Azure Arc 対応 Kubernetes ネットワークの要件
- [アーティクル]
-
-
このトピックでは、Kubernetes クラスターを Azure Arc に接続し、さまざまな Arc 対応 Kubernetes シナリオをサポートするためのネットワーク要件について説明します。
詳細
一般に、接続要件には次の原則が含まれます。
- 特に指定がない限り、すべての接続は TCP です。
- すべての HTTP 接続では、公式に署名された検証可能な証明書と共に HTTPS と SSL/TLS が使用されます。
- 特に指定がない限り、すべての接続はアウトバウンドです。
プロキシを使用するには、オンボード プロセスを実行しているエージェントとマシンがこの記事のネットワーク要件を満たしていることを確認します。
重要
Azure Arc エージェントが機能するには、https://:443 に次の送信 URL が必要です。
*.servicebus.windows.net の場合、ファイアウォールとプロキシで送信アクセスに対して Websockets を有効にする必要があります。
| エンドポイント (DNS) |
説明 |
https://management.azure.com |
エージェントが Azure に接続し、クラスターを登録するために必要です。 |
https://<region>.dp.kubernetesconfiguration.azure.com |
エージェントが状態をプッシュして構成情報をフェッチするためのデータ プレーン エンドポイント。 |
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net |
Azure Resource Manager トークンをフェッチし、更新するために必要です。 |
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com |
Azure Arc エージェント用のコンテナー イメージをプルするために必要です。 |
https://gbl.his.arc.azure.com |
システム割り当て管理 ID 証明書をプルするためリージョン エンドポイントを取得するために必要です。 |
https://*.his.arc.azure.com |
システム割り当てマネージド ID 証明書をプルするために必須。 |
https://k8connecthelm.azureedge.net |
az connectedk8s connect では、Helm 3 を使用して、Kubernetes クラスターに Azure Arc エージェントをデプロイします。 このエンドポイントは、エージェント Helm chart のデプロイを容易にするために、Helm クライアントのダウンロードに必要です。 |
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net |
クラスター接続ベース シナリオの場合と、カスタムの場所ベースのシナリオの場合。 |
*.servicebus.windows.net |
クラスター接続ベース シナリオの場合と、カスタムの場所ベースのシナリオの場合。 |
https://graph.microsoft.com/ |
Azure RBAC が構成されている場合は必須です。 |
*.arc.azure.net |
Azure portal 内の接続されているクラスターを管理する場合は必須です。 |
https://<region>.obo.arc.azure.com:8084/ |
クラスター接続が構成されている場合は必須です。 |
https://linuxgeneva-microsoft.azurecr.io |
Azure Arc 対応 Kubernetes 拡張機能を使っている場合に必要。 |
*.servicebus.windows.net ワイルドカードを特定のエンドポイントに変換するには、このコマンドを使用します。
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
リージョン エンドポイントのリージョン セグメントを取得するには、Azure リージョン名からすべてのスペースを削除します。 たとえば、米国東部 2 リージョンのリージョン名は eastus2 となります。
たとえば、*.<region>.arcdataservices.com は、米国東部 2 リージョンでは *.eastus2.arcdataservices.com となります。
すべてのリージョンの一覧を表示するには、このコマンドを実行します。
az account list-locations -o table
Get-AzLocation | Format-Table
重要
Azure Arc エージェントが機能するには、https://:443 に次の送信 URL が必要です。
*.servicebus.usgovcloudapi.net の場合、ファイアウォールとプロキシで送信アクセスに対して Websockets を有効にする必要があります。
| エンドポイント (DNS) |
説明 |
https://management.usgovcloudapi.net |
エージェントが Azure に接続し、クラスターを登録するために必要です。 |
https://<region>.dp.kubernetesconfiguration.azure.us |
エージェントが状態をプッシュして構成情報をフェッチするためのデータ プレーン エンドポイント。 |
https://login.microsoftonline.us
<region>.login.microsoftonline.us |
Azure Resource Manager トークンをフェッチし、更新するために必要です。 |
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com |
Azure Arc エージェント用のコンテナー イメージをプルするために必要です。 |
https://gbl.his.arc.azure.us |
システム割り当て管理 ID 証明書をプルするためリージョン エンドポイントを取得するために必要です。 |
https://usgv.his.arc.azure.us |
