Reguły sieci wychodzącej i nazwy FQDN dla klastrów usługi Azure Kubernetes Service (AKS)
Ten artykuł zawiera niezbędne szczegóły, które umożliwiają zabezpieczanie ruchu wychodzącego z usługi Azure Kubernetes Service (AKS). Zawiera wymagania dotyczące klastra dla podstawowego wdrożenia usługi AKS oraz dodatkowe wymagania dotyczące opcjonalnych dodatków i funkcji. Te informacje można zastosować do dowolnej metody ograniczenia ruchu wychodzącego lub urządzenia.
Aby wyświetlić przykładową konfigurację przy użyciu usługi Azure Firewall, odwiedź stronę Kontrolowanie ruchu wychodzącego przy użyciu usługi Azure Firewall w usłudze AKS.
Tło
Klastry AKS są wdrażane w sieci wirtualnej. Tę sieć można dostosować i wstępnie skonfigurować lub można ją utworzyć i zarządzać przez usługę AKS. W obu przypadkach klaster ma wychodzące lub wychodzące zależności od usług spoza sieci wirtualnej.
Do celów zarządzania i działania węzły w klastrze usługi AKS muszą uzyskiwać dostęp do określonych portów i w pełni kwalifikowanych nazw domen (FQDN). Te punkty końcowe są wymagane, aby węzły komunikowały się z serwerem interfejsu API lub pobierały i instalowali podstawowe składniki klastra Kubernetes i aktualizacje zabezpieczeń węzłów. Na przykład klaster musi ściągnąć obrazy kontenerów z Rejestr Artefaktów Microsoft (MAR).
Zależności wychodzące usługi AKS są prawie całkowicie zdefiniowane przy użyciu nazw FQDN, które nie mają za nimi statycznych adresów. Brak adresów statycznych oznacza, że nie można użyć sieciowych grup zabezpieczeń w celu zablokowania ruchu wychodzącego z klastra usługi AKS.
Domyślnie klastry usługi AKS mają nieograniczony wychodzący dostęp do Internetu. Ten poziom dostępu do sieci umożliwia węzłom i usługom, które są uruchamiane w celu uzyskania dostępu do zasobów zewnętrznych zgodnie z potrzebami. Jeśli chcesz ograniczyć ruch wychodzący, ograniczona liczba portów i adresów musi być dostępna, aby zachować zadania konserwacji klastra w dobrej kondycji.
Izolowany klaster usługi AKS w sieci zapewnia najprostsze i najbezpieczniejsze rozwiązanie do konfigurowania ograniczeń ruchu wychodzącego dla klastra gotowego do użycia. Klaster izolowany w sieci ściąga obrazy składników klastra i dodatków z prywatnego wystąpienia usługi Azure Container Registry (ACR) połączonego z klastrem zamiast ściągania z mar. Jeśli obrazy nie są obecne, prywatny rekord ACR ściąga je z mar i obsługuje je za pośrednictwem prywatnego punktu końcowego, eliminując konieczność włączenia ruchu wychodzącego z klastra do publicznego punktu końcowego MAR. Operator klastra może następnie przyrostowo skonfigurować dozwolony ruch wychodzący bezpiecznie przez sieć prywatną dla każdego scenariusza, który chce włączyć. Dzięki temu operatorzy klastrów mają pełną kontrolę nad projektowaniem dozwolonego ruchu wychodzącego z klastrów bezpośrednio od samego początku, co pozwala im zmniejszyć ryzyko eksfiltracji danych.
Innym rozwiązaniem do zabezpieczania adresów wychodzących jest użycie urządzenia zapory, które może kontrolować ruch wychodzący na podstawie nazw domen. Usługa Azure Firewall może ograniczyć wychodzący ruch HTTP i HTTPS na podstawie nazwy FQDN miejsca docelowego. Możesz również skonfigurować preferowaną zaporę i reguły zabezpieczeń, aby zezwolić na te wymagane porty i adresy.
