已啟用 Azure Arc 的 Kubernetes 網路需求
本主題描述將 Kubernetes 叢集連線至 Azure Arc 並支援各種已啟用 Arc 的 Kubernetes 案例的網路需求。
詳細資料
一般而言,連線需求包括下列原則:
- 除非另有指定,否則所有連線都是 TCP。
- 所有 HTTP 連線都會使用具有正式簽署和可驗證憑證的 HTTPS 和 SSL/TLS。
- 除非另有指定,否則所有連線都會輸出。
若要使用 Proxy,請確認執行上線程式的代理程式和電腦符合本文中的網路需求。
重要
Azure Arc 代理程式需要下列輸出 URL https://:443
才能運作。
針對 *.servicebus.windows.net
,必須在防火牆和 Proxy 上啟用 websocket 以進行輸出存取。
端點 (DNS) |
描述 |
https://management.azure.com |
代理程式連線到 Azure 並註冊叢集的必要專案。 |
https://<region>.dp.kubernetesconfiguration.azure.com |
代理程式的資料平面端點,用來推送狀態以及擷取設定資訊。 |
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net |
擷取和更新 Azure Resource Manager 權杖的必要項目。 |
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com |
需要提取 Azure Arc 代理程式的容器映像。 |
https://gbl.his.arc.azure.com |
需要取得區域端點,才能提取系統指派的受控識別憑證。 |
https://*.his.arc.azure.com |
需要提取系統指派的受控識別憑證。 |
https://k8connecthelm.azureedge.net |
az connectedk8s connect 會使用 Helm 3 在 Kubernetes 叢集上部署 Azure Arc 代理程式。 Helm 用戶端下載需要此端點,以利部署代理程式 Helm 圖表。 |
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net |
針對叢集 連線和自定義位置型案例。 |
*.servicebus.windows.net |
針對叢集 連線和自定義位置型案例。 |
https://graph.microsoft.com/ |
設定 Azure RBAC 時為必要專案。 |
*.arc.azure.net |
在 Azure 入口網站 中管理已連線叢集的必要專案。 |
https://<region>.obo.arc.azure.com:8084/ |
設定叢集 連線 時為必要專案。 |
dl.k8s.io |
啟用自動代理程序升級時的必要專案。 |
若要將 *.servicebus.windows.net
通配符轉譯為特定端點,請使用 命令:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
若要取得區域端點的區域區段,請移除 Azure 區域名稱中的所有空格。 例如,美國東部 2 區域,區域名稱為 eastus2
。
例如:在美國東部 2 區域,*.<region>.arcdataservices.com
應為 *.eastus2.arcdataservices.com
。
若要查看所有區域的清單,請執行此命令:
az account list-locations -o table
Get-AzLocation | Format-Table
重要
Azure Arc 代理程式需要下列輸出 URL https://:443
才能運作。
針對 *.servicebus.usgovcloudapi.net
,必須在防火牆和 Proxy 上啟用 websocket 以進行輸出存取。
端點 (DNS) |
描述 |
https://management.usgovcloudapi.net |
代理程式連線到 Azure 並註冊叢集的必要專案。 |
https://<region>.dp.kubernetesconfiguration.azure.us |
代理程式的資料平面端點,用來推送狀態以及擷取設定資訊。 |
https://login.microsoftonline.us
<region>.login.microsoftonline.us |
擷取和更新 Azure Resource Manager 權杖的必要項目。 |
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com |
需要提取 Azure Arc 代理程式的容器映像。 |
https://gbl.his.arc.azure.us |
需要取得區域端點,才能提取系統指派的受控識別憑證。 |
https://usgv.his.arc.azure.us |
需要提取系統指派的受控識別憑證。 |
https://k8connecthelm.azureedge.net |
