Compartilhar via


Regras de rede de saída e FQDN para clusters do Serviço de Kubernetes do Azure (AKS)

Este artigo fornece os detalhes necessários que permitem proteger o tráfego de saída do seu AKS (Serviço de Kubernetes do Azure). Contém os requisitos de cluster para uma implantação básica do AKS e requisitos adicionais para complementos e recursos opcionais. Você pode aplicar essas informações a qualquer método ou dispositivo de restrição de saída.

Para ver um exemplo de configuração usando o Firewall do Azure, visite Controlar o tráfego de saída usando o Firewall do Azure no AKS.

Segundo plano

Os clusters do AKS são implantados em uma rede virtual. Essa rede pode ser personalizada e pré-configurada por você ou pode ser criada e gerenciada pelo AKS. Em ambos os casos, o cluster tem dependências de saída ou de saída em serviços fora da rede virtual.

Para fins operacionais e de gerenciamento, os nós em um cluster do AKS precisam acessar portas e nomes de domínio totalmente qualificados (FQDNs) específicos. Esses pontos de extremidade são necessários para que os nós se comuniquem com o servidor da API ou para baixar e instalar os principais componentes do cluster do Kubernetes e as atualizações de segurança do nó. Por exemplo, o cluster precisa efetuar pull de imagens de contêiner do Registro de Artefato da Microsoft (MAR).

As dependências de saída do AKS são quase que totalmente definidas com FQDNs, que não têm endereços estáticos por trás delas. A falta de endereços estáticos significa que você não pode usar grupos de segurança de rede (NSGs) para bloquear o tráfego de saída de um cluster do AKS.

Por padrão, os clusters do AKS têm acesso irrestrito à Internet de saída. Esse nível de acesso à rede permite que os nós e os serviços que você executa acessem recursos externos, conforme necessário. Se quiser restringir o tráfego de saída, um número limitado de portas e endereços precisar estar acessível para manter a integridade das tarefas de manutenção de cluster.

Um cluster AKS isolado de rede, fornece a solução mais simples e segura para configurar restrições de saída para um cluster pronto para uso. Um cluster isolado de rede efetua pull das imagens para componentes de cluster e complementos de uma instância privada do ACR (Registro de Contêiner do Azure) conectada ao cluster, em vez de efetuar pull do MAR. Se as imagens não estiverem presentes, o ACR privado as extrairá do MAR e as servirá por meio de seu ponto de extremidade privado, eliminando a necessidade de ativar a saída do cluster para o ponto de extremidade público do MAR. O operador de cluster pode, então, configurar incrementalmente o tráfego de saída permitido com segurança em uma rede privada para cada cenário que deseja habilitar. Dessa forma, os operadores de cluster têm controle total sobre a criação do tráfego de saída permitido de seus clusters desde o início, permitindo que eles reduzam o risco de exfiltração de dados.

Outra solução para proteger endereços de saída é usar um dispositivo de firewall que pode controlar o tráfego de saída com base em nomes de domínio. Firewall do Azure pode restringir o tráfego de HTTP e HTTPS de saída com base no FQDN de destino. Você também pode configurar o firewall e as regras de segurança de sua preferência para permitir as portas e os endereços necessários.

Importante

Este documento aborda apenas como bloquear o tráfego de saída da sub-rede do AKS. Por padrão, o AKS não tem nenhum requisito de entrada. O bloqueio do tráfego interno de sub-rede usando grupos de segurança de rede (NSGs) e firewalls não é suportado. Para controlar e bloquear o tráfego dentro do cluster, consulte Proteger o tráfego entre pods usando políticas de rede no AKS.

Regras de rede de saída e FQDNs necessários para clusters do AKS

As seguintes regras de rede e FQDN/aplicativo são necessárias para um cluster do AKS. Você pode usá-los se desejar configurar uma solução diferente do Firewall do Azure.