Ważne
W tym dokumencie opisano tylko sposób blokowania ruchu opuszczającego podsieć usługi AKS. Usługa AKS domyślnie nie ma wymagań dotyczących ruchu przychodzącego. Blokowanie wewnętrznego ruchu podsieci przy użyciu sieciowych grup zabezpieczeń i zapór nie jest obsługiwane. Aby kontrolować i blokować ruch w klastrze, zobacz Zabezpieczanie ruchu między zasobnikami przy użyciu zasad sieciowych w usłudze AKS.
Wymagane reguły sieci wychodzącej i nazwy FQDN dla klastrów usługi AKS
Następujące reguły sieci i nazwy FQDN/aplikacji są wymagane dla klastra usługi AKS. Możesz ich użyć, jeśli chcesz skonfigurować rozwiązanie inne niż usługa Azure Firewall.
- Zależności adresów IP dotyczą ruchu innego niż HTTP/S (ruch TCP i UDP).
- Punkty końcowe HTTP/HTTPS nazwy FQDN można umieścić na urządzeniu zapory.
- Wieloznaczne punkty końcowe HTTP/HTTPS są zależnościami, które mogą się różnić w zależności od klastra usługi AKS w zależności od wielu kwalifikatorów.
- Usługa AKS używa kontrolera dostępu do wstrzykiwania nazwy FQDN jako zmiennej środowiskowej do wszystkich wdrożeń w ramach platformy kube-system i gatekeeper-system. Dzięki temu cała komunikacja systemowa między węzłami i serwerem interfejsu API używa nazwy FQDN serwera interfejsu API, a nie adresu IP serwera interfejsu API. Możesz uzyskać to samo zachowanie na własnych zasobnikach w dowolnej przestrzeni nazw, dodając adnotację do zasobnika o nazwie
kubernetes.azure.com/set-kube-service-host-fqdn. Jeśli ta adnotacja jest obecna, usługa AKS ustawi zmienną KUBERNETES_SERVICE_HOST na nazwę domeny serwera interfejsu API zamiast adresu IP usługi klastra. Jest to przydatne w przypadkach, gdy ruch wychodzący klastra odbywa się za pośrednictwem zapory warstwy 7. - Jeśli masz aplikację lub rozwiązanie, które musi komunikować się z serwerem interfejsu API, musisz dodać dodatkową regułę sieci, aby umożliwić komunikację TCP z portem 443 adresu IP serwera interfejsu API LUB , jeśli masz zaporę warstwy 7 skonfigurowaną do zezwalania na ruch do nazwy domeny serwera interfejsu API, ustaw
kubernetes.azure.com/set-kube-service-host-fqdnw specyfikacji zasobnika. - W rzadkich przypadkach, jeśli istnieje operacja konserwacji, adres IP serwera interfejsu API może ulec zmianie. Zaplanowane operacje konserwacji, które mogą zmienić adres IP serwera interfejsu API, są zawsze przekazywane z wyprzedzeniem.
- Możesz zauważyć ruch do punktu końcowego "md-*.blob.storage.azure.net". Ten punkt końcowy jest używany w przypadku składników wewnętrznych usługi Azure Dyski zarządzane. Blokowanie dostępu do tego punktu końcowego z zapory nie powinno powodować żadnych problemów.
- Możesz zauważyć ruch do punktu końcowego "umsa*.blob.core.windows.net". Ten punkt końcowy służy do przechowywania manifestów dla agenta i rozszerzeń maszyny wirtualnej z systemem Linux platformy Azure i jest regularnie sprawdzany pod kątem pobierania nowych wersji. Więcej informacji na temat rozszerzeń maszyn wirtualnych można znaleźć.
