Rede de saída e regras FQDN para clusters do Serviço Kubernetes do Azure (AKS)
Este artigo fornece os detalhes necessários que permitem proteger o tráfego de saída do seu Serviço Kubernetes do Azure (AKS). Ele contém os requisitos de cluster para uma implantação base do AKS e requisitos adicionais para complementos e recursos opcionais. Você pode aplicar essas informações a qualquer método ou dispositivo de restrição de saída.
Para ver um exemplo de configuração usando o Firewall do Azure, visite Controlar o tráfego de saída usando o Firewall do Azure no AKS.
Fundo
Os clusters AKS são implantados em uma rede virtual. Esta rede pode ser personalizada e pré-configurada por si ou pode ser criada e gerida pela AKS. Em ambos os casos, o cluster tem dependências de saída ou saída de serviços fora da rede virtual.
Para fins operacionais e de gerenciamento, os nós em um cluster AKS precisam acessar determinadas portas e FQDNs (nomes de domínio totalmente qualificados). Esses pontos de extremidade são necessários para que os nós se comuniquem com o servidor de API ou para baixar e instalar os principais componentes de cluster do Kubernetes e as atualizações de segurança do nó. Por exemplo, o cluster precisa extrair imagens de contêiner do Microsoft Artifact Registry (MAR).
As dependências de saída do AKS são quase inteiramente definidas com FQDNs, que não têm endereços estáticos por trás. A falta de endereços estáticos significa que você não pode usar grupos de segurança de rede (NSGs) para bloquear o tráfego de saída de um cluster AKS.
Por padrão, os clusters AKS têm acesso irrestrito à Internet de saída. Esse nível de acesso à rede permite que nós e serviços executados acessem recursos externos conforme necessário. Se você deseja restringir o tráfego de saída, um número limitado de portas e endereços deve estar acessível para manter as tarefas de manutenção do cluster íntegras.
Um cluster AKS isolado de rede fornece a solução mais simples e segura para configurar restrições de saída para um cluster pronto para uso. Um cluster isolado de rede extrai as imagens para componentes de cluster e complementos de uma instância privada do Azure Container Registry (ACR) conectada ao cluster em vez de extrair do MAR. Se as imagens não estiverem presentes, o ACR privado as retira do MAR e as atende por meio de seu ponto de extremidade privado, eliminando a necessidade de habilitar a saída do cluster para o ponto de extremidade público do MAR. O operador de cluster pode, então, configurar incrementalmente o tráfego de saída permitido com segurança em uma rede privada para cada cenário que deseja habilitar. Desta forma, os operadores de cluster têm controle total sobre o projeto do tráfego de saída permitido de seus clusters desde o início, permitindo-lhes reduzir o risco de exfiltração de dados.
Outra solução para proteger endereços de saída é usar um dispositivo de firewall que pode controlar o tráfego de saída com base em nomes de domínio. O Firewall do Azure pode restringir o tráfego HTTP e HTTPS de saída com base no FQDN do destino. Você também pode configurar seu firewall preferido e regras de segurança para permitir essas portas e endereços necessários.
Importante
Este documento cobre apenas como bloquear o tráfego que sai da sub-rede AKS. O AKS não tem requisitos de entrada por padrão. Não há suporte para o bloqueio do tráfego interno de sub-rede usando NSGs (grupos de segurança de rede) e firewalls. Para controlar e bloquear o tráfego dentro do cluster, consulte Proteger o tráfego entre pods usando políticas de rede no AKS.
Regras de rede de saída e FQDNs necessários para clusters AKS
As seguintes regras de rede e FQDN/aplicativo são necessárias para um cluster AKS. Você pode usá-los se desejar configurar uma solução diferente do Firewall do Azure.
- As dependências de endereço IP são para tráfego não-HTTP/S (tráfego TCP e UDP).
- Os pontos de extremidade FQDN HTTP/HTTPS podem ser colocados no seu dispositivo de firewall.
- Os pontos de extremidade HTTP/HTTPS curinga são dependências que podem variar com seu cluster AKS com base em vários qualificadores.