  • As dependências de endereço IP são para tráfego não HTTP/S (tráfego TCP e UDP).
  • Pontos de extremidade HTTP/HTTPS do FQDN podem ser colocados em seu dispositivo de firewall.
  • Pontos de extremidade HTTP/HTTPS curinga são dependências que podem variar de acordo com seu cluster do AKS com base em vários qualificadores.
  • O AKS usa um controlador de admissão para injetar o FQDN como uma variável de ambiente para todas as implantações no kube-system e gatekeeper-system. Isso garante que toda a comunicação do sistema entre os nós e o servidor de API use o FQDN do servidor de API e não o IP do servidor de API. Você pode obter o mesmo comportamento em seus próprios pods, em qualquer namespace, anotando a especificação de pod com uma anotação chamada kubernetes.azure.com/set-kube-service-host-fqdn. Se essa anotação estiver presente, o AKS definirá a variável KUBERNETES_SERVICE_HOST como o nome de domínio do servidor de API em vez do IP do serviço no cluster. Isso é útil nos casos em que a saída do cluster é realizada por meio de um firewall de camada 7.
  • Se você tiver um aplicativo ou solução que precise se comunicar com o servidor de API, você deve adicionar uma regra de rede adicional para permitir comunicação TCP na porta 443 do IP do seu servidor de API OU, se você tiver um firewall de camada 7 configurado para permitir tráfego para o nome de domínio do servidor de API, defina kubernetes.azure.com/set-kube-service-host-fqdn nas especificações do seu pod.
  • Em raras ocasiões, se houver uma operação de manutenção, o IP do servidor de API pode alterar. As operações de manutenção planejadas que podem alterar o IP do servidor de API sempre são comunicadas antecipadamente.
  • Você pode observar o tráfego em direção ao ponto de extremidade "md-*.blob.storage.azure.net". Este ponto de extremidade é usado para componentes internos do Azure Managed Disks. Bloquear o acesso a esse ponto de extremidade no seu firewall não deve causar problemas.
  • Talvez você observe tráfego para o ponto de extremidade "umsa*.blob.core.windows.net". Este ponto de extremidade é usado para armazenar manifestos para o Agente de VM e Extensões do Linux do Azure e é verificado regularmente para baixar novas versões. Você pode encontrar mais detalhes em Extensões de VM.

Regras de rede exigidas globais do Azure

Ponto de extremidade de destino Protocolo Porta Use
*:1194
Or
Marca de serviço - AzureCloud.<Region>:1194
Or
CIDRs regionais - RegionCIDRs:1194
Or
APIServerPublicIP:1194 (only known after cluster creation)
UDP 1194 Para uma comunicação segura em túnel entre os nós e o painel de controle. Isso não é necessário para clusters privados ou para clusters com o konnectivity-agent habilitado.
*:9000
Or
Marca de serviço - AzureCloud.<Region>:9000
Or
CIDRs regionais - RegionCIDRs:9000
Or
APIServerPublicIP:9000 (only known after cluster creation)
TCP 9000 Para uma comunicação segura em túnel entre os nós e o painel de controle. Isso não é necessário para clusters privados ou para clusters com o konnectivity-agent habilitado.
*:123 ou ntp.ubuntu.com:123 (se estiver usando regras de rede do Firewall do Azure) UDP 123 Necessário para sincronização de tempo do NTP (Network Time Protocol) nos nós do Linux. Isso não é necessário para os nós provisionados após março de 2021.
CustomDNSIP:53 (if using custom DNS servers) UDP 53 Se estiver usando servidores DNS personalizados, você deve garantir que eles possam ser acessados ​​pelos nós de cluster.
APIServerPublicIP:443 (if running pods/deployments that access the API Server) TCP 443 Necessário se estiver executando pods/implantações que acessam o servidor de API. Esses pods/implantações usarão o IP da API. Esta porta não é necessária para clusters privados.

