Azure Kubernetes Service (AKS) クラスターのアウトバウンド ネットワークと FQDN の規則
この記事では、Azure Kubernetes Service (AKS) からの送信トラフィックをセキュリティで保護するために必要な詳細情報について説明します。 基になる AKS のデプロイのクラスター要件と、オプションのアドオンと機能に対する追加要件が含まれています。 この情報はあらゆるアウトバウンド制限の方法またはアプライアンスに適用できます。
Azure Firewall を使用した構成例については、「AKS で Azure Firewall を使用してエグレス トラフィックを制御する」を参照してください。
バックグラウンド
AKS クラスターは仮想ネットワークにデプロイされます。 このネットワークは、お客様がカスタマイズして事前に構成することも、AKS が作成・管理することも可能です。 どちらの場合も、クラスターは、仮想ネットワーク外のサービスに対してアウトバウンド、つまりエグレスの依存関係を持つことになります。
管理と運用上の目的から、AKS クラスター内のノードは特定のポートと完全修飾ドメイン名 (FQDN) にアクセスする必要があります。 これらのエンドポイントは、ノードが API サーバーと通信するため、またはコア Kubernetes クラスター コンポーネントとノードのセキュリティ更新プログラムをダウンロードしてからインストールするために必要です。 たとえば、クラスターは Microsoft Artifact Registry (MAR) からコンテナー イメージをプルする必要があります。
AKS の送信依存関係は、ほぼすべて、背後に静的アドレスがない FQDN を使用して定義されています。 静的アドレスがないということは、ネットワーク セキュリティ グループ (NSG) を使用して AKS クラスターからのアウトバウンド トラフィックをロック ダウンすることができないことを意味します。
既定で、AKS クラスターは、送信インターネット アクセスが無制限です。 このレベルのネットワーク アクセスでは、実行しているノードやサービスから必要に応じて外部リソースにアクセスできます。 エグレス トラフィックを制限する場合は、正常なクラスター メンテナンス タスクを維持するために、アクセスできるポートとアドレスの数を制限する必要があります。
ネットワーク分離 AKS クラスターは、クラスターの送信制限をすぐに設定するための最も簡単で安全なソリューションを提供します。 ネットワーク分離クラスターは、クラスター コンポーネントとアドオンのイメージを、MAR からプルするのではなく、クラスターに接続されているプライベート Azure Container Registry (ACR) インスタンスからプルします。 イメージが存在しない場合は、プライベート ACR は MAR からイメージをプルし、プライベート エンドポイント経由で提供するため、クラスターからパブリック MAR エンドポイントへのエグレスを有効にする必要はありません。 クラスター オペレーターは、有効にするシナリオごとに、許可された送信トラフィックをプライベート ネットワーク経由で安全に段階的に設定できます。 これにより、クラスター オペレーターは、最初からクラスターから許可された送信トラフィックを完全に制御できるため、データ流出のリスクを軽減できます。
送信アドレスをセキュリティで保護するもう 1 つのソリューションは、ドメイン名に基づいて送信トラフィックを制御できるファイアウォール デバイスを使用することです。 Azure Firewall では、宛先の FQDN に基づいて送信 HTTP および HTTPS トラフィックを制限できます。 また、適切なファイアウォール規則とセキュリティ規則を構成し、これらの必要なポートとアドレスを許可することができます。
重要
このドキュメントでは、AKS サブネットから出て行くトラフィックをロックダウンする方法についてのみ説明します。 既定では、AKS にはイングレス要件はありません。 ネットワーク セキュリティ グループ (NSG) とファイアウォールを使用して内部サブネット トラフィックをブロックすることは、サポートされていません。 クラスター内のトラフィックを制御およびブロックするには、「AKS のネットワーク ポリシーを使用してポッド間のトラフィックをセキュリティ保護する」を参照してください。
AKS クラスターに必要な送信ネットワーク規則と FQDN
AKS クラスターには、次のネットワーク規則と FQDN/アプリケーションの規則が必要です。 Azure Firewall 以外のソリューションを構成する場合は、これらの規則を使用できます。
- IP アドレスの依存関係が HTTP/S 以外のトラフィック (TCP トラフィックと UDP トラフィックの両方) に対応しています。
- FQDN HTTP/HTTPS エンドポイントは、ファイアウォール デバイスに配置することができます。
- HTTP と HTTPS のワイルドカード エンドポイントは、いくつかの修飾子に基づき、AKS クラスターによって異なる場合がある依存関係です。
- AKS では、アドミッション コントローラーを使用して、kube-system と gatekeeper-system の下にあるすべてのデプロイに対し、FQDN が環境変数として挿入されます。 これにより、ノードと API サーバー間のすべてのシステム通信において、API サーバーの IP ではなく、API サーバーの FQDN が使用されるようになります。 ポッド仕様に
kubernetes.azure.com/set-kube-service-host-fqdn
という注釈を付けることで、どの名前空間でも独自のポッド上で同じ動作を実現できます。 この注釈がある場合、AKS は、KUBERNETES_SERVICE_HOST 変数をクラスター内サーバーの IP ではなく API サーバーのドメイン名に設定します。 これは、クラスターのエグレスがレイヤー 7 ファイアウォールを経由する場合に便利です。 - API サーバーと通信する必要があるアプリまたはソリューションがある場合、新しいネットワーク規則を追加して API サーバーの IP のポート 443 への TCP 通信を許可するする必要があります。または、API サーバーのドメイン名へのトラフィックを許可するようにレイヤー 7 のファイアウォールを構成してある場合は、ポッドの仕様で
kubernetes.azure.com/set-kube-service-host-fqdn
