Partager via


Règles de réseau sortant et de nom de domaine complet pour des clusters Azure Kubernetes Service (AKS)

Cet article donne les informations nécessaires pour sécuriser le trafic sortant d’Azure Kubernetes Service (AKS). Elles comportent les exigences en matière de cluster pour un déploiement AKS de base, ainsi des exigences supplémentaires relatives les extensions et les fonctionnalités facultatives. Vous pouvez appliquer ces informations à n’importe quelle méthode ou appliance de restriction sortante.

Pour découvrir un exemple de configuration à l’aide de Pare-feu Azure, consultez Contrôler le trafic de sortie à l’aide de Pare-feu Azure dans AKS.

Arrière-plan

Les clusters AKS sont déployés sur un réseau virtuel. Vous pouvez personnaliser et préconfigurer ce réseau ou il peut être créé et géré par AKS. Dans les deux cas, le cluster a des dépendances sortantes, ou de sortie, sur des services en dehors du réseau virtuel.

Pour la gestion et à des fins opérationnelles, les nœuds d’un cluster AKS doivent accéder à certains ports et noms de domaine complet (FQDN). Ces points de terminaison sont nécessaires pour permettre aux nœuds de communiquer avec le serveur d’API, ou de télécharger et d’installer des composants de base du cluster Kubernetes et les correctifs de sécurité des nœuds. Par exemple, le cluster doit extraire des images conteneur à partir du Registre des artefacts Microsoft.

Les dépendances sortantes AKS sont presque entièrement définies avec des noms FQDN, qui n’ont pas d’adresses statiques derrière eux. L’absence d’adresses statiques signifie que vous ne pouvez pas utiliser des groupes de sécurité réseau (NSG) pour verrouiller le trafic sortant d’un cluster AKS.

Par défaut, les clusters AKS disposent d’un accès Internet sortant sans restriction. Ce niveau d’accès réseau permet aux nœuds et services que vous exécutez d’accéder aux ressources externes en fonction des besoins. Si vous souhaitez restreindre le trafic de sortie, un nombre limité de ports et adresses doit être accessible afin de gérer les tâches de maintenance d’intégrité du cluster.

Un cluster AKS isolé du réseau fournit la solution la plus simple et la plus sécurisée pour configurer des restrictions sortantes pour un cluster. Un cluster isolé du réseau extrait les images pour les composants de cluster et les modules complémentaires à partir d’une instance Azure Container Registry (ACR) privée connectée au cluster, au lieu de les extraire à partir du Registre des artefacts Microsoft. Si les images ne sont pas présentes, l’instance d’ACR privée les extrait de MAR, et les met à disposition via son point de terminaison privé, ce qui évite d’activer la sortie du cluster vers le point de terminaison MAR public. L’opérateur de cluster peut ensuite configurer de manière incrémentielle le trafic sortant autorisé en toute sécurité sur un réseau privé pour chaque scénario qu’il souhaite activer. Ainsi, les opérateurs de cluster ont un contrôle total sur la conception du trafic sortant autorisé à partir de leurs clusters dès le départ, ce qui leur permet de réduire le risque d’exfiltration des données.

Il existe une autre solution pour sécuriser les adresses sortantes : elle consiste à utiliser un pare-feu qui peut contrôler le trafic sortant en fonction des noms de domaine. Le Pare-feu Azure peut restreindre le trafic HTTP et HTTPS sortant en fonction du nom de domaine complet de la destination. Vous pouvez également configurer les règles de pare-feu et de sécurité de votre choix pour autoriser ces ports et adresses requis.

Important

Ce document explique uniquement comment verrouiller le trafic sortant du sous-réseau AKS. AKS ne présente par défaut aucune exigence d’entrée. Le blocage du trafic de sous-réseau interne en tirant parti des groupes de sécurité réseau (NSG) et de pare-feu n’est pas pris en charge. Pour contrôler et bloquer le trafic au sein du cluster, consultez Sécuriser le trafic entre les pods avec des stratégies réseau dans Azure Kubernetes Service (AKS).

Règles de réseau sortantes et noms FQDN requis pour les clusters AKS

Les règles d’application/de nom de domaine complet et de réseau suivantes sont requises pour un cluster AKS. Vous pouvez les utiliser si vous souhaitez configurer une solution autre que Pare-feu Azure.

