Requisitos de rede do Kubernetes habilitado para Azure Arc

Este tópico descreve os requisitos de rede para conectar um cluster Kubernetes ao Azure Arc e dar suporte a vários cenários Kubernetes habilitados para Arc.

Gorjeta

Para a nuvem pública do Azure, você pode reduzir o número de pontos de extremidade necessários usando o gateway do Azure Arc (visualização).

Detalhes

Geralmente, os requisitos de conectividade incluem estes princípios:

• Todas as conexões são TCP, a menos que especificado de outra forma.
• Todas as conexões HTTP usam HTTPS e SSL/TLS com certificados oficialmente assinados e verificáveis.
• Todas as conexões são de saída, a menos que especificado de outra forma.

Para usar um proxy, verifique se os agentes e a máquina que executa o processo de integração atendem aos requisitos de rede neste artigo.

Azure Cloud

Importante

Os agentes do Azure Arc exigem as seguintes URLs de saída para https://:443 funcionar. Para *.servicebus.windows.neto , os websockets precisam estar habilitados para acesso de saída em firewall e proxy.

Ponto final (DNS)	Description
https://management.azure.com	Necessário para que o agente se conecte ao Azure e registre o cluster.
https://<region>.dp.kubernetesconfiguration.azure.com	O ponto final do plano de dados para o agente emitir o estado e obter as informações de configuração.
https://login.microsoftonline.com https://<region>.login.microsoft.com login.windows.net	É necessário obter e atualizar os tokens do Azure Resource Manager.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Necessário para extrair imagens de contêiner para agentes do Azure Arc.
https://gbl.his.arc.azure.com	Necessário para obter o ponto de extremidade regional para obter certificados de Identidade Gerenciada atribuídos pelo sistema.
https://*.his.arc.azure.com	Necessário para obter certificados de Identidade Gerenciada atribuídos pelo sistema.
https://k8connecthelm.azureedge.net	az connectedk8s connect usa o Helm 3 para implantar agentes do Azure Arc no cluster do Kubernetes. Esse ponto de extremidade é necessário para o download do cliente Helm para facilitar a implantação do gráfico de leme do agente.
guestnotificationservice.azure.com *.guestnotificationservice.azure.com sts.windows.net https://k8sconnectcsp.azureedge.net	Para Cluster Connect e para cenários baseados em Localização Personalizada.
*.servicebus.windows.net	Para Cluster Connect e para cenários baseados em Localização Personalizada.
https://graph.microsoft.com/	Necessário quando o RBAC do Azure está configurado.
*.arc.azure.net	Necessário para gerenciar clusters conectados no portal do Azure.
https://<region>.obo.arc.azure.com:8084/	Necessário quando o Cluster Connect está configurado.
https://linuxgeneva-microsoft.azurecr.io	Necessário se estiver usando extensões do Kubernetes habilitadas para Azure Arc.

Para traduzir o curinga *.servicebus.windows.net em pontos de extremidade específicos, use o comando:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Para obter o segmento de região de um ponto de extremidade regional, remova todos os espaços do nome da região do Azure. Por exemplo, região Leste dos EUA 2 , o nome da região é eastus2.

Por exemplo: *.<region>.arcdataservices.com deve estar *.eastus2.arcdataservices.com na região Leste dos EUA 2.

Para ver uma lista de todas as regiões, execute este comando:

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Government

Importante

Os agentes do Azure Arc exigem as seguintes URLs de saída para https://:443 funcionar. Para *.servicebus.usgovcloudapi.neto , os websockets precisam estar habilitados para acesso de saída em firewall e proxy.

Ponto final (DNS)	Description
https://management.usgovcloudapi.net	Necessário para que o agente se conecte ao Azure e registre o cluster.
https://<region>.dp.kubernetesconfiguration.azure.us	O ponto final do plano de dados para o agente emitir o estado e obter as informações de configuração.
https://login.microsoftonline.us <region>.login.microsoftonline.us	É necessário obter e atualizar os tokens do Azure Resource Manager.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Necessário para extrair imagens de contêiner para agentes do Azure Arc.
https://gbl.his.arc.azure.us	Necessário para obter o ponto de extremidade regional para obter certificados de Identidade Gerenciada atribuídos pelo sistema.
https://usgv.his.arc.azure.us	Necessário para obter certificados de Identidade Gerenciada atribuídos pelo sistema.
https://k8connecthelm.azureedge.net	az connectedk8s connect usa o Helm 3 para implantar agentes do Azure Arc no cluster do Kubernetes. Esse ponto de extremidade é necessário para o download do cliente Helm para facilitar a implantação do gráfico de leme do agente.
guestnotificationservice.azure.us *.guestnotificationservice.azure.us sts.windows.net https://k8sconnectcsp.azureedge.net	Para Cluster Connect e para cenários baseados em Localização Personalizada.
*.servicebus.usgovcloudapi.net	Para Cluster Connect e para cenários baseados em Localização Personalizada.
https://graph.microsoft.com/	Necessário quando o RBAC do Azure está configurado.
https://usgovvirginia.obo.arc.azure.us:8084/	Necessário quando o Cluster Connect está configurado.

