Règles de réseau sortant et de nom de domaine complet pour des clusters Azure Kubernetes Service (AKS)
Cet article donne les informations nécessaires pour sécuriser le trafic sortant d’Azure Kubernetes Service (AKS). Elles comportent les exigences en matière de cluster pour un déploiement AKS de base, ainsi des exigences supplémentaires relatives les extensions et les fonctionnalités facultatives. Vous pouvez appliquer ces informations à n’importe quelle méthode ou appliance de restriction sortante.
Pour découvrir un exemple de configuration à l’aide de Pare-feu Azure, consultez Contrôler le trafic de sortie à l’aide de Pare-feu Azure dans AKS.
Arrière-plan
Les clusters AKS sont déployés sur un réseau virtuel. Vous pouvez personnaliser et préconfigurer ce réseau ou il peut être créé et géré par AKS. Dans les deux cas, le cluster a des dépendances sortantes, ou de sortie, sur des services en dehors du réseau virtuel.
Pour la gestion et à des fins opérationnelles, les nœuds d’un cluster AKS doivent accéder à certains ports et noms de domaine complet (FQDN). Ces points de terminaison sont nécessaires pour permettre aux nœuds de communiquer avec le serveur d’API, ou de télécharger et d’installer des composants de base du cluster Kubernetes et les correctifs de sécurité des nœuds. Par exemple, le cluster doit extraire des images conteneur à partir du Registre des artefacts Microsoft.
Les dépendances sortantes AKS sont presque entièrement définies avec des noms FQDN, qui n’ont pas d’adresses statiques derrière eux. L’absence d’adresses statiques signifie que vous ne pouvez pas utiliser des groupes de sécurité réseau (NSG) pour verrouiller le trafic sortant d’un cluster AKS.
Par défaut, les clusters AKS disposent d’un accès Internet sortant sans restriction. Ce niveau d’accès réseau permet aux nœuds et services que vous exécutez d’accéder aux ressources externes en fonction des besoins. Si vous souhaitez restreindre le trafic de sortie, un nombre limité de ports et adresses doit être accessible afin de gérer les tâches de maintenance d’intégrité du cluster.
Un cluster AKS isolé du réseau fournit la solution la plus simple et la plus sécurisée pour configurer des restrictions sortantes pour un cluster. Un cluster isolé du réseau extrait les images pour les composants de cluster et les modules complémentaires à partir d’une instance Azure Container Registry (ACR) privée connectée au cluster, au lieu de les extraire à partir du Registre des artefacts Microsoft. Si les images ne sont pas présentes, l’instance d’ACR privée les extrait de MAR, et les met à disposition via son point de terminaison privé, ce qui évite d’activer la sortie du cluster vers le point de terminaison MAR public. L’opérateur de cluster peut ensuite configurer de manière incrémentielle le trafic sortant autorisé en toute sécurité sur un réseau privé pour chaque scénario qu’il souhaite activer. Ainsi, les opérateurs de cluster ont un contrôle total sur la conception du trafic sortant autorisé à partir de leurs clusters dès le départ, ce qui leur permet de réduire le risque d’exfiltration des données.
Il existe une autre solution pour sécuriser les adresses sortantes : elle consiste à utiliser un pare-feu qui peut contrôler le trafic sortant en fonction des noms de domaine. Le Pare-feu Azure peut restreindre le trafic HTTP et HTTPS sortant en fonction du nom de domaine complet de la destination. Vous pouvez également configurer les règles de pare-feu et de sécurité de votre choix pour autoriser ces ports et adresses requis.
Important
Ce document explique uniquement comment verrouiller le trafic sortant du sous-réseau AKS. AKS ne présente par défaut aucune exigence d’entrée. Le blocage du trafic de sous-réseau interne en tirant parti des groupes de sécurité réseau (NSG) et de pare-feu n’est pas pris en charge. Pour contrôler et bloquer le trafic au sein du cluster, consultez Sécuriser le trafic entre les pods avec des stratégies réseau dans Azure Kubernetes Service (AKS).
Règles de réseau sortantes et noms FQDN requis pour les clusters AKS
Les règles d’application/de nom de domaine complet et de réseau suivantes sont requises pour un cluster AKS. Vous pouvez les utiliser si vous souhaitez configurer une solution autre que Pare-feu Azure.
- Les dépendances d’adresses IP sont destinées au trafic non HTTP/S (les trafics TCP et UDP).
- Les points de terminaison HTTP/HTTPS avec des noms FQDN peuvent être placés dans votre dispositif de pare-feu.
