Uitgaande netwerk- en FQDN-regels voor AKS-clusters (Azure Kubernetes Service)
Dit artikel bevat de benodigde details waarmee u uitgaand verkeer van uw Azure Kubernetes Service (AKS) kunt beveiligen. Het bevat de clustervereisten voor een basis-AKS-implementatie en aanvullende vereisten voor optionele invoegtoepassingen en functies. U kunt deze informatie toepassen op elke uitgaande beperkingsmethode of elk apparaat.
Als u een voorbeeldconfiguratie wilt zien met behulp van Azure Firewall, gaat u naar Uitgaand verkeer beheren met behulp van Azure Firewall in AKS.
Achtergrond
AKS-clusters worden geïmplementeerd in een virtueel netwerk. Dit netwerk kan worden aangepast en vooraf geconfigureerd door u of kan worden gemaakt en beheerd door AKS. In beide gevallen heeft het cluster uitgaande of uitgaande afhankelijkheden van services buiten het virtuele netwerk.
Voor beheer- en operationele doeleinden moeten knooppunten in een AKS-cluster toegang hebben tot bepaalde poorten en FQDN's (Fully Qualified Domain Names). Deze eindpunten zijn vereist voor de knooppunten om te communiceren met de API-server of om kernonderdelen van Kubernetes-clusters en beveiligingsupdates voor knooppunten te downloaden en te installeren. Het cluster moet bijvoorbeeld containerinstallatiekopieën ophalen uit Microsoft-artefactregister (MAR).
De uitgaande AKS-afhankelijkheden zijn bijna volledig gedefinieerd met FQDN's, die geen statische adressen hebben. Het ontbreken van statische adressen betekent dat u geen netwerkbeveiligingsgroepen (NSG's) kunt gebruiken om het uitgaande verkeer van een AKS-cluster te vergrendelen.
AKS-clusters hebben standaard onbeperkte uitgaande internettoegang. Met dit netwerktoegangsniveau kunnen knooppunten en services die u uitvoert toegang krijgen tot externe resources, indien nodig. Als u uitgaand verkeer wilt beperken, moet een beperkt aantal poorten en adressen toegankelijk zijn voor het onderhouden van goede clusteronderhoudstaken.
Een netwerk geïsoleerd AKS-cluster biedt de eenvoudigste en veiligste oplossing voor het instellen van uitgaande beperkingen voor een cluster. Een netwerkisolatiecluster haalt de installatiekopieën voor clusteronderdelen en invoegtoepassingen op van een privé Azure Container Registry-exemplaar (ACR) dat is verbonden met het cluster in plaats van uit MAR te halen. Als de installatiekopieën niet aanwezig zijn, haalt de persoonlijke ACR deze op uit MAR en dient deze via het privé-eindpunt, waardoor uitgaand verkeer van het cluster naar het openbare MAR-eindpunt niet meer nodig is. De clusteroperator kan vervolgens incrementeel toegestaan uitgaand verkeer via een privénetwerk instellen voor elk scenario dat ze willen inschakelen. Op deze manier hebben de clusteroperators vanaf het begin volledige controle over het ontwerpen van het toegestane uitgaande verkeer van hun clusters, zodat ze het risico op gegevensexfiltratie kunnen verminderen.
Een andere oplossing voor het beveiligen van uitgaande adressen is het gebruik van een firewallapparaat dat uitgaand verkeer kan beheren op basis van domeinnamen. Azure Firewall kan uitgaand HTTP- en HTTPS-verkeer beperken op basis van de FQDN van de bestemming. U kunt ook uw voorkeursfirewall en beveiligingsregels configureren om deze vereiste poorten en adressen toe te staan.
Belangrijk
In dit document wordt alleen beschreven hoe u het verkeer vergrendelt dat het AKS-subnet verlaat. AKS heeft standaard geen toegangsbeheervereisten. Het blokkeren van intern subnetverkeer met behulp van netwerkbeveiligingsgroepen (NSG's) en firewalls wordt niet ondersteund. Zie Verkeer tussen pods beveiligen met behulp van netwerkbeleid in AKS om het verkeer in het cluster te beheren en te blokkeren.
