Delen via


Kubernetes-netwerkvereisten met Azure Arc

In dit onderwerp worden de netwerkvereisten beschreven voor het verbinden van een Kubernetes-cluster met Azure Arc en het ondersteunen van verschillende Kubernetes-scenario's met Arc.

Tip

Voor de openbare Azure-cloud kunt u het aantal vereiste eindpunten verminderen met behulp van de Azure Arc-gateway (preview).

DETAILS

Over het algemeen omvatten de connectiviteitsvereisten de volgende principes:

  • Alle verbindingen zijn TCP, tenzij anders opgegeven.
  • Alle HTTP-verbindingen gebruiken HTTPS en SSL/TLS met officieel ondertekende en verifieerbare certificaten.
  • Alle verbindingen zijn uitgaand, tenzij anders is opgegeven.

Als u een proxy wilt gebruiken, controleert u of de agents en de computer die het onboardingproces uitvoeren, voldoen aan de netwerkvereisten in dit artikel.

Belangrijk

Voor Azure Arc-agents zijn de volgende uitgaande URL's https://:443 vereist om te kunnen functioneren. Websockets *.servicebus.windows.netmoeten zijn ingeschakeld voor uitgaande toegang op de firewall en proxy.

Eindpunt (DNS) Beschrijving
https://management.azure.com Vereist dat de agent verbinding maakt met Azure en het cluster registreert.
https://<region>.dp.kubernetesconfiguration.azure.com Eindpunt van het gegevensvlak voor deze agent om de status te pushen en configuratiegegevens op te halen.
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net
Vereist om de Azure Resource Manager-tokens op te halen en bij te werken.
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com
Vereist voor het ophalen van containerinstallatiekopieën voor Azure Arc-agents.
https://gbl.his.arc.azure.com Vereist om het regionale eindpunt op te halen voor het ophalen van door het systeem toegewezen beheerde identiteitscertificaten.
https://*.his.arc.azure.com Vereist voor het ophalen van door het systeem toegewezen beheerde identiteitcertificaten.
https://k8connecthelm.azureedge.net az connectedk8s connect gebruikt Helm 3 om Azure Arc-agents in het Kubernetes-cluster te implementeren. Dit eindpunt is nodig voor het downloaden van de Helm-client om de implementatie van de Helm-agentgrafiek te vergemakkelijken.
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net
Voor clusterverbinding en voor scenario's op basis van aangepaste locaties .
*.servicebus.windows.net Voor clusterverbinding en voor scenario's op basis van aangepaste locaties .
https://graph.microsoft.com/ Vereist wanneer Azure RBAC is geconfigureerd.
*.arc.azure.net Vereist voor het beheren van verbonden clusters in Azure Portal.
https://<region>.obo.arc.azure.com:8084/ Vereist wanneer Cluster Connect is geconfigureerd.
https://linuxgeneva-microsoft.azurecr.io Vereist als u Kubernetes-extensies met Azure Arc gebruikt.

Gebruik de opdracht om het *.servicebus.windows.net jokerteken om te zetten in specifieke eindpunten:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Als u het regiosegment van een regionaal eindpunt wilt ophalen, verwijdert u alle spaties uit de naam van de Azure-regio. Bijvoorbeeld, regio VS - oost 2 , de regionaam is eastus2.

Bijvoorbeeld: *.<region>.arcdataservices.com moet zich in de regio VS - oost 2 bevinden *.eastus2.arcdataservices.com .

Voer deze opdracht uit om een lijst met alle regio's weer te geven:

az account list-locations -o table
Get-AzLocation | Format-Table

Aanvullende eindpunten

Afhankelijk van uw scenario hebt u mogelijk verbinding nodig met andere URL's, zoals de URL's die worden gebruikt door de Azure-portal, beheerhulpprogramma's of andere Azure-services. Bekijk deze lijsten met name om ervoor te zorgen dat u connectiviteit met alle benodigde eindpunten toestaat:

Zie Azure Arc-netwerkvereisten voor een volledige lijst met netwerkvereisten voor Azure Arc-functies en Azure Arc-services.

Volgende stappen