Regras de FQDN/aplicativo globais do Azure necessárias

FQDN de destino Porta Use
*.hcp.<location>.azmk8s.io HTTPS:443 Necessário para a comunicação de nó <-> servidor de API. Substitua <location> pela região em que o cluster do AKS está implantado. Isso não é necessário para clusters com o konnectivity-agent habilitado. O Konnectivity também usa a ALPN (Negociação de Protocolo do Application-Layer) para se comunicar entre o agente e o servidor. Bloquear ou reescrever a extensão ALPN causará uma falha. Isso não é necessário para clusters privados.
mcr.microsoft.com HTTPS:443 Necessário para acessar imagens no Microsoft Container Registry (MCR). Esse registro contém gráficos/imagens internos (por exemplo, coreDNS etc.). Essas imagens são necessárias para a criação e o funcionamento corretos do cluster, incluindo operações de escala e atualização.
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net HTTPS:443 Necessárias para o armazenamento do MCR apoiado pela Rede de Distribuição de Conteúdo (CDN) do Azure.
management.azure.com HTTPS:443 Necessárias para operações de Kubernetes na API do Azure.
login.microsoftonline.com HTTPS:443 Necessário para a autenticação do Microsoft Entra.
packages.microsoft.com HTTPS:443 Esse endereço é o repositório de pacotes da Microsoft usado para as operações app-get. Os pacotes de exemplo incluem Moby, PowerShell e CLI do Azure.
acs-mirror.azureedge.net HTTPS:443 Esse endereço é para o repositório necessário para baixar e instalar os binários necessários, como kubenet e CNI do Azure.

Regras de rede necessárias para o Microsoft Azure operado pela 21Vianet

Ponto de extremidade de destino Protocolo Porta Use
*:1194
Or
Marca de serviço - AzureCloud.Region:1194
Or
CIDRs regionais - RegionCIDRs:1194
Or
APIServerPublicIP:1194 (only known after cluster creation)
UDP 1194 Para uma comunicação segura em túnel entre os nós e o painel de controle.
*:9000
Or
Marca de serviço - AzureCloud.<Region>:9000
Or
CIDRs regionais - RegionCIDRs:9000
Or
APIServerPublicIP:9000 (only known after cluster creation)
TCP 9000 Para uma comunicação segura em túnel entre os nós e o painel de controle.
*:22
Or
Marca de serviço - AzureCloud.<Region>:22
Or
CIDRs regionais - RegionCIDRs:22
Or
APIServerPublicIP:22 (only known after cluster creation)
TCP 22 Para uma comunicação segura em túnel entre os nós e o painel de controle.
*:123 ou ntp.ubuntu.com:123 (se estiver usando regras de rede do Firewall do Azure) UDP 123 Necessário para sincronização de tempo do NTP (Network Time Protocol) nos nós do Linux.
CustomDNSIP:53 (if using custom DNS servers) UDP 53 Se estiver usando servidores DNS personalizados, você deve garantir que eles possam ser acessados ​​pelos nós de cluster.
APIServerPublicIP:443 (if running pods/deployments that access the API Server) TCP 443 Necessário se estiver executando pods/implantações que acessam o servidor de API. Esses pods/implantações usarão o IP da API.

Regras de FQDN/aplicativo necessárias para o Microsoft Azure operado pela 21Vianet

FQDN de destino Porta Use
*.hcp.<location>.cx.prod.service.azk8s.cn HTTPS:443 Necessário para a comunicação de nó <-> servidor de API. Substitua <location> pela região em que o cluster do AKS está implantado.
*.tun.<location>.cx.prod.service.azk8s.cn HTTPS:443 Necessário para a comunicação de nó <-> servidor de API. Substitua <location> pela região em que o cluster do AKS está implantado.
mcr.microsoft.com HTTPS:443 Necessário para acessar imagens no Microsoft Container Registry (MCR). Esse registro contém gráficos/imagens internos (por exemplo, coreDNS etc.). Essas imagens são necessárias para a criação e o funcionamento corretos do cluster, incluindo operações de escala e atualização.
.data.mcr.microsoft.com HTTPS:443 Necessárias para o armazenamento do MCR apoiado pela Rede de Distribuição de Conteúdo (CDN) do Azure.
management.chinacloudapi.cn HTTPS:443 Necessárias para operações de Kubernetes na API do Azure.
login.chinacloudapi.cn HTTPS:443 Necessário para a autenticação do Microsoft Entra.
packages.microsoft.com HTTPS:443 Esse endereço é o repositório de pacotes da Microsoft usado para as operações app-get. Os pacotes de exemplo incluem Moby, PowerShell e CLI do Azure.
*.azk8s.cn HTTPS:443 Esse endereço é para o repositório necessário para baixar e instalar os binários necessários, como kubenet e CNI do Azure.