Vereiste uitgaande netwerkregels en FQDN's voor AKS-clusters
De volgende netwerk- en FQDN-/toepassingsregels zijn vereist voor een AKS-cluster. U kunt deze gebruiken als u een andere oplossing dan Azure Firewall wilt configureren.
- IP-adresafhankelijkheden zijn voor niet-HTTP/S-verkeer (zowel TCP- als UDP-verkeer).
- FQDN HTTP/HTTPS-eindpunten kunnen op uw firewallapparaat worden geplaatst.
- HTTP-/HTTPS-eindpunten met jokertekens zijn afhankelijkheden die kunnen variëren met uw AKS-cluster op basis van een aantal kwalificaties.
- AKS gebruikt een toegangscontroller om de FQDN als omgevingsvariabele te injecteren voor alle implementaties onder kube-system en gatekeeper-system. Dit zorgt ervoor dat alle systeemcommunicatie tussen knooppunten en API-server gebruikmaakt van de FQDN van de API-server en niet het IP-adres van de API-server. U kunt hetzelfde gedrag op uw eigen pods krijgen, in elke naamruimte, door aantekeningen te maken op de podspecificatie met een aantekening met de naam
kubernetes.azure.com/set-kube-service-host-fqdn. Als deze aantekening aanwezig is, stelt AKS de KUBERNETES_SERVICE_HOST variabele in op de domeinnaam van de API-server in plaats van het IP-adres van de in-clusterservice. Dit is handig in gevallen waarin het uitgaand cluster zich via een laag 7-firewall bevindt. - Als u een app of oplossing hebt die moet communiceren met de API-server, moet u een extra netwerkregel toevoegen om TCP-communicatie toe te staan naar poort 443 van het IP-adres van uw API-server OF als u een firewall van laag 7 hebt geconfigureerd om verkeer naar de domeinnaam van de API-server toe te staan, ingesteld
kubernetes.azure.com/set-kube-service-host-fqdnin de specificaties van uw pod. - Als er een onderhoudsbewerking is, kan het IP-adres van uw API-server in zeldzame gevallen veranderen. Geplande onderhoudsbewerkingen die het IP-adres van de API-server kunnen wijzigen, worden altijd vooraf gecommuniceerd.
- U ziet mogelijk verkeer naar het eindpunt md-*.blob.storage.azure.net. Dit eindpunt wordt gebruikt voor interne onderdelen van Azure Managed Disks. Het blokkeren van de toegang tot dit eindpunt vanuit uw firewall mag geen problemen veroorzaken.
- U ziet mogelijk verkeer naar het eindpunt umsa*.blob.core.windows.net. Dit eindpunt wordt gebruikt voor het opslaan van manifesten voor Azure Linux VM Agent & Extensions en wordt regelmatig gecontroleerd om nieuwe versies te downloaden. Meer informatie over VM-extensies vindt u.