Globalne reguły sieci wymagane na platformie Azure
| Docelowy punkt końcowy | Protokół | Port | Używanie |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.<Region>:1194 Or Regionalne ściągnięcia - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania. Nie jest to wymagane w przypadku klastrów prywatnych ani dla klastrów z włączonym agentem konnectivity-agent . |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or Regionalne ściągnięcia - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania. Nie jest to wymagane w przypadku klastrów prywatnych ani dla klastrów z włączonym agentem konnectivity-agent . |
*:123 lub ntp.ubuntu.com:123 (jeśli używasz reguł sieci usługi Azure Firewall) |
UDP | 123 | Wymagana do synchronizacji czasu protokołu NTP (Network Time Protocol) w węzłach systemu Linux. Nie jest to wymagane w przypadku węzłów aprowizowania po marcu 2021 r. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Jeśli używasz niestandardowych serwerów DNS, upewnij się, że są one dostępne dla węzłów klastra. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Wymagane w przypadku uruchamiania zasobników/wdrożeń, które uzyskują dostęp do serwera interfejsu API, te zasobniki/wdrożenia będą używać adresu IP interfejsu API. Ten port nie jest wymagany dla klastrów prywatnych. |
Globalna wymagana nazwa FQDN platformy Azure /reguły aplikacji
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Wymagane w przypadku <> komunikacji z serwerem interfejsu API. Zastąp <lokalizację> regionem, w którym wdrożono klaster usługi AKS. Jest to wymagane w przypadku klastrów z włączonym agentem konnectivity. Konnectivity używa również negocjacji protokołu warstwy aplikacji (ALPN) do komunikacji między agentem i serwerem. Blokowanie lub ponowne zapisywanie rozszerzenia ALPN spowoduje awarię. Nie jest to wymagane w przypadku klastrów prywatnych. |
mcr.microsoft.com |
HTTPS:443 |
Wymagane do uzyskania dostępu do obrazów w usłudze Microsoft Container Registry (MCR). Ten rejestr zawiera obrazy/wykresy pierwszej firmy (na przykład coreDNS itp.). Te obrazy są wymagane do poprawnego tworzenia i funkcjonowania klastra, w tym operacji skalowania i uaktualniania. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Wymagane w przypadku magazynu MCR wspieranego przez sieć dostarczania zawartości platformy Azure (CDN). |
management.azure.com |
HTTPS:443 |
Wymagane w przypadku operacji platformy Kubernetes względem interfejsu API platformy Azure. |
login.microsoftonline.com |
HTTPS:443 |
Wymagane do uwierzytelniania entra firmy Microsoft. |
packages.microsoft.com |
HTTPS:443 |
Ten adres to repozytorium pakietów firmy Microsoft używane do buforowanych operacji apt-get . Przykładowe pakiety to Moby, PowerShell i Interfejs wiersza polecenia platformy Azure. |
acs-mirror.azureedge.net |
HTTPS:443 |
Ten adres jest przeznaczony dla repozytorium wymaganego do pobrania i zainstalowania wymaganych plików binarnych, takich jak kubenet i Azure CNI. |
Platforma Microsoft Azure obsługiwana przez usługę 21Vianet — wymagane reguły sieci
| Docelowy punkt końcowy | Protokół | Port | Używanie |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.Region:1194 Or Regionalne ściągnięcia - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania. |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or Regionalne ściągnięcia - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania. |
*:22 Or ServiceTag - AzureCloud.<Region>:22 Or Regionalne ściągnięcia - RegionCIDRs:22 Or APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania. |
*:123 lub ntp.ubuntu.com:123 (jeśli używasz reguł sieci usługi Azure Firewall) |
UDP | 123 | Wymagana do synchronizacji czasu protokołu NTP (Network Time Protocol) w węzłach systemu Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Jeśli używasz niestandardowych serwerów DNS, upewnij się, że są one dostępne dla węzłów klastra. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Wymagane w przypadku uruchamiania zasobników/wdrożeń, które uzyskują dostęp do serwera interfejsu API, te zasobniki/wdrożenia będą używać adresu IP interfejsu API. |
Platforma Microsoft Azure obsługiwana przez wymaganą nazwę FQDN /reguły aplikacji 21Vianet
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Wymagane w przypadku <> komunikacji z serwerem interfejsu API. Zastąp <lokalizację> regionem, w którym wdrożono klaster usługi AKS. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Wymagane w przypadku <> komunikacji z serwerem interfejsu API. Zastąp <lokalizację> regionem, w którym wdrożono klaster usługi AKS. |