Regras de rede do Azure necessárias para o governo dos EUA

Ponto de extremidade de destino Protocolo Porta Use
*:1194
Or
Marca de serviço - AzureCloud.<Region>:1194
Or
CIDRs regionais - RegionCIDRs:1194
Or
APIServerPublicIP:1194 (only known after cluster creation)
UDP 1194 Para uma comunicação segura em túnel entre os nós e o painel de controle.
*:9000
Or
Marca de serviço - AzureCloud.<Region>:9000
Or
CIDRs regionais - RegionCIDRs:9000
Or
APIServerPublicIP:9000 (only known after cluster creation)
TCP 9000 Para uma comunicação segura em túnel entre os nós e o painel de controle.
*:123 ou ntp.ubuntu.com:123 (se estiver usando regras de rede do Firewall do Azure) UDP 123 Necessário para sincronização de tempo do NTP (Network Time Protocol) nos nós do Linux.
CustomDNSIP:53 (if using custom DNS servers) UDP 53 Se estiver usando servidores DNS personalizados, você deve garantir que eles possam ser acessados ​​pelos nós de cluster.
APIServerPublicIP:443 (if running pods/deployments that access the API Server) TCP 443 Necessário se estiver executando pods/implantações que acessam o servidor de API. Esses pods/implantações usarão o IP da API.

Regras de FQDN/aplicativo do Azure necessárias para o governo dos EUA

FQDN de destino Porta Use
*.hcp.<location>.cx.aks.containerservice.azure.us HTTPS:443 Necessário para a comunicação de nó <-> servidor de API. Substitua <location> pela região em que o cluster do AKS está implantado.
mcr.microsoft.com HTTPS:443 Necessário para acessar imagens no Microsoft Container Registry (MCR). Esse registro contém gráficos/imagens internos (por exemplo, coreDNS etc.). Essas imagens são necessárias para a criação e o funcionamento corretos do cluster, incluindo operações de escala e atualização.
*.data.mcr.microsoft.com HTTPS:443 Necessárias para o armazenamento do MCR apoiado pela Rede de Distribuição de Conteúdo (CDN) do Azure.
management.usgovcloudapi.net HTTPS:443 Necessárias para operações de Kubernetes na API do Azure.
login.microsoftonline.us HTTPS:443 Necessário para a autenticação do Microsoft Entra.
packages.microsoft.com HTTPS:443 Esse endereço é o repositório de pacotes da Microsoft usado para as operações app-get. Os pacotes de exemplo incluem Moby, PowerShell e CLI do Azure.
acs-mirror.azureedge.net HTTPS:443 Esse endereço é para o repositório necessário para instalar os binários necessários, como kubenet e CNI do Azure.

As seguintes regras de FQDN / aplicativo não são obrigatórias, mas são recomendadas para os clusters do AKS:

FQDN de destino Porta Use
security.ubuntu.com, azure.archive.ubuntu.com, changelogs.ubuntu.com HTTP:80 Esse endereço permite que os nós de cluster do Linux baixem as atualizações e os patches de segurança necessários.
snapshot.ubuntu.com HTTPS:443 Esse endereço permite que os nós de cluster do Linux baixem as atualizações e os patches de segurança necessários do serviço de instantâneo do Ubuntu.

Se você optar por bloquear/não permitir esses FQDNs, os nós receberão apenas atualizações do sistema operacional quando você fizer uma atualização de imagem do nó ou atualização de cluster. Tenha em mente que as atualizações de imagem do nó também vêm com pacotes atualizados, incluindo correções de segurança.

