Requisiti di rete di Kubernetes con abilitazione di Azure Arc

Questo argomento descrive i requisiti di rete per la connessione di un cluster Kubernetes ad Azure Arc e il supporto di vari scenari Kubernetes abilitati per Arc.

Suggerimento

Per il cloud pubblico di Azure, è possibile ridurre il numero di endpoint necessari usando il gateway Azure Arc (anteprima).For the Azure public cloud, you can reduce the number of required endpoints by using the Azure Arc gateway (preview).

Dettagli

In genere, i requisiti di connettività includono i principi seguenti:

• Tutte le connessioni sono TCP, se non diversamente specificato.
• Tutte le connessioni HTTP usano i protocolli HTTPS e SSL/TLS con certificati firmati e verificabili ufficialmente.
• Tutte le connessioni sono in uscita, se non diversamente specificato.

Per usare un proxy, verificare che gli agenti e il computer che eseguono il processo di onboarding soddisfino i requisiti di rete riportati in questo articolo.

Cloud di Azure

Importante

Per il funzionamento degli agenti di Azure Arc sono necessari gli URL in uscita seguenti su https://:443. Per *.servicebus.windows.net, i web socket devono essere abilitati per l'accesso in uscita nel firewall e nel proxy.

Endpoint (DNS)	Descrizione
https://management.azure.com	Necessario per consentire all'agente di connettersi ad Azure e registrare il cluster.
https://<region>.dp.kubernetesconfiguration.azure.com	Endpoint del piano dati che consente all'agente di eseguire il push dello stato e recuperare le informazioni di configurazione.
https://login.microsoftonline.com https://<region>.login.microsoft.com login.windows.net	Obbligatorio per recuperare e aggiornare i token di Azure Resource Manager.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Obbligatorio per il pull delle immagini del contenitore per gli agenti di Azure Arc
https://gbl.his.arc.azure.com	Obbligatorio per ottenere l'endpoint a livello di area per il pull dei certificati di identità gestita assegnata dal sistema.
https://*.his.arc.azure.com	Obbligatorio per eseguire il pull dei certificati di identità gestita assegnata dal sistema.
https://k8connecthelm.azureedge.net	az connectedk8s connect usa Helm 3 per distribuire gli agenti Di Azure Arc nel cluster Kubernetes. Questo endpoint è necessario per il download del client Helm per facilitare la distribuzione del grafico helm dell'agente.
guestnotificationservice.azure.com *.guestnotificationservice.azure.com sts.windows.net https://k8sconnectcsp.azureedge.net	Per Cluster Connect e per scenari basati sulla posizione personalizzata.
*.servicebus.windows.net	Per Cluster Connect e per scenari basati sulla posizione personalizzata.
https://graph.microsoft.com/	Obbligatorio quando è configurato il controllo degli accessi in base al ruolo di Azure.
*.arc.azure.net	Obbligatorio per gestire i cluster connessi nel portale di Azure.
https://<region>.obo.arc.azure.com:8084/	Obbligatorio quando Cluster Connect è configurato.
https://linuxgeneva-microsoft.azurecr.io	Obbligatorio se si usano le estensioni Kubernetes abilitate per Azure Arc.

Per convertire il carattere jolly *.servicebus.windows.net in endpoint specifici, usare il comando:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Per ottenere il segmento relativo all'area dell'endpoint a livello di area, rimuovere tutti gli spazi dal nome dell'area di Azure. Ad esempio, per l'area Stati Uniti orientali 2 , il nome dell'area è eastus2.

Ad esempio: *.<region>.arcdataservices.com dovrebbe essere *.eastus2.arcdataservices.com nell'area Stati Uniti orientali 2.

Per visualizzare un elenco di tutte le aree, eseguire questo comando:

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Government

Importante

Per il funzionamento degli agenti di Azure Arc sono necessari gli URL in uscita seguenti su https://:443. Per *.servicebus.usgovcloudapi.net, i web socket devono essere abilitati per l'accesso in uscita nel firewall e nel proxy.

