Netzwerkanforderungen von Kubernetes mit Azure Arc-Unterstützung
Artikel
In diesem Thema werden die Netzwerkanforderungen für die Verbindung eines Kubernetes-Clusters mit Azure Arc und die Unterstützung verschiedener Arc-fähigen Kubernetes-Szenarien beschrieben.
Details
Die Konnektivitätsanforderungen umfassen im Allgemeinen die folgenden Prinzipien:
Alle Verbindungen sind TCP, sofern nicht anders angegeben.
Alle HTTP-Verbindungen verwenden HTTPS und SSL/TLS mit offiziell signierten und überprüfbaren Zertifikaten.
Sofern nicht anders angegeben, sind alle Verbindungen ausgehend.
Um einen Proxy zu verwenden, stellen Sie sicher, dass die Agenten und der Rechner, der den Onboarding-Prozess durchführt, die Netzwerkanforderungen in diesem Artikel erfüllen.
Azure Arc-Agents müssen über die folgenden ausgehenden URLs unter https://:443 verfügen, um zu funktionieren:
Für *.servicebus.windows.net müssen Websockets für den ausgehenden Zugriff auf die Firewall und den Proxy aktiviert werden.
Endpunkt (DNS)
BESCHREIBUNG
https://management.azure.com
Erforderlich, damit der Agent eine Verbindung mit Azure herstellen und den Cluster registrieren kann.
Erforderlich zum Pullen von Containerimages für Azure Arc-Agents.
https://gbl.his.arc.azure.com
Erforderlich, um den regionalen Endpunkt zum Abrufen von Zertifikaten systemseitig zugewiesener verwalteter Identitäten per Pull zu erhalten.
https://*.his.arc.azure.com
Erforderlich zum Pullen vom System zugewiesener Zertifikate für verwaltete Identitäten.
https://k8connecthelm.azureedge.net
az connectedk8s connect verwendet Helm 3 zum Bereitstellen von Azure Arc-Agents im Kubernetes-Cluster. Dieser Endpunkt wird für den Helm-Clientdownload benötigt, um die Bereitstellung des Helm-Charts für den Agent zu vereinfachen.
Um den Platzhalter *.servicebus.windows.net in bestimmte Endpunkte zu übersetzen, verwenden Sie den Befehl:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
Um das Regionssegment eines regionalen Endpunkts abzurufen, entfernen Sie alle Leerzeichen aus dem Namen der Azure-Region. Beispiel: Der Regionsname für die Region USA, Osten 2 lautet eastus2.
Beispiel: Bei der Region „USA, Osten 2“ sollte *.<region>.arcdataservices.com*.eastus2.arcdataservices.com sein.
Führen Sie den folgenden Befehl aus, um eine Liste aller Regionen anzuzeigen:
az account list-locations -o table
Get-AzLocation | Format-Table
Wichtig
Azure Arc-Agents müssen über die folgenden ausgehenden URLs unter https://:443 verfügen, um zu funktionieren:
Für *.servicebus.usgovcloudapi.net müssen Websockets für den ausgehenden Zugriff auf die Firewall und den Proxy aktiviert werden.
Endpunkt (DNS)
BESCHREIBUNG
https://management.usgovcloudapi.net
Erforderlich, damit der Agent eine Verbindung mit Azure herstellen und den Cluster registrieren kann.
Erforderlich zum Pullen von Containerimages für Azure Arc-Agents.
https://gbl.his.arc.azure.us
Erforderlich, um den regionalen Endpunkt zum Abrufen von Zertifikaten systemseitig zugewiesener verwalteter Identitäten per Pull zu erhalten.
https://usgv.his.arc.azure.us
Erforderlich zum Pullen vom System zugewiesener Zertifikate für verwaltete Identitäten.
https://k8connecthelm.azureedge.net
az connectedk8s connect verwendet Helm 3 zum Bereitstellen von Azure Arc-Agents im Kubernetes-Cluster. Dieser Endpunkt wird für den Helm-Clientdownload benötigt, um die Bereitstellung des Helm-Charts für den Agent zu vereinfachen.
Um den Platzhalter *.servicebus.usgovcloudapi.net in bestimmte Endpunkte zu übersetzen, verwenden Sie den Befehl:
GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&location=region
Um das Regionssegment eines regionalen Endpunkts abzurufen, entfernen Sie alle Leerzeichen aus dem Namen der Azure-Region. Beispiel: Der Regionsname für die Region USA, Osten 2 lautet eastus2.
Beispiel: Bei der Region „USA, Osten 2“ sollte *.<region>.arcdataservices.com*.eastus2.arcdataservices.com sein.
Führen Sie den folgenden Befehl aus, um eine Liste aller Regionen anzuzeigen:
az account list-locations -o table
Get-AzLocation | Format-Table
Wichtig
Azure Arc-Agents müssen über die folgenden ausgehenden URLs unter https://:443 verfügen, um zu funktionieren:
Für *.servicebus.chinacloudapi.cn müssen Websockets für den ausgehenden Zugriff auf die Firewall und den Proxy aktiviert werden.
Endpunkt (DNS)
BESCHREIBUNG
https://management.chinacloudapi.cn
Erforderlich, damit der Agent eine Verbindung mit Azure herstellen und den Cluster registrieren kann.
Erforderlich zum Abrufen und Aktualisieren von Azure Resource Manager-Token.
mcr.azk8s.cn
Erforderlich zum Pullen von Containerimages für Azure Arc-Agents.
https://gbl.his.arc.azure.cn
Erforderlich, um den regionalen Endpunkt zum Abrufen von Zertifikaten systemseitig zugewiesener verwalteter Identitäten per Pull zu erhalten.
https://*.his.arc.azure.cn
Erforderlich zum Pullen vom System zugewiesener Zertifikate für verwaltete Identitäten.
https://k8connecthelm.azureedge.net
az connectedk8s connect verwendet Helm 3 zum Bereitstellen von Azure Arc-Agents im Kubernetes-Cluster. Dieser Endpunkt wird für den Helm-Clientdownload benötigt, um die Bereitstellung des Helm-Charts für den Agent zu vereinfachen.
Containerregistrierungsproxyserver für Virtuelle Azure China-Computer.
Zusätzliche Endpunkte
Je nach Ihrem Szenario benötigen Sie möglicherweise eine Verbindung zu anderen URLs, z. B. zu denen, die vom Azure-Portal, von Verwaltungstools oder anderen Azure-Diensten verwendet werden. Überprüfen Sie insbesondere diese Listen, um sicherzustellen, dass Sie die Verbindung zu allen erforderlichen Endpunkten zulassen:
Eine vollständige Liste der Netzwerkanforderungen für Azure Arc-Features und Azure Arc-fähige Dienste finden Sie unter Azure Arc-Netzwerkanforderungen.