を設定します。 - まれに、メンテナンスが行われると、API サーバーの IP が変わる可能性があります。 API サーバーの IP が変わる可能性がある計画メンテナンス操作は、常に事前に通知されます。
- "md-*.blob.storage.azure.net" エンドポイントへのトラフィックに気付く場合があります。 このエンドポイントは、Azure Managed Disks の内部コンポーネントに使用されます。 ファイアウォールからこのエンドポイントへのアクセスをブロックしても、問題は発生しません。
- "umsa*.blob.core.windows.net" エンドポイントへのトラフィックに気付く場合があります。 このエンドポイントは、Azure Linux VM エージェントと拡張機能のマニフェストを格納するために使用されているため、新しいバージョンをダウンロードするために定期的にチェックされます。 詳細については、VM 拡張機能に関するページを参照してください。
Azure Global に必要なネットワーク規則
送信先エンドポイント | Protocol | Port | 用途 |
---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.<Region>:1194 Or リージョンの CIDR - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | ノードとコントロール プレーンの間のセキュリティで保護されたトンネル通信の場合。 プライベート クラスター、または konnectivity-agent が有効になっているクラスターには必要ありません。 |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or リージョンの CIDR - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | ノードとコントロール プレーンの間のセキュリティで保護されたトンネル通信の場合。 プライベート クラスター、または konnectivity-agent が有効になっているクラスターには必要ありません。 |
*:123 または ntp.ubuntu.com:123 (Azure Firewall ネットワーク規則を使用している場合) |
UDP | 123 | Linux ノードでのネットワーク タイム プロトコル (NTP) の時刻同期に必要です。 2021 年 3 月以降にプロビジョニングされたノードでは必要ありません。 |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | カスタム DNS サーバーを使用している場合は、クラスター ノードからそれらにアクセスできることを確認する必要があります。 |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | API サーバーにアクセスするポッドとデプロイを実行する場合に必要です。それらのポッドとデプロイでは API IP が使用されます。 このポートは、プライベート クラスターでは必要ありません。 |
Azure Global に必要な FQDN とアプリケーションの規則
送信先 FQDN | Port | 用途 |
---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
ノード <-> API サーバーの間の通信に必要です。 <location> は、AKS クラスターがデプロイされているリージョンに置き換えてください。 これは、konnectivity-agent が有効になっているクラスターでは必要です。 Konnectivity では、Application-Layer Protocol Negotiation (ALPN) を使用して、エージェントとサーバー間の通信も行います。 ALPN 拡張機能をブロックするかまたは書き換えると、エラーが発生します。 これは、プライベート クラスターでは必要ありません。 |
mcr.microsoft.com |
HTTPS:443 |
Microsoft Container Registry (MCR) のイメージにアクセスするために必要です。 このレジストリには、ファーストパーティのイメージとグラフ (coreDNS など) が含まれます。 これらのイメージは、スケーリング操作やアップグレード操作など、クラスターの適切な作成と機能のために必要です。 |
*.data.mcr.microsoft.com 、mcr-0001.mcr-msedge.net |
HTTPS:443 |
Azure Content Delivery Network (CDN) によってサポートされる MCR ストレージに必要です。 |
management.azure.com |
HTTPS:443 |
Azure API に対する Kubernetes の操作に必要です。 |
login.microsoftonline.com |
HTTPS:443 |
Microsoft Entra 認証に必要です。 |
packages.microsoft.com |
HTTPS:443 |
このアドレスは、キャッシュされた apt-get 操作に使用される Microsoft パッケージ リポジトリです。 パッケージの例としては、Moby、PowerShell、Azure CLI などがあります。 |
acs-mirror.azureedge.net |
HTTPS:443 |
このアドレスは、kubernet や Azure CNI などの必要なバイナリをダウンロードしてインストールするために必要なリポジトリ用です。 |
21Vianet によって運営される Microsoft Azure で必要なネットワーク規則
送信先エンドポイント | Protocol | Port | 用途 |
---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.Region:1194 Or リージョンの CIDR - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | ノードとコントロール プレーンの間のセキュリティで保護されたトンネル通信の場合。 |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or リージョンの CIDR - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | ノードとコントロール プレーンの間のセキュリティで保護されたトンネル通信の場合。 |