mcr.microsoft.com |
HTTPS:443 |
Wymagane do uzyskania dostępu do obrazów w usłudze Microsoft Container Registry (MCR). Ten rejestr zawiera obrazy/wykresy pierwszej firmy (na przykład coreDNS itp.). Te obrazy są wymagane do poprawnego tworzenia i funkcjonowania klastra, w tym operacji skalowania i uaktualniania. |
.data.mcr.microsoft.com |
HTTPS:443 |
Wymagane w przypadku magazynu MCR wspieranego przez usługę Azure Content Delivery Network (CDN). |
management.chinacloudapi.cn |
HTTPS:443 |
Wymagane w przypadku operacji platformy Kubernetes względem interfejsu API platformy Azure. |
login.chinacloudapi.cn |
HTTPS:443 |
Wymagane do uwierzytelniania entra firmy Microsoft. |
packages.microsoft.com |
HTTPS:443 |
Ten adres to repozytorium pakietów firmy Microsoft używane do buforowanych operacji apt-get . Przykładowe pakiety to Moby, PowerShell i Interfejs wiersza polecenia platformy Azure. |
*.azk8s.cn |
HTTPS:443 |
Ten adres jest przeznaczony dla repozytorium wymaganego do pobrania i zainstalowania wymaganych plików binarnych, takich jak kubenet i Azure CNI. |
Wymagane reguły sieci na platformie Azure US Government
| Docelowy punkt końcowy | Protokół | Port | Używanie |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.<Region>:1194 Or Regionalne ściągnięcia - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania. |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or Regionalne ściągnięcia - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania. |
*:123 lub ntp.ubuntu.com:123 (jeśli używasz reguł sieci usługi Azure Firewall) |
UDP | 123 | Wymagana do synchronizacji czasu protokołu NTP (Network Time Protocol) w węzłach systemu Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Jeśli używasz niestandardowych serwerów DNS, upewnij się, że są one dostępne dla węzłów klastra. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Wymagane w przypadku uruchamiania zasobników/wdrożeń, które uzyskują dostęp do serwera interfejsu API, te zasobniki/wdrożenia będą używać adresu IP interfejsu API. |
Wymagana nazwa FQDN/reguły aplikacji na platformie Azure DLA instytucji rządowych USA
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Wymagane w przypadku <> komunikacji z serwerem interfejsu API. Zastąp <lokalizację> regionem, w którym wdrożono klaster usługi AKS. |
mcr.microsoft.com |
HTTPS:443 |
Wymagane do uzyskania dostępu do obrazów w usłudze Microsoft Container Registry (MCR). Ten rejestr zawiera obrazy/wykresy pierwszej firmy (na przykład coreDNS itp.). Te obrazy są wymagane do poprawnego tworzenia i funkcjonowania klastra, w tym operacji skalowania i uaktualniania. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Wymagane w przypadku magazynu MCR wspieranego przez sieć dostarczania zawartości platformy Azure (CDN). |
management.usgovcloudapi.net |
HTTPS:443 |
Wymagane w przypadku operacji platformy Kubernetes względem interfejsu API platformy Azure. |
login.microsoftonline.us |
HTTPS:443 |
Wymagane do uwierzytelniania entra firmy Microsoft. |
packages.microsoft.com |
HTTPS:443 |
Ten adres to repozytorium pakietów firmy Microsoft używane do buforowanych operacji apt-get . Przykładowe pakiety to Moby, PowerShell i Interfejs wiersza polecenia platformy Azure. |
acs-mirror.azureedge.net |
HTTPS:443 |
Ten adres jest przeznaczony dla repozytorium wymaganego do zainstalowania wymaganych plików binarnych, takich jak kubenet i Azure CNI. |
Opcjonalna zalecana nazwa FQDN/reguły aplikacji dla klastrów usługi AKS
Następujące reguły FQDN/aplikacji nie są wymagane, ale są zalecane w przypadku klastrów usługi AKS:
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
security.ubuntu.com, , azure.archive.ubuntu.comchangelogs.ubuntu.com |
HTTP:80 |
Ten adres umożliwia węzłom klastra systemu Linux pobieranie wymaganych poprawek zabezpieczeń i aktualizacji. |
snapshot.ubuntu.com |
HTTPS:443 |
Ten adres umożliwia węzłom klastra systemu Linux pobieranie wymaganych poprawek zabezpieczeń i aktualizacji z usługi migawki systemu Ubuntu. |
Jeśli zdecydujesz się zablokować/nie zezwalać na te nazwy FQDN, węzły będą otrzymywać aktualizacje systemu operacyjnego tylko podczas uaktualniania obrazu węzła lub uaktualniania klastra. Należy pamiętać, że uaktualnienia obrazów węzłów są również dostarczane ze zaktualizowanymi pakietami, w tym poprawkami zabezpieczeń.