  • Les dépendances d’adresses IP sont destinées au trafic non HTTP/S (les trafics TCP et UDP).
  • Les points de terminaison HTTP/HTTPS avec des noms FQDN peuvent être placés dans votre dispositif de pare-feu.
  • Les points de terminaison HTTP/HTTPS avec caractères génériques constituent des dépendances qui peuvent varier avec votre cluster AKS selon le nombre de qualificateurs.
  • AKS utilise un contrôleur d’admission pour injecter le nom de domaine complet en tant que variable d’environnement dans tous les déploiements sous kube-system et gatekeeper-system. Ce permet de garantir que l’ensemble de la communication système entre des nœuds et un serveur utilise le nom de domaine complet du serveur d’API et non l’adresse IP du serveur d’API. Vous pouvez obtenir le même comportement sur vos propres pods, dans n’importe quel espace de noms, en annotant la spécification de pod avec kubernetes.azure.com/set-kube-service-host-fqdn. Si cette annotation est présente, AKS définit la variable KUBERNETES_SERVICE_HOST sur le nom de domaine du serveur d’API au lieu de l’IP du service dans le cluster. Cela est utile dans les cas où la sortie du cluster utilise un pare-feu de couche 7.
  • Si vous avez une application ou une solution qui doit communiquer avec le serveur d’API, vous devez ajouter une règle de réseau supplémentaire pour autoriser la communication TCP sur le port 443 de l’IP de votre serveur d’API OU, si vous avez un pare-feu de couche 7 configuré pour autoriser le trafic vers le nom de domaine du serveur d’API, définir kubernetes.azure.com/set-kube-service-host-fqdn dans les spécifications de votre pod.
  • Il est possible, en de rares occasions, que l’adresse IP de votre serveur d’API change en cas d’opération de maintenance. Les opérations de maintenance planifiée susceptibles de modifier l’adresse IP du serveur d’API sont toujours communiquées à l’avance.
  • Vous pouvez noter du trafic vers le point de terminaison « md-*.blob.storage.azure.net ». Ce point de terminaison est utilisé pour les composants internes des disques managés Azure. Le blocage de l’accès à ce point de terminaison à partir de votre pare-feu ne doit pas entraîner de problèmes.
  • Vous remarquerez peut-être le trafic vers le point de terminaison « umsa*.blob.core.windows.net ». Ce point de terminaison est utilisé pour stocker des manifestes pour l’agent et les extensions de machine virtuelle Linux Azure et est régulièrement vérifié pour télécharger de nouvelles versions. Plus d’informations sont disponibles sur Extensions VM.

Règles de réseau requises pour Azure Global

Point de terminaison de destination Protocol Port Utilisation
*:1194
Or
Balise de service - AzureCloud.<Region>:1194
Or
CIDR régionaux - RegionCIDRs:1194
Or
APIServerPublicIP:1194 (only known after cluster creation)
UDP 1194 Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle. Cette action n’est pas obligatoire pour les clusters privés ou pour les clusters dont l’agent konnectivity-agent est activé.
*:9000
Or
Balise de service - AzureCloud.<Region>:9000
Or
CIDR régionaux - RegionCIDRs:9000
Or
APIServerPublicIP:9000 (only known after cluster creation)
TCP 9000 Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle. Cette action n’est pas obligatoire pour les clusters privés ou pour les clusters dont l’agent konnectivity-agent est activé.
*:123 ou ntp.ubuntu.com:123 (en cas d’utilisation de règles de réseau de Pare-feu Azure) UDP 123 Obligatoire pour la synchronisation date/heure NTP (Network Time Protocol) sur les nœuds Linux. Elle n’est pas nécessaire pour des nœuds approvisionnés après mars 2021.
CustomDNSIP:53 (if using custom DNS servers) UDP 53 Si vous utilisez des serveurs DNS personnalisés, vous devez vérifier qu’ils sont accessibles par les nœuds de cluster.
APIServerPublicIP:443 (if running pods/deployments that access the API Server) TCP 443 Obligatoire en cas d’exécution de pods/déploiements qui accèdent au serveur d’API. Ces pods/déploiements utiliseront l’adresse IP de l’API. Ce port n’est pas obligatoire pour des clusters privés.