*:22 Or ServiceTag - AzureCloud.<Region>:22 Or リージョンの CIDR - RegionCIDRs:22 Or APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | ノードとコントロール プレーンの間のセキュリティで保護されたトンネル通信の場合。 |
*:123 または ntp.ubuntu.com:123 (Azure Firewall ネットワーク規則を使用している場合) |
UDP | 123 | Linux ノードでのネットワーク タイム プロトコル (NTP) の時刻同期に必要です。 |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | カスタム DNS サーバーを使用している場合は、クラスター ノードからそれらにアクセスできることを確認する必要があります。 |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | API サーバーにアクセスするポッドとデプロイを実行する場合に必要です。それらのポッドとデプロイでは API IP が使用されます。 |
21Vianet によって運営される Microsoft Azure で必要な FQDN とアプリケーションの規則
送信先 FQDN | Port | 用途 |
---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
ノード <-> API サーバーの間の通信に必要です。 <location> は、AKS クラスターがデプロイされているリージョンに置き換えてください。 |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
ノード <-> API サーバーの間の通信に必要です。 <location> は、AKS クラスターがデプロイされているリージョンに置き換えてください。 |
mcr.microsoft.com |
HTTPS:443 |
Microsoft Container Registry (MCR) のイメージにアクセスするために必要です。 このレジストリには、ファーストパーティのイメージとグラフ (coreDNS など) が含まれます。 これらのイメージは、スケーリング操作やアップグレード操作など、クラスターの適切な作成と機能のために必要です。 |
.data.mcr.microsoft.com |
HTTPS:443 |
Azure Content Delivery Network (CDN) によってサポートされる MCR ストレージに必要です。 |
management.chinacloudapi.cn |
HTTPS:443 |
Azure API に対する Kubernetes の操作に必要です。 |
login.chinacloudapi.cn |
HTTPS:443 |
Microsoft Entra 認証に必要です。 |
packages.microsoft.com |
HTTPS:443 |
このアドレスは、キャッシュされた apt-get 操作に使用される Microsoft パッケージ リポジトリです。 パッケージの例としては、Moby、PowerShell、Azure CLI などがあります。 |
*.azk8s.cn |
HTTPS:443 |
このアドレスは、kubernet や Azure CNI などの必要なバイナリをダウンロードしてインストールするために必要なリポジトリ用です。 |
Azure US Government に必要なネットワーク規則
送信先エンドポイント | Protocol | Port | 用途 |
---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.<Region>:1194 Or リージョンの CIDR - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | ノードとコントロール プレーンの間のセキュリティで保護されたトンネル通信の場合。 |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or リージョンの CIDR - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | ノードとコントロール プレーンの間のセキュリティで保護されたトンネル通信の場合。 |
*:123 または ntp.ubuntu.com:123 (Azure Firewall ネットワーク規則を使用している場合) |
UDP | 123 | Linux ノードでのネットワーク タイム プロトコル (NTP) の時刻同期に必要です。 |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | カスタム DNS サーバーを使用している場合は、クラスター ノードからそれらにアクセスできることを確認する必要があります。 |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | API サーバーにアクセスするポッドとデプロイを実行する場合に必要です。それらのポッドとデプロイでは API IP が使用されます。 |
Azure US Government に必要な FQDN とアプリケーションの規則
送信先 FQDN | Port | 用途 |
---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
ノード <-> API サーバーの間の通信に必要です。 <location> は、AKS クラスターがデプロイされているリージョンに置き換えてください。 |
mcr.microsoft.com |
HTTPS:443 |
Microsoft Container Registry (MCR) のイメージにアクセスするために必要です。 このレジストリには、ファーストパーティのイメージとグラフ (coreDNS など) が含まれます。 これらのイメージは、スケーリング操作やアップグレード操作など、クラスターの適切な作成と機能のために必要です。 |
*.data.mcr.microsoft.com |
HTTPS:443 |
Azure Content Delivery Network (CDN) によってサポートされる MCR ストレージに必要です。 |