- O AKS usa um controlador de admissão para injetar o FQDN como uma variável de ambiente para todas as implantações sob kube-system e gatekeeper-system. Isso garante que toda a comunicação do sistema entre nós e o servidor de API use o FQDN do servidor de API e não o IP do servidor de API. Você pode obter o mesmo comportamento em seus próprios pods, em qualquer namespace, anotando a especificação do pod com uma anotação chamada
kubernetes.azure.com/set-kube-service-host-fqdn. Se essa anotação estiver presente, o AKS definirá a variável KUBERNETES_SERVICE_HOST para o nome de domínio do servidor de API em vez do IP do serviço no cluster. Isso é útil nos casos em que a saída do cluster é feita através de um firewall de camada 7. - Se você tiver um aplicativo ou solução que precise falar com o servidor de API, deverá adicionar uma regra de rede adicional para permitir a comunicação TCP com a porta 443 do IP OU do servidor de API, se tiver um firewall de camada 7 configurado para permitir o tráfego para o nome de domínio do Servidor de API, definido
kubernetes.azure.com/set-kube-service-host-fqdnnas especificações do seu pod. - Em raras ocasiões, se houver uma operação de manutenção, o IP do servidor de API pode mudar. As operações de manutenção planejadas que podem alterar o IP do servidor de API são sempre comunicadas com antecedência.
- Você pode notar tráfego para o ponto de extremidade "md-*.blob.storage.azure.net". Esse ponto de extremidade é usado para componentes internos do Azure Managed Disks. Bloquear o acesso a este ponto de extremidade a partir do firewall não deve causar problemas.
- Você pode notar tráfego para o ponto de extremidade "umsa*.blob.core.windows.net". Esse ponto de extremidade é usado para armazenar manifestos para o Agente de VM do Azure Linux & Extensões e é verificado regularmente para baixar novas versões. Você pode encontrar mais detalhes sobre VM Extensions.
Regras de rede necessárias do Azure Global
| Ponto de extremidade de destino | Protocolo | Porta | Utilizar |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.<Region>:1194 Or CIDRs regionais - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Para comunicação segura em túnel entre os nós e o plano de controle. Isso não é necessário para clusters privados ou para clusters com o konnectivity-agent habilitado. |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or CIDRs regionais - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Para comunicação segura em túnel entre os nós e o plano de controle. Isso não é necessário para clusters privados ou para clusters com o konnectivity-agent habilitado. |
*:123 ou ntp.ubuntu.com:123 (se estiver usando regras de rede do Firewall do Azure) |
UDP | 123 | Necessário para sincronização de tempo NTP (Network Time Protocol) em nós Linux. Isso não é necessário para nós provisionados após março de 2021. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Se você estiver usando servidores DNS personalizados, deverá garantir que eles estejam acessíveis pelos nós do cluster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Necessário se estiver executando pods/implantações que acessam o Servidor de API, esses pods/implantações usariam o IP da API. Esta porta não é necessária para clusters privados. |
FQDN / regras de aplicativo necessárias do Azure Global
| FQDN de destino | Porta | Utilizar |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Necessário para a comunicação do servidor Node <-> API. Substitua <o local> pela região onde o cluster AKS está implantado. Isso é necessário para clusters com konnectivity-agent habilitado. O Konnectivity também usa a negociação de protocolo de camada de aplicativo (ALPN) para se comunicar entre o agente e o servidor. Bloquear ou reescrever a extensão ALPN causará uma falha. Isso não é necessário para clusters privados. |
mcr.microsoft.com |
HTTPS:443 |
Necessário para acessar imagens no Microsoft Container Registry (MCR). Este registo contém imagens/gráficos primários (por exemplo, coreDNS, etc.). Essas imagens são necessárias para a criação e o funcionamento corretos do cluster, incluindo operações de dimensionamento e atualização. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Necessário para armazenamento MCR apoiado pela CDN (rede de entrega de conteúdo) do Azure. |
management.azure.com |
HTTPS:443 |