- Les points de terminaison HTTP/HTTPS avec caractères génériques constituent des dépendances qui peuvent varier avec votre cluster AKS selon le nombre de qualificateurs.
- AKS utilise un contrôleur d’admission pour injecter le nom de domaine complet en tant que variable d’environnement dans tous les déploiements sous kube-system et gatekeeper-system. Ce permet de garantir que l’ensemble de la communication système entre des nœuds et un serveur utilise le nom de domaine complet du serveur d’API et non l’adresse IP du serveur d’API. Vous pouvez obtenir le même comportement sur vos propres pods, dans n’importe quel espace de noms, en annotant la spécification de pod avec
kubernetes.azure.com/set-kube-service-host-fqdn
. Si cette annotation est présente, AKS définit la variable KUBERNETES_SERVICE_HOST sur le nom de domaine du serveur d’API au lieu de l’IP du service dans le cluster. Cela est utile dans les cas où la sortie du cluster utilise un pare-feu de couche 7. - Si vous avez une application ou une solution qui doit communiquer avec le serveur d’API, vous devez ajouter une règle de réseau supplémentaire pour autoriser la communication TCP sur le port 443 de l’IP de votre serveur d’API OU, si vous avez un pare-feu de couche 7 configuré pour autoriser le trafic vers le nom de domaine du serveur d’API, définir
kubernetes.azure.com/set-kube-service-host-fqdn
dans les spécifications de votre pod. - Il est possible, en de rares occasions, que l’adresse IP de votre serveur d’API change en cas d’opération de maintenance. Les opérations de maintenance planifiée susceptibles de modifier l’adresse IP du serveur d’API sont toujours communiquées à l’avance.
- Vous pouvez noter du trafic vers le point de terminaison « md-*.blob.storage.azure.net ». Ce point de terminaison est utilisé pour les composants internes des disques managés Azure. Le blocage de l’accès à ce point de terminaison à partir de votre pare-feu ne doit pas entraîner de problèmes.
- Vous remarquerez peut-être le trafic vers le point de terminaison « umsa*.blob.core.windows.net ». Ce point de terminaison est utilisé pour stocker des manifestes pour l’agent et les extensions de machine virtuelle Linux Azure et est régulièrement vérifié pour télécharger de nouvelles versions. Plus d’informations sont disponibles sur Extensions VM.
Règles de réseau requises pour Azure Global
Point de terminaison de destination | Protocol | Port | Utilisation |
---|---|---|---|
*:1194 Or Balise de service - AzureCloud.<Region>:1194 Or CIDR régionaux - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle. Cette action n’est pas obligatoire pour les clusters privés ou pour les clusters dont l’agent konnectivity-agent est activé. |
*:9000 Or Balise de service - AzureCloud.<Region>:9000 Or CIDR régionaux - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle. Cette action n’est pas obligatoire pour les clusters privés ou pour les clusters dont l’agent konnectivity-agent est activé. |
*:123 ou ntp.ubuntu.com:123 (en cas d’utilisation de règles de réseau de Pare-feu Azure) |
UDP | 123 | Obligatoire pour la synchronisation date/heure NTP (Network Time Protocol) sur les nœuds Linux. Elle n’est pas nécessaire pour des nœuds approvisionnés après mars 2021. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Si vous utilisez des serveurs DNS personnalisés, vous devez vérifier qu’ils sont accessibles par les nœuds de cluster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Obligatoire en cas d’exécution de pods/déploiements qui accèdent au serveur d’API. Ces pods/déploiements utiliseront l’adresse IP de l’API. Ce port n’est pas obligatoire pour des clusters privés. |
Règles de nom FQDN/d’application requises pour Azure Global
Nom FQDN de destination | Port | Utilisation |
---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Obligatoire pour la communication Nœud <-> Serveur d’API. Remplacez <location> par la région où votre cluster AKS est déployé. Ceci est obligatoire pour les clusters avec konnectivity-agent activé. Konnectivity utilise également la négociation du protocole de la couche Application (ALPN) pour communiquer entre l’agent et le serveur. Le blocage ou la réécriture de l’extension ALPN entraîne un échec. Cela n’est pas requis pour des clusters privés. |
mcr.microsoft.com |
HTTPS:443 |
Obligatoire pour l’accès aux images de Microsoft Container Registry (MCR). Ce registre contient des images/graphiques internes (par exemple, CoreDNS), qui sont nécessaires à la création et au bon fonctionnement du cluster, y compris les opérations de scaling et de mise à niveau. |
*.data.mcr.microsoft.com , mcr-0001.mcr-msedge.net |
HTTPS:443 |
Obligatoire pour le stockage MCR assuré par Azure Content Delivery Network (CDN). |
management.azure.com |
HTTPS:443 |
Obligatoire pour les opérations Kubernetes sur l’API Azure. |
login.microsoftonline.com |
HTTPS:443 |
Obligatoire pour l’authentification Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Cette adresse est le référentiel de packages Microsoft utilisé pour les opérations apt-get mises en cache. Moby, PowerShell et Azure CLI sont des exemples de packages. |
acs-mirror.azureedge.net |
HTTPS:443 |
Cette adresse correspond au référentiel nécessaire pour télécharger et installer les binaires requis, comme kubenet et Azure CNI. |
Règles de réseau requises par Microsoft Azure géré par 21Vianet
Point de terminaison de destination | Protocol | Port | Utilisation |
---|---|---|---|
*:1194 Or Balise de service - AzureCloud.Region:1194 Or CIDR régionaux - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle. |
*:9000 Or Balise de service - AzureCloud.<Region>:9000 Or CIDR régionaux - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle. |
*:22 Or Balise de service - AzureCloud.<Region>:22 Or CIDR régionaux - RegionCIDRs:22 Or APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle. |
*:123 ou ntp.ubuntu.com:123 (en cas d’utilisation de règles de réseau de Pare-feu Azure) |
UDP | 123 | Obligatoire pour la synchronisation date/heure NTP (Network Time Protocol) sur les nœuds Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Si vous utilisez des serveurs DNS personnalisés, vous devez vérifier qu’ils sont accessibles par les nœuds de cluster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Obligatoire en cas d’exécution de pods/déploiements qui accèdent au serveur d’API. Ces pods/déploiements utiliseront l’adresse IP de l’API. |
Règles FQDN / d’application requises par Microsoft Azure géré par 21Vianet
Nom FQDN de destination | Port | Utilisation |
---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Obligatoire pour la communication Nœud <-> Serveur d’API. Remplacez <location> par la région où votre cluster AKS est déployé. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Obligatoire pour la communication Nœud <-> Serveur d’API. Remplacez <location> par la région où votre cluster AKS est déployé. |
mcr.microsoft.com |
HTTPS:443 |
Obligatoire pour l’accès aux images de Microsoft Container Registry (MCR). Ce registre contient des images/graphiques internes (par exemple, CoreDNS), qui sont nécessaires à la création et au bon fonctionnement du cluster, y compris les opérations de scaling et de mise à niveau. |
.data.mcr.microsoft.com |
HTTPS:443 |
Obligatoire pour le stockage MCR assuré par Azure Content Delivery Network (CDN). |
management.chinacloudapi.cn |
HTTPS:443 |
Obligatoire pour les opérations Kubernetes sur l’API Azure. |
login.chinacloudapi.cn |
HTTPS:443 |
Obligatoire pour l’authentification Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Cette adresse est le référentiel de packages Microsoft utilisé pour les opérations apt-get mises en cache. Moby, PowerShell et Azure CLI sont des exemples de packages. |
*.azk8s.cn |
HTTPS:443 |
Cette adresse correspond au référentiel nécessaire pour télécharger et installer les binaires requis, comme kubenet et Azure CNI. |
Règles de réseau requises pour Azure US Government
Point de terminaison de destination | Protocol | Port | Utilisation |
---|---|---|---|
*:1194 Or Balise de service - AzureCloud.<Region>:1194 Or CIDR régionaux - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle. |
*:9000 Or Balise de service - AzureCloud.<Region>:9000 Or CIDR régionaux - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle. |
*:123 ou ntp.ubuntu.com:123 (en cas d’utilisation de règles de réseau de Pare-feu Azure) |
UDP | 123 | Obligatoire pour la synchronisation date/heure NTP (Network Time Protocol) sur les nœuds Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Si vous utilisez des serveurs DNS personnalisés, vous devez vérifier qu’ils sont accessibles par les nœuds de cluster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Obligatoire en cas d’exécution de pods/déploiements qui accèdent au serveur d’API. Ces pods/déploiements utiliseront l’adresse IP de l’API. |
Règles de nom FQDN/d’application requises pour Azure US Government
Nom FQDN de destination | Port | Utilisation |
---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Obligatoire pour la communication Nœud <-> Serveur d’API. Remplacez <location> par la région où votre cluster AKS est déployé. |
mcr.microsoft.com |
HTTPS:443 |