management.usgovcloudapi.net |
HTTPS:443 |
Azure API に対する Kubernetes の操作に必要です。 |
login.microsoftonline.us |
HTTPS:443 |
Microsoft Entra 認証に必要です。 |
packages.microsoft.com |
HTTPS:443 |
このアドレスは、キャッシュされた apt-get 操作に使用される Microsoft パッケージ リポジトリです。 パッケージの例としては、Moby、PowerShell、Azure CLI などがあります。 |
acs-mirror.azureedge.net |
HTTPS:443 |
このアドレスは、kubernet や Azure CNI などの必要なバイナリをインストールするために必要なリポジトリ用です。 |
AKS クラスターに対して推奨される省略可能な FQDN とアプリケーションの規則
以下の FQDN/アプリケーション規則は必須ではありませんが、AKS クラスターでは推奨されます。
送信先 FQDN | Port | 用途 |
---|---|---|
security.ubuntu.com 、azure.archive.ubuntu.com 、changelogs.ubuntu.com |
HTTP:80 |
このアドレスを使用すると、Linux クラスター ノードから必要なセキュリティ パッチと更新プログラムをダウンロードできます。 |
snapshot.ubuntu.com |
HTTPS:443 |
このアドレスによって、Linux クラスター ノードは、ubuntu スナップショット サービスから必要なセキュリティ パッチと更新プログラムをダウンロードできます。 |
これらの FQDN をブロックして許可しない場合、ノード イメージのアップグレードまたはクラスターのアップグレードを行うと、ノードは OS の更新プログラムのみを受け取ります。 ノード イメージのアップグレードは、セキュリティ修正を含む、更新後のパッケージにも付属することにご留意ください。
GPU 対応 AKS クラスターに必要な FQDN/アプリケーションの規則
送信先 FQDN | Port | 用途 |
---|---|---|
nvidia.github.io |
HTTPS:443 |
このアドレスは、GPU ベースのノード上のドライバーの適切なインストールと操作に使用されます。 |
us.download.nvidia.com |
HTTPS:443 |
このアドレスは、GPU ベースのノード上のドライバーの適切なインストールと操作に使用されます。 |
download.docker.com |
HTTPS:443 |
このアドレスは、GPU ベースのノード上のドライバーの適切なインストールと操作に使用されます。 |
Windows Server ベースのノード プールに必要な FQDN/アプリケーション規則
送信先 FQDN | Port | 用途 |
---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Windows 関連のバイナリをインストールするため |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Windows 関連のバイナリをインストールするため |
これらの FQDN をブロックして許可しない場合、ノード イメージのアップグレードまたはクラスターのアップグレードを行うと、ノードは OS の更新プログラムのみを受け取ります。 ノード イメージのアップグレードは、セキュリティ修正を含む、更新後のパッケージにも付属することにご留意ください。
AKS の機能、アドオン、統合
ワークロード ID
必要な FQDN とアプリケーションの規則
送信先 FQDN | Port | 用途 |
---|---|---|
login.microsoftonline.com 、login.chinacloudapi.cn または login.microsoftonline.us |
HTTPS:443 |
Microsoft Entra 認証に必要です。 |
Microsoft Defender for Containers
必要な FQDN とアプリケーションの規則
FQDN | Port | 用途 |
---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (21Vianet によって運営される Azure) |
HTTPS:443 |
Microsoft Entra 認証に必要です。 |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government) *.ods.opinsights.azure.cn (21Vianet によって運営される Azure) |
HTTPS:443 |
Microsoft Defender がセキュリティ イベントをクラウドにアップロードするために必要です。 |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government) *.oms.opinsights.azure.cn (21Vianet によって運営される Azure) |
HTTPS:443 |
LogAnalytics ワークスペースで認証するために必要です。 |
シークレット ストア CSI ドライバーの Azure Key Vault プロバイダー
ネットワーク分離クラスターを使用する場合は、Azure Key Vault にアクセスするようにプライベート エンドポイントを設定することをお勧めします。
クラスターに送信タイプのユーザー定義ルーティングと Azure Firewall がある場合は、次のネットワーク規則とアプリケーション規則が適用されます:
必要な FQDN とアプリケーションの規則
FQDN | Port | 用途 |
---|---|---|
vault.azure.net |
HTTPS:443 |
CSI シークレット ストア アドオン ポッドが Azure KeyVault サーバーと通信するために必要です。 |
*.vault.usgovcloudapi.net |
HTTPS:443 |
CSI シークレット ストア アドオン ポッドが Azure Government で Azure KeyVault サーバーと通信するために必要です。 |