Règles de nom FQDN/d’application requises pour Azure Global

Nom FQDN de destination Port Utilisation
*.hcp.<location>.azmk8s.io HTTPS:443 Obligatoire pour la communication Nœud <-> Serveur d’API. Remplacez <location> par la région où votre cluster AKS est déployé. Ceci est obligatoire pour les clusters avec konnectivity-agent activé. Konnectivity utilise également la négociation du protocole de la couche Application (ALPN) pour communiquer entre l’agent et le serveur. Le blocage ou la réécriture de l’extension ALPN entraîne un échec. Cela n’est pas requis pour des clusters privés.
mcr.microsoft.com HTTPS:443 Obligatoire pour l’accès aux images de Microsoft Container Registry (MCR). Ce registre contient des images/graphiques internes (par exemple, CoreDNS), qui sont nécessaires à la création et au bon fonctionnement du cluster, y compris les opérations de scaling et de mise à niveau.
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net HTTPS:443 Obligatoire pour le stockage MCR assuré par Azure Content Delivery Network (CDN).
management.azure.com HTTPS:443 Obligatoire pour les opérations Kubernetes sur l’API Azure.
login.microsoftonline.com HTTPS:443 Obligatoire pour l’authentification Microsoft Entra.
packages.microsoft.com HTTPS:443 Cette adresse est le référentiel de packages Microsoft utilisé pour les opérations apt-get mises en cache. Moby, PowerShell et Azure CLI sont des exemples de packages.
acs-mirror.azureedge.net HTTPS:443 Cette adresse correspond au référentiel nécessaire pour télécharger et installer les binaires requis, comme kubenet et Azure CNI.

Règles de réseau requises par Microsoft Azure géré par 21Vianet

Point de terminaison de destination Protocol Port Utilisation
*:1194
Or
Balise de service - AzureCloud.Region:1194
Or
CIDR régionaux - RegionCIDRs:1194
Or
APIServerPublicIP:1194 (only known after cluster creation)
UDP 1194 Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle.
*:9000
Or
Balise de service - AzureCloud.<Region>:9000
Or
CIDR régionaux - RegionCIDRs:9000
Or
APIServerPublicIP:9000 (only known after cluster creation)
TCP 9000 Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle.
*:22
Or
Balise de service - AzureCloud.<Region>:22
Or
CIDR régionaux - RegionCIDRs:22
Or
APIServerPublicIP:22 (only known after cluster creation)
TCP 22 Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle.
*:123 ou ntp.ubuntu.com:123 (en cas d’utilisation de règles de réseau de Pare-feu Azure) UDP 123 Obligatoire pour la synchronisation date/heure NTP (Network Time Protocol) sur les nœuds Linux.
CustomDNSIP:53 (if using custom DNS servers) UDP 53 Si vous utilisez des serveurs DNS personnalisés, vous devez vérifier qu’ils sont accessibles par les nœuds de cluster.
APIServerPublicIP:443 (if running pods/deployments that access the API Server) TCP 443 Obligatoire en cas d’exécution de pods/déploiements qui accèdent au serveur d’API. Ces pods/déploiements utiliseront l’adresse IP de l’API.

Règles FQDN / d’application requises par Microsoft Azure géré par 21Vianet

Nom FQDN de destination Port Utilisation
*.hcp.<location>.cx.prod.service.azk8s.cn HTTPS:443 Obligatoire pour la communication Nœud <-> Serveur d’API. Remplacez <location> par la région où votre cluster AKS est déployé.
*.tun.<location>.cx.prod.service.azk8s.cn HTTPS:443 Obligatoire pour la communication Nœud <-> Serveur d’API. Remplacez <location> par la région où votre cluster AKS est déployé.
mcr.microsoft.com HTTPS:443 Obligatoire pour l’accès aux images de Microsoft Container Registry (MCR). Ce registre contient des images/graphiques internes (par exemple, CoreDNS), qui sont nécessaires à la création et au bon fonctionnement du cluster, y compris les opérations de scaling et de mise à niveau.
.data.mcr.microsoft.com HTTPS:443 Obligatoire pour le stockage MCR assuré par Azure Content Delivery Network (CDN).
management.chinacloudapi.cn HTTPS:443 Obligatoire pour les opérations Kubernetes sur l’API Azure.
login.chinacloudapi.cn HTTPS:443 Obligatoire pour l’authentification Microsoft Entra.
packages.microsoft.com HTTPS:443 Cette adresse est le référentiel de packages Microsoft utilisé pour les opérations apt-get mises en cache. Moby, PowerShell et Azure CLI sont des exemples de packages.
*.azk8s.cn HTTPS:443 Cette adresse correspond au référentiel nécessaire pour télécharger et installer les binaires requis, comme kubenet et Azure CNI.