Vereiste netwerkregels voor Azure Global
| Doeleindpunt | Protocol | Port | Gebruik |
|---|---|---|---|
*:1194 Of ServiceTag - AzureCloud.<Region>:1194 Of Regionale CIDR's - RegionCIDRs:1194 Of APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Voor beveiligde tunnelcommunicatie tussen de knooppunten en het besturingsvlak. Dit is niet vereist voor privéclusters of voor clusters waarvoor de konnectivity-agent is ingeschakeld. |
*:9000 Of ServiceTag - AzureCloud.<Region>:9000 Of Regionale CIDR's - RegionCIDRs:9000 Of APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Voor beveiligde tunnelcommunicatie tussen de knooppunten en het besturingsvlak. Dit is niet vereist voor privéclusters of voor clusters waarvoor de konnectivity-agent is ingeschakeld. |
*:123 of ntp.ubuntu.com:123 (als u Azure Firewall-netwerkregels gebruikt) |
UDP | 123 | Vereist voor NTP-tijdsynchronisatie (Network Time Protocol) op Linux-knooppunten. Dit is niet vereist voor knooppunten die na maart 2021 zijn ingericht. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Als u aangepaste DNS-servers gebruikt, moet u ervoor zorgen dat deze toegankelijk zijn voor de clusterknooppunten. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Vereist als actieve pods/implementaties die toegang hebben tot de API-server, deze pods/implementaties gebruikmaken van het API-IP-adres. Deze poort is niet vereist voor privéclusters. |
Vereiste FQDN/toepassingsregels voor Azure Global
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Vereist voor communicatie tussen knooppunt <-> API-servers. Vervang <de locatie> door de regio waar uw AKS-cluster is geïmplementeerd. Dit is vereist voor clusters waarvoor konnectivity-agent is ingeschakeld. Konnectivity maakt ook gebruik van AlPN (Application-Layer Protocol Negotiation) om te communiceren tussen agent en server. Als u de ALPN-extensie blokkeert of herschrijft, treedt er een fout op. Dit is niet vereist voor privéclusters. |
mcr.microsoft.com |
HTTPS:443 |
Vereist voor toegang tot installatiekopieën in Microsoft Container Registry (MCR). Dit register bevat afbeeldingen/grafieken van derden (bijvoorbeeld coreDNS, enzovoort). Deze installatiekopieën zijn vereist voor het juiste maken en functioneren van het cluster, inclusief schaal- en upgradebewerkingen. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Vereist voor MCR-opslag die wordt ondersteund door het Azure CDN (Content Delivery Network). |
management.azure.com |
HTTPS:443 |
Vereist voor Kubernetes-bewerkingen op basis van de Azure-API. |
login.microsoftonline.com |
HTTPS:443 |
Vereist voor Microsoft Entra-verificatie. |
packages.microsoft.com |
HTTPS:443 |
Dit adres is de Opslagplaats voor Microsoft-pakketten die wordt gebruikt voor apt-get-bewerkingen in de cache. Voorbeelden van pakketten zijn Moby, PowerShell en Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Dit adres is bedoeld voor de opslagplaats die is vereist voor het downloaden en installeren van vereiste binaire bestanden, zoals kubenet en Azure CNI. |
Microsoft Azure beheerd door 21Vianet vereiste netwerkregels
| Doeleindpunt | Protocol | Port | Gebruik |
|---|---|---|---|
*:1194 Of ServiceTag - AzureCloud.Region:1194 Of Regionale CIDR's - RegionCIDRs:1194 Of APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Voor beveiligde tunnelcommunicatie tussen de knooppunten en het besturingsvlak. |
*:9000 Of ServiceTag - AzureCloud.<Region>:9000 Of Regionale CIDR's - RegionCIDRs:9000 Of APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Voor beveiligde tunnelcommunicatie tussen de knooppunten en het besturingsvlak. |
*:22 Of ServiceTag - AzureCloud.<Region>:22 Of Regionale CIDR's - RegionCIDRs:22 Of APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | Voor beveiligde tunnelcommunicatie tussen de knooppunten en het besturingsvlak. |
*:123 of ntp.ubuntu.com:123 (als u Azure Firewall-netwerkregels gebruikt) |
UDP | 123 | Vereist voor NTP-tijdsynchronisatie (Network Time Protocol) op Linux-knooppunten. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Als u aangepaste DNS-servers gebruikt, moet u ervoor zorgen dat deze toegankelijk zijn voor de clusterknooppunten. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Vereist als actieve pods/implementaties die toegang hebben tot de API-server, gebruiken deze pods/implementaties het API-IP-adres. |
Microsoft Azure beheerd door 21Vianet vereiste FQDN/toepassingsregels
