已啟用 Azure Arc 的 Kubernetes 網路需求

  • 發行項

本主題描述將 Kubernetes 叢集連線至 Azure Arc 並支援各種已啟用 Arc 的 Kubernetes 案例的網路需求。

詳細資料

一般而言,連線需求包括下列原則:

  • 除非另有指定,否則所有連線都是 TCP。
  • 所有 HTTP 連線都會使用具有正式簽署和可驗證憑證的 HTTPS 和 SSL/TLS。
  • 除非另有指定,否則所有連線都會輸出。

若要使用 Proxy,請確認執行上線程式的代理程式和電腦符合本文中的網路需求。

重要

Azure Arc 代理程式需要下列輸出 URL https://:443 才能運作。 針對 *.servicebus.windows.net,必須在防火牆和 Proxy 上啟用 websocket 以進行輸出存取。

端點 (DNS) 描述
https://management.azure.com 代理程式連線到 Azure 並註冊叢集的必要專案。
https://<region>.dp.kubernetesconfiguration.azure.com 代理程式的資料平面端點,用來推送狀態以及擷取設定資訊。
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net		 擷取和更新 Azure Resource Manager 權杖的必要項目。
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com		 需要提取 Azure Arc 代理程式的容器映像。
https://gbl.his.arc.azure.com 需要取得區域端點,才能提取系統指派的受控識別憑證。
https://*.his.arc.azure.com 需要提取系統指派的受控識別憑證。
https://k8connecthelm.azureedge.net az connectedk8s connect 會使用 Helm 3 在 Kubernetes 叢集上部署 Azure Arc 代理程式。 Helm 用戶端下載需要此端點,以利部署代理程式 Helm 圖表。
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net		 針對叢集 連線和自定義位置型案例。
*.servicebus.windows.net 針對叢集 連線和自定義位置型案例。
https://graph.microsoft.com/ 設定 Azure RBAC為必要專案。
*.arc.azure.net 在 Azure 入口網站 中管理已連線叢集的必要專案。
https://<region>.obo.arc.azure.com:8084/ 設定叢集 連線為必要專案。
dl.k8s.io 啟用自動代理程序升級的必要專案。

若要將 *.servicebus.windows.net 通配符轉譯為特定端點,請使用 命令:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

若要取得區域端點的區域區段,請移除 Azure 區域名稱中的所有空格。 例如,美國東部 2 區域,區域名稱為 eastus2

例如:在美國東部 2 區域,*.<region>.arcdataservices.com 應為 *.eastus2.arcdataservices.com

若要查看所有區域的清單,請執行此命令:

az account list-locations -o table

Get-AzLocation | Format-Table

額外端點

視您的案例而定,您可能需要連線到其他 URL,例如 Azure 入口網站、管理工具或其他 Azure 服務所使用的 URL。 特別是,請檢閱這些清單,以確保您可以允許連線到任何必要的端點:

如需 Azure Arc 功能和已啟用 Azure Arc 服務之網路需求的完整清單,請參閱 Azure Arc 網路需求

下一步