システム割り当てマネージド ID 証明書をプルするために必須。 |
https://k8connecthelm.azureedge.net |
az connectedk8s connect では、Helm 3 を使用して、Kubernetes クラスターに Azure Arc エージェントをデプロイします。 このエンドポイントは、エージェント Helm chart のデプロイを容易にするために、Helm クライアントのダウンロードに必要です。 |
guestnotificationservice.azure.us
*.guestnotificationservice.azure.us
sts.windows.net
https://k8sconnectcsp.azureedge.net |
クラスター接続ベース シナリオの場合と、カスタムの場所ベースのシナリオの場合。 |
*.servicebus.usgovcloudapi.net |
クラスター接続ベース シナリオの場合と、カスタムの場所ベースのシナリオの場合。 |
https://graph.microsoft.com/ |
Azure RBAC が構成されている場合は必須です。 |
https://usgovvirginia.obo.arc.azure.us:8084/ |
クラスター接続が構成されている場合は必須です。 |
*.servicebus.usgovcloudapi.net ワイルドカードを特定のエンドポイントに変換するには、このコマンドを使用します。
GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&location=region
リージョン エンドポイントのリージョン セグメントを取得するには、Azure リージョン名からすべてのスペースを削除します。 たとえば、米国東部 2 リージョンのリージョン名は eastus2 となります。
たとえば、*.<region>.arcdataservices.com は、米国東部 2 リージョンでは *.eastus2.arcdataservices.com となります。
すべてのリージョンの一覧を表示するには、このコマンドを実行します。
az account list-locations -o table
Get-AzLocation | Format-Table
重要
Azure Arc エージェントが機能するには、https://:443 に次の送信 URL が必要です。
*.servicebus.chinacloudapi.cn の場合、ファイアウォールとプロキシで送信アクセスに対して Websockets を有効にする必要があります。
| エンドポイント (DNS) |
説明 |
https://management.chinacloudapi.cn |
エージェントが Azure に接続し、クラスターを登録するために必要です。 |
https://<region>.dp.kubernetesconfiguration.azure.cn |
エージェントが状態をプッシュして構成情報をフェッチするためのデータ プレーン エンドポイント。 |
https://login.chinacloudapi.cn
https://<region>.login.chinacloudapi.cn
login.partner.microsoftonline.cn |
Azure Resource Manager トークンをフェッチし、更新するために必要です。 |
mcr.azk8s.cn |
Azure Arc エージェント用のコンテナー イメージをプルするために必要です。 |
https://gbl.his.arc.azure.cn |
システム割り当て管理 ID 証明書をプルするためリージョン エンドポイントを取得するために必要です。 |
https://*.his.arc.azure.cn |
システム割り当てマネージド ID 証明書をプルするために必須。 |
https://k8connecthelm.azureedge.net |
az connectedk8s connect では、Helm 3 を使用して、Kubernetes クラスターに Azure Arc エージェントをデプロイします。 このエンドポイントは、エージェント Helm chart のデプロイを容易にするために、Helm クライアントのダウンロードに必要です。 |
guestnotificationservice.azure.cn
*.guestnotificationservice.azure.cn
sts.chinacloudapi.cn
https://k8sconnectcsp.azureedge.net |
クラスター接続ベース シナリオの場合と、カスタムの場所ベースのシナリオの場合。 |
*.servicebus.chinacloudapi.cn |
クラスター接続ベース シナリオの場合と、カスタムの場所ベースのシナリオの場合。 |
https://graph.chinacloudapi.cn/ |
Azure RBAC が構成されている場合は必須です。 |
*.arc.azure.cn |
Azure portal 内の接続されているクラスターを管理する場合は必須です。 |
https://<region>.obo.arc.azure.cn:8084/ |
クラスター接続が構成されている場合は必須です。 |
quay.azk8s.cn
registryk8s.azk8s.cn
k8sgcr.azk8s.cn
usgcr.azk8s.cn
dockerhub.azk8s.cn/<repo-name>/<image-name>:<version> |
Azure China VM 用のコンテナー レジストリ プロキシ サーバー。 |
エンドポイントの追加
シナリオによっては、Azure portal、管理ツール、その他の Azure サービスで使用される URL など、その他の URL への接続が必要になる場合があります。 特に、次のリストを確認して、必要なエンドポイントへの接続が許可されていることを確認してください。
Azure Arc 機能と Azure Arc 対応サービスのネットワーク要件の完全なリストについては、「Azure Arc ネットワークの要件」を参照してください。
次のステップ