Necessário para operações do Kubernetes na API do Azure. |
login.microsoftonline.com |
HTTPS:443 |
Necessário para autenticação do Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Este endereço é o repositório de pacotes da Microsoft usado para operações apt-get armazenadas em cache. Pacotes de exemplo incluem Moby, PowerShell e CLI do Azure. |
acs-mirror.azureedge.net |
HTTPS:443 |
Esse endereço é para o repositório necessário para baixar e instalar binários necessários, como kubenet e Azure CNI. |
Regras de rede necessárias do Microsoft Azure operado pela 21Vianet
| Ponto de extremidade de destino | Protocolo | Porta | Utilizar |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.Region:1194 Or CIDRs regionais - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Para comunicação segura em túnel entre os nós e o plano de controle. |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or CIDRs regionais - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Para comunicação segura em túnel entre os nós e o plano de controle. |
*:22 Or ServiceTag - AzureCloud.<Region>:22 Or CIDRs regionais - RegionCIDRs:22 Or APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | Para comunicação segura em túnel entre os nós e o plano de controle. |
*:123 ou ntp.ubuntu.com:123 (se estiver usando regras de rede do Firewall do Azure) |
UDP | 123 | Necessário para sincronização de tempo NTP (Network Time Protocol) em nós Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Se você estiver usando servidores DNS personalizados, deverá garantir que eles estejam acessíveis pelos nós do cluster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Necessário se estiver executando pods/implantações que acessam o Servidor de API, esses pods/implantações usariam o IP da API. |
Microsoft Azure operado pela 21Vianet necessário FQDN / regras de aplicativo
| FQDN de destino | Porta | Utilizar |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Necessário para a comunicação do servidor Node <-> API. Substitua <o local> pela região onde o cluster AKS está implantado. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Necessário para a comunicação do servidor Node <-> API. Substitua <o local> pela região onde o cluster AKS está implantado. |
mcr.microsoft.com |
HTTPS:443 |
Necessário para acessar imagens no Microsoft Container Registry (MCR). Este registo contém imagens/gráficos primários (por exemplo, coreDNS, etc.). Essas imagens são necessárias para a criação e o funcionamento corretos do cluster, incluindo operações de dimensionamento e atualização. |
.data.mcr.microsoft.com |
HTTPS:443 |
Necessário para armazenamento MCR apoiado pela CDN (Rede de Entrega de Conteúdo) do Azure. |
management.chinacloudapi.cn |
HTTPS:443 |
Necessário para operações do Kubernetes na API do Azure. |
login.chinacloudapi.cn |
HTTPS:443 |
Necessário para autenticação do Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Este endereço é o repositório de pacotes da Microsoft usado para operações apt-get armazenadas em cache. Pacotes de exemplo incluem Moby, PowerShell e CLI do Azure. |
*.azk8s.cn |
HTTPS:443 |
Esse endereço é para o repositório necessário para baixar e instalar binários necessários, como kubenet e Azure CNI. |
Regras de rede exigidas pelo Azure US Government
| Ponto de extremidade de destino | Protocolo | Porta | Utilizar |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.<Region>:1194 Or CIDRs regionais - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Para comunicação segura em túnel entre os nós e o plano de controle. |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or CIDRs regionais - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Para comunicação segura em túnel entre os nós e o plano de controle. |
*:123 ou ntp.ubuntu.com:123 (se estiver usando regras de rede do Firewall do Azure) |
UDP | 123 | Necessário para sincronização de tempo NTP (Network Time Protocol) em nós Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Se você estiver usando servidores DNS personalizados, deverá garantir que eles estejam acessíveis pelos nós do cluster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Necessário se estiver executando pods/implantações que acessam o Servidor de API, esses pods/implantações usariam o IP da API. |
O Azure US Government exigiu FQDN / regras de aplicativo
