你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
启用了 Azure Arc 的 Kubernetes 的网络要求
本主题介绍了将 Kubernetes 群集连接到 Azure Arc 并支持各种已启用 Arc 的 Kubernetes 方案的网络要求。
详细信息
通常,连接要求包括以下原则:
- 除非另有说明,否则所有连接都是 TCP 连接。
- 所有 HTTP 连接都使用 HTTPS 和 SSL/TLS,并带有正式签名和可验证的证书。
- 除非另有说明,否则所有连接都是出站连接。
若要使用代理,请验证执行加入流程的代理和电脑满足本文中所述的网络要求。
重要
Azure Arc 代理需要 https://:443
上的以下出站 URL 才能运行。
对于 *.servicebus.windows.net
,需要为防火墙和代理上的出站访问启用 websocket。
终结点 (DNS) | 说明 |
---|---|
https://management.azure.com |
代理需要该终结点才可连接到 Azure 并注册群集。 |
https://<region>.dp.kubernetesconfiguration.azure.com |
代理的数据平面终结点,用于推送状态和提取配置信息。 |
https://login.microsoftonline.com https://<region>.login.microsoft.com login.windows.net |
提取和更新 Azure 资源管理器令牌所需的终结点。 |
https://mcr.microsoft.com https://*.data.mcr.microsoft.com |
拉取 Azure Arc 代理的容器映像所需的终结点。 |
https://gbl.his.arc.azure.com |
需要用于获取区域终结点,以便拉取系统分配的托管标识证书。 |
https://*.his.arc.azure.com |
拉取系统分配的托管标识证书时必需。 |
https://k8connecthelm.azureedge.net |
az connectedk8s connect 使用 Helm 3 在 Kubernetes 群集上部署 Azure Arc 代理。 Helm 客户端下载需要此终结点来帮助部署代理 helm 图表。 |
guestnotificationservice.azure.com *.guestnotificationservice.azure.com sts.windows.net https://k8sconnectcsp.azureedge.net |
针对基于连接和位置的场景。 |
*.servicebus.windows.net |
针对基于连接和位置的场景。 |
https://graph.microsoft.com/ |
在配置 Azure RBAC 时是必需的。 |
*.arc.azure.net |
在 Azure 门户中管理连接的群集时是必需的。 |
https://<region>.obo.arc.azure.com:8084/ |
在配置群集连接功能时是必需的。 |
dl.k8s.io |
在启用自动代理升级时是必需的。 |
https://linuxgeneva-microsoft.azurecr.io |
如果使用已启用 Azure Arc 的 Kubernetes 扩展,则必需。 |
若要将 *.servicebus.windows.net
通配符转换为特定终结点,请使用以下命令:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
要获取区域终结点的区域段,请从 Azure 区域名称中删除所有空格。 例如,“美国东部 2”区域,区域名称为 eastus2
。
例如:*.<region>.arcdataservices.com
应位于“美国东部 2”区域中的 *.eastus2.arcdataservices.com
。
要查看所有区域的列表,请运行以下命令:
az account list-locations -o table
Get-AzLocation | Format-Table
额外终结点
根据你的方案,可能需要连接到其他 URL,例如 Azure 门户、管理工具或其他 Azure 服务使用的 URL。 具体而言,请查看这些列表,以确保允许连接到任何必要的终结点:
有关 Azure ARC 功能和已启用 Azure ARC 的服务的网络要求的完整列表,请参阅 Azure ARC 网络要求。
后续步骤
- 了解已启用 Arc 的 Kubernetes 的系统要求。
- 按照快速入门中的说明连接到你的群集。
- 查看有关已启用 Arc 的 Kubernetes 的常见问题解答。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