Règles de réseau requises pour Azure US Government

Point de terminaison de destination Protocol Port Utilisation
*:1194
Or
Balise de service - AzureCloud.<Region>:1194
Or
CIDR régionaux - RegionCIDRs:1194
Or
APIServerPublicIP:1194 (only known after cluster creation)
UDP 1194 Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle.
*:9000
Or
Balise de service - AzureCloud.<Region>:9000
Or
CIDR régionaux - RegionCIDRs:9000
Or
APIServerPublicIP:9000 (only known after cluster creation)
TCP 9000 Pour les communications sécurisées par tunnel entre les nœuds et le plan de contrôle.
*:123 ou ntp.ubuntu.com:123 (en cas d’utilisation de règles de réseau de Pare-feu Azure) UDP 123 Obligatoire pour la synchronisation date/heure NTP (Network Time Protocol) sur les nœuds Linux.
CustomDNSIP:53 (if using custom DNS servers) UDP 53 Si vous utilisez des serveurs DNS personnalisés, vous devez vérifier qu’ils sont accessibles par les nœuds de cluster.
APIServerPublicIP:443 (if running pods/deployments that access the API Server) TCP 443 Obligatoire en cas d’exécution de pods/déploiements qui accèdent au serveur d’API. Ces pods/déploiements utiliseront l’adresse IP de l’API.

Règles de nom FQDN/d’application requises pour Azure US Government

Nom FQDN de destination Port Utilisation
*.hcp.<location>.cx.aks.containerservice.azure.us HTTPS:443 Obligatoire pour la communication Nœud <-> Serveur d’API. Remplacez <location> par la région où votre cluster AKS est déployé.
mcr.microsoft.com HTTPS:443 Obligatoire pour l’accès aux images de Microsoft Container Registry (MCR). Ce registre contient des images/graphiques internes (par exemple, CoreDNS), qui sont nécessaires à la création et au bon fonctionnement du cluster, y compris les opérations de scaling et de mise à niveau.
*.data.mcr.microsoft.com HTTPS:443 Obligatoire pour le stockage MCR assuré par Azure Content Delivery Network (CDN).
management.usgovcloudapi.net HTTPS:443 Obligatoire pour les opérations Kubernetes sur l’API Azure.
login.microsoftonline.us HTTPS:443 Obligatoire pour l’authentification Microsoft Entra.
packages.microsoft.com HTTPS:443 Cette adresse est le référentiel de packages Microsoft utilisé pour les opérations apt-get mises en cache. Moby, PowerShell et Azure CLI sont des exemples de packages.
acs-mirror.azureedge.net HTTPS:443 Cette adresse correspond au référentiel requis pour installer les fichiers binaires requis comme kubenet et Azure CNI.

Les règles d’application/de nom de domaine complet suivantes sont recommandées pour des clusters AKS :

Nom FQDN de destination Port Utilisation
security.ubuntu.com, azure.archive.ubuntu.com, changelogs.ubuntu.com HTTP:80 Cette adresse permet aux nœuds de cluster Linux de télécharger les correctifs et mises à jour de sécurité requis.
snapshot.ubuntu.com HTTPS:443 Cette adresse permet aux nœuds de cluster Linux de télécharger les correctifs et mises à jour de sécurité requis du service d’instantané ubuntu.

Si vous choisissez de bloquer/ne pas autoriser ces noms FQDN, les nœuds ne recevront les mises à jour du système d’exploitation que lors des mises à niveau des images de nœuds et des mises à niveau du cluster. N’oubliez pas que les mises à niveau d’images de nœud sont également fournies avec des packages mis à jour, y compris des correctifs de sécurité.