| FQDN de destino | Porta | Utilizar |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Necessário para a comunicação do servidor Node <-> API. Substitua <o local> pela região onde o cluster AKS está implantado. |
mcr.microsoft.com |
HTTPS:443 |
Necessário para acessar imagens no Microsoft Container Registry (MCR). Este registo contém imagens/gráficos primários (por exemplo, coreDNS, etc.). Essas imagens são necessárias para a criação e o funcionamento corretos do cluster, incluindo operações de dimensionamento e atualização. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Necessário para armazenamento MCR apoiado pela CDN (rede de entrega de conteúdo) do Azure. |
management.usgovcloudapi.net |
HTTPS:443 |
Necessário para operações do Kubernetes na API do Azure. |
login.microsoftonline.us |
HTTPS:443 |
Necessário para autenticação do Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Este endereço é o repositório de pacotes da Microsoft usado para operações apt-get armazenadas em cache. Pacotes de exemplo incluem Moby, PowerShell e CLI do Azure. |
acs-mirror.azureedge.net |
HTTPS:443 |
Esse endereço é para o repositório necessário para instalar binários necessários, como kubenet e Azure CNI. |
FQDN / regras de aplicação opcionais recomendadas para clusters AKS
As seguintes regras de FQDN/aplicativo não são necessárias, mas são recomendadas para clusters AKS:
| FQDN de destino | Porta | Utilizar |
|---|---|---|
security.ubuntu.com, azure.archive.ubuntu.com, changelogs.ubuntu.com |
HTTP:80 |
Esse endereço permite que os nós do cluster Linux baixem os patches e atualizações de segurança necessários. |
snapshot.ubuntu.com |
HTTPS:443 |
Esse endereço permite que os nós do cluster Linux baixem os patches de segurança e as atualizações necessárias do serviço de instantâneo do ubuntu. |
Se você optar por bloquear/não permitir esses FQDNs, os nós só receberão atualizações do sistema operacional quando você fizer uma atualização de imagem de nó ou atualização de cluster. Lembre-se de que as atualizações de imagem de nó também vêm com pacotes atualizados, incluindo correções de segurança.
Clusters AKS habilitados para GPU exigiam FQDN / regras de aplicativo
| FQDN de destino | Porta | Utilizar |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Esse endereço é usado para a instalação e operação corretas do driver em nós baseados em GPU. |
us.download.nvidia.com |
HTTPS:443 |
Esse endereço é usado para a instalação e operação corretas do driver em nós baseados em GPU. |
download.docker.com |
HTTPS:443 |
Esse endereço é usado para a instalação e operação corretas do driver em nós baseados em GPU. |
Pools de nós baseados no Windows Server FQDN necessários / regras de aplicativo
| FQDN de destino | Porta | Utilizar |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Para instalar binários relacionados ao Windows |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Para instalar binários relacionados ao Windows |
Se você optar por bloquear/não permitir esses FQDNs, os nós só receberão atualizações do sistema operacional quando você fizer uma atualização de imagem de nó ou atualização de cluster. Lembre-se de que as Atualizações de Imagem de Nó também vêm com pacotes atualizados, incluindo correções de segurança.
Recursos, addons e integrações do AKS
Identidade da carga de trabalho
FQDN / regras de aplicação necessárias
| FQDN de destino | Porta | Utilizar |
|---|---|---|
login.microsoftonline.com ou login.chinacloudapi.cn ou login.microsoftonline.us |
HTTPS:443 |
Necessário para autenticação do Microsoft Entra. |
Microsoft Defender para Contentores
FQDN / regras de aplicação necessárias
| FQDN | Porta | Utilizar |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure operado pela 21Vianet) |
HTTPS:443 |
Necessário para a autenticação do Microsoft Entra. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government) *.ods.opinsights.azure.cn (Azure operado pela 21Vianet) |
HTTPS:443 |
Necessário para o Microsoft Defender carregar eventos de segurança para a nuvem. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government) *.oms.opinsights.azure.cn (Azure operado pela 21Vianet) |
HTTPS:443 |
Necessário para autenticar com espaços de trabalho do Log Analytics. |
Provedor do Azure Key Vault para Driver CSI do Secrets Store
Se estiver usando clusters isolados de rede, é recomendável configurar o ponto de extremidade privado para acessar o Cofre da Chave do Azure.