Obligatoire pour l’accès aux images de Microsoft Container Registry (MCR). Ce registre contient des images/graphiques internes (par exemple, CoreDNS), qui sont nécessaires à la création et au bon fonctionnement du cluster, y compris les opérations de scaling et de mise à niveau. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Obligatoire pour le stockage MCR assuré par Azure Content Delivery Network (CDN). |
management.usgovcloudapi.net |
HTTPS:443 |
Obligatoire pour les opérations Kubernetes sur l’API Azure. |
login.microsoftonline.us |
HTTPS:443 |
Obligatoire pour l’authentification Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Cette adresse est le référentiel de packages Microsoft utilisé pour les opérations apt-get mises en cache. Moby, PowerShell et Azure CLI sont des exemples de packages. |
acs-mirror.azureedge.net |
HTTPS:443 |
Cette adresse correspond au référentiel requis pour installer les fichiers binaires requis comme kubenet et Azure CNI. |
Règles de nom FQDN/d’application facultatives mais recommandées pour les clusters AKS
Les règles d’application/de nom de domaine complet suivantes sont recommandées pour des clusters AKS :
Nom FQDN de destination | Port | Utilisation |
---|---|---|
security.ubuntu.com , azure.archive.ubuntu.com , changelogs.ubuntu.com |
HTTP:80 |
Cette adresse permet aux nœuds de cluster Linux de télécharger les correctifs et mises à jour de sécurité requis. |
snapshot.ubuntu.com |
HTTPS:443 |
Cette adresse permet aux nœuds de cluster Linux de télécharger les correctifs et mises à jour de sécurité requis du service d’instantané ubuntu. |
Si vous choisissez de bloquer/ne pas autoriser ces noms FQDN, les nœuds ne recevront les mises à jour du système d’exploitation que lors des mises à niveau des images de nœuds et des mises à niveau du cluster. N’oubliez pas que les mises à niveau d’images de nœud sont également fournies avec des packages mis à jour, y compris des correctifs de sécurité.
Règles de nom de domaine complet/d’application requises pour des clusters AKS avec GPU
Nom FQDN de destination | Port | Utilisation |
---|---|---|
nvidia.github.io |
HTTPS:443 |
Cette adresse est utilisée pour la bonne installation du pilote et un bon fonctionnement sur les nœuds basés sur le processeur graphique. |
us.download.nvidia.com |
HTTPS:443 |
Cette adresse est utilisée pour la bonne installation du pilote et un bon fonctionnement sur les nœuds basés sur le processeur graphique. |
download.docker.com |
HTTPS:443 |
Cette adresse est utilisée pour la bonne installation du pilote et un bon fonctionnement sur les nœuds basés sur le processeur graphique. |
Règles de nom de domaine complet/d’application requises pour des pools de nœuds Windows Server
Nom FQDN de destination | Port | Utilisation |
---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Pour installer les fichiers binaires liés à Windows |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Pour installer les fichiers binaires liés à Windows |
Si vous choisissez de bloquer/ne pas autoriser ces noms FQDN, les nœuds ne recevront les mises à jour du système d’exploitation que lors des mises à niveau des images de nœuds et des mises à niveau du cluster. N’oubliez pas que les mises à niveau d’image de nœud sont également fournies avec des packages mis à jour, y compris des correctifs de sécurité.
Fonctionnalités, modules complémentaires et intégrations AKS
Identité de la charge de travail
Règles de nom FQDN/d’application requises
Nom FQDN de destination | Port | Utilisation |
---|---|---|
login.microsoftonline.com ou login.chinacloudapi.cn ou login.microsoftonline.us |
HTTPS:443 |
Obligatoire pour l’authentification Microsoft Entra. |
Microsoft Defender pour les conteneurs
Règles de nom FQDN/d’application requises
FQDN | Port | Utilisation |
---|---|---|
login.microsoftonline.com login.microsoftonline.us (Gouvernement Azure) login.microsoftonline.cn (Azure géré par 21Vianet) |
HTTPS:443 |
Obligatoire pour l’authentification Microsoft Entra. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Gouvernement Azure) *.ods.opinsights.azure.cn (Azure géré par 21Vianet) |
HTTPS:443 |
Obligatoire pour que Microsoft Defender charge les événements de sécurité dans le cloud. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Gouvernement Azure) *.oms.opinsights.azure.cn (Azure géré par 21Vianet) |
HTTPS:443 |
Obligatoire pour l’authentification avec les espaces de travail Log Analytics. |
Fournisseur Azure Key Vault pour le pilote Secrets Store CSI
Si vous utilisez des clusters isolés du réseau, il est recommandé de configurer un point de terminaison privé pour accéder à Azure Key Vault.
