Pravidla odchozí sítě a plně kvalifikovaného názvu domény pro clustery Azure Kubernetes Service (AKS)
Tento článek obsahuje nezbytné podrobnosti, které umožňují zabezpečit odchozí provoz ze služby Azure Kubernetes Service (AKS). Obsahuje požadavky na cluster pro základní nasazení AKS a další požadavky na volitelné doplňky a funkce. Tyto informace můžete použít na jakoukoli metodu omezení odchozích přenosů nebo zařízení.
Pokud chcete zobrazit ukázkovou konfiguraci pomocí služby Azure Firewall, přejděte na téma Řízení výchozího provozu pomocí služby Azure Firewall v AKS.
Pozadí
Clustery AKS se nasazují ve virtuální síti. Tuto síť můžete buď přizpůsobit a předem nakonfigurovat, nebo ji můžete vytvořit a spravovat pomocí AKS. V obou případech má cluster odchozí nebo odchozí závislosti na službách mimo virtuální síť.
Pro účely správy a provozu musí uzly v clusteru AKS přistupovat k určitým portům a plně kvalifikovaným názvům domén (FQDN). Tyto koncové body jsou potřeba ke komunikaci uzlů se serverem rozhraní API nebo ke stažení a instalaci základních komponent clusteru Kubernetes a aktualizací zabezpečení uzlů. Cluster například potřebuje vyžádat image kontejneru z Registr artefaktů Microsoft (MAR).
Odchozí závislosti AKS jsou téměř zcela definovány plně kvalifikovanými názvy domén, které za sebou nemají statické adresy. Nedostatek statických adres znamená, že nemůžete použít skupiny zabezpečení sítě (NSG) k uzamčení odchozího provozu z clusteru AKS.
Clustery AKS mají ve výchozím nastavení neomezený odchozí přístup k internetu. Tato úroveň síťového přístupu umožňuje uzlům a službám, které spouštíte, přistupovat k externím prostředkům podle potřeby. Pokud chcete omezit odchozí provoz, musí být k údržbě úloh údržby clusteru přístupný omezený počet portů a adres.
Cluster AKS izolovaná v síti poskytuje nejjednodušší a nejbezpečnější řešení pro nastavení odchozích omezení pro cluster, které je v tomto stavu mimo provoz. Izolovaný cluster v síti načítá image pro komponenty clusteru a doplňky z privátní instance služby Azure Container Registry (ACR) připojené ke clusteru místo vyžádání z MAR. Pokud image nejsou k dispozici, privátní služba ACR je načte z MAR a obsluhuje je prostřednictvím svého privátního koncového bodu a eliminuje nutnost povolit výchozí přenos dat z clusteru do veřejného koncového bodu MAR. Operátor clusteru pak může postupně nastavit povolený odchozí provoz bezpečně přes privátní síť pro každý scénář, který chce povolit. Díky tomu mají operátoři clusteru úplnou kontrolu nad návrhem povoleného odchozího provozu z jejich clusterů přímo od začátku, což jim umožní snížit riziko exfiltrace dat.
Dalším řešením zabezpečení odchozích adres je použití zařízení brány firewall, které může řídit odchozí provoz na základě názvů domén. Azure Firewall může omezit odchozí provoz HTTP a HTTPS na základě plně kvalifikovaného názvu domény cíle. Můžete také nakonfigurovat upřednostňovaná pravidla brány firewall a zabezpečení tak, aby povolovala tyto požadované porty a adresy.
Důležité
Tento dokument popisuje, jak uzamknout provoz, který opouští podsíť AKS. AKS nemá ve výchozím nastavení žádné požadavky na příchozí přenos dat. Blokování provozu interní podsítě pomocí skupin zabezpečení sítě (NSG) a bran firewall se nepodporuje. Pokud chcete řídit a blokovat provoz v rámci clusteru, přečtěte si téma Zabezpečení provozu mezi pody pomocí zásad sítě v AKS.
Požadovaná pravidla odchozí sítě a plně kvalifikované názvy domén pro clustery AKS
Pro cluster AKS se vyžadují následující pravidla sítě a plně kvalifikovaného názvu domény nebo aplikace. Můžete je použít, pokud chcete nakonfigurovat jiné řešení než Azure Firewall.
- Závislosti IP adres jsou určené pro provoz mimo HTTP/S (provoz TCP i UDP).
- Koncové body HTTP/HTTPS plně kvalifikovaného názvu domény se dají umístit do vašeho zařízení brány firewall.