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Vereist voor communicatie tussen knooppunt <-> API-servers. Vervang <de locatie> door de regio waar uw AKS-cluster is geïmplementeerd. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Vereist voor communicatie tussen knooppunt <-> API-servers. Vervang <de locatie> door de regio waar uw AKS-cluster is geïmplementeerd. |
mcr.microsoft.com |
HTTPS:443 |
Vereist voor toegang tot installatiekopieën in Microsoft Container Registry (MCR). Dit register bevat afbeeldingen/grafieken van derden (bijvoorbeeld coreDNS, enzovoort). Deze installatiekopieën zijn vereist voor het juiste maken en functioneren van het cluster, inclusief schaal- en upgradebewerkingen. |
.data.mcr.microsoft.com |
HTTPS:443 |
Vereist voor MCR-opslag die wordt ondersteund door het Azure Content Delivery Network (CDN). |
management.chinacloudapi.cn |
HTTPS:443 |
Vereist voor Kubernetes-bewerkingen op basis van de Azure-API. |
login.chinacloudapi.cn |
HTTPS:443 |
Vereist voor Microsoft Entra-verificatie. |
packages.microsoft.com |
HTTPS:443 |
Dit adres is de Opslagplaats voor Microsoft-pakketten die wordt gebruikt voor apt-get-bewerkingen in de cache. Voorbeelden van pakketten zijn Moby, PowerShell en Azure CLI. |
*.azk8s.cn |
HTTPS:443 |
Dit adres is bedoeld voor de opslagplaats die is vereist voor het downloaden en installeren van vereiste binaire bestanden, zoals kubenet en Azure CNI. |
Vereiste netwerkregels voor Azure US Government
| Doeleindpunt | Protocol | Port | Gebruik |
|---|---|---|---|
*:1194 Of ServiceTag - AzureCloud.<Region>:1194 Of Regionale CIDR's - RegionCIDRs:1194 Of APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Voor beveiligde tunnelcommunicatie tussen de knooppunten en het besturingsvlak. |
*:9000 Of ServiceTag - AzureCloud.<Region>:9000 Of Regionale CIDR's - RegionCIDRs:9000 Of APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Voor beveiligde tunnelcommunicatie tussen de knooppunten en het besturingsvlak. |
*:123 of ntp.ubuntu.com:123 (als u Azure Firewall-netwerkregels gebruikt) |
UDP | 123 | Vereist voor NTP-tijdsynchronisatie (Network Time Protocol) op Linux-knooppunten. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Als u aangepaste DNS-servers gebruikt, moet u ervoor zorgen dat deze toegankelijk zijn voor de clusterknooppunten. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Vereist als actieve pods/implementaties die toegang hebben tot de API-server, deze pods/implementaties gebruikmaken van het API-IP-adres. |
Vereiste FQDN/toepassingsregels voor Azure US Government
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Vereist voor communicatie tussen knooppunt <-> API-servers. Vervang <de locatie> door de regio waar uw AKS-cluster is geïmplementeerd. |
mcr.microsoft.com |
HTTPS:443 |
Vereist voor toegang tot installatiekopieën in Microsoft Container Registry (MCR). Dit register bevat afbeeldingen/grafieken van derden (bijvoorbeeld coreDNS, enzovoort). Deze installatiekopieën zijn vereist voor het juiste maken en functioneren van het cluster, inclusief schaal- en upgradebewerkingen. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Vereist voor MCR-opslag die wordt ondersteund door het Azure CDN (Content Delivery Network). |
management.usgovcloudapi.net |
HTTPS:443 |
Vereist voor Kubernetes-bewerkingen op basis van de Azure-API. |
login.microsoftonline.us |
HTTPS:443 |
Vereist voor Microsoft Entra-verificatie. |
packages.microsoft.com |
HTTPS:443 |
Dit adres is de Opslagplaats voor Microsoft-pakketten die wordt gebruikt voor apt-get-bewerkingen in de cache. Voorbeelden van pakketten zijn Moby, PowerShell en Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Dit adres is bedoeld voor de opslagplaats die is vereist voor het installeren van vereiste binaire bestanden, zoals kubenet en Azure CNI. |
Optioneel aanbevolen FQDN/toepassingsregels voor AKS-clusters
De volgende FQDN-/toepassingsregels zijn niet vereist, maar worden aanbevolen voor AKS-clusters:
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
security.ubuntu.com, , azure.archive.ubuntu.comchangelogs.ubuntu.com |
HTTP:80 |
Met dit adres kunnen de Linux-clusterknooppunten de vereiste beveiligingspatches en -updates downloaden. |
snapshot.ubuntu.com |
HTTPS:443 |
Met dit adres kunnen de Linux-clusterknooppunten de vereiste beveiligingspatches en updates downloaden van de Ubuntu Snapshot-service. |
Als u ervoor kiest om deze FQDN's te blokkeren/niet toe te staan, ontvangen de knooppunten alleen updates van het besturingssysteem wanneer u een upgrade van een knooppuntinstallatiekopieën of clusterupgrade uitvoert. Houd er rekening mee dat upgrades van knooppuntinstallatiekopieën ook worden geleverd met bijgewerkte pakketten, waaronder beveiligingsoplossingen.
