Правила исходящей сети и полного доменного имени для кластеров Служба Azure Kubernetes (AKS)
В этой статье содержатся необходимые сведения, позволяющие защитить исходящий трафик от службы Azure Kubernetes (AKS). Он содержит требования к кластеру для базового развертывания AKS и дополнительные требования к дополнительным надстройкам и функциям. Эти сведения можно применить к любому методу ограничения исходящего трафика или устройству.
Чтобы просмотреть пример конфигурации с помощью Брандмауэр Azure, посетите трафик исходящего трафика с помощью Брандмауэр Azure в AKS.
Общие сведения
Кластеры AKS развертываются в виртуальной сети. Эта сеть может быть настроена и предварительно настроена вами, или ее можно создать и управлять с помощью AKS. В любом случае кластер имеет исходящие или исходящие зависимости от служб за пределами виртуальной сети.
Для управления и эксплуатации узлам в кластере AKS нужен доступ к определенным портам и полным доменным именам (FQDN). Эти конечные точки необходимы для взаимодействия узлов с сервером API или для скачивания и установки основных компонентов кластера Kubernetes и обновлений безопасности узлов. Например, кластеру необходимо извлечь образы контейнеров из Реестр артефактов Microsoft (MAR).
Исходящие зависимости AKS практически полностью определяются полным доменным FQDN, у которых нет статических адресов. Отсутствие статических адресов означает, что группы безопасности сети (NSG) нельзя использовать для блокировки исходящего трафика из кластера AKS.
По умолчанию кластеры AKS имеют неограниченный исходящий доступ к Интернету. Такой уровень сетевого доступа позволяет работающим узлам и службам обращаться к внешним ресурсам по мере необходимости. Если вы хотите ограничить исходящий трафик, нужно сохранить доступ для ограниченного числа портов и адресов, чтобы обеспечить работоспособность для задач обслуживания кластера.
Изолированный кластер AKS сети предоставляет самое простое и наиболее безопасное решение для настройки ограничений исходящего трафика для кластера из коробки. Изолированный сетевой кластер извлекает образы для компонентов кластера и надстроек из частного экземпляра Реестр контейнеров Azure (ACR), подключенного к кластеру, а не извлекает из MAR. Если образы отсутствуют, частный ACR извлекает их из MAR и обслуживает их через частную конечную точку, устраняя необходимость включения исходящего трафика из кластера в общедоступную конечную точку MAR. Затем оператор кластера может постепенно настроить разрешенный исходящий трафик безопасно через частную сеть для каждого сценария, который требуется включить. Таким образом, операторы кластера полностью контролируют проектирование разрешенного исходящего трафика из своих кластеров прямо с начала, что позволяет им снизить риск кражи данных.
Другим решением для защиты исходящих адресов является использование устройства брандмауэра, которое может управлять исходящим трафиком на основе доменных имен. Брандмауэр Azure может ограничить исходящий трафик HTTP и HTTPS на основе FQDN назначения. Вы также можете настроить разрешения для этих портов и адресов в выбранном брандмауэре и в правилах безопасности.
Внимание
В этом документе рассматривается только блокировка трафика, выходящего из подсети AKS. Служба контейнеров Azure по умолчанию не имеет никаких требований к входящему трафику. Блокировка внутреннего трафика подсети с помощью групп безопасности сети (NSG) и брандмауэров не поддерживается. Чтобы контролировать и блокировать трафик в кластере, см. раздел "Безопасный трафик между модулями pod с помощью политик сети в AKS".
Необходимые правила исходящей сети и FQDN для кластеров AKS
Для кластера AKS требуются следующие правила сети и полное доменное имя или приложение. Их можно использовать, если вы хотите настроить решение, отличное от Брандмауэр Azure.
- Зависимости IP-адресов предназначены для трафика, отличного от HTTP/S (как TCP, так и трафика UDP).
- В устройство брандмауэра можно добавить FQDN конечных точек для протокола HTTP/HTTPS.
- Произвольные конечные точки для HTTP/HTTPS — это зависимости, которые могут меняться вместе с кластером AKS в зависимости от количества квалификаторов.
- AKS использует контроллер допуска для внедрения полного доменного имени в качестве переменной среды для всех развертываний в kube-system и gatekeeper-system. Это гарантирует, что все системные связи между узлами и сервером API используют полное доменное имя сервера API, а не IP-адрес сервера API. Вы можете получить то же поведение в собственных модулях pod в любом пространстве имен, заметив спецификацию pod с помощью заметки с именем
kubernetes.azure.com/set-kube-service-host-fqdn. Если эта заметка присутствует, AKS установит переменную KUBERNETES_SERVICE_HOST имя домена сервера API вместо IP-адреса службы в кластере. Это полезно в случаях, когда исходящий трафик кластера осуществляется через брандмауэр уровня 7. - Если у вас есть приложение или решение, которое должно взаимодействовать с сервером API, необходимо добавить дополнительное правило сети, чтобы разрешить tcp-связь через порт 443 IP-адреса сервера API или, если у вас есть брандмауэр уровня 7, настроенный для разрешения трафика на доменное имя сервера API, задайте
kubernetes.azure.com/set-kube-service-host-fqdnв спецификациях pod. - В редких случаях, если есть операция обслуживания, IP-адрес сервера API может измениться. Запланированные операции обслуживания, которые могут изменить IP-адрес сервера API, всегда передаются заранее.