Os clusters do AKS habilitados para GPU requerem regras de FQDN / aplicativo

FQDN de destino Porta Use
nvidia.github.io HTTPS:443 Esse endereço é usado para a instalação e a operação corretas do driver nos nós baseados em GPU.
us.download.nvidia.com HTTPS:443 Esse endereço é usado para a instalação e a operação corretas do driver nos nós baseados em GPU.
download.docker.com HTTPS:443 Esse endereço é usado para a instalação e a operação corretas do driver nos nós baseados em GPU.

Os pools de nós baseados no Windows Server exigem regras de FQDN/aplicativo

FQDN de destino Porta Use
onegetcdn.azureedge.net, go.microsoft.com HTTPS:443 Para instalar binários relacionados ao Windows
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com HTTP:80 Para instalar binários relacionados ao Windows

Se você optar por bloquear/não permitir esses FQDNs, os nós receberão apenas atualizações do sistema operacional quando você fizer uma atualização de imagem do nó ou atualização de cluster. Tenha em mente que as Atualizações de Imagem de Nó também vêm com pacotes atualizados, incluindo correções de segurança.

Recursos, complementos e integrações do AKS

Identidade da carga de trabalho

Regras de FQDN/aplicativo necessárias

FQDN de destino Porta Use
login.microsoftonline.com ou login.chinacloudapi.cn ou login.microsoftonline.us HTTPS:443 Necessário para a autenticação do Microsoft Entra.

Microsoft Defender para Contêineres

Regras de FQDN/aplicativo necessárias

FQDN Porta Use
login.microsoftonline.com
login.microsoftonline.us (Azure Governamental)
login.microsoftonline.cn (Azure operado pela 21Vianet)
HTTPS:443 Necessário para a Autenticação do Microsoft Entra.
*.ods.opinsights.azure.com
*.ods.opinsights.azure.us (Azure Governamental)
*.ods.opinsights.azure.cn (Azure operado pela 21Vianet)
HTTPS:443 Necessária para que o Microsoft Defender carregue eventos de segurança na nuvem.
*.oms.opinsights.azure.com
*.oms.opinsights.azure.us (Azure Governamental)
*.oms.opinsights.azure.cn (Azure operado pela 21Vianet)
HTTPS:443 Necessário para autenticar com workspaces do Log Analytics.

Provedor de Azure Key Vault para driver do CSI de Armazenamento de Segredos

Se estiver usando clusters isolados de rede, é recomendável configurar um ponto de extremidade privado para acessar o Azure Key Vault.

Se o seu cluster tiver roteamento definido pelo usuário do tipo de saída e o Firewall do Azure, as seguintes regras de rede e regras de aplicativo serão aplicáveis:

Regras de FQDN/aplicativo necessárias

FQDN Porta Use
vault.azure.net HTTPS:443 Necessário para que os pods de suplemento do Repositório de Segredos da CSI conversem com o servidor do Azure Key Vault.
*.vault.usgovcloudapi.net HTTPS:443 Necessário para que os pods do complementos CSI Secret Store se comuniquem com o servidor Azure KeyVault no Azure Governamental.

Azure Monitor – Prometheus Gerenciado e Insights de Contêiner

Se estiver usando clusters isolados de rede, é recomendável configurar ingestão baseada em ponto de extremidade privado, que tem suporte para o Prometheus Gerenciado (workspace do Azure Monitor) e Insights de contêiner (workspace do Log Analytics).

Se o seu cluster tiver roteamento definido pelo usuário do tipo de saída e o Firewall do Azure, as seguintes regras de rede e regras de aplicativo serão aplicáveis:

Regras de rede necessárias

Ponto de extremidade de destino Protocolo Porta Use
Marca de serviço - AzureMonitor:443 TCP 443 Este ponto de extremidade é usado para enviar logs e dados de métricas para o Azure Monitor e o Log Analytics.