Si votre cluster a un routage défini par l’utilisateur de type sortant et un Pare-feu Azure, les règles réseau et les règles d’application suivantes s’appliquent :
Règles de nom FQDN/d’application requises
FQDN | Port | Utilisation |
---|---|---|
vault.azure.net |
HTTPS:443 |
Obligatoire pour que les pods du magasin de secrets CSI communiquent avec le serveur Azure KeyVault. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Obligatoire pour que les pods du module complémentaire Magasin des secrets CSI puissent communiquer avec le serveur Azure KeyVault dans Azure Government. |
Azure Monitor – Prometheus managé et Container Insights
Si vous utilisez des clusters isolés du réseau, il est recommandé de configurer l’ingestion basée sur un point de terminaison privé, qui est prise en charge pour Prometheus managé (espace de travail Azure Monitor) et Container Insights (espace de travail Log Analytics).
Si votre cluster a un routage défini par l’utilisateur de type sortant et un Pare-feu Azure, les règles réseau et les règles d’application suivantes s’appliquent :
Règles de réseau requises
Point de terminaison de destination | Protocol | Port | Utilisation |
---|---|---|---|
Balise de service - AzureMonitor:443 |
TCP | 443 | Ce point de terminaison est utilisé pour envoyer les données de métriques et des journaux à Azure Monitor et à Log Analytics. |
Règles FQDN / d’application requises pour le cloud public Azure
Point de terminaison | Objectif | Port |
---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
Service de contrôle d'accès | 443 |
*.ingest.monitor.azure.com |
Container Insights : point de terminaison d’ingestion des journaux (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
Service managé Azure Monitor pour Prometheus - point de terminaison d’ingestion des métriques (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
Récupérer (fetch) les règles de collecte de données d’un cluster spécifique | 443 |
Règles FQDN / d’application requises pour le cloud Microsoft Azure géré par 21Vianet
Point de terminaison | Objectif | Port |
---|---|---|
*.ods.opinsights.azure.cn |
Ingestion de données | 443 |
*.oms.opinsights.azure.cn |
Intégration de l’agent Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
Pour la télémétrie de l’agent qui utilise Azure Public Cloud Application Insights | 443 |
global.handler.control.monitor.azure.cn |
Service de contrôle d'accès | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
Récupérer (fetch) les règles de collecte de données d’un cluster spécifique | 443 |
*.ingest.monitor.azure.cn |
Container Insights : point de terminaison d’ingestion des journaux (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
Service managé Azure Monitor pour Prometheus - point de terminaison d’ingestion des métriques (DCE) | 443 |
Règles FQDN / d’application requises pour le cloud Azure Government
Point de terminaison | Objectif | Port |
---|---|---|
*.ods.opinsights.azure.us |
Ingestion de données | 443 |
*.oms.opinsights.azure.us |
Intégration de l’agent Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
Pour la télémétrie de l’agent qui utilise Azure Public Cloud Application Insights | 443 |
global.handler.control.monitor.azure.us |
Service de contrôle d'accès | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
Récupérer (fetch) les règles de collecte de données d’un cluster spécifique | 443 |
*.ingest.monitor.azure.us |
Container Insights : point de terminaison d’ingestion des journaux (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
Service managé Azure Monitor pour Prometheus - point de terminaison d’ingestion des métriques (DCE) | 443 |
Azure Policy
Règles de nom FQDN/d’application requises
FQDN | Port | Utilisation |
---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Cette adresse est utilisée pour extraire les stratégies Kubernetes et pour signaler l’état de conformité du cluster au service de stratégie. |
store.policy.core.windows.net |
HTTPS:443 |
Cette adresse est utilisée pour extraire les artefacts Gatekeeper de stratégies intégrées. |
dc.services.visualstudio.com |
HTTPS:443 |
Le module complémentaire Azure Policy envoie des données de télémétrie au point de terminaison Applications Insights. |
Règles FQDN / d’application requises par Microsoft Azure géré par 21Vianet
FQDN | Port | Utilisation |
---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Cette adresse est utilisée pour extraire les stratégies Kubernetes et pour signaler l’état de conformité du cluster au service de stratégie. |
store.policy.azure.cn |
HTTPS:443 |
Cette adresse est utilisée pour extraire les artefacts Gatekeeper de stratégies intégrées. |
Règles de nom FQDN/d’application requises pour Azure US Government
FQDN | Port | Utilisation |
---|---|---|
data.policy.azure.us |
HTTPS:443 |