Règles de nom de domaine complet/d’application requises pour des clusters AKS avec GPU

Nom FQDN de destination Port Utilisation
nvidia.github.io HTTPS:443 Cette adresse est utilisée pour la bonne installation du pilote et un bon fonctionnement sur les nœuds basés sur le processeur graphique.
us.download.nvidia.com HTTPS:443 Cette adresse est utilisée pour la bonne installation du pilote et un bon fonctionnement sur les nœuds basés sur le processeur graphique.
download.docker.com HTTPS:443 Cette adresse est utilisée pour la bonne installation du pilote et un bon fonctionnement sur les nœuds basés sur le processeur graphique.

Règles de nom de domaine complet/d’application requises pour des pools de nœuds Windows Server

Nom FQDN de destination Port Utilisation
onegetcdn.azureedge.net, go.microsoft.com HTTPS:443 Pour installer les fichiers binaires liés à Windows
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com HTTP:80 Pour installer les fichiers binaires liés à Windows

Si vous choisissez de bloquer/ne pas autoriser ces noms FQDN, les nœuds ne recevront les mises à jour du système d’exploitation que lors des mises à niveau des images de nœuds et des mises à niveau du cluster. N’oubliez pas que les mises à niveau d’image de nœud sont également fournies avec des packages mis à jour, y compris des correctifs de sécurité.

Fonctionnalités, modules complémentaires et intégrations AKS

Identité de la charge de travail

Règles de nom FQDN/d’application requises

Nom FQDN de destination Port Utilisation
login.microsoftonline.com ou login.chinacloudapi.cn ou login.microsoftonline.us HTTPS:443 Obligatoire pour l’authentification Microsoft Entra.

Microsoft Defender pour les conteneurs

Règles de nom FQDN/d’application requises

FQDN Port Utilisation
login.microsoftonline.com
login.microsoftonline.us (Gouvernement Azure)
login.microsoftonline.cn (Azure géré par 21Vianet)
HTTPS:443 Obligatoire pour l’authentification Microsoft Entra.
*.ods.opinsights.azure.com
*.ods.opinsights.azure.us (Gouvernement Azure)
*.ods.opinsights.azure.cn (Azure géré par 21Vianet)
HTTPS:443 Obligatoire pour que Microsoft Defender charge les événements de sécurité dans le cloud.
*.oms.opinsights.azure.com
*.oms.opinsights.azure.us (Gouvernement Azure)
*.oms.opinsights.azure.cn (Azure géré par 21Vianet)
HTTPS:443 Obligatoire pour l’authentification avec les espaces de travail Log Analytics.

Fournisseur Azure Key Vault pour le pilote Secrets Store CSI

Si vous utilisez des clusters isolés du réseau, il est recommandé de configurer un point de terminaison privé pour accéder à Azure Key Vault.

Si votre cluster a un routage défini par l’utilisateur de type sortant et un Pare-feu Azure, les règles réseau et les règles d’application suivantes s’appliquent :

Règles de nom FQDN/d’application requises

FQDN Port Utilisation
vault.azure.net HTTPS:443 Obligatoire pour que les pods du magasin de secrets CSI communiquent avec le serveur Azure KeyVault.
*.vault.usgovcloudapi.net HTTPS:443 Obligatoire pour que les pods du module complémentaire Magasin des secrets CSI puissent communiquer avec le serveur Azure KeyVault dans Azure Government.

Azure Monitor – Prometheus managé et Container Insights

Si vous utilisez des clusters isolés du réseau, il est recommandé de configurer l’ingestion basée sur un point de terminaison privé, qui est prise en charge pour Prometheus managé (espace de travail Azure Monitor) et Container Insights (espace de travail Log Analytics).

Si votre cluster a un routage défini par l’utilisateur de type sortant et un Pare-feu Azure, les règles réseau et les règles d’application suivantes s’appliquent :

Règles de réseau requises

Point de terminaison de destination Protocol Port Utilisation
Balise de service - AzureMonitor:443 TCP 443 Ce point de terminaison est utilisé pour envoyer les données de métriques et des journaux à Azure Monitor et à Log Analytics.

