次の方法で共有


Azure Arc 対応 Kubernetes ネットワークの要件

このトピックでは、Kubernetes クラスターを Azure Arc に接続し、さまざまな Arc 対応 Kubernetes シナリオをサポートするためのネットワーク要件について説明します。

詳細

一般に、接続要件には次の原則が含まれます。

  • 特に指定がない限り、すべての接続は TCP です。
  • すべての HTTP 接続では、公式に署名された検証可能な証明書と共に HTTPS と SSL/TLS が使用されます。
  • 特に指定がない限り、すべての接続はアウトバウンドです。

プロキシを使用するには、オンボード プロセスを実行しているエージェントとマシンがこの記事のネットワーク要件を満たしていることを確認します。

重要

Azure Arc エージェントが機能するには、https://:443 に次の送信 URL が必要です。 *.servicebus.windows.net の場合、ファイアウォールとプロキシで送信アクセスに対して Websockets を有効にする必要があります。

エンドポイント (DNS) 説明
https://management.azure.com エージェントが Azure に接続し、クラスターを登録するために必要です。
https://<region>.dp.kubernetesconfiguration.azure.com エージェントが状態をプッシュして構成情報をフェッチするためのデータ プレーン エンドポイント。
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net
Azure Resource Manager トークンをフェッチし、更新するために必要です。
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com
Azure Arc エージェント用のコンテナー イメージをプルするために必要です。
https://gbl.his.arc.azure.com システム割り当て管理 ID 証明書をプルするためリージョン エンドポイントを取得するために必要です。
https://*.his.arc.azure.com システム割り当てマネージド ID 証明書をプルするために必須。
https://k8connecthelm.azureedge.net az connectedk8s connect では、Helm 3 を使用して、Kubernetes クラスターに Azure Arc エージェントをデプロイします。 このエンドポイントは、エージェント Helm chart のデプロイを容易にするために、Helm クライアントのダウンロードに必要です。
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net
クラスター接続ベース シナリオの場合と、カスタムの場所ベースのシナリオの場合。
*.servicebus.windows.net クラスター接続ベース シナリオの場合と、カスタムの場所ベースのシナリオの場合。
https://graph.microsoft.com/ Azure RBAC が構成されている場合は必須です。
*.arc.azure.net Azure portal 内の接続されているクラスターを管理する場合は必須です。
https://<region>.obo.arc.azure.com:8084/ クラスター接続が構成されている場合は必須です。
https://linuxgeneva-microsoft.azurecr.io Azure Arc 対応 Kubernetes 拡張機能を使っている場合に必要。

*.servicebus.windows.net ワイルドカードを特定のエンドポイントに変換するには、このコマンドを使用します。

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

リージョン エンドポイントのリージョン セグメントを取得するには、Azure リージョン名からすべてのスペースを削除します。 たとえば、米国東部 2 リージョンのリージョン名は eastus2 となります。

たとえば、*.<region>.arcdataservices.com は、米国東部 2 リージョンでは *.eastus2.arcdataservices.com となります。

すべてのリージョンの一覧を表示するには、このコマンドを実行します。

az account list-locations -o table
Get-AzLocation | Format-Table

エンドポイントの追加

シナリオによっては、Azure portal、管理ツール、その他の Azure サービスで使用される URL など、その他の URL への接続が必要になる場合があります。 特に、次のリストを確認して、必要なエンドポイントへの接続が許可されていることを確認してください。

Azure Arc 機能と Azure Arc 対応サービスのネットワーク要件の完全なリストについては、「Azure Arc ネットワークの要件」を参照してください。

次のステップ