AKS-clusters met GPU vereist FQDN/toepassingsregels
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Dit adres wordt gebruikt voor de juiste installatie en bewerking van stuurprogramma's op GPU-knooppunten. |
us.download.nvidia.com |
HTTPS:443 |
Dit adres wordt gebruikt voor de juiste installatie en bewerking van stuurprogramma's op GPU-knooppunten. |
download.docker.com |
HTTPS:443 |
Dit adres wordt gebruikt voor de juiste installatie en bewerking van stuurprogramma's op GPU-knooppunten. |
Op Windows Server gebaseerde knooppuntgroepen vereist FQDN/toepassingsregels
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Binaire bestanden met Betrekking tot Windows installeren |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Binaire bestanden met Betrekking tot Windows installeren |
Als u ervoor kiest om deze FQDN's te blokkeren/niet toe te staan, ontvangen de knooppunten alleen updates van het besturingssysteem wanneer u een upgrade van een knooppuntinstallatiekopieën of clusterupgrade uitvoert. Houd er rekening mee dat knooppuntinstallatiekopieënupgrades ook worden geleverd met bijgewerkte pakketten, waaronder beveiligingsoplossingen.
AKS-functies, -invoegtoepassingen en -integraties
Workload-identiteit
Vereiste FQDN/toepassingsregels
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
login.microsoftonline.comof login.chinacloudapi.cnlogin.microsoftonline.us |
HTTPS:443 |
Vereist voor Microsoft Entra-verificatie. |
Microsoft Defender voor containers
Vereiste FQDN/toepassingsregels
| FQDN | Poort | Gebruik |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure beheerd door 21Vianet) |
HTTPS:443 |
Vereist voor Microsoft Entra-verificatie. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government) *.ods.opinsights.azure.cn (Azure beheerd door 21Vianet) |
HTTPS:443 |
Vereist voor het uploaden van beveiligingsevenementen naar de cloud door Microsoft Defender. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government) *.oms.opinsights.azure.cn (Azure beheerd door 21Vianet) |
HTTPS:443 |
Vereist voor verificatie met Log Analytics-werkruimten. |
Azure Key Vault-provider voor Secrets Store CSI-stuurprogramma
Als u geïsoleerde netwerkclusters gebruikt, is het raadzaam om een privé-eindpunt in te stellen voor toegang tot Azure Key Vault.
Als uw cluster uitgaande type door de gebruiker gedefinieerde routering en Azure Firewall heeft, zijn de volgende netwerkregels en toepassingsregels van toepassing van toepassing:
Vereiste FQDN/toepassingsregels
| FQDN | Poort | Gebruik |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Vereist voor CSI Secret Store-invoegtoepassingspods om te communiceren met de Azure KeyVault-server. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Vereist voor CSI Secret Store-invoegtoepassingspods om te communiceren met de Azure KeyVault-server in Azure Government. |
Azure Monitor - Beheerde Prometheus en Container Insights
Als u geïsoleerde netwerkclusters gebruikt, is het raadzaam om op privé-eindpunten gebaseerde opname in te stellen. Dit wordt ondersteund voor zowel Beheerde Prometheus (Azure Monitor-werkruimte) als Container Insights (Log Analytics-werkruimte).