Regras de aplicativo / FQDN necessárias para a nuvem pública do Azure

Ponto de extremidade Finalidade Porta
*.ods.opinsights.azure.com 443
*.oms.opinsights.azure.com 443
dc.services.visualstudio.com 443
*.monitoring.azure.com 443
login.microsoftonline.com 443
global.handler.control.monitor.azure.com Serviço de controle de acesso 443
*.ingest.monitor.azure.com Container Insights - ponto de extremidade de ingestão de logs (DCE) 443
*.metrics.ingest.monitor.azure.com Serviço gerenciado do Azure Monitor para Prometheus – ponto de extremidade de ingestão de métricas (DCE) 443
<cluster-region-name>.handler.control.monitor.azure.com Buscar regras de coleta de dados para um cluster específico 443

O Microsoft Azure operado pela 21Vianet na nuvem exige FQDN / regras de aplicativos

Ponto de extremidade Finalidade Porta
*.ods.opinsights.azure.cn Ingestão de dados 443
*.oms.opinsights.azure.cn Integração do agente do Azure Monitor (AMA) 443
dc.services.visualstudio.com Para a telemetria do agente que usa a Nuvem pública do Azure Application Insights 443
global.handler.control.monitor.azure.cn Serviço de controle de acesso 443
<cluster-region-name>.handler.control.monitor.azure.cn Buscar regras de coleta de dados para um cluster específico 443
*.ingest.monitor.azure.cn Container Insights - ponto de extremidade de ingestão de logs (DCE) 443
*.metrics.ingest.monitor.azure.cn Serviço gerenciado do Azure Monitor para Prometheus – ponto de extremidade de ingestão de métricas (DCE) 443

A nuvem do Azure Governamental exigiu FQDN / regras de aplicativo

Ponto de extremidade Finalidade Porta
*.ods.opinsights.azure.us Ingestão de dados 443
*.oms.opinsights.azure.us Integração do agente do Azure Monitor (AMA) 443
dc.services.visualstudio.com Para a telemetria do agente que usa a Nuvem pública do Azure Application Insights 443
global.handler.control.monitor.azure.us Serviço de controle de acesso 443
<cluster-region-name>.handler.control.monitor.azure.us Buscar regras de coleta de dados para um cluster específico 443
*.ingest.monitor.azure.us Container Insights - ponto de extremidade de ingestão de logs (DCE) 443
*.metrics.ingest.monitor.azure.us Serviço gerenciado do Azure Monitor para Prometheus – ponto de extremidade de ingestão de métricas (DCE) 443

Azure Policy

Regras de FQDN/aplicativo necessárias

FQDN Porta Use
data.policy.core.windows.net HTTPS:443 Esse endereço é usado para extrair as políticas do Kubernetes e relatar o status de conformidade do cluster ao serviço de política.
store.policy.core.windows.net HTTPS:443 Esse endereço é usado para extrair os artefatos do Gatekeeper de políticas internas.
dc.services.visualstudio.com HTTPS:443 Complemento do Azure Policy que envia dados telemétricos para pontos de extremidade de insights de aplicativo.

Regras de FQDN/aplicativo necessárias para o Microsoft Azure operado pela 21Vianet

FQDN Porta Use
data.policy.azure.cn HTTPS:443 Esse endereço é usado para extrair as políticas do Kubernetes e relatar o status de conformidade do cluster ao serviço de política.
store.policy.azure.cn HTTPS:443 Esse endereço é usado para extrair os artefatos do Gatekeeper de políticas internas.

Regras de FQDN/aplicativo do Azure necessárias para o governo dos EUA

FQDN Porta Use
data.policy.azure.us HTTPS:443 Esse endereço é usado para extrair as políticas do Kubernetes e relatar o status de conformidade do cluster ao serviço de política.
store.policy.azure.us HTTPS:443 Esse endereço é usado para extrair os artefatos do Gatekeeper de políticas internas.

Complemento de análise de custo do AKS

Regras de FQDN/aplicativo necessárias

FQDN Porta Use
management.azure.com
management.usgovcloudapi.net (Azure Governamental)
management.chinacloudapi.cn (Azure operado pela 21Vianet)
HTTPS:443 Necessárias para operações de Kubernetes na API do Azure.
login.microsoftonline.com
login.microsoftonline.us (Azure Governamental)
login.microsoftonline.cn (Azure operado pela 21Vianet)
HTTPS:443 É necessário para a autenticação do Microsoft Entra ID.

Extensões de cluster

Regras de FQDN/aplicativo necessárias

FQDN Porta Uso
<region>.dp.kubernetesconfiguration.azure.com HTTPS:443 Esse endereço é usado para buscar informações de configuração do serviço de Extensões de Cluster e relatar o status da extensão para o serviço.
mcr.microsoft.com, *.data.mcr.microsoft.com HTTPS:443 Esse endereço é necessário para obter imagens de contêiner para instalar agentes de extensão no cluster do AKS.
arcmktplaceprod.azurecr.io HTTPS:443 Este endereço é necessário para efetuar pull de imagens de contêiner para instalar extensões do marketplace no cluster do AKS.
arcmktplaceprod.centralindia.data.azurecr.io HTTPS:443 Este endereço é para o ponto de extremidade de dados regional da Índia Central e é necessário para efetuar pull de imagens de contêiner para instalar extensões do marketplace no cluster do AKS.
arcmktplaceprod.japaneast.data.azurecr.io HTTPS:443 Este endereço é para o ponto de extremidade de dados regional do Leste do Japão e é necessário para efetuar pull de imagens de contêiner para instalar extensões do marketplace no cluster do AKS.
arcmktplaceprod.westus2.data.azurecr.io HTTPS:443 Este endereço é para o ponto de extremidade de dados regional do Oeste dos EUA 2 e é necessário para efetuar pull de imagens de contêiner para instalar extensões do marketplace no cluster do AKS.
arcmktplaceprod.westeurope.data.azurecr.io HTTPS:443 Este endereço é para o ponto de extremidade de dados regional do Oeste da Europa e é necessário para efetuar pull de imagens de contêiner para instalar extensões do marketplace no cluster do AKS.
arcmktplaceprod.eastus.data.azurecr.io HTTPS:443 Este endereço é para o ponto de extremidade de dados regional do Leste dos EUA e é necessário para efetuar pull de imagens de contêiner para instalar extensões do marketplace no cluster do AKS.
*.ingestion.msftcloudes.com, *.microsoftmetrics.com HTTPS:443 Esse endereço é usado para enviar dados de métricas de agentes para o Azure.
marketplaceapi.microsoft.com HTTPS: 443 Esse endereço é utilizado para enviar o uso personalizado baseado em medidores para a API de medição do comércio.

Regras de FQDN/aplicativo do Azure necessárias para o governo dos EUA

FQDN Porta Use
<region>.dp.kubernetesconfiguration.azure.us HTTPS:443 Esse endereço é usado para buscar informações de configuração do serviço de Extensões de Cluster e relatar o status da extensão para o serviço.
mcr.microsoft.com, *.data.mcr.microsoft.com HTTPS:443 Esse endereço é necessário para obter imagens de contêiner para instalar agentes de extensão no cluster do AKS.

Observação

Para quaisquer complementos que não sejam explicitamente declarados aqui, os requisitos principais abrangem isso.

Complemento de malha de serviço baseado em Istio

No complemento de malha de serviço baseado em Istio, se você estiver configurando o istiod com uma autoridade de certificação (AC) de plug-in ou se estiver configurando um gateway de entrada seguro, o provedor do Azure Key Vault para o driver CSI do armazenamento de segredos será necessário para esses recursos. Os requisitos de rede de saída para o provedor Azure Key Vault para o driver do CSI do armazenamento de segredos podem ser encontrados aqui.

Complemento de roteamento de aplicativos

O complemento de roteamento de aplicativo dá suporte à terminação SSL na entrada com certificados armazenados no Azure Key Vault. Os requisitos de rede de saída para o provedor Azure Key Vault para o driver do CSI do armazenamento de segredos podem ser encontrados aqui.

Próximas etapas

Neste artigo, você aprendeu quais portas e endereços permitir se quiser restringir o tráfego de saída para o cluster.

Se você quiser restringir como os pods se comunicam entre si e as restrições de tráfego Leste-Oeste dentro do cluster, consulte Proteger o tráfego entre pods usando as políticas de rede no AKS.