Para traduzir o curinga *.servicebus.usgovcloudapi.net em pontos de extremidade específicos, use o comando:

GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&location=region

Para obter o segmento de região de um ponto de extremidade regional, remova todos os espaços do nome da região do Azure. Por exemplo, região Leste dos EUA 2 , o nome da região é eastus2.

Por exemplo: *.<region>.arcdataservices.com deve estar *.eastus2.arcdataservices.com na região Leste dos EUA 2.

Para ver uma lista de todas as regiões, execute este comando:

az account list-locations -o table

Get-AzLocation | Format-Table

Microsoft Azure operado pela 21Vianet

Importante

Os agentes do Azure Arc exigem as seguintes URLs de saída para https://:443 funcionar. Para *.servicebus.chinacloudapi.cno , os websockets precisam estar habilitados para acesso de saída em firewall e proxy.

Ponto final (DNS)	Description
https://management.chinacloudapi.cn	Necessário para que o agente se conecte ao Azure e registre o cluster.
https://<region>.dp.kubernetesconfiguration.azure.cn	O ponto final do plano de dados para o agente emitir o estado e obter as informações de configuração.
https://login.chinacloudapi.cn https://<region>.login.chinacloudapi.cn login.partner.microsoftonline.cn	É necessário obter e atualizar os tokens do Azure Resource Manager.
mcr.azk8s.cn	Necessário para extrair imagens de contêiner para agentes do Azure Arc.
https://gbl.his.arc.azure.cn	Necessário para obter o ponto de extremidade regional para obter certificados de Identidade Gerenciada atribuídos pelo sistema.
https://*.his.arc.azure.cn	Necessário para obter certificados de Identidade Gerenciada atribuídos pelo sistema.
https://k8connecthelm.azureedge.net	az connectedk8s connect usa o Helm 3 para implantar agentes do Azure Arc no cluster do Kubernetes. Esse ponto de extremidade é necessário para o download do cliente Helm para facilitar a implantação do gráfico de leme do agente.
guestnotificationservice.azure.cn *.guestnotificationservice.azure.cn sts.chinacloudapi.cn https://k8sconnectcsp.azureedge.net	Para Cluster Connect e para cenários baseados em Localização Personalizada.
*.servicebus.chinacloudapi.cn	Para Cluster Connect e para cenários baseados em Localização Personalizada.
https://graph.chinacloudapi.cn/	Necessário quando o RBAC do Azure está configurado.
*.arc.azure.cn	Necessário para gerenciar clusters conectados no portal do Azure.
https://<region>.obo.arc.azure.cn:8084/	Necessário quando o Cluster Connect está configurado.
quay.azk8s.cn registryk8s.azk8s.cn k8sgcr.azk8s.cn usgcr.azk8s.cn dockerhub.azk8s.cn/<repo-name>/<image-name>:<version>	Servidores proxy do Registro de contêiner para VMs do Azure China.

Parâmetros de avaliação adicionais

Dependendo do seu cenário, você pode precisar de conectividade com outras URLs, como as usadas pelo portal do Azure, ferramentas de gerenciamento ou outros serviços do Azure. Em particular, revise essas listas para garantir que você permita a conectividade com quaisquer pontos de extremidade necessários:

• Azure portal URLs
• Pontos de extremidade da CLI do Azure para bypass de proxy

Para obter uma lista completa dos requisitos de rede para recursos do Azure Arc e serviços habilitados para Azure Arc, consulte Requisitos de rede do Azure Arc.

Próximos passos

• Entenda os requisitos do sistema para Kubernetes habilitados para Arc.
• Use nosso guia de início rápido para conectar seu cluster.
• Consulte as perguntas frequentes sobre o Kubernetes habilitado para Arc.