Azure Arc-agenter kräver följande utgående URL:er https://:443 för att fungera. För *.servicebus.chinacloudapi.cnmåste websockets aktiveras för utgående åtkomst i brandväggen och proxyn.

Slutpunkt (DNS)	beskrivning
https://management.chinacloudapi.cn	Krävs för att agenten ska kunna ansluta till Azure och registrera klustret.
https://<region>.dp.kubernetesconfiguration.azure.cn	Dataplanets slutpunkt för agenten för att push-överföra status och hämta konfigurationsinformation.
https://login.chinacloudapi.cn https://<region>.login.chinacloudapi.cn login.partner.microsoftonline.cn	Krävs för att hämta och uppdatera Azure Resource Manager-token.
mcr.azk8s.cn	Krävs för att hämta containeravbildningar för Azure Arc-agenter.
https://gbl.his.arc.azure.cn	Krävs för att hämta den regionala slutpunkten för att hämta systemtilldelade hanterade identitetscertifikat.
https://*.his.arc.azure.cn	Krävs för att hämta systemtilldelade hanterade identitetscertifikat.
https://k8connecthelm.azureedge.net	az connectedk8s connect använder Helm 3 för att distribuera Azure Arc-agenter i Kubernetes-klustret. Den här slutpunkten behövs för nedladdning av Helm-klienten för att underlätta distributionen av agentens helm-diagram.
guestnotificationservice.azure.cn *.guestnotificationservice.azure.cn sts.chinacloudapi.cn https://k8sconnectcsp.azureedge.net	För Klusteranslutning och för scenarier baserade på anpassad plats .
*.servicebus.chinacloudapi.cn	För Klusteranslutning och för scenarier baserade på anpassad plats .
https://graph.chinacloudapi.cn/	Krävs när Azure RBAC har konfigurerats.
*.arc.azure.cn	Krävs för att hantera anslutna kluster i Azure Portal.
https://<region>.obo.arc.azure.cn:8084/	Krävs när Cluster Connect har konfigurerats.
quay.azk8s.cn registryk8s.azk8s.cn k8sgcr.azk8s.cn usgcr.azk8s.cn dockerhub.azk8s.cn/<repo-name>/<image-name>:<version>	Proxyservrar för containerregister för virtuella Azure China-datorer.

Ytterligare slutpunkter

Beroende på ditt scenario kan du behöva anslutning till andra URL:er, till exempel de som används av Azure Portal, hanteringsverktyg eller andra Azure-tjänster. Granska särskilt de här listorna för att se till att du tillåter anslutning till nödvändiga slutpunkter:

• Azure Portal URL:er
• Azure CLI-slutpunkter för proxy bypass

En fullständig lista över nätverkskrav för Azure Arc-funktioner och Azure Arc-aktiverade tjänster finns i Nätverkskraven för Azure Arc.

Nästa steg

• Förstå systemkraven för Arc-aktiverade Kubernetes.
• Använd vår snabbstart för att ansluta klustret.
• Läs vanliga frågor och svar om Arc-aktiverade Kubernetes.