Klastry usługi AKS z obsługą procesora GPU wymagają nazwy FQDN/reguł aplikacji
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Ten adres jest używany do poprawnej instalacji sterownika i operacji na węzłach opartych na procesorze GPU. |
us.download.nvidia.com |
HTTPS:443 |
Ten adres jest używany do poprawnej instalacji sterownika i operacji na węzłach opartych na procesorze GPU. |
download.docker.com |
HTTPS:443 |
Ten adres jest używany do poprawnej instalacji sterownika i operacji na węzłach opartych na procesorze GPU. |
Pule węzłów oparte na systemie Windows Server wymagają nazwy FQDN/reguł aplikacji
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Aby zainstalować pliki binarne związane z systemem Windows |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Aby zainstalować pliki binarne związane z systemem Windows |
Jeśli zdecydujesz się zablokować/nie zezwalać na te nazwy FQDN, węzły będą otrzymywać aktualizacje systemu operacyjnego tylko podczas uaktualniania obrazu węzła lub uaktualniania klastra. Należy pamiętać, że uaktualnienia obrazów węzłów są również dostarczane ze zaktualizowanymi pakietami, w tym poprawkami zabezpieczeń.
Funkcje, dodatki i integracje usługi AKS
Tożsamość obciążenia
Wymagana nazwa FQDN/reguły aplikacji
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
login.microsoftonline.comlub lub login.chinacloudapi.cnlogin.microsoftonline.us |
HTTPS:443 |
Wymagane do uwierzytelniania entra firmy Microsoft. |
Microsoft Defender dla kontenerów
Wymagana nazwa FQDN/reguły aplikacji
| Nazwa FQDN | Port | Używanie |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Platforma Azure obsługiwana przez firmę 21Vianet) |
HTTPS:443 |
Wymagane do uwierzytelniania entra firmy Microsoft. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government) *.ods.opinsights.azure.cn (Platforma Azure obsługiwana przez firmę 21Vianet) |
HTTPS:443 |
Usługa Microsoft Defender jest wymagana do przekazywania zdarzeń zabezpieczeń do chmury. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government) *.oms.opinsights.azure.cn (Platforma Azure obsługiwana przez firmę 21Vianet) |
HTTPS:443 |
Wymagane do uwierzytelniania w obszarach roboczych usługi Log Analytics. |
Dostawca usługi Azure Key Vault dla sterownika CSI magazynu wpisów tajnych
W przypadku korzystania z izolowanych klastrów sieci zaleca się skonfigurowanie prywatnego punktu końcowego w celu uzyskania dostępu do usługi Azure Key Vault.
Jeśli klaster ma routing zdefiniowany przez użytkownika typu wychodzącego i usługę Azure Firewall, mają zastosowanie następujące reguły sieciowe i reguły aplikacji:
Wymagana nazwa FQDN/reguły aplikacji
| Nazwa FQDN | Port | Używanie |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Wymagane, aby zasobniki dodatku CSI Secret Store komunikowały się z serwerem usługi Azure KeyVault. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Wymagane w przypadku zasobników dodatków magazynu wpisów tajnych CSI do komunikacji z serwerem usługi Azure KeyVault w usłudze Azure Government. |
Azure Monitor — zarządzane rozwiązania Prometheus i Container Insights
W przypadku korzystania z izolowanych klastrów sieci zaleca się skonfigurowanie pozyskiwania opartego na prywatnym punkcie końcowym, które jest obsługiwane zarówno w przypadku zarządzanego rozwiązania Prometheus (obszaru roboczego usługi Azure Monitor) jak i szczegółowych informacji o kontenerze (obszar roboczy usługi Log Analytics).