Azure Monitor - マネージド Prometheus と Container insights
ネットワーク分離クラスターを使用する場合は、プライベート エンドポイント ベースのインジェストを設定することをお勧めします。これは、マネージド Prometheus (Azure Monitor ワークスペース) と Container insights (Log Analytics ワークスペース) の両方でサポートされています。
クラスターに送信タイプのユーザー定義ルーティングと Azure Firewall がある場合は、次のネットワーク規則とアプリケーション規則が適用されます:
必要なネットワーク規則
送信先エンドポイント | Protocol | Port | 用途 |
---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | このエンドポイントは、メトリック データとログを Azure Monitor および Log Analytics に送信するために使用されます。 |
Azure パブリック クラウドに必要な FQDN/アプリケーション ルール
エンドポイント | 目的 | ポート |
---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
[アクセス制御サービス] | 443 |
*.ingest.monitor.azure.com |
Container Insights - ログ インジェスト エンドポイント (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
Prometheus の Azure Monitor 管理サービス - メトリック インジェスト エンドポイント (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
特定のクラスターのデータ収集ルールをフェッチする | 443 |
21Vianet クラウドが運営する Microsoft Azure で必要な FQDN とアプリケーションの規則
エンドポイント | 目的 | ポート |
---|---|---|
*.ods.opinsights.azure.cn |
データ インジェスト | 443 |
*.oms.opinsights.azure.cn |
Azure Monitor エージェント (AMA) のオンボード | 443 |
dc.services.visualstudio.com |
Azure パブリック クラウド Application Insights を使用するエージェント テレメトリの場合 | 443 |
global.handler.control.monitor.azure.cn |
[アクセス制御サービス] | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
特定のクラスターのデータ収集ルールをフェッチする | 443 |
*.ingest.monitor.azure.cn |
Container Insights - ログ インジェスト エンドポイント (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
Prometheus の Azure Monitor 管理サービス - メトリック インジェスト エンドポイント (DCE) | 443 |
Azure Government クラウドで必要な FQDN/アプリケーション ルール
エンドポイント | 目的 | ポート |
---|---|---|
*.ods.opinsights.azure.us |
データ インジェスト | 443 |
*.oms.opinsights.azure.us |
Azure Monitor エージェント (AMA) のオンボード | 443 |
dc.services.visualstudio.com |
Azure パブリック クラウド Application Insights を使用するエージェント テレメトリの場合 | 443 |
global.handler.control.monitor.azure.us |
[アクセス制御サービス] | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
特定のクラスターのデータ収集ルールをフェッチする | 443 |
*.ingest.monitor.azure.us |
Container Insights - ログ インジェスト エンドポイント (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
Prometheus の Azure Monitor 管理サービス - メトリック インジェスト エンドポイント (DCE) | 443 |
Azure Policy
必要な FQDN とアプリケーションの規則
FQDN | Port | 用途 |
---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
このアドレスは、Kubernetes ポリシーをプルし、クラスターのコンプライアンス状態をポリシー サービスにレポートするために使用されます。 |
store.policy.core.windows.net |
HTTPS:443 |
このアドレスは、組み込みポリシーの Gatekeeper アーティファクトをプルするために使用されます。 |
dc.services.visualstudio.com |
HTTPS:443 |
テレメトリ データを Application Insights エンドポイントに送信するAzure Policy アドオン。 |
21Vianet によって運営される Microsoft Azure で必要な FQDN とアプリケーションの規則
FQDN | Port | 用途 |
---|---|---|
data.policy.azure.cn |
HTTPS:443 |
このアドレスは、Kubernetes ポリシーをプルし、クラスターのコンプライアンス状態をポリシー サービスにレポートするために使用されます。 |
store.policy.azure.cn |
HTTPS:443 |
このアドレスは、組み込みポリシーの Gatekeeper アーティファクトをプルするために使用されます。 |
Azure US Government に必要な FQDN とアプリケーションの規則
FQDN | Port | 用途 |
---|---|---|