- Вы можете заметить трафик к конечной точке md-*.blob.storage.azure.net. Эта конечная точка используется для внутренних компонентов Azure Управляемые диски. Блокировка доступа к этой конечной точке из брандмауэра не должна вызывать никаких проблем.
- Вы можете заметить трафик к конечной точке umsa*.blob.core.windows.net. Эта конечная точка используется для хранения манифестов агента виртуальной машины Azure и расширений виртуальных машин Azure и регулярно проверяется для скачивания новых версий. Дополнительные сведения о расширениях виртуальных машин можно найти.
Глобальные обязательные правила сети Azure
| Целевая конечная точка | Протокол | Порт | Использование |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.<Region>:1194 Or Региональные CIDR - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Для туннелирования безопасного взаимодействия между узлами и плоскостью управления. Это не требуется для частных кластеров или для кластеров с включенным агентом коннективности. |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or Региональные CIDR - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Для туннелирования безопасного взаимодействия между узлами и плоскостью управления. Это не требуется для частных кластеров или для кластеров с включенным агентом коннективности. |
*:123 или ntp.ubuntu.com:123 (при использовании сетевых правил брандмауэра Azure) |
UDP | 123 | Требуется для синхронизации времени по протоколу NTP на узлах Linux. Это не обязательно для узлов, подготовленных после марта 2021 г. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Если вы используете пользовательские DNS-серверы, необходимо убедиться, что они доступны для узлов кластера. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Требуется при запуске модулей pod или развертываний, обращающихся к серверу API, эти модули и развертывания будут использовать IP-адрес API. Этот порт не требуется для частных кластеров. |
Глобальное требуемое полное доменное имя или правила приложения Azure
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Необходим для обмена данными между узлом и сервером API. Замените заполнитель <расположение> значением для региона, в котором развернут кластер AKS. Это требуется для кластеров с включенным konnectivity-agent. Konnectivity также использует расширение ALPN для обмена данными между агентом и сервером. Блокировка или перезапись расширения ALPN приведет к сбою. Это не обязательно для частных кластеров. |
mcr.microsoft.com |
HTTPS:443 |
Этот адрес необходим для доступа к образам в реестре контейнеров Майкрософт (MCR). Этот реестр содержит образы и диаграммы от сторонних производителей (например, coreDNS и т. д.). Эти образы необходимы для правильного создания и функционирования кластера, включая операции масштабирования и обновления. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Необходим для хранилища MCR, поддерживаемого сетью доставки содержимого (CDN) Azure. |
management.azure.com |
HTTPS:443 |
Требуется для операций Kubernetes с API Azure. |
login.microsoftonline.com |
HTTPS:443 |
Требуется для проверки подлинности Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Этот адрес содержит репозиторий пакетов Майкрософт, которые используются для кэширования операций apt-get. Например, здесь хранятся пакеты для Moby, PowerShell и Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Это адрес для репозитория, необходимого для загрузки и установки обязательных двоичных файлов, таких как kubenet и Azure CNI. |
Microsoft Azure, управляемый правилами сети 21Vianet
| Целевая конечная точка | Протокол | Порт | Использование |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.Region:1194 Or Региональные CIDR - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Для туннелирования безопасного взаимодействия между узлами и плоскостью управления. |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or Региональные CIDR - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Для туннелирования безопасного взаимодействия между узлами и плоскостью управления. |
*:22 Or ServiceTag - AzureCloud.<Region>:22 Or Региональные CIDR - RegionCIDRs:22 Or APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | Для туннелирования безопасного взаимодействия между узлами и плоскостью управления. |
*:123 или ntp.ubuntu.com:123 (при использовании сетевых правил брандмауэра Azure) |
UDP | 123 | Требуется для синхронизации времени по протоколу NTP на узлах Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Если вы используете пользовательские DNS-серверы, необходимо убедиться, что они доступны для узлов кластера. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Требуется при запуске модулей Pod или развертываний, обращающихся к серверу API, эти модули и развертывания будут использовать IP-адрес API. |
Microsoft Azure, управляемый 21Vianet, требуется полное доменное имя или правила приложения
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Необходим для обмена данными между узлом и сервером API. Замените заполнитель <расположение> значением для региона, в котором развернут кластер AKS. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Необходим для обмена данными между узлом и сервером API. Замените заполнитель <расположение> значением для региона, в котором развернут кластер AKS. |
mcr.microsoft.com |
HTTPS:443 |
Этот адрес необходим для доступа к образам в реестре контейнеров Майкрософт (MCR). Этот реестр содержит образы и диаграммы от сторонних производителей (например, coreDNS и т. д.). Эти образы необходимы для правильного создания и функционирования кластера, включая операции масштабирования и обновления. |
