In dit onderwerp worden de netwerkvereisten beschreven voor het verbinden van een Kubernetes-cluster met Azure Arc en het ondersteunen van verschillende Kubernetes-scenario's met Arc.
Tip
Voor de openbare Azure-cloud kunt u het aantal vereiste eindpunten verminderen met behulp van de Azure Arc-gateway (preview).
DETAILS
Over het algemeen omvatten de connectiviteitsvereisten de volgende principes:
Alle verbindingen zijn TCP, tenzij anders opgegeven.
Alle HTTP-verbindingen gebruiken HTTPS en SSL/TLS met officieel ondertekende en verifieerbare certificaten.
Alle verbindingen zijn uitgaand, tenzij anders is opgegeven.
Als u een proxy wilt gebruiken, controleert u of de agents en de computer die het onboardingproces uitvoeren, voldoen aan de netwerkvereisten in dit artikel.
Voor Azure Arc-agents zijn de volgende uitgaande URL's https://:443 vereist om te kunnen functioneren.
Websockets *.servicebus.windows.netmoeten zijn ingeschakeld voor uitgaande toegang op de firewall en proxy.
Eindpunt (DNS)
Beschrijving
https://management.azure.com
Vereist dat de agent verbinding maakt met Azure en het cluster registreert.
Vereist voor het ophalen van containerinstallatiekopieën voor Azure Arc-agents.
https://gbl.his.arc.azure.com
Vereist om het regionale eindpunt op te halen voor het ophalen van door het systeem toegewezen beheerde identiteitscertificaten.
https://*.his.arc.azure.com
Vereist voor het ophalen van door het systeem toegewezen beheerde identiteitcertificaten.
https://k8connecthelm.azureedge.net
az connectedk8s connect gebruikt Helm 3 om Azure Arc-agents in het Kubernetes-cluster te implementeren. Dit eindpunt is nodig voor het downloaden van de Helm-client om de implementatie van de Helm-agentgrafiek te vergemakkelijken.
Vereist als u Kubernetes-extensies met Azure Arc gebruikt.
Gebruik de opdracht om het *.servicebus.windows.net jokerteken om te zetten in specifieke eindpunten:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
Als u het regiosegment van een regionaal eindpunt wilt ophalen, verwijdert u alle spaties uit de naam van de Azure-regio. Bijvoorbeeld, regio VS - oost 2 , de regionaam is eastus2.
Bijvoorbeeld: *.<region>.arcdataservices.com moet zich in de regio VS - oost 2 bevinden *.eastus2.arcdataservices.com .
Voer deze opdracht uit om een lijst met alle regio's weer te geven:
az account list-locations -o table
Get-AzLocation | Format-Table
Belangrijk
Voor Azure Arc-agents zijn de volgende uitgaande URL's https://:443 vereist om te kunnen functioneren.
Websockets *.servicebus.usgovcloudapi.netmoeten zijn ingeschakeld voor uitgaande toegang op de firewall en proxy.
Eindpunt (DNS)
Beschrijving
https://management.usgovcloudapi.net
Vereist dat de agent verbinding maakt met Azure en het cluster registreert.
Vereist voor het ophalen van containerinstallatiekopieën voor Azure Arc-agents.
https://gbl.his.arc.azure.us
Vereist om het regionale eindpunt op te halen voor het ophalen van door het systeem toegewezen beheerde identiteitscertificaten.
https://usgv.his.arc.azure.us
Vereist voor het ophalen van door het systeem toegewezen beheerde identiteitcertificaten.
https://k8connecthelm.azureedge.net
az connectedk8s connect gebruikt Helm 3 om Azure Arc-agents in het Kubernetes-cluster te implementeren. Dit eindpunt is nodig voor het downloaden van de Helm-client om de implementatie van de Helm-agentgrafiek te vergemakkelijken.
Gebruik de opdracht om het *.servicebus.usgovcloudapi.net jokerteken om te zetten in specifieke eindpunten:
GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&location=region
Als u het regiosegment van een regionaal eindpunt wilt ophalen, verwijdert u alle spaties uit de naam van de Azure-regio. Bijvoorbeeld, regio VS - oost 2 , de regionaam is eastus2.
Bijvoorbeeld: *.<region>.arcdataservices.com moet zich in de regio VS - oost 2 bevinden *.eastus2.arcdataservices.com .
Voer deze opdracht uit om een lijst met alle regio's weer te geven:
az account list-locations -o table
Get-AzLocation | Format-Table
Belangrijk
Voor Azure Arc-agents zijn de volgende uitgaande URL's https://:443 vereist om te kunnen functioneren.
Websockets *.servicebus.chinacloudapi.cnmoeten zijn ingeschakeld voor uitgaande toegang op de firewall en proxy.
Eindpunt (DNS)
Beschrijving
https://management.chinacloudapi.cn
Vereist dat de agent verbinding maakt met Azure en het cluster registreert.
Vereist om de Azure Resource Manager-tokens op te halen en bij te werken.
mcr.azk8s.cn
Vereist voor het ophalen van containerinstallatiekopieën voor Azure Arc-agents.
https://gbl.his.arc.azure.cn
Vereist om het regionale eindpunt op te halen voor het ophalen van door het systeem toegewezen beheerde identiteitscertificaten.
https://*.his.arc.azure.cn
Vereist voor het ophalen van door het systeem toegewezen beheerde identiteitcertificaten.
https://k8connecthelm.azureedge.net
az connectedk8s connect gebruikt Helm 3 om Azure Arc-agents in het Kubernetes-cluster te implementeren. Dit eindpunt is nodig voor het downloaden van de Helm-client om de implementatie van de Helm-agentgrafiek te vergemakkelijken.
Containerregisterproxyservers voor Azure China-VM's.
Aanvullende eindpunten
Afhankelijk van uw scenario hebt u mogelijk verbinding nodig met andere URL's, zoals de URL's die worden gebruikt door de Azure-portal, beheerhulpprogramma's of andere Azure-services. Bekijk deze lijsten met name om ervoor te zorgen dat u connectiviteit met alle benodigde eindpunten toestaat: