Udostępnij za pośrednictwem


Reguły sieci wychodzącej i nazwy FQDN dla klastrów usługi Azure Kubernetes Service (AKS)

Ten artykuł zawiera niezbędne szczegóły, które umożliwiają zabezpieczanie ruchu wychodzącego z usługi Azure Kubernetes Service (AKS). Zawiera wymagania dotyczące klastra dla podstawowego wdrożenia usługi AKS oraz dodatkowe wymagania dotyczące opcjonalnych dodatków i funkcji. Te informacje można zastosować do dowolnej metody ograniczenia ruchu wychodzącego lub urządzenia.

Aby wyświetlić przykładową konfigurację przy użyciu usługi Azure Firewall, odwiedź stronę Kontrolowanie ruchu wychodzącego przy użyciu usługi Azure Firewall w usłudze AKS.

Tło

Klastry AKS są wdrażane w sieci wirtualnej. Tę sieć można dostosować i wstępnie skonfigurować lub można ją utworzyć i zarządzać przez usługę AKS. W obu przypadkach klaster ma wychodzące lub wychodzące zależności od usług spoza sieci wirtualnej.

Do celów zarządzania i działania węzły w klastrze usługi AKS muszą uzyskiwać dostęp do określonych portów i w pełni kwalifikowanych nazw domen (FQDN). Te punkty końcowe są wymagane, aby węzły komunikowały się z serwerem interfejsu API lub pobierały i instalowali podstawowe składniki klastra Kubernetes i aktualizacje zabezpieczeń węzłów. Na przykład klaster musi ściągnąć podstawowe obrazy kontenerów systemu z usługi Microsoft Container Registry (MCR).

Zależności wychodzące usługi AKS są prawie całkowicie zdefiniowane przy użyciu nazw FQDN, które nie mają za nimi statycznych adresów. Brak adresów statycznych oznacza, że nie można użyć sieciowych grup zabezpieczeń w celu zablokowania ruchu wychodzącego z klastra usługi AKS.

Domyślnie klastry usługi AKS mają nieograniczony wychodzący dostęp do Internetu. Ten poziom dostępu do sieci umożliwia węzłom i usługom, które są uruchamiane w celu uzyskania dostępu do zasobów zewnętrznych zgodnie z potrzebami. Jeśli chcesz ograniczyć ruch wychodzący, ograniczona liczba portów i adresów musi być dostępna, aby zachować zadania konserwacji klastra w dobrej kondycji. Najprostszym rozwiązaniem do zabezpieczania adresów wychodzących jest użycie urządzenia zapory, które może kontrolować ruch wychodzący na podstawie nazw domen. Usługa Azure Firewall może ograniczyć wychodzący ruch HTTP i HTTPS na podstawie nazwy FQDN miejsca docelowego. Możesz również skonfigurować preferowaną zaporę i reguły zabezpieczeń, aby zezwolić na te wymagane porty i adresy.

Ważne

W tym dokumencie opisano tylko sposób blokowania ruchu opuszczającego podsieć usługi AKS. Usługa AKS domyślnie nie ma wymagań dotyczących ruchu przychodzącego. Blokowanie wewnętrznego ruchu podsieci przy użyciu sieciowych grup zabezpieczeń i zapór nie jest obsługiwane. Aby kontrolować i blokować ruch w klastrze, zobacz Zabezpieczanie ruchu między zasobnikami przy użyciu zasad sieciowych w usłudze AKS.

Wymagane reguły sieci wychodzącej i nazwy FQDN dla klastrów usługi AKS

Następujące reguły sieci i nazwy FQDN/aplikacji są wymagane dla klastra usługi AKS. Możesz ich użyć, jeśli chcesz skonfigurować rozwiązanie inne niż usługa Azure Firewall.

  • Zależności adresów IP dotyczą ruchu innego niż HTTP/S (ruch TCP i UDP).
  • Punkty końcowe HTTP/HTTPS nazwy FQDN można umieścić na urządzeniu zapory.
  • Wieloznaczne punkty końcowe HTTP/HTTPS są zależnościami, które mogą się różnić w zależności od klastra usługi AKS w zależności od wielu kwalifikatorów.
  • Usługa AKS używa kontrolera dostępu do wstrzykiwania nazwy FQDN jako zmiennej środowiskowej do wszystkich wdrożeń w ramach platformy kube-system i gatekeeper-system. Dzięki temu cała komunikacja systemowa między węzłami i serwerem interfejsu API używa nazwy FQDN serwera interfejsu API, a nie adresu IP serwera interfejsu API. Możesz uzyskać to samo zachowanie na własnych zasobnikach w dowolnej przestrzeni nazw, dodając adnotację do zasobnika o nazwie kubernetes.azure.com/set-kube-service-host-fqdn. Jeśli ta adnotacja jest obecna, usługa AKS ustawi zmienną KUBERNETES_SERVICE_HOST na nazwę domeny serwera interfejsu API zamiast adresu IP usługi klastra. Jest to przydatne w przypadkach, gdy ruch wychodzący klastra odbywa się za pośrednictwem zapory warstwy 7.
  • Jeśli masz aplikację lub rozwiązanie, które musi komunikować się z serwerem interfejsu API, musisz dodać dodatkową regułę sieci, aby umożliwić komunikację TCP z portem 443 adresu IP serwera interfejsu API LUB , jeśli masz zaporę warstwy 7 skonfigurowaną do zezwalania na ruch do nazwy domeny serwera interfejsu API, ustaw kubernetes.azure.com/set-kube-service-host-fqdn w specyfikacji zasobnika.
  • W rzadkich przypadkach, jeśli istnieje operacja konserwacji, adres IP serwera interfejsu API może ulec zmianie. Zaplanowane operacje konserwacji, które mogą zmienić adres IP serwera interfejsu API, są zawsze przekazywane z wyprzedzeniem.
  • Możesz zauważyć ruch do punktu końcowego "md-*.blob.storage.azure.net". Ten punkt końcowy jest używany w przypadku składników wewnętrznych usługi Azure Dyski zarządzane. Blokowanie dostępu do tego punktu końcowego z zapory nie powinno powodować żadnych problemów.
  • Możesz zauważyć ruch do punktu końcowego "umsa*.blob.core.windows.net". Ten punkt końcowy służy do przechowywania manifestów dla agenta i rozszerzeń maszyny wirtualnej z systemem Linux platformy Azure i jest regularnie sprawdzany pod kątem pobierania nowych wersji. Więcej informacji na temat rozszerzeń maszyn wirtualnych można znaleźć.

Globalne reguły sieci wymagane na platformie Azure

Docelowy punkt końcowy Protokół Port Używanie
*:1194
Or
ServiceTag - AzureCloud.<Region>:1194
Or
Regionalne ściągnięcia - RegionCIDRs:1194
Or
APIServerPublicIP:1194 (only known after cluster creation)
UDP 1194 W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania. Nie jest to wymagane w przypadku klastrów prywatnych ani dla klastrów z włączonym agentem konnectivity-agent .
*:9000
Or
ServiceTag - AzureCloud.<Region>:9000
Or
Regionalne ściągnięcia - RegionCIDRs:9000
Or
APIServerPublicIP:9000 (only known after cluster creation)
TCP 9000 W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania. Nie jest to wymagane w przypadku klastrów prywatnych ani dla klastrów z włączonym agentem konnectivity-agent .
*:123 lub ntp.ubuntu.com:123 (jeśli używasz reguł sieci usługi Azure Firewall) UDP 123 Wymagana do synchronizacji czasu protokołu NTP (Network Time Protocol) w węzłach systemu Linux. Nie jest to wymagane w przypadku węzłów aprowizowania po marcu 2021 r.
CustomDNSIP:53 (if using custom DNS servers) UDP 53 Jeśli używasz niestandardowych serwerów DNS, upewnij się, że są one dostępne dla węzłów klastra.
APIServerPublicIP:443 (if running pods/deployments that access the API Server) TCP 443 Wymagane w przypadku uruchamiania zasobników/wdrożeń, które uzyskują dostęp do serwera interfejsu API, te zasobniki/wdrożenia będą używać adresu IP interfejsu API. Ten port nie jest wymagany dla klastrów prywatnych.

Globalna wymagana nazwa FQDN platformy Azure /reguły aplikacji

Docelowa nazwa FQDN Port Używanie
*.hcp.<location>.azmk8s.io HTTPS:443 Wymagane w przypadku <> komunikacji z serwerem interfejsu API. Zastąp <lokalizację> regionem, w którym wdrożono klaster usługi AKS. Jest to wymagane w przypadku klastrów z włączonym agentem konnectivity. Konnectivity używa również negocjacji protokołu warstwy aplikacji (ALPN) do komunikacji między agentem i serwerem. Blokowanie lub ponowne zapisywanie rozszerzenia ALPN spowoduje awarię. Nie jest to wymagane w przypadku klastrów prywatnych.
mcr.microsoft.com HTTPS:443 Wymagane do uzyskania dostępu do obrazów w usłudze Microsoft Container Registry (MCR). Ten rejestr zawiera obrazy/wykresy pierwszej firmy (na przykład coreDNS itp.). Te obrazy są wymagane do poprawnego tworzenia i funkcjonowania klastra, w tym operacji skalowania i uaktualniania.
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net HTTPS:443 Wymagane w przypadku magazynu MCR wspieranego przez sieć dostarczania zawartości platformy Azure (CDN).
management.azure.com HTTPS:443 Wymagane w przypadku operacji platformy Kubernetes względem interfejsu API platformy Azure.
login.microsoftonline.com HTTPS:443 Wymagane do uwierzytelniania entra firmy Microsoft.
packages.microsoft.com HTTPS:443 Ten adres to repozytorium pakietów firmy Microsoft używane do buforowanych operacji apt-get . Przykładowe pakiety to Moby, PowerShell i Interfejs wiersza polecenia platformy Azure.
acs-mirror.azureedge.net HTTPS:443 Ten adres jest przeznaczony dla repozytorium wymaganego do pobrania i zainstalowania wymaganych plików binarnych, takich jak kubenet i Azure CNI.

Platforma Microsoft Azure obsługiwana przez usługę 21Vianet — wymagane reguły sieci

Docelowy punkt końcowy Protokół Port Używanie
*:1194
Or
ServiceTag - AzureCloud.Region:1194
Or
Regionalne ściągnięcia - RegionCIDRs:1194
Or
APIServerPublicIP:1194 (only known after cluster creation)
UDP 1194 W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania.
*:9000
Or
ServiceTag - AzureCloud.<Region>:9000
Or
Regionalne ściągnięcia - RegionCIDRs:9000
Or
APIServerPublicIP:9000 (only known after cluster creation)
TCP 9000 W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania.
*:22
Or
ServiceTag - AzureCloud.<Region>:22
Or
Regionalne ściągnięcia - RegionCIDRs:22
Or
APIServerPublicIP:22 (only known after cluster creation)
TCP 22 W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania.
*:123 lub ntp.ubuntu.com:123 (jeśli używasz reguł sieci usługi Azure Firewall) UDP 123 Wymagana do synchronizacji czasu protokołu NTP (Network Time Protocol) w węzłach systemu Linux.
CustomDNSIP:53 (if using custom DNS servers) UDP 53 Jeśli używasz niestandardowych serwerów DNS, upewnij się, że są one dostępne dla węzłów klastra.
APIServerPublicIP:443 (if running pods/deployments that access the API Server) TCP 443 Wymagane w przypadku uruchamiania zasobników/wdrożeń, które uzyskują dostęp do serwera interfejsu API, te zasobniki/wdrożenia będą używać adresu IP interfejsu API.

Platforma Microsoft Azure obsługiwana przez wymaganą nazwę FQDN /reguły aplikacji 21Vianet

Docelowa nazwa FQDN Port Używanie
*.hcp.<location>.cx.prod.service.azk8s.cn HTTPS:443 Wymagane w przypadku <> komunikacji z serwerem interfejsu API. Zastąp <lokalizację> regionem, w którym wdrożono klaster usługi AKS.
*.tun.<location>.cx.prod.service.azk8s.cn HTTPS:443 Wymagane w przypadku <> komunikacji z serwerem interfejsu API. Zastąp <lokalizację> regionem, w którym wdrożono klaster usługi AKS.
mcr.microsoft.com HTTPS:443 Wymagane do uzyskania dostępu do obrazów w usłudze Microsoft Container Registry (MCR). Ten rejestr zawiera obrazy/wykresy pierwszej firmy (na przykład coreDNS itp.). Te obrazy są wymagane do poprawnego tworzenia i funkcjonowania klastra, w tym operacji skalowania i uaktualniania.
.data.mcr.microsoft.com HTTPS:443 Wymagane w przypadku magazynu MCR wspieranego przez usługę Azure Content Delivery Network (CDN).
management.chinacloudapi.cn HTTPS:443 Wymagane w przypadku operacji platformy Kubernetes względem interfejsu API platformy Azure.
login.chinacloudapi.cn HTTPS:443 Wymagane do uwierzytelniania entra firmy Microsoft.
packages.microsoft.com HTTPS:443 Ten adres to repozytorium pakietów firmy Microsoft używane do buforowanych operacji apt-get . Przykładowe pakiety to Moby, PowerShell i Interfejs wiersza polecenia platformy Azure.
*.azk8s.cn HTTPS:443 Ten adres jest przeznaczony dla repozytorium wymaganego do pobrania i zainstalowania wymaganych plików binarnych, takich jak kubenet i Azure CNI.

Wymagane reguły sieci na platformie Azure US Government

Docelowy punkt końcowy Protokół Port Używanie
*:1194
Or
ServiceTag - AzureCloud.<Region>:1194
Or
Regionalne ściągnięcia - RegionCIDRs:1194
Or
APIServerPublicIP:1194 (only known after cluster creation)
UDP 1194 W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania.
*:9000
Or
ServiceTag - AzureCloud.<Region>:9000
Or
Regionalne ściągnięcia - RegionCIDRs:9000
Or
APIServerPublicIP:9000 (only known after cluster creation)
TCP 9000 W przypadku tunelowanej bezpiecznej komunikacji między węzłami i płaszczyzną sterowania.
*:123 lub ntp.ubuntu.com:123 (jeśli używasz reguł sieci usługi Azure Firewall) UDP 123 Wymagana do synchronizacji czasu protokołu NTP (Network Time Protocol) w węzłach systemu Linux.
CustomDNSIP:53 (if using custom DNS servers) UDP 53 Jeśli używasz niestandardowych serwerów DNS, upewnij się, że są one dostępne dla węzłów klastra.
APIServerPublicIP:443 (if running pods/deployments that access the API Server) TCP 443 Wymagane w przypadku uruchamiania zasobników/wdrożeń, które uzyskują dostęp do serwera interfejsu API, te zasobniki/wdrożenia będą używać adresu IP interfejsu API.

Wymagana nazwa FQDN/reguły aplikacji na platformie Azure DLA instytucji rządowych USA

Docelowa nazwa FQDN Port Używanie
*.hcp.<location>.cx.aks.containerservice.azure.us HTTPS:443 Wymagane w przypadku <> komunikacji z serwerem interfejsu API. Zastąp <lokalizację> regionem, w którym wdrożono klaster usługi AKS.
mcr.microsoft.com HTTPS:443 Wymagane do uzyskania dostępu do obrazów w usłudze Microsoft Container Registry (MCR). Ten rejestr zawiera obrazy/wykresy pierwszej firmy (na przykład coreDNS itp.). Te obrazy są wymagane do poprawnego tworzenia i funkcjonowania klastra, w tym operacji skalowania i uaktualniania.
*.data.mcr.microsoft.com HTTPS:443 Wymagane w przypadku magazynu MCR wspieranego przez sieć dostarczania zawartości platformy Azure (CDN).
management.usgovcloudapi.net HTTPS:443 Wymagane w przypadku operacji platformy Kubernetes względem interfejsu API platformy Azure.
login.microsoftonline.us HTTPS:443 Wymagane do uwierzytelniania entra firmy Microsoft.
packages.microsoft.com HTTPS:443 Ten adres to repozytorium pakietów firmy Microsoft używane do buforowanych operacji apt-get . Przykładowe pakiety to Moby, PowerShell i Interfejs wiersza polecenia platformy Azure.
acs-mirror.azureedge.net HTTPS:443 Ten adres jest przeznaczony dla repozytorium wymaganego do zainstalowania wymaganych plików binarnych, takich jak kubenet i Azure CNI.

Następujące reguły FQDN/aplikacji nie są wymagane, ale są zalecane w przypadku klastrów usługi AKS:

Docelowa nazwa FQDN Port Używanie
security.ubuntu.com, , azure.archive.ubuntu.comchangelogs.ubuntu.com HTTP:80 Ten adres umożliwia węzłom klastra systemu Linux pobieranie wymaganych poprawek zabezpieczeń i aktualizacji.
snapshot.ubuntu.com HTTPS:443 Ten adres umożliwia węzłom klastra systemu Linux pobieranie wymaganych poprawek zabezpieczeń i aktualizacji z usługi migawki systemu Ubuntu.

Jeśli zdecydujesz się zablokować/nie zezwalać na te nazwy FQDN, węzły będą otrzymywać aktualizacje systemu operacyjnego tylko podczas uaktualniania obrazu węzła lub uaktualniania klastra. Należy pamiętać, że uaktualnienia obrazów węzłów są również dostarczane ze zaktualizowanymi pakietami, w tym poprawkami zabezpieczeń.

Klastry usługi AKS z obsługą procesora GPU wymagają nazwy FQDN/reguł aplikacji

Docelowa nazwa FQDN Port Używanie
nvidia.github.io HTTPS:443 Ten adres jest używany do poprawnej instalacji sterownika i operacji na węzłach opartych na procesorze GPU.
us.download.nvidia.com HTTPS:443 Ten adres jest używany do poprawnej instalacji sterownika i operacji na węzłach opartych na procesorze GPU.
download.docker.com HTTPS:443 Ten adres jest używany do poprawnej instalacji sterownika i operacji na węzłach opartych na procesorze GPU.

Pule węzłów oparte na systemie Windows Server wymagają nazwy FQDN/reguł aplikacji

Docelowa nazwa FQDN Port Używanie
onegetcdn.azureedge.net, go.microsoft.com HTTPS:443 Aby zainstalować pliki binarne związane z systemem Windows
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com HTTP:80 Aby zainstalować pliki binarne związane z systemem Windows

Jeśli zdecydujesz się zablokować/nie zezwalać na te nazwy FQDN, węzły będą otrzymywać aktualizacje systemu operacyjnego tylko podczas uaktualniania obrazu węzła lub uaktualniania klastra. Należy pamiętać, że uaktualnienia obrazów węzłów są również dostarczane ze zaktualizowanymi pakietami, w tym poprawkami zabezpieczeń.

Dodatki i integracje usługi AKS

Microsoft Defender dla kontenerów

Wymagana nazwa FQDN/reguły aplikacji

Nazwa FQDN Port Używanie
login.microsoftonline.com
login.microsoftonline.us (Azure Government)
login.microsoftonline.cn (Platforma Azure obsługiwana przez firmę 21Vianet)
HTTPS:443 Wymagane do uwierzytelniania usługi Active Directory.
*.ods.opinsights.azure.com
*.ods.opinsights.azure.us (Azure Government)
*.ods.opinsights.azure.cn (Platforma Azure obsługiwana przez firmę 21Vianet)
HTTPS:443 Usługa Microsoft Defender jest wymagana do przekazywania zdarzeń zabezpieczeń do chmury.
*.oms.opinsights.azure.com
*.oms.opinsights.azure.us (Azure Government)
*.oms.opinsights.azure.cn (Platforma Azure obsługiwana przez firmę 21Vianet)
HTTPS:443 Wymagane do uwierzytelniania za pomocą obszarów roboczych logAnalytics.

Magazyn wpisów tajnych CSI

Wymagana nazwa FQDN/reguły aplikacji

Nazwa FQDN Port Używanie
vault.azure.net HTTPS:443 Wymagane, aby zasobniki dodatku CSI Secret Store komunikowały się z serwerem usługi Azure KeyVault.
*.vault.usgovcloudapi.net HTTPS:443 Wymagane w przypadku zasobników dodatków magazynu wpisów tajnych CSI do komunikacji z serwerem usługi Azure KeyVault w usłudze Azure Government.

Usługa Azure Monitor dla kontenerów

Istnieją dwie opcje zapewniania dostępu do usługi Azure Monitor dla kontenerów:

  • Zezwalaj na element ServiceTag usługi Azure Monitor.
  • Zapewnianie dostępu do wymaganych reguł FQDN/aplikacji.

Wymagane reguły sieci

Docelowy punkt końcowy Protokół Port Używanie
ServiceTag - AzureMonitor:443 TCP 443 Ten punkt końcowy służy do wysyłania danych metryk i dzienników do usług Azure Monitor i Log Analytics.

Wymagana nazwa FQDN/reguły aplikacji

Nazwa FQDN Port Używanie
dc.services.visualstudio.com HTTPS:443 Ten punkt końcowy jest używany przez telemetrię agenta usługi Azure Monitor for Containers.
*.ods.opinsights.azure.com HTTPS:443 Ten punkt końcowy jest używany przez usługę Azure Monitor do pozyskiwania danych analizy dzienników.
*.oms.opinsights.azure.com HTTPS:443 Ten punkt końcowy jest używany przez agenta omsagent, który służy do uwierzytelniania usługi log analytics.
*.monitoring.azure.com HTTPS:443 Ten punkt końcowy służy do wysyłania danych metryk do usługi Azure Monitor.
<cluster-region-name>.ingest.monitor.azure.com HTTPS:443 Ten punkt końcowy jest używany przez usługę zarządzaną usługi Azure Monitor na potrzeby pozyskiwania metryk Prometheus.
<cluster-region-name>.handler.control.monitor.azure.com HTTPS:443 Ten punkt końcowy służy do pobierania reguł zbierania danych dla określonego klastra.

Platforma Microsoft Azure obsługiwana przez wymaganą nazwę FQDN /reguły aplikacji 21Vianet

Nazwa FQDN Port Używanie
dc.services.visualstudio.cn HTTPS:443 Ten punkt końcowy jest używany przez telemetrię agenta usługi Azure Monitor for Containers.
*.ods.opinsights.azure.cn HTTPS:443 Ten punkt końcowy jest używany przez usługę Azure Monitor do pozyskiwania danych analizy dzienników.
*.oms.opinsights.azure.cn HTTPS:443 Ten punkt końcowy jest używany przez agenta omsagent, który służy do uwierzytelniania usługi log analytics.
global.handler.control.monitor.azure.cn HTTPS:443 Ten punkt końcowy jest używany przez usługę Azure Monitor do uzyskiwania dostępu do usługi kontroli.
<cluster-region-name>.handler.control.monitor.azure.cn HTTPS:443 Ten punkt końcowy służy do pobierania reguł zbierania danych dla określonego klastra.

Wymagana nazwa FQDN/reguły aplikacji na platformie Azure DLA instytucji rządowych USA

Nazwa FQDN Port Używanie
dc.services.visualstudio.us HTTPS:443 Ten punkt końcowy jest używany przez telemetrię agenta usługi Azure Monitor for Containers.
*.ods.opinsights.azure.us HTTPS:443 Ten punkt końcowy jest używany przez usługę Azure Monitor do pozyskiwania danych analizy dzienników.
*.oms.opinsights.azure.us HTTPS:443 Ten punkt końcowy jest używany przez agenta omsagent, który służy do uwierzytelniania usługi log analytics.
global.handler.control.monitor.azure.us HTTPS:443 Ten punkt końcowy jest używany przez usługę Azure Monitor do uzyskiwania dostępu do usługi kontroli.
<cluster-region-name>.handler.control.monitor.azure.us HTTPS:443 Ten punkt końcowy służy do pobierania reguł zbierania danych dla określonego klastra.

Azure Policy

Wymagana nazwa FQDN/reguły aplikacji

Nazwa FQDN Port Używanie
data.policy.core.windows.net HTTPS:443 Ten adres służy do ściągania zasad platformy Kubernetes i raportowania stanu zgodności klastra do usługi zasad.
store.policy.core.windows.net HTTPS:443 Ten adres służy do ściągania artefaktów usługi Gatekeeper wbudowanych zasad.
dc.services.visualstudio.com HTTPS:443 Dodatek usługi Azure Policy, który wysyła dane telemetryczne do punktu końcowego szczegółowych informacji o aplikacjach.

Platforma Microsoft Azure obsługiwana przez wymaganą nazwę FQDN /reguły aplikacji 21Vianet

Nazwa FQDN Port Używanie
data.policy.azure.cn HTTPS:443 Ten adres służy do ściągania zasad platformy Kubernetes i raportowania stanu zgodności klastra do usługi zasad.
store.policy.azure.cn HTTPS:443 Ten adres służy do ściągania artefaktów usługi Gatekeeper wbudowanych zasad.

Wymagana nazwa FQDN/reguły aplikacji na platformie Azure DLA instytucji rządowych USA

Nazwa FQDN Port Używanie
data.policy.azure.us HTTPS:443 Ten adres służy do ściągania zasad platformy Kubernetes i raportowania stanu zgodności klastra do usługi zasad.
store.policy.azure.us HTTPS:443 Ten adres służy do ściągania artefaktów usługi Gatekeeper wbudowanych zasad.

Dodatek do analizy kosztów usługi AKS

Wymagana nazwa FQDN/reguły aplikacji

Nazwa FQDN Port Używanie
management.azure.com
management.usgovcloudapi.net (Azure Government)
management.chinacloudapi.cn (Platforma Azure obsługiwana przez firmę 21Vianet)
HTTPS:443 Wymagane w przypadku operacji platformy Kubernetes względem interfejsu API platformy Azure.
login.microsoftonline.com
login.microsoftonline.us (Azure Government)
login.microsoftonline.cn (Platforma Azure obsługiwana przez firmę 21Vianet)
HTTPS:443 Wymagane do uwierzytelniania identyfikatora Entra firmy Microsoft.

Rozszerzenia klastra

Wymagana nazwa FQDN/reguły aplikacji

Nazwa FQDN Port Używanie
<region>.dp.kubernetesconfiguration.azure.com HTTPS:443 Ten adres służy do pobierania informacji o konfiguracji z usługi Rozszerzenia klastra i raportowania stanu rozszerzenia do usługi.
mcr.microsoft.com, *.data.mcr.microsoft.com HTTPS:443 Ten adres jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania agentów rozszerzenia klastra w klastrze usługi AKS.
arcmktplaceprod.azurecr.io HTTPS:443 Ten adres jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń witryny Marketplace w klastrze usługi AKS.
arcmktplaceprod.centralindia.data.azurecr.io HTTPS:443 Ten adres dotyczy regionalnego punktu końcowego danych w Indiach Środkowych i jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń witryny Marketplace w klastrze usługi AKS.
arcmktplaceprod.japaneast.data.azurecr.io HTTPS:443 Ten adres jest przeznaczony dla regionalnego punktu końcowego danych w Japonii Wschodniej i jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń witryny Marketplace w klastrze usługi AKS.
arcmktplaceprod.westus2.data.azurecr.io HTTPS:443 Ten adres dotyczy regionalnego punktu końcowego danych w regionie Zachodnie stany USA2 i jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń witryny Marketplace w klastrze usługi AKS.
arcmktplaceprod.westeurope.data.azurecr.io HTTPS:443 Ten adres jest przeznaczony dla regionalnego punktu końcowego danych w regionie Europa Zachodnia i jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń witryny Marketplace w klastrze usługi AKS.
arcmktplaceprod.eastus.data.azurecr.io HTTPS:443 Ten adres jest przeznaczony dla regionalnego punktu końcowego danych w regionie Wschodnie stany USA i jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń witryny Marketplace w klastrze usługi AKS.
*.ingestion.msftcloudes.com, *.microsoftmetrics.com HTTPS:443 Ten adres służy do wysyłania danych metryk agentów na platformę Azure.
marketplaceapi.microsoft.com HTTPS: 443 Ten adres służy do wysyłania niestandardowego użycia opartego na miernikach do interfejsu API pomiaru handlu.

Wymagana nazwa FQDN/reguły aplikacji na platformie Azure DLA instytucji rządowych USA

Nazwa FQDN Port Używanie
<region>.dp.kubernetesconfiguration.azure.us HTTPS:443 Ten adres służy do pobierania informacji o konfiguracji z usługi Rozszerzenia klastra i raportowania stanu rozszerzenia do usługi.
mcr.microsoft.com, *.data.mcr.microsoft.com HTTPS:443 Ten adres jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania agentów rozszerzenia klastra w klastrze usługi AKS.

Uwaga

W przypadku wszystkich dodatków, które nie zostały jawnie określone w tym miejscu, podstawowe wymagania obejmują je.

Następne kroki

W tym artykule przedstawiono, jakie porty i adresy mają być dozwolone, jeśli chcesz ograniczyć ruch wychodzący dla klastra.

Jeśli chcesz ograniczyć sposób komunikacji zasobników między samymi sobą a ograniczeniami ruchu wschodnio-zachodniego w klastrze, zobacz Zabezpieczanie ruchu między zasobnikami przy użyciu zasad sieciowych w usłudze AKS.