Règles FQDN / d’application requises pour le cloud public Azure

Point de terminaison Objectif Port
*.ods.opinsights.azure.com 443
*.oms.opinsights.azure.com 443
dc.services.visualstudio.com 443
*.monitoring.azure.com 443
login.microsoftonline.com 443
global.handler.control.monitor.azure.com Service de contrôle d'accès 443
*.ingest.monitor.azure.com Container Insights : point de terminaison d’ingestion des journaux (DCE) 443
*.metrics.ingest.monitor.azure.com Service managé Azure Monitor pour Prometheus - point de terminaison d’ingestion des métriques (DCE) 443
<cluster-region-name>.handler.control.monitor.azure.com Récupérer (fetch) les règles de collecte de données d’un cluster spécifique 443

Règles FQDN / d’application requises pour le cloud Microsoft Azure géré par 21Vianet

Point de terminaison Objectif Port
*.ods.opinsights.azure.cn Ingestion de données 443
*.oms.opinsights.azure.cn Intégration de l’agent Azure Monitor (AMA) 443
dc.services.visualstudio.com Pour la télémétrie de l’agent qui utilise Azure Public Cloud Application Insights 443
global.handler.control.monitor.azure.cn Service de contrôle d'accès 443
<cluster-region-name>.handler.control.monitor.azure.cn Récupérer (fetch) les règles de collecte de données d’un cluster spécifique 443
*.ingest.monitor.azure.cn Container Insights : point de terminaison d’ingestion des journaux (DCE) 443
*.metrics.ingest.monitor.azure.cn Service managé Azure Monitor pour Prometheus - point de terminaison d’ingestion des métriques (DCE) 443

Règles FQDN / d’application requises pour le cloud Azure Government

Point de terminaison Objectif Port
*.ods.opinsights.azure.us Ingestion de données 443
*.oms.opinsights.azure.us Intégration de l’agent Azure Monitor (AMA) 443
dc.services.visualstudio.com Pour la télémétrie de l’agent qui utilise Azure Public Cloud Application Insights 443
global.handler.control.monitor.azure.us Service de contrôle d'accès 443
<cluster-region-name>.handler.control.monitor.azure.us Récupérer (fetch) les règles de collecte de données d’un cluster spécifique 443
*.ingest.monitor.azure.us Container Insights : point de terminaison d’ingestion des journaux (DCE) 443
*.metrics.ingest.monitor.azure.us Service managé Azure Monitor pour Prometheus - point de terminaison d’ingestion des métriques (DCE) 443

Azure Policy

Règles de nom FQDN/d’application requises

FQDN Port Utilisation
data.policy.core.windows.net HTTPS:443 Cette adresse est utilisée pour extraire les stratégies Kubernetes et pour signaler l’état de conformité du cluster au service de stratégie.
store.policy.core.windows.net HTTPS:443 Cette adresse est utilisée pour extraire les artefacts Gatekeeper de stratégies intégrées.
dc.services.visualstudio.com HTTPS:443 Le module complémentaire Azure Policy envoie des données de télémétrie au point de terminaison Applications Insights.

Règles FQDN / d’application requises par Microsoft Azure géré par 21Vianet

FQDN Port Utilisation
data.policy.azure.cn HTTPS:443 Cette adresse est utilisée pour extraire les stratégies Kubernetes et pour signaler l’état de conformité du cluster au service de stratégie.
store.policy.azure.cn HTTPS:443 Cette adresse est utilisée pour extraire les artefacts Gatekeeper de stratégies intégrées.

Règles de nom FQDN/d’application requises pour Azure US Government

FQDN Port Utilisation
data.policy.azure.us HTTPS:443 Cette adresse est utilisée pour extraire les stratégies Kubernetes et pour signaler l’état de conformité du cluster au service de stratégie.
store.policy.azure.us HTTPS:443 Cette adresse est utilisée pour extraire les artefacts Gatekeeper de stratégies intégrées.

Module complémentaire d’analyse des coûts AKS

Règles de nom FQDN/d’application requises

FQDN Port Utilisation
management.azure.com
management.usgovcloudapi.net (Gouvernement Azure)
management.chinacloudapi.cn (Azure géré par 21Vianet)
HTTPS:443 Obligatoire pour les opérations Kubernetes sur l’API Azure.
login.microsoftonline.com
login.microsoftonline.us (Gouvernement Azure)
login.microsoftonline.cn (Azure géré par 21Vianet)
HTTPS:443 Obligatoire pour l’authentification Microsoft Entra ID.