- Koncové body HTTP/HTTPS se zástupnými čísly jsou závislosti, které se můžou v clusteru AKS lišit na základě řady kvalifikátorů.
- AKS používá kontroler přístupu k vložení plně kvalifikovaného názvu domény jako proměnné prostředí do všech nasazení v rámci kube-system a gatekeeper-system. Tím zajistíte, že veškerá systémová komunikace mezi uzly a serverem rozhraní API používá plně kvalifikovaný název domény serveru API, a ne IP adresu serveru rozhraní API. Stejné chování můžete získat u vlastních podů v libovolném oboru názvů anotací specifikace podu s názvem
kubernetes.azure.com/set-kube-service-host-fqdn. Pokud je tato poznámka k dispozici, AKS nastaví proměnnou KUBERNETES_SERVICE_HOST na název domény serveru rozhraní API místo IP adresy služby v clusteru. To je užitečné v případech, kdy výchozí přenos dat clusteru probíhá přes bránu firewall vrstvy 7. - Pokud máte aplikaci nebo řešení, které potřebuje komunikovat se serverem rozhraní API, musíte buď přidat další síťové pravidlo, které povolí komunikaci TCP na port 443 IP adresy serveru ROZHRANÍ API NEBO , pokud máte nakonfigurovanou bránu firewall vrstvy 7 tak, aby povolovala provoz do názvu domény serveru API, který je nastavený
kubernetes.azure.com/set-kube-service-host-fqdnve specifikacích podů. - Pokud dojde k operaci údržby, může se ip adresa serveru API změnit ve výjimečných případech. Operace plánované údržby, které můžou změnit IP adresu serveru rozhraní API, se vždy předávají předem.
- Můžete si všimnout provozu do koncového bodu md-*.blob.storage.azure.net. Tento koncový bod se používá pro interní komponenty Azure Spravované disky. Blokování přístupu k tomuto koncovému bodu z brány firewall by nemělo způsobit žádné problémy.
- Můžete si všimnout provozu do koncového bodu "umsa*.blob.core.windows.net". Tento koncový bod se používá k ukládání manifestů pro agenta a rozšíření virtuálních počítačů Azure s Linuxem a pravidelně se kontroluje stahování nových verzí. Další podrobnosti o rozšířeních virtuálních počítačů najdete.
Globální pravidla sítě Azure
| Cílový koncový bod | Protokol | Port | Používání |
|---|---|---|---|
*:1194 Nebo ServiceTag - AzureCloud.<Region>:1194 Nebo Regionální identifikátory CIDR - RegionCIDRs:1194 Nebo APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Pro tunelovanou zabezpečenou komunikaci mezi uzly a řídicí rovinou. To se nevyžaduje pro privátní clustery ani pro clustery s povoleným agentem konnectivity. |
*:9000 Nebo ServiceTag - AzureCloud.<Region>:9000 Nebo Regionální identifikátory CIDR - RegionCIDRs:9000 Nebo APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Pro tunelovanou zabezpečenou komunikaci mezi uzly a řídicí rovinou. To se nevyžaduje pro privátní clustery ani pro clustery s povoleným agentem konnectivity. |
*:123 nebo ntp.ubuntu.com:123 (pokud používáte síťová pravidla služby Azure Firewall) |
UDP | 123 | Vyžaduje se synchronizace času protokolu NTP (Network Time Protocol) na linuxových uzlech. To se nevyžaduje pro uzly zřízené po březnu 2021. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Pokud používáte vlastní servery DNS, musíte zajistit, aby byly přístupné uzly clusteru. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Vyžaduje se, pokud spouštíte pody nebo nasazení, které přistupují k serveru API, tyto pody/nasazení budou používat IP adresu rozhraní API. Tento port není nutný pro privátní clustery. |
Globální požadovaný plně kvalifikovaný název domény Azure / pravidla aplikací
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Vyžaduje se pro komunikaci uzlu <–> server API. > Umístění nahraďte <oblastí, ve které je nasazený cluster AKS. To se vyžaduje pro clustery s povoleným agentem konnectivity. Konnectivity také ke komunikaci mezi agentem a serverem používá protokol ALPN (Application-Layer Protocol Negotiation). Blokování nebo přepsání rozšíření ALPN způsobí selhání. To se nevyžaduje pro privátní clustery. |
mcr.microsoft.com |
HTTPS:443 |
Vyžaduje se pro přístup k imagím ve službě Microsoft Container Registry (MCR). Tento registr obsahuje obrázky a grafy první strany (například coreDNS atd.). Tyto image se vyžadují pro správné vytvoření a fungování clusteru, včetně operací škálování a upgradu. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Vyžaduje se pro úložiště MCR zálohované sítí pro doručování obsahu Azure (CDN). |
management.azure.com |
HTTPS:443 |
Vyžaduje se pro operace Kubernetes s rozhraním Azure API. |
login.microsoftonline.com |
HTTPS:443 |
Vyžaduje se pro ověřování Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Tato adresa je úložiště balíčků Microsoftu používané pro operace apt-get uložené v mezipaměti. Mezi příklady balíčků patří Moby, PowerShell a Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Tato adresa je určená pro úložiště potřebné ke stažení a instalaci požadovaných binárních souborů, jako je kubenet a Azure CNI. |
Microsoft Azure provozovaný společností 21Vianet – požadovaná síťová pravidla
| Cílový koncový bod | Protokol | Port | Používání |
|---|---|---|---|
*:1194 Nebo ServiceTag - AzureCloud.Region:1194 Nebo Regionální identifikátory CIDR - RegionCIDRs:1194 Nebo APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Pro tunelovanou zabezpečenou komunikaci mezi uzly a řídicí rovinou. |
*:9000 Nebo ServiceTag - AzureCloud.<Region>:9000 Nebo Regionální identifikátory CIDR - RegionCIDRs:9000 Nebo APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Pro tunelovanou zabezpečenou komunikaci mezi uzly a řídicí rovinou. |
*:22 Nebo ServiceTag - AzureCloud.<Region>:22 Nebo Regionální identifikátory CIDR - RegionCIDRs:22 Nebo APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | Pro tunelovanou zabezpečenou komunikaci mezi uzly a řídicí rovinou. |
*:123 nebo ntp.ubuntu.com:123 (pokud používáte síťová pravidla služby Azure Firewall) |
UDP | 123 | Vyžaduje se synchronizace času protokolu NTP (Network Time Protocol) na linuxových uzlech. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Pokud používáte vlastní servery DNS, musíte zajistit, aby byly přístupné uzly clusteru. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Vyžaduje se, pokud spouštíte pody nebo nasazení, které přistupují k serveru ROZHRANÍ API, budou tyto pody nebo nasazení používat IP adresu rozhraní API. |
Microsoft Azure provozovaný společností 21Vianet – požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Vyžaduje se pro komunikaci uzlu <–> server API. > Umístění nahraďte <oblastí, ve které je nasazený cluster AKS. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Vyžaduje se pro komunikaci uzlu <–> server API. > Umístění nahraďte <oblastí, ve které je nasazený cluster AKS. |
mcr.microsoft.com |
HTTPS:443 |
Vyžaduje se pro přístup k imagím ve službě Microsoft Container Registry (MCR). Tento registr obsahuje obrázky a grafy první strany (například coreDNS atd.). Tyto image se vyžadují pro správné vytvoření a fungování clusteru, včetně operací škálování a upgradu. |
.data.mcr.microsoft.com |
HTTPS:443 |
Vyžaduje se pro úložiště MCR zálohované službou Azure Content Delivery Network (CDN). |
management.chinacloudapi.cn |
HTTPS:443 |
Vyžaduje se pro operace Kubernetes s rozhraním Azure API. |
login.chinacloudapi.cn |
HTTPS:443 |
Vyžaduje se pro ověřování Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Tato adresa je úložiště balíčků Microsoftu používané pro operace apt-get uložené v mezipaměti. Mezi příklady balíčků patří Moby, PowerShell a Azure CLI. |
*.azk8s.cn |
HTTPS:443 |
Tato adresa je určená pro úložiště potřebné ke stažení a instalaci požadovaných binárních souborů, jako je kubenet a Azure CNI. |
Požadovaná pravidla sítě pro Azure US Government
| Cílový koncový bod | Protokol | Port | Používání |
|---|---|---|---|
*:1194 Nebo ServiceTag - AzureCloud.<Region>:1194 Nebo Regionální identifikátory CIDR - RegionCIDRs:1194 Nebo APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Pro tunelovanou zabezpečenou komunikaci mezi uzly a řídicí rovinou. |
*:9000 Nebo ServiceTag - AzureCloud.<Region>:9000 Nebo Regionální identifikátory CIDR - RegionCIDRs:9000 Nebo APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Pro tunelovanou zabezpečenou komunikaci mezi uzly a řídicí rovinou. |
*:123 nebo ntp.ubuntu.com:123 (pokud používáte síťová pravidla služby Azure Firewall) |
UDP | 123 | Vyžaduje se synchronizace času protokolu NTP (Network Time Protocol) na linuxových uzlech. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Pokud používáte vlastní servery DNS, musíte zajistit, aby byly přístupné uzly clusteru. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Vyžaduje se, pokud spouštíte pody nebo nasazení, které přistupují k serveru API, tyto pody/nasazení budou používat IP adresu rozhraní API. |
Požadovaná plně kvalifikovaný název domény nebo pravidla aplikací pro Azure US Government