data.policy.azure.us |
HTTPS:443 |
このアドレスは、Kubernetes ポリシーをプルし、クラスターのコンプライアンス状態をポリシー サービスにレポートするために使用されます。 |
store.policy.azure.us |
HTTPS:443 |
このアドレスは、組み込みポリシーの Gatekeeper アーティファクトをプルするために使用されます。 |
AKS コスト解析アドオン
必要な FQDN とアプリケーションの規則
FQDN | Port | 用途 |
---|---|---|
management.azure.com management.usgovcloudapi.net (Azure Government) management.chinacloudapi.cn (21Vianet によって運営される Azure) |
HTTPS:443 |
Azure API に対する Kubernetes の操作に必要です。 |
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (21Vianet によって運営される Azure) |
HTTPS:443 |
Microsoft Entra ID 認証に必要です。 |
クラスター拡張機能
必要な FQDN とアプリケーションの規則
FQDN | Port | 用途 |
---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
このアドレスは、クラスター拡張機能サービスから構成情報を取得し、サービスに拡張状態をレポートするために使用されます。 |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
このアドレスは、クラスター拡張機能エージェントを AKS クラスターにインストールするためにコンテナーイメージをプルするために必要です。 |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
このアドレスは、AKS クラスターにマーケットプレース拡張機能をインストールするためのコンテナー イメージをプルするために必要です。 |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
このアドレスは、インド中部リージョンのデータ エンドポイント用であり、AKS クラスターにマーケットプレース拡張機能をインストールするコンテナー イメージをプルするために必要です。 |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
このアドレスは、東日本リージョンのデータ エンドポイント用であり、AKS クラスターにマーケットプレース拡張機能をインストールするコンテナー イメージをプルするために必要です。 |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
このアドレスは、米国西部 2 リージョンのデータ エンドポイント用であり、AKS クラスターにマーケットプレース拡張機能をインストールするコンテナー イメージをプルするために必要です。 |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
このアドレスは、西ヨーロッパ リージョンのデータ エンドポイント用であり、AKS クラスターにマーケットプレース拡張機能をインストールするコンテナー イメージをプルするために必要です。 |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
このアドレスは、米国東部リージョンのデータ エンドポイント用であり、AKS クラスターにマーケットプレース拡張機能をインストールするコンテナー イメージをプルするために必要です。 |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
このアドレスは、エージェントのメトリック データを Azure に送信するために使用されます。 |
marketplaceapi.microsoft.com |
HTTPS: 443 |
このアドレスは、カスタム測定ベースの使用状況をコマース測定 API に送信するために使用されます。 |
Azure US Government に必要な FQDN とアプリケーションの規則
FQDN | Port | 用途 |
---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
このアドレスは、クラスター拡張機能サービスから構成情報を取得し、サービスに拡張状態をレポートするために使用されます。 |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
このアドレスは、クラスター拡張機能エージェントを AKS クラスターにインストールするためにコンテナーイメージをプルするために必要です。 |
Note
ここに明示的に記載されていないアドオンについては、コア要件でカバーしています。
Istio ベースのサービス メッシュ アドオン
Istio=based サービス メッシュ アドオンでは、プラグイン証明機関 (CA) を使用して istiod を設定する、またはセキュリティで保護されたイングレス ゲートウェイを設定する場合は、これらの機能に対してシークレット ストア CSI ドライバー用の Azure Key Vault プロバイダーが必要です。 シークレット ストア CSI ドライバー用の Azure Key Vault プロバイダーの送信ネットワーク要件については、こちらを参照してください。
アプリケーション ルーティング アドオン
アプリケーション ルーティング アドオンは、Azure Key Vault に格納されている証明書を使用したイングレスでの SSL 終了をサポートします。 シークレット ストア CSI ドライバー用の Azure Key Vault プロバイダーの送信ネットワーク要件については、こちらを参照してください。
次のステップ
この記事では、クラスターのエグレス トラフィックを制限する場合に許可するポートとアドレスについて学習しました。
ポッド間の通信方法の制限、およびクラスター内の East-West トラフィックの制限については、「Azure Kubernetes Service (AKS) のネットワーク ポリシーを使用したポッド間のトラフィックの保護」を参照してください。
Azure Kubernetes Service