Endpoint (DNS)	Descrizione
https://management.usgovcloudapi.net	Necessario per consentire all'agente di connettersi ad Azure e registrare il cluster.
https://<region>.dp.kubernetesconfiguration.azure.us	Endpoint del piano dati che consente all'agente di eseguire il push dello stato e recuperare le informazioni di configurazione.
https://login.microsoftonline.us <region>.login.microsoftonline.us	Obbligatorio per recuperare e aggiornare i token di Azure Resource Manager.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Obbligatorio per il pull delle immagini del contenitore per gli agenti di Azure Arc
https://gbl.his.arc.azure.us	Obbligatorio per ottenere l'endpoint a livello di area per il pull dei certificati di identità gestita assegnata dal sistema.
https://usgv.his.arc.azure.us	Obbligatorio per eseguire il pull dei certificati di identità gestita assegnata dal sistema.
https://k8connecthelm.azureedge.net	az connectedk8s connect usa Helm 3 per distribuire gli agenti Di Azure Arc nel cluster Kubernetes. Questo endpoint è necessario per il download del client Helm per facilitare la distribuzione del grafico helm dell'agente.
guestnotificationservice.azure.us *.guestnotificationservice.azure.us sts.windows.net https://k8sconnectcsp.azureedge.net	Per Cluster Connect e per scenari basati sulla posizione personalizzata.
*.servicebus.usgovcloudapi.net	Per Cluster Connect e per scenari basati sulla posizione personalizzata.
https://graph.microsoft.com/	Obbligatorio quando è configurato il controllo degli accessi in base al ruolo di Azure.
https://usgovvirginia.obo.arc.azure.us:8084/	Obbligatorio quando Cluster Connect è configurato.

Per convertire il carattere jolly *.servicebus.usgovcloudapi.net in endpoint specifici, usare il comando:

GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&location=region

Per ottenere il segmento relativo all'area dell'endpoint a livello di area, rimuovere tutti gli spazi dal nome dell'area di Azure. Ad esempio, per l'area Stati Uniti orientali 2 , il nome dell'area è eastus2.

Ad esempio: *.<region>.arcdataservices.com dovrebbe essere *.eastus2.arcdataservices.com nell'area Stati Uniti orientali 2.

Per visualizzare un elenco di tutte le aree, eseguire questo comando:

az account list-locations -o table

Get-AzLocation | Format-Table

Microsoft Azure gestito da 21Vianet

Importante

Per il funzionamento degli agenti di Azure Arc sono necessari gli URL in uscita seguenti su https://:443. Per *.servicebus.chinacloudapi.cn, i web socket devono essere abilitati per l'accesso in uscita nel firewall e nel proxy.

Endpoint (DNS)	Descrizione
https://management.chinacloudapi.cn	Necessario per consentire all'agente di connettersi ad Azure e registrare il cluster.
https://<region>.dp.kubernetesconfiguration.azure.cn	Endpoint del piano dati che consente all'agente di eseguire il push dello stato e recuperare le informazioni di configurazione.
https://login.chinacloudapi.cn https://<region>.login.chinacloudapi.cn login.partner.microsoftonline.cn	Obbligatorio per recuperare e aggiornare i token di Azure Resource Manager.
mcr.azk8s.cn	Obbligatorio per il pull delle immagini del contenitore per gli agenti di Azure Arc
https://gbl.his.arc.azure.cn	Obbligatorio per ottenere l'endpoint a livello di area per il pull dei certificati di identità gestita assegnata dal sistema.
https://*.his.arc.azure.cn	Obbligatorio per eseguire il pull dei certificati di identità gestita assegnata dal sistema.
https://k8connecthelm.azureedge.net	az connectedk8s connect usa Helm 3 per distribuire gli agenti Di Azure Arc nel cluster Kubernetes. Questo endpoint è necessario per il download del client Helm per facilitare la distribuzione del grafico helm dell'agente.
guestnotificationservice.azure.cn *.guestnotificationservice.azure.cn sts.chinacloudapi.cn https://k8sconnectcsp.azureedge.net	Per Cluster Connect e per scenari basati sulla posizione personalizzata.
*.servicebus.chinacloudapi.cn	Per Cluster Connect e per scenari basati sulla posizione personalizzata.
https://graph.chinacloudapi.cn/	Obbligatorio quando è configurato il controllo degli accessi in base al ruolo di Azure.
*.arc.azure.cn	Obbligatorio per gestire i cluster connessi nel portale di Azure.
https://<region>.obo.arc.azure.cn:8084/	Obbligatorio quando Cluster Connect è configurato.
quay.azk8s.cn registryk8s.azk8s.cn k8sgcr.azk8s.cn usgcr.azk8s.cn dockerhub.azk8s.cn/<repo-name>/<image-name>:<version>	Server proxy del registro contenitori per macchine virtuali di Azure Cina.

Altri endpoint

A seconda dello scenario, potrebbe essere necessaria la connettività ad altri URL, ad esempio quelli usati dal portale di Azure, dagli strumenti di gestione o da altri servizi di Azure. In particolare, esaminare questi elenchi per assicurarsi di consentire la connettività a tutti gli endpoint necessari:

• URL del portale di Azure
• Endpoint dell'interfaccia della riga di comando di Azure per il bypass del proxy

Per un elenco completo dei requisiti di rete per le funzionalità di Azure Arc e i servizi abilitati per Azure Arc, vedere Requisiti di rete di Azure Arc.

Passaggi successivi

• Informazioni sui requisiti di sistema per Kubernetes abilitato per Arc.
• Usare la guida introduttiva per connettere il cluster.
• Vedere le domande frequenti su Kubernetes abilitato per Arc.