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Vyžaduje se pro komunikaci uzlu <–> server API. > Umístění nahraďte <oblastí, ve které je nasazený cluster AKS. |
mcr.microsoft.com |
HTTPS:443 |
Vyžaduje se pro přístup k imagím ve službě Microsoft Container Registry (MCR). Tento registr obsahuje obrázky a grafy první strany (například coreDNS atd.). Tyto image se vyžadují pro správné vytvoření a fungování clusteru, včetně operací škálování a upgradu. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Vyžaduje se pro úložiště MCR zálohované sítí pro doručování obsahu Azure (CDN). |
management.usgovcloudapi.net |
HTTPS:443 |
Vyžaduje se pro operace Kubernetes s rozhraním Azure API. |
login.microsoftonline.us |
HTTPS:443 |
Vyžaduje se pro ověřování Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Tato adresa je úložiště balíčků Microsoftu používané pro operace apt-get uložené v mezipaměti. Mezi příklady balíčků patří Moby, PowerShell a Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Tato adresa je určená pro úložiště potřebné k instalaci požadovaných binárních souborů, jako je kubenet a Azure CNI. |
Nepovinný doporučený plně kvalifikovaný název domény nebo pravidla aplikace pro clustery AKS
Následující pravidla plně kvalifikovaného názvu domény nebo aplikace se nevyžadují, ale doporučuje se pro clustery AKS:
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
security.ubuntu.com, , azure.archive.ubuntu.comchangelogs.ubuntu.com |
HTTP:80 |
Tato adresa umožňuje uzlům clusteru s Linuxem stáhnout požadované opravy zabezpečení a aktualizace. |
snapshot.ubuntu.com |
HTTPS:443 |
Tato adresa umožňuje uzlům clusteru s Linuxem stáhnout požadované opravy zabezpečení a aktualizace ze služby snímků Ubuntu. |
Pokud se rozhodnete blokovat nebo nepovolit tyto plně kvalifikované názvy domén, uzly budou přijímat aktualizace operačního systému jenom při upgradu image uzlu nebo upgradu clusteru. Mějte na paměti, že upgrady imagí uzlů mají aktualizované balíčky, včetně oprav zabezpečení.
Clustery AKS s podporou GPU vyžadují plně kvalifikovaný název domény nebo pravidla aplikací
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Tato adresa se používá pro správnou instalaci a operaci ovladače na uzlech založených na GPU. |
us.download.nvidia.com |
HTTPS:443 |
Tato adresa se používá pro správnou instalaci a operaci ovladače na uzlech založených na GPU. |
download.docker.com |
HTTPS:443 |
Tato adresa se používá pro správnou instalaci a operaci ovladače na uzlech založených na GPU. |
Fondy uzlů založené na Windows Serveru vyžadují plně kvalifikovaný název domény nebo pravidla aplikací.
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Instalace binárních souborů souvisejících s Windows |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Instalace binárních souborů souvisejících s Windows |
Pokud se rozhodnete blokovat nebo nepovolit tyto plně kvalifikované názvy domén, uzly budou přijímat aktualizace operačního systému jenom při upgradu image uzlu nebo upgradu clusteru. Mějte na paměti, že upgrady imagí uzlů mají aktualizované balíčky, včetně oprav zabezpečení.
Funkce, doplňky a integrace AKS
Identita úloh
Požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace
| Cílový plně kvalifikovaný název domény | Port | Používání |
|---|---|---|
login.microsoftonline.comnebo login.chinacloudapi.cnlogin.microsoftonline.us |
HTTPS:443 |
Vyžaduje se pro ověřování Microsoft Entra. |
Microsoft Defender pro kontejnery
Požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace
| FQDN | Port | Používání |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure provozovaný společností 21Vianet) |
HTTPS:443 |
Vyžaduje se pro ověřování Microsoft Entra. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government) *.ods.opinsights.azure.cn (Azure provozovaný společností 21Vianet) |
HTTPS:443 |
Vyžaduje se, aby Microsoft Defender nahrál události zabezpečení do cloudu. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government) *.oms.opinsights.azure.cn (Azure provozovaný společností 21Vianet) |
HTTPS:443 |
Vyžaduje se k ověření pomocí pracovních prostorů služby Log Analytics. |
Zprostředkovatel služby Azure Key Vault pro ovladač CSI úložiště tajných kódů
Pokud používáte clustery izolované v síti, doporučujeme nastavit privátní koncový bod pro přístup ke službě Azure Key Vault.