Als uw cluster uitgaande type door de gebruiker gedefinieerde routering en Azure Firewall heeft, zijn de volgende netwerkregels en toepassingsregels van toepassing van toepassing:
Vereiste netwerkregels
| Doeleindpunt | Protocol | Port | Gebruik |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Dit eindpunt wordt gebruikt voor het verzenden van metrische gegevens en logboeken naar Azure Monitor en Log Analytics. |
Openbare Azure-cloud vereist FQDN/toepassingsregels
| Eindpunt | Doel | Poort |
|---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
Access Control Service | 443 |
*.ingest.monitor.azure.com |
Container Insights - eindpunt voor logboekopname (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
Beheerde Azure Monitor-service voor Prometheus : eindpunt voor metrische gegevensopname (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
Regels voor het verzamelen van gegevens ophalen voor een specifiek cluster | 443 |
Microsoft Azure beheerd door de 21Vianet-cloud vereist FQDN/toepassingsregels
| Eindpunt | Doel | Poort |
|---|---|---|
*.ods.opinsights.azure.cn |
Gegevensopname | 443 |
*.oms.opinsights.azure.cn |
Onboarding van Azure Monitor-agent (AMA) | 443 |
dc.services.visualstudio.com |
Voor agenttelemetrie die gebruikmaakt van Azure Public Cloud Application Insights | 443 |
global.handler.control.monitor.azure.cn |
Access Control Service | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
Regels voor het verzamelen van gegevens ophalen voor een specifiek cluster | 443 |
*.ingest.monitor.azure.cn |
Container Insights - eindpunt voor logboekopname (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
Beheerde Azure Monitor-service voor Prometheus : eindpunt voor metrische gegevensopname (DCE) | 443 |
Azure Government-cloud vereist FQDN/toepassingsregels
| Eindpunt | Doel | Poort |
|---|---|---|
*.ods.opinsights.azure.us |
Gegevensopname | 443 |
*.oms.opinsights.azure.us |
Onboarding van Azure Monitor-agent (AMA) | 443 |
dc.services.visualstudio.com |
Voor agenttelemetrie die gebruikmaakt van Azure Public Cloud Application Insights | 443 |
global.handler.control.monitor.azure.us |
Access Control Service | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
Regels voor het verzamelen van gegevens ophalen voor een specifiek cluster | 443 |
*.ingest.monitor.azure.us |
Container Insights - eindpunt voor logboekopname (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
Beheerde Azure Monitor-service voor Prometheus : eindpunt voor metrische gegevensopname (DCE) | 443 |
Azure Policy
Vereiste FQDN/toepassingsregels
| FQDN | Poort | Gebruik |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Dit adres wordt gebruikt om het Kubernetes-beleid op te halen en de nalevingsstatus van het cluster te rapporteren aan de beleidsservice. |
store.policy.core.windows.net |
HTTPS:443 |
Dit adres wordt gebruikt om de Gatekeeper-artefacten van ingebouwde beleidsregels op te halen. |
dc.services.visualstudio.com |
HTTPS:443 |
Azure Policy-invoegtoepassing waarmee telemetriegegevens worden verzonden naar het eindpunt voor inzichten in toepassingen. |
Microsoft Azure beheerd door 21Vianet vereiste FQDN/toepassingsregels
| FQDN | Poort | Gebruik |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Dit adres wordt gebruikt om het Kubernetes-beleid op te halen en de nalevingsstatus van het cluster te rapporteren aan de beleidsservice. |
store.policy.azure.cn |
HTTPS:443 |
Dit adres wordt gebruikt om de Gatekeeper-artefacten van ingebouwde beleidsregels op te halen. |
Vereiste FQDN/toepassingsregels voor Azure US Government
| FQDN | Poort | Gebruik |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Dit adres wordt gebruikt om het Kubernetes-beleid op te halen en de nalevingsstatus van het cluster te rapporteren aan de beleidsservice. |
store.policy.azure.us |
HTTPS:443 |
Dit adres wordt gebruikt om de Gatekeeper-artefacten van ingebouwde beleidsregels op te halen. |
Invoegtoepassing voor AKS-kostenanalyse
Vereiste FQDN/toepassingsregels
| FQDN | Poort | Gebruik |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Azure Government) management.chinacloudapi.cn (Azure beheerd door 21Vianet) |