Extensions de cluster

Règles de nom FQDN/d’application requises

FQDN Port Utilisation
<region>.dp.kubernetesconfiguration.azure.com HTTPS:443 Cette adresse est utilisée pour récupérer les informations de configuration du service Extensions du cluster et de l’état de l’extension de rapport jusqu’au service.
mcr.microsoft.com, *.data.mcr.microsoft.com HTTPS:443 Cette adresse est nécessaire pour extraire les images conteneur pour l’installation des agents d’extension de cluster sur le cluster AKS.
arcmktplaceprod.azurecr.io HTTPS:443 Cette adresse est nécessaire pour extraire des images de conteneur pour l’installation des extensions du marketplace sur un cluster AKS.
arcmktplaceprod.centralindia.data.azurecr.io HTTPS:443 Cette adresse concerne le point de terminaison de données régional de l’Inde centrale et est requise pour extraire des images de conteneurs afin d’installer des extensions de marché sur le cluster AKS.
arcmktplaceprod.japaneast.data.azurecr.io HTTPS:443 Cette adresse concerne le point de terminaison de données régional de l’est du Japon et est requise pour extraire des images de conteneur afin d’installer des extensions de marché sur le cluster AKS.
arcmktplaceprod.westus2.data.azurecr.io HTTPS:443 Cette adresse est destinée au point de terminaison de données régional West US2 et est requise pour extraire des images de conteneur afin d'installer des extensions de marché sur le cluster AKS.
arcmktplaceprod.westeurope.data.azurecr.io HTTPS:443 Cette adresse est destinée au point de terminaison de données régional d'Europe de l'Ouest et est requise pour extraire des images de conteneur afin d'installer des extensions de marché sur le cluster AKS.
arcmktplaceprod.eastus.data.azurecr.io HTTPS:443 Cette adresse concerne le point de terminaison de données régional de l’Est des États-Unis et est requise pour extraire des images de conteneur afin d’installer des extensions de marché sur le cluster AKS.
*.ingestion.msftcloudes.com, *.microsoftmetrics.com HTTPS:443 Cette adresse est utilisée pour envoyer des données de métriques d’agents vers Azure.
marketplaceapi.microsoft.com HTTPS: 443 Cette adresse est utilisée pour envoyer une utilisation personnalisée basée sur un compteur à l’API de contrôle du commerce.

Règles de nom FQDN/d’application requises pour Azure US Government

FQDN Port Utilisation
<region>.dp.kubernetesconfiguration.azure.us HTTPS:443 Cette adresse est utilisée pour récupérer les informations de configuration du service Extensions du cluster et de l’état de l’extension de rapport jusqu’au service.
mcr.microsoft.com, *.data.mcr.microsoft.com HTTPS:443 Cette adresse est nécessaire pour extraire les images conteneur pour l’installation des agents d’extension de cluster sur le cluster AKS.

Notes

Les exigences de base couvrent tous les modules complémentaires qui ne sont pas explicitement indiqués ici.

Module complémentaire de maillage de services Istio

Dans le module complémentaire de maillage de services Istio=based, si vous configurez istiod avec une autorité de certification de plug-in ou si vous configurez une passerelle d’entrée sécurisée, le pilote CSI du fournisseur Azure Key Vault pour le magasin de secrets est requis pour ces fonctionnalités. La configuration réseau sortante requise pour le pilote CSI du fournisseur Azure Key Vault pour le magasin de secrets est disponible ici.

Module complémentaire de routage d’applications

Le module complémentaire de routage d’applications prend en charge l’arrêt SSL à l’entrée avec des certificats stockés dans Azure Key Vault. La configuration réseau sortante requise pour le pilote CSI du fournisseur Azure Key Vault pour le magasin de secrets est disponible ici.

Étapes suivantes

Dans cet article, vous avez découvert les ports et adresses à autoriser pour limiter le trafic de sortie du cluster.

Si vous souhaitez limiter la communication entre les pods et le trafic Est-Ouest au sein du cluster, consultez Sécurisation du trafic entre les pods à l’aide de stratégies réseau dans AKS.