Pokud má váš cluster odchozí směrování definované uživatelem a bránu Azure Firewall, platí následující pravidla sítě a pravidla aplikací:
Požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace
| FQDN | Port | Používání |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Vyžaduje se, aby doplňky úložiště tajných kódů CSI komunikují se serverem Azure KeyVault. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Vyžaduje se, aby doplňky úložiště tajných kódů CSI komunikují se serverem Azure KeyVault ve službě Azure Government. |
Azure Monitor – Managed Prometheus a Container Insights
Pokud používáte clustery izolované v síti, doporučujeme nastavit příjem dat založený na privátních koncových bodech, který je podporovaný pro spravovaný prometheus (pracovní prostor Azure Monitoru) i přehledy kontejnerů (pracovní prostor Služby Log Analytics).
Pokud má váš cluster odchozí směrování definované uživatelem a bránu Azure Firewall, platí následující pravidla sítě a pravidla aplikací:
Požadovaná pravidla sítě
| Cílový koncový bod | Protokol | Port | Používání |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Tento koncový bod se používá k odesílání dat metrik a protokolů do služby Azure Monitor a Log Analytics. |
Veřejný cloud Azure – pravidla plně kvalifikovaného názvu domény nebo aplikace
| Koncový bod | Účel | Port |
|---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
Access control service | 443 |
*.ingest.monitor.azure.com |
Container Insights – koncový bod příjmu protokolů (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
Spravovaná služba Azure Monitor pro Prometheus – koncový bod příjmu metrik (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
Načtení pravidel shromažďování dat pro konkrétní cluster | 443 |
Microsoft Azure provozovaný cloudem 21Vianet – požadovaná plně kvalifikovaný název domény nebo pravidla aplikací
| Koncový bod | Účel | Port |
|---|---|---|
*.ods.opinsights.azure.cn |
Příjem dat | 443 |
*.oms.opinsights.azure.cn |
Onboarding agenta Azure Monitoru (AMA) | 443 |
dc.services.visualstudio.com |
Telemetrie agentů, která používá Azure Public Cloud Application Insights | 443 |
global.handler.control.monitor.azure.cn |
Access control service | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
Načtení pravidel shromažďování dat pro konkrétní cluster | 443 |
*.ingest.monitor.azure.cn |
Container Insights – koncový bod příjmu protokolů (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
Spravovaná služba Azure Monitor pro Prometheus – koncový bod příjmu metrik (DCE) | 443 |
Cloud Azure Government vyžaduje plně kvalifikovaný název domény nebo pravidla aplikací
| Koncový bod | Účel | Port |
|---|---|---|
*.ods.opinsights.azure.us |
Příjem dat | 443 |
*.oms.opinsights.azure.us |
Onboarding agenta Azure Monitoru (AMA) | 443 |
dc.services.visualstudio.com |
Telemetrie agentů, která používá Azure Public Cloud Application Insights | 443 |
global.handler.control.monitor.azure.us |
Access control service | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
Načtení pravidel shromažďování dat pro konkrétní cluster | 443 |
*.ingest.monitor.azure.us |
Container Insights – koncový bod příjmu protokolů (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
Spravovaná služba Azure Monitor pro Prometheus – koncový bod příjmu metrik (DCE) | 443 |
Azure Policy
Požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace
| FQDN | Port | Používání |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Tato adresa se používá k vyžádání zásad Kubernetes a k hlášení stavu dodržování předpisů clusteru do služby zásad. |
store.policy.core.windows.net |
HTTPS:443 |
Tato adresa se používá k načtení artefaktů Gatekeeper předdefinovaných zásad. |
dc.services.visualstudio.com |
HTTPS:443 |
Doplněk Azure Policy, který odesílá telemetrická data do koncového bodu Application Insights. |
Microsoft Azure provozovaný společností 21Vianet – požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace
| FQDN | Port | Používání |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Tato adresa se používá k vyžádání zásad Kubernetes a k hlášení stavu dodržování předpisů clusteru do služby zásad. |
store.policy.azure.cn |
HTTPS:443 |
Tato adresa se používá k načtení artefaktů Gatekeeper předdefinovaných zásad. |
Požadovaná plně kvalifikovaný název domény nebo pravidla aplikací pro Azure US Government
| FQDN | Port | Používání |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Tato adresa se používá k vyžádání zásad Kubernetes a k hlášení stavu dodržování předpisů clusteru do služby zásad. |
store.policy.azure.us |
HTTPS:443 |
Tato adresa se používá k načtení artefaktů Gatekeeper předdefinovaných zásad. |
Doplněk pro analýzu nákladů AKS
Požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace
| FQDN | Port | Používání |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Azure Government) management.chinacloudapi.cn (Azure provozovaný společností 21Vianet) |
HTTPS:443 |
Vyžaduje se pro operace Kubernetes s rozhraním Azure API. |
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure provozovaný společností 21Vianet) |
HTTPS:443 |
Vyžaduje se pro ověřování Microsoft Entra ID. |
Rozšíření clusteru
Požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace
| FQDN | Přístav | Používání |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Tato adresa slouží k načtení informací o konfiguraci ze služby Rozšíření clusteru a hlášení stavu rozšíření do služby. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Tato adresa se vyžaduje k vyžádání imagí kontejneru pro instalaci agentů rozšíření clusteru do clusteru AKS. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Tato adresa se vyžaduje k vyžádání imagí kontejneru pro instalaci rozšíření Marketplace v clusteru AKS. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Tato adresa je určená pro koncový bod dat v oblasti Indie – střed a vyžaduje se pro vyžádání imagí kontejneru pro instalaci rozšíření marketplace v clusteru AKS. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Tato adresa je určená pro koncový bod dat oblasti Východní Japonsko a vyžaduje se pro vyžádání imagí kontejneru pro instalaci rozšíření marketplace v clusteru AKS. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Tato adresa je určená pro koncový bod dat oblasti USA – západ 2 a je nutná k vyžádání imagí kontejneru pro instalaci rozšíření marketplace v clusteru AKS. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Tato adresa je určená pro koncový bod dat v oblasti Západní Evropa a vyžaduje se k vyžádání imagí kontejneru pro instalaci rozšíření marketplace v clusteru AKS. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Tato adresa je určená pro koncový bod dat oblasti USA – východ a vyžaduje se k vyžádání imagí kontejneru pro instalaci rozšíření marketplace v clusteru AKS. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Tato adresa se používá k odesílání dat metrik agentů do Azure. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Tato adresa se používá k odesílání vlastního využití založeného na měřičích do rozhraní API pro měření obchodu. |
Požadovaná plně kvalifikovaný název domény nebo pravidla aplikací pro Azure US Government
| FQDN | Port | Používání |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Tato adresa slouží k načtení informací o konfiguraci ze služby Rozšíření clusteru a hlášení stavu rozšíření do služby. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Tato adresa se vyžaduje k vyžádání imagí kontejneru pro instalaci agentů rozšíření clusteru do clusteru AKS. |
Poznámka:
Pro všechny doplňky, které zde nejsou explicitně uvedené, se vztahují základní požadavky.
Doplněk Istio service mesh
Pokud v doplňku Istio=based service mesh nastavujete istiod s certifikační autoritou modulu plug-in (CA) nebo pokud nastavujete zabezpečenou bránu příchozího přenosu dat, je pro tyto funkce vyžadován poskytovatel služby Azure Key Vault pro ovladač CSI úložiště tajných kódů. Požadavky na odchozí síť pro poskytovatele služby Azure Key Vault pro ovladač CSI úložiště tajných kódů najdete tady.
Doplněk pro směrování aplikací
Doplněk směrování aplikací podporuje ukončení protokolu SSL při příchozím přenosu dat s certifikáty uloženými ve službě Azure Key Vault. Požadavky na odchozí síť pro poskytovatele služby Azure Key Vault pro ovladač CSI úložiště tajných kódů najdete tady.
Další kroky
V tomto článku jste zjistili, jaké porty a adresy chcete povolit, pokud chcete omezit odchozí provoz pro cluster.
Pokud chcete omezit, jak pody komunikují mezi sebou a omezeními provozu východ-západ v rámci clusteru, podívejte se na zabezpečený provoz mezi pody pomocí zásad sítě v AKS.
Azure Kubernetes Service