Jeśli klaster ma routing zdefiniowany przez użytkownika typu wychodzącego i usługę Azure Firewall, mają zastosowanie następujące reguły sieciowe i reguły aplikacji:
Wymagane reguły sieci
| Docelowy punkt końcowy | Protokół | Port | Używanie |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Ten punkt końcowy służy do wysyłania danych metryk i dzienników do usług Azure Monitor i Log Analytics. |
Wymagana nazwa FQDN/reguły aplikacji w chmurze publicznej platformy Azure
| Punkt końcowy | Purpose | Port |
|---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
Usługa kontroli dostępu | 443 |
*.ingest.monitor.azure.com |
Container Insights — punkt końcowy pozyskiwania dzienników (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
Usługa zarządzana usługi Azure Monitor dla rozwiązania Prometheus — punkt końcowy pozyskiwania metryk (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
Pobieranie reguł zbierania danych dla określonego klastra | 443 |
Platforma Microsoft Azure obsługiwana przez chmurę 21Vianet wymaga nazwy FQDN/reguł aplikacji
| Punkt końcowy | Purpose | Port |
|---|---|---|
*.ods.opinsights.azure.cn |
Pozyskiwanie danych | 443 |
*.oms.opinsights.azure.cn |
Dołączanie agenta usługi Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
W przypadku telemetrii agenta korzystającej z usługi Azure Public Cloud Application Insights | 443 |
global.handler.control.monitor.azure.cn |
Usługa kontroli dostępu | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
Pobieranie reguł zbierania danych dla określonego klastra | 443 |
*.ingest.monitor.azure.cn |
Container Insights — punkt końcowy pozyskiwania dzienników (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
Usługa zarządzana usługi Azure Monitor dla rozwiązania Prometheus — punkt końcowy pozyskiwania metryk (DCE) | 443 |
Wymagana nazwa FQDN/reguły aplikacji w chmurze platformy Azure Government
| Punkt końcowy | Purpose | Port |
|---|---|---|
*.ods.opinsights.azure.us |
Pozyskiwanie danych | 443 |
*.oms.opinsights.azure.us |
Dołączanie agenta usługi Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
W przypadku telemetrii agenta korzystającej z usługi Azure Public Cloud Application Insights | 443 |
global.handler.control.monitor.azure.us |
Usługa kontroli dostępu | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
Pobieranie reguł zbierania danych dla określonego klastra | 443 |
*.ingest.monitor.azure.us |
Container Insights — punkt końcowy pozyskiwania dzienników (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
Usługa zarządzana usługi Azure Monitor dla rozwiązania Prometheus — punkt końcowy pozyskiwania metryk (DCE) | 443 |
Azure Policy
Wymagana nazwa FQDN/reguły aplikacji
| Nazwa FQDN | Port | Używanie |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Ten adres służy do ściągania zasad platformy Kubernetes i raportowania stanu zgodności klastra do usługi zasad. |
store.policy.core.windows.net |
HTTPS:443 |
Ten adres służy do ściągania artefaktów usługi Gatekeeper wbudowanych zasad. |
dc.services.visualstudio.com |
HTTPS:443 |
Dodatek usługi Azure Policy, który wysyła dane telemetryczne do punktu końcowego szczegółowych informacji o aplikacjach. |
Platforma Microsoft Azure obsługiwana przez wymaganą nazwę FQDN /reguły aplikacji 21Vianet
| Nazwa FQDN | Port | Używanie |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Ten adres służy do ściągania zasad platformy Kubernetes i raportowania stanu zgodności klastra do usługi zasad. |
store.policy.azure.cn |
HTTPS:443 |
Ten adres służy do ściągania artefaktów usługi Gatekeeper wbudowanych zasad. |
Wymagana nazwa FQDN/reguły aplikacji na platformie Azure DLA instytucji rządowych USA
| Nazwa FQDN | Port | Używanie |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Ten adres służy do ściągania zasad platformy Kubernetes i raportowania stanu zgodności klastra do usługi zasad. |
store.policy.azure.us |
HTTPS:443 |
Ten adres służy do ściągania artefaktów usługi Gatekeeper wbudowanych zasad. |
Dodatek do analizy kosztów usługi AKS
Wymagana nazwa FQDN/reguły aplikacji
| Nazwa FQDN | Port | Używanie |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Azure Government) management.chinacloudapi.cn (Platforma Azure obsługiwana przez firmę 21Vianet) |