az connectedk8s connect 會使用 Helm 3 在 Kubernetes 叢集上部署 Azure Arc 代理程式。 Helm 用戶端下載需要此端點,以利部署代理程式 Helm 圖表。 |
guestnotificationservice.azure.us
*.guestnotificationservice.azure.us
sts.windows.net
https://k8sconnectcsp.azureedge.net |
針對叢集 連線和自定義位置型案例。 |
*.servicebus.usgovcloudapi.net |
針對叢集 連線和自定義位置型案例。 |
https://graph.microsoft.com/ |
設定 Azure RBAC 時為必要專案。 |
https://usgovvirginia.obo.arc.azure.us:8084/ |
設定叢集 連線 時為必要專案。 |
dl.k8s.io |
啟用自動代理程序升級時的必要專案。 |
若要將 *.servicebus.usgovcloudapi.net
通配符轉譯為特定端點,請使用 命令:
GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&location=region
若要取得區域端點的區域區段,請移除 Azure 區域名稱中的所有空格。 例如,美國東部 2 區域,區域名稱為 eastus2
。
例如:在美國東部 2 區域,*.<region>.arcdataservices.com
應為 *.eastus2.arcdataservices.com
。
若要查看所有區域的清單,請執行此命令:
az account list-locations -o table
Get-AzLocation | Format-Table
重要
Azure Arc 代理程式需要下列輸出 URL https://:443
才能運作。
針對 *.servicebus.chinacloudapi.cn
,必須在防火牆和 Proxy 上啟用 websocket 以進行輸出存取。
端點 (DNS) |
描述 |
https://management.chinacloudapi.cn |
代理程式連線到 Azure 並註冊叢集的必要專案。 |
https://<region>.dp.kubernetesconfiguration.azure.cn |
代理程式的資料平面端點,用來推送狀態以及擷取設定資訊。 |
https://login.chinacloudapi.cn
https://<region>.login.chinacloudapi.cn
login.partner.microsoftonline.cn |
擷取和更新 Azure Resource Manager 權杖的必要項目。 |
mcr.azk8s.cn |
需要提取 Azure Arc 代理程式的容器映像。 |
https://gbl.his.arc.azure.cn |
需要取得區域端點,才能提取系統指派的受控識別憑證。 |
https://*.his.arc.azure.cn |
需要提取系統指派的受控識別憑證。 |
https://k8connecthelm.azureedge.net |
az connectedk8s connect 會使用 Helm 3 在 Kubernetes 叢集上部署 Azure Arc 代理程式。 Helm 用戶端下載需要此端點,以利部署代理程式 Helm 圖表。 |
guestnotificationservice.azure.cn
*.guestnotificationservice.azure.cn
sts.chinacloudapi.cn
https://k8sconnectcsp.azureedge.net |
針對叢集 連線和自定義位置型案例。 |
*.servicebus.chinacloudapi.cn |
針對叢集 連線和自定義位置型案例。 |
https://graph.chinacloudapi.cn/ |
設定 Azure RBAC 時為必要專案。 |
*.arc.azure.cn |
在 Azure 入口網站 中管理已連線叢集的必要專案。 |
https://<region>.obo.arc.azure.cn:8084/ |
設定叢集 連線 時為必要專案。 |
dl.k8s.io |
啟用自動代理程序升級時的必要專案。 |
quay.azk8s.cn
registryk8s.azk8s.cn
k8sgcr.azk8s.cn
usgcr.azk8s.cn
dockerhub.azk8s.cn/<repo-name>/<image-name>:<version> |
適用於 Azure China VM 的容器登錄 Proxy 伺服器。 |
額外端點
視您的案例而定,您可能需要連線到其他 URL,例如 Azure 入口網站、管理工具或其他 Azure 服務所使用的 URL。 特別是,請檢閱這些清單,以確保您可以允許連線到任何必要的端點:
如需 Azure Arc 功能和已啟用 Azure Arc 服務之網路需求的完整清單,請參閱 Azure Arc 網路需求。
下一步