HTTPS:443 |
Vereist voor Kubernetes-bewerkingen op basis van de Azure-API. |
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure beheerd door 21Vianet) |
HTTPS:443 |
Vereist voor Microsoft Entra ID-verificatie. |
Clusterextensies
Vereiste FQDN/toepassingsregels
| FQDN | Haven | Gebruik |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Dit adres wordt gebruikt om configuratiegegevens op te halen van de clusterextensiesservice en de status van de extensie te rapporteren aan de service. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Dit adres is vereist voor het ophalen van containerinstallatiekopieën voor het installeren van clusteruitbreidingsagents op een AKS-cluster. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Dit adres is vereist voor het ophalen van containerinstallatiekopieën voor het installeren van Marketplace-extensies op een AKS-cluster. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Dit adres is bedoeld voor het regionale eindpunt voor regionale gegevens in India en is vereist voor het ophalen van containerinstallatiekopieën voor het installeren van Marketplace-extensies in een AKS-cluster. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Dit adres is bedoeld voor het eindpunt voor regionale gegevens in Oost Japan en is vereist voor het ophalen van containerinstallatiekopieën voor het installeren van Marketplace-extensies op een AKS-cluster. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Dit adres is bedoeld voor het regionale gegevenseindpunt US2 - west en is vereist voor het ophalen van containerinstallatiekopieën voor het installeren van Marketplace-extensies in een AKS-cluster. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Dit adres is bedoeld voor het regionale gegevenseindpunt europa - west en is vereist voor het ophalen van containerinstallatiekopieën voor het installeren van Marketplace-extensies in een AKS-cluster. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Dit adres is voor het regionale gegevenseindpunt VS - oost en is vereist voor het ophalen van containerinstallatiekopieën voor het installeren van Marketplace-extensies in een AKS-cluster. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Dit adres wordt gebruikt om metrische gegevens van agents naar Azure te verzenden. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Dit adres wordt gebruikt voor het verzenden van aangepast gebruik op basis van een meter naar de API voor handelslicentiecontrole. |
Vereiste FQDN/toepassingsregels voor Azure US Government
| FQDN | Poort | Gebruik |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Dit adres wordt gebruikt om configuratiegegevens op te halen van de clusterextensiesservice en de status van de extensie te rapporteren aan de service. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Dit adres is vereist voor het ophalen van containerinstallatiekopieën voor het installeren van clusteruitbreidingsagents op een AKS-cluster. |
Notitie
Voor eventuele invoegtoepassingen die hier niet expliciet worden vermeld, worden deze door de kernvereisten behandeld.
Op Istio gebaseerde service mesh-invoegtoepassing
In Istio=based service mesh-invoegtoepassing, als u istiod instelt met een invoegtoepassing certificeringsinstantie (CA) of als u een beveiligde toegangsgateway instelt, is Azure Key Vault-provider voor Secrets Store CSI-stuurprogramma vereist voor deze functies. De vereisten voor uitgaand netwerk voor Azure Key Vault-provider voor Het CSI-stuurprogramma Secrets Store vindt u hier.
Invoegtoepassing voor toepassingsroutering
De invoegtoepassing voor toepassingsroutering ondersteunt SSL-beëindiging bij inkomend verkeer met certificaten die zijn opgeslagen in Azure Key Vault. De vereisten voor uitgaand netwerk voor Azure Key Vault-provider voor Het CSI-stuurprogramma Secrets Store vindt u hier.
Volgende stappen
In dit artikel hebt u geleerd welke poorten en adressen u wilt toestaan als u uitgaand verkeer voor het cluster wilt beperken.
Zie Verkeer tussen pods beveiligen tussen pods in AKS als u wilt beperken hoe pods communiceren tussen zichzelf en Oost-West-verkeer binnen het cluster.
Azure Kubernetes Service