HTTPS:443 |
Wymagane w przypadku operacji platformy Kubernetes względem interfejsu API platformy Azure. |
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Platforma Azure obsługiwana przez firmę 21Vianet) |
HTTPS:443 |
Wymagane do uwierzytelniania identyfikatora Entra firmy Microsoft. |
Rozszerzenia klastra
Wymagana nazwa FQDN/reguły aplikacji
| Nazwa FQDN | Port | Używanie |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Ten adres służy do pobierania informacji o konfiguracji z usługi Rozszerzenia klastra i raportowania stanu rozszerzenia do usługi. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Ten adres jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania agentów rozszerzenia klastra w klastrze usługi AKS. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Ten adres jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń witryny Marketplace w klastrze usługi AKS. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Ten adres dotyczy regionalnego punktu końcowego danych w Indiach Środkowych i jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń witryny Marketplace w klastrze usługi AKS. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Ten adres jest przeznaczony dla regionalnego punktu końcowego danych w Japonii Wschodniej i jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń witryny Marketplace w klastrze usługi AKS. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Ten adres dotyczy regionalnego punktu końcowego danych w regionie Zachodnie stany USA2 i jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń witryny Marketplace w klastrze usługi AKS. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Ten adres jest przeznaczony dla regionalnego punktu końcowego danych w regionie Europa Zachodnia i jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń witryny Marketplace w klastrze usługi AKS. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Ten adres jest przeznaczony dla regionalnego punktu końcowego danych w regionie Wschodnie stany USA i jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń witryny Marketplace w klastrze usługi AKS. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Ten adres służy do wysyłania danych metryk agentów na platformę Azure. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Ten adres służy do wysyłania niestandardowego użycia opartego na miernikach do interfejsu API pomiaru handlu. |
Wymagana nazwa FQDN/reguły aplikacji na platformie Azure DLA instytucji rządowych USA
| Nazwa FQDN | Port | Używanie |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Ten adres służy do pobierania informacji o konfiguracji z usługi Rozszerzenia klastra i raportowania stanu rozszerzenia do usługi. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Ten adres jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania agentów rozszerzenia klastra w klastrze usługi AKS. |
Uwaga
W przypadku wszystkich dodatków, które nie zostały jawnie określone w tym miejscu, podstawowe wymagania obejmują je.
Dodatek siatki usług oparty na systemie Istio
W dodatku usługi Istio=based service mesh, jeśli konfigurujesz program istiod za pomocą urzędu certyfikacji wtyczki lub jeśli konfigurujesz bezpieczną bramę ruchu przychodzącego, dostawca usługi Azure Key Vault dla sterownika CSI magazynu wpisów tajnych jest wymagany dla tych funkcji. Wymagania dotyczące sieci wychodzącej dla dostawcy usługi Azure Key Vault dla sterownika CSI magazynu wpisów tajnych można znaleźć tutaj.
Dodatek routingu aplikacji
Dodatek routingu aplikacji obsługuje kończenie żądań SSL w ruchu przychodzącym z certyfikatami przechowywanymi w usłudze Azure Key Vault. Wymagania dotyczące sieci wychodzącej dla dostawcy usługi Azure Key Vault dla sterownika CSI magazynu wpisów tajnych można znaleźć tutaj.
Następne kroki
W tym artykule przedstawiono, jakie porty i adresy mają być dozwolone, jeśli chcesz ograniczyć ruch wychodzący dla klastra.
Jeśli chcesz ograniczyć sposób komunikacji zasobników między samymi sobą a ograniczeniami ruchu wschodnio-zachodniego w klastrze, zobacz Zabezpieczanie ruchu między zasobnikami przy użyciu zasad sieciowych w usłudze AKS.
Azure Kubernetes Service