Cette adresse est utilisée pour extraire les stratégies Kubernetes et pour signaler l’état de conformité du cluster au service de stratégie. |
store.policy.azure.us |
HTTPS:443 |
Cette adresse est utilisée pour extraire les artefacts Gatekeeper de stratégies intégrées. |
Module complémentaire d’analyse des coûts AKS
Règles de nom FQDN/d’application requises
FQDN | Port | Utilisation |
---|---|---|
management.azure.com management.usgovcloudapi.net (Gouvernement Azure) management.chinacloudapi.cn (Azure géré par 21Vianet) |
HTTPS:443 |
Obligatoire pour les opérations Kubernetes sur l’API Azure. |
login.microsoftonline.com login.microsoftonline.us (Gouvernement Azure) login.microsoftonline.cn (Azure géré par 21Vianet) |
HTTPS:443 |
Obligatoire pour l’authentification Microsoft Entra ID. |
Extensions de cluster
Règles de nom FQDN/d’application requises
FQDN | Port | Utilisation |
---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Cette adresse est utilisée pour récupérer les informations de configuration du service Extensions du cluster et de l’état de l’extension de rapport jusqu’au service. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Cette adresse est nécessaire pour extraire les images conteneur pour l’installation des agents d’extension de cluster sur le cluster AKS. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Cette adresse est nécessaire pour extraire des images de conteneur pour l’installation des extensions du marketplace sur un cluster AKS. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Cette adresse concerne le point de terminaison de données régional de l’Inde centrale et est requise pour extraire des images de conteneurs afin d’installer des extensions de marché sur le cluster AKS. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Cette adresse concerne le point de terminaison de données régional de l’est du Japon et est requise pour extraire des images de conteneur afin d’installer des extensions de marché sur le cluster AKS. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Cette adresse est destinée au point de terminaison de données régional West US2 et est requise pour extraire des images de conteneur afin d'installer des extensions de marché sur le cluster AKS. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Cette adresse est destinée au point de terminaison de données régional d'Europe de l'Ouest et est requise pour extraire des images de conteneur afin d'installer des extensions de marché sur le cluster AKS. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Cette adresse concerne le point de terminaison de données régional de l’Est des États-Unis et est requise pour extraire des images de conteneur afin d’installer des extensions de marché sur le cluster AKS. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Cette adresse est utilisée pour envoyer des données de métriques d’agents vers Azure. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Cette adresse est utilisée pour envoyer une utilisation personnalisée basée sur un compteur à l’API de contrôle du commerce. |
Règles de nom FQDN/d’application requises pour Azure US Government
FQDN | Port | Utilisation |
---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Cette adresse est utilisée pour récupérer les informations de configuration du service Extensions du cluster et de l’état de l’extension de rapport jusqu’au service. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Cette adresse est nécessaire pour extraire les images conteneur pour l’installation des agents d’extension de cluster sur le cluster AKS. |
Notes
Les exigences de base couvrent tous les modules complémentaires qui ne sont pas explicitement indiqués ici.
Module complémentaire de maillage de services Istio
Dans le module complémentaire de maillage de services Istio=based, si vous configurez istiod avec une autorité de certification de plug-in ou si vous configurez une passerelle d’entrée sécurisée, le pilote CSI du fournisseur Azure Key Vault pour le magasin de secrets est requis pour ces fonctionnalités. La configuration réseau sortante requise pour le pilote CSI du fournisseur Azure Key Vault pour le magasin de secrets est disponible ici.
Module complémentaire de routage d’applications
Le module complémentaire de routage d’applications prend en charge l’arrêt SSL à l’entrée avec des certificats stockés dans Azure Key Vault. La configuration réseau sortante requise pour le pilote CSI du fournisseur Azure Key Vault pour le magasin de secrets est disponible ici.
Étapes suivantes
Dans cet article, vous avez découvert les ports et adresses à autoriser pour limiter le trafic de sortie du cluster.
Si vous souhaitez limiter la communication entre les pods et le trafic Est-Ouest au sein du cluster, consultez Sécurisation du trafic entre les pods à l’aide de stratégies réseau dans AKS.
Azure Kubernetes Service