Se o cluster tiver roteamento definido pelo usuário do tipo de saída e o Firewall do Azure, as seguintes regras de rede e de aplicativo serão aplicáveis:
FQDN / regras de aplicação necessárias
| FQDN | Porta | Utilizar |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Necessário para que os pods de complemento do CSI Secret Store conversem com o servidor do Azure KeyVault. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Necessário para que os pods de complemento do CSI Secret Store conversem com o servidor do Azure KeyVault no Azure Government. |
Azure Monitor - Managed Prometheus e Container Insights
Se estiver usando clusters isolados de rede, é recomendável configurar a ingestão baseada em ponto de extremidade privado, que é suportada para o Managed Prometheus (espaço de trabalho do Azure Monitor) e para o Container insights (espaço de trabalho do Log Analytics).
Se o cluster tiver roteamento definido pelo usuário do tipo de saída e o Firewall do Azure, as seguintes regras de rede e de aplicativo serão aplicáveis:
Regras de rede necessárias
| Ponto de extremidade de destino | Protocolo | Porta | Utilizar |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Esse ponto de extremidade é usado para enviar dados e logs de métricas para o Azure Monitor e o Log Analytics. |
FQDN / regras de aplicativo necessárias para a nuvem pública do Azure
| Ponto final | Propósito | Porta |
|---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
Serviço de Controlo de Acesso | 443 |
*.ingest.monitor.azure.com |
Container Insights - registra o ponto de extremidade de ingestão (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
Azure monitor managed service for Prometheus - metrics inestion endpoint (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
Buscar regras de coleta de dados para cluster específico | 443 |
Microsoft Azure operado pela nuvem 21Vianet necessário FQDN / regras de aplicativo
| Ponto final | Propósito | Porta |
|---|---|---|
*.ods.opinsights.azure.cn |
Ingestão de dados | 443 |
*.oms.opinsights.azure.cn |
Integração do agente do Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
Para telemetria de agente que usa o Azure Public Cloud Application Insights | 443 |
global.handler.control.monitor.azure.cn |
Serviço de Controlo de Acesso | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
Buscar regras de coleta de dados para cluster específico | 443 |
*.ingest.monitor.azure.cn |
Container Insights - registra o ponto de extremidade de ingestão (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
Azure monitor managed service for Prometheus - metrics inestion endpoint (DCE) | 443 |
FQDN / regras de aplicativo necessárias na nuvem do Azure Government
| Ponto final | Propósito | Porta |
|---|---|---|
*.ods.opinsights.azure.us |
Ingestão de dados | 443 |
*.oms.opinsights.azure.us |
Integração do agente do Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
Para telemetria de agente que usa o Azure Public Cloud Application Insights | 443 |
global.handler.control.monitor.azure.us |
Serviço de Controlo de Acesso | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
Buscar regras de coleta de dados para cluster específico | 443 |
*.ingest.monitor.azure.us |
Container Insights - registra o ponto de extremidade de ingestão (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
Azure monitor managed service for Prometheus - metrics inestion endpoint (DCE) | 443 |
Azure Policy
FQDN / regras de aplicação necessárias
| FQDN | Porta | Utilizar |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Esse endereço é usado para extrair as políticas do Kubernetes e relatar o status de conformidade do cluster para o serviço de políticas. |
store.policy.core.windows.net |
HTTPS:443 |
Esse endereço é usado para extrair os artefatos do Gatekeeper de políticas internas. |
dc.services.visualstudio.com |
HTTPS:443 |
Complemento de Política do Azure que envia dados de telemetria para o ponto de extremidade do insights de aplicativos. |
Microsoft Azure operado pela 21Vianet necessário FQDN / regras de aplicativo
| FQDN | Porta | Utilizar |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Esse endereço é usado para extrair as políticas do Kubernetes e relatar o status de conformidade do cluster para o serviço de políticas. |
store.policy.azure.cn |
HTTPS:443 |
Esse endereço é usado para extrair os artefatos do Gatekeeper de políticas internas. |
O Azure US Government exigiu FQDN / regras de aplicativo
| FQDN | Porta | Utilizar |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Esse endereço é usado para extrair as políticas do Kubernetes e relatar o status de conformidade do cluster para o serviço de políticas. |
store.policy.azure.us |
HTTPS:443 |
Esse endereço é usado para extrair os artefatos do Gatekeeper de políticas internas. |
Complemento de análise de custos AKS
FQDN / regras de aplicação necessárias
| FQDN | Porta | Utilizar |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Azure Government) management.chinacloudapi.cn (Azure operado pela 21Vianet) |
HTTPS:443 |
Necessário para operações do Kubernetes na API do Azure. |
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure operado pela 21Vianet) |
HTTPS:443 |
Necessário para a autenticação do Microsoft Entra ID. |
Extensões de cluster
FQDN / regras de aplicação necessárias
| FQDN | Porto | Utilizar |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Esse endereço é usado para buscar informações de configuração do serviço Extensões de Cluster e relatar o status da extensão para o serviço. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Esse endereço é necessário para extrair imagens de contêiner para instalar agentes de extensão de cluster no cluster AKS. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Este endereço é necessário para extrair imagens de contêiner para instalar extensões de mercado no cluster AKS. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Este endereço é para o ponto de extremidade de dados regional da Índia Central e é necessário para extrair imagens de contêiner para instalar extensões de mercado no cluster AKS. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Este endereço é para o ponto de extremidade de dados regional do Leste do Japão e é necessário para extrair imagens de contêiner para instalar extensões de mercado no cluster AKS. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Este endereço é para o ponto de extremidade de dados regional West US2 e é necessário para extrair imagens de contêiner para instalar extensões de mercado no cluster AKS. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Este endereço é para o ponto de extremidade de dados regional da Europa Ocidental e é necessário para extrair imagens de contêiner para instalar extensões de mercado no cluster AKS. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Este endereço é para o ponto de extremidade de dados regional do Leste dos EUA e é necessário para extrair imagens de contêiner para instalar extensões de mercado no cluster AKS. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Esse endereço é usado para enviar dados de métricas de agentes para o Azure. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Esse endereço é usado para enviar o uso personalizado baseado em medidor para a API de medição de comércio. |
O Azure US Government exigiu FQDN / regras de aplicativo
| FQDN | Porta | Utilizar |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Esse endereço é usado para buscar informações de configuração do serviço Extensões de Cluster e relatar o status da extensão para o serviço. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Esse endereço é necessário para extrair imagens de contêiner para instalar agentes de extensão de cluster no cluster AKS. |
Nota
Para quaisquer addons que não estejam explicitamente declarados aqui, os requisitos principais cobrem-no.
Complemento de malha de serviço baseado em Istio
No complemento de malha de serviço baseado em Istio=, se você estiver configurando o istiod com uma Autoridade de Certificação (CA) de plug-in ou se estiver configurando um gateway de entrada seguro, o provedor do Azure Key Vault para Driver CSI do Secrets Store será necessário para esses recursos. Os requisitos de rede de saída para o provedor do Azure Key Vault for Secrets Store CSI Driver podem ser encontrados aqui.
Complemento de roteamento de aplicativos
O complemento de roteamento de aplicativos dá suporte à terminação SSL na entrada com certificados armazenados no Cofre de Chaves do Azure. Os requisitos de rede de saída para o provedor do Azure Key Vault for Secrets Store CSI Driver podem ser encontrados aqui.
Próximos passos
Neste artigo, você aprendeu quais portas e endereços permitir se quiser restringir o tráfego de saída para o cluster.
Se você quiser restringir a forma como os pods se comunicam entre si e as restrições de tráfego Leste-Oeste dentro do cluster, consulte Proteger o tráfego entre pods usando políticas de rede no AKS.
Azure Kubernetes Service