.data.mcr.microsoft.com |
HTTPS:443 |
Этот адрес необходим для хранилища MCR, поддерживаемого сетью доставки содержимого (CDN) Azure. |
management.chinacloudapi.cn |
HTTPS:443 |
Требуется для операций Kubernetes с API Azure. |
login.chinacloudapi.cn |
HTTPS:443 |
Требуется для проверки подлинности Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Этот адрес содержит репозиторий пакетов Майкрософт, которые используются для кэширования операций apt-get. Например, здесь хранятся пакеты для Moby, PowerShell и Azure CLI. |
*.azk8s.cn |
HTTPS:443 |
Это адрес для репозитория, необходимого для загрузки и установки обязательных двоичных файлов, таких как kubenet и Azure CNI. |
Правила сети, необходимые для государственных организаций США
| Целевая конечная точка | Протокол | Порт | Использование |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.<Region>:1194 Or Региональные CIDR - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Для туннелирования безопасного взаимодействия между узлами и плоскостью управления. |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or Региональные CIDR - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Для туннелирования безопасного взаимодействия между узлами и плоскостью управления. |
*:123 или ntp.ubuntu.com:123 (при использовании сетевых правил брандмауэра Azure) |
UDP | 123 | Требуется для синхронизации времени по протоколу NTP на узлах Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Если вы используете пользовательские DNS-серверы, необходимо убедиться, что они доступны для узлов кластера. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Требуется при запуске модулей pod или развертываний, обращающихся к серверу API, эти модули и развертывания будут использовать IP-адрес API. |
Для государственных организаций США требуются полные доменные имена и правила приложений
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Необходим для обмена данными между узлом и сервером API. Замените заполнитель <расположение> значением для региона, в котором развернут кластер AKS. |
mcr.microsoft.com |
HTTPS:443 |
Этот адрес необходим для доступа к образам в реестре контейнеров Майкрософт (MCR). Этот реестр содержит образы и диаграммы от сторонних производителей (например, coreDNS и т. д.). Эти образы необходимы для правильного создания и функционирования кластера, включая операции масштабирования и обновления. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Необходим для хранилища MCR, поддерживаемого сетью доставки содержимого (CDN) Azure. |
management.usgovcloudapi.net |
HTTPS:443 |
Требуется для операций Kubernetes с API Azure. |
login.microsoftonline.us |
HTTPS:443 |
Требуется для проверки подлинности Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Этот адрес содержит репозиторий пакетов Майкрософт, которые используются для кэширования операций apt-get. Например, здесь хранятся пакеты для Moby, PowerShell и Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Это адрес для репозитория, необходимого для установки обязательных двоичных файлов, таких как kubenet и Azure CNI. |
Дополнительное рекомендуемое полное доменное имя / правила приложения для кластеров AKS, указанные здесь
Для кластеров AKS рекомендуется использовать следующие полные доменные имена или правила приложения:
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
security.ubuntu.com, , azure.archive.ubuntu.comchangelogs.ubuntu.com |
HTTP:80 |
Этот адрес позволяет узлам кластера Linux скачивать необходимые исправления и обновления для системы безопасности. |
snapshot.ubuntu.com |
HTTPS:443 |
Этот адрес позволяет узлам кластера Linux скачивать необходимые исправления безопасности и обновления из службы моментальных снимков Ubuntu. |
Если вы решили заблокировать или запретить эти полные доменные имена, узлы получат обновления операционной системы только при обновлении образа узла или обновлении кластера. Помните, что обновления образа узла также включают обновленные пакеты, включая исправления безопасности.
Кластеры AKS с поддержкой GPU требуют полное доменное имя или правила приложения
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Этот адрес используется для правильной установки и работы драйвера на узлах на основе GPU. |
us.download.nvidia.com |
HTTPS:443 |
Этот адрес используется для правильной установки и работы драйвера на узлах на основе GPU. |
download.docker.com |
HTTPS:443 |
Этот адрес используется для правильной установки и работы драйвера на узлах на основе GPU. |
Пулы узлов на основе Windows Server требуют полное доменное имя или правила приложения
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Для установки двоичных файлов, связанных с Windows. |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Для установки двоичных файлов, связанных с Windows. |
Если вы решили заблокировать или запретить эти полные доменные имена, узлы получат обновления операционной системы только при обновлении образа узла или обновлении кластера. Помните, что обновления образов узла также включают обновленные пакеты, включая исправления безопасности.
Функции AKS, надстройки и интеграции
Удостоверение рабочей нагрузки
Требуемое полное доменное имя/правила приложения
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
login.microsoftonline.com или login.chinacloudapi.cn или login.microsoftonline.us |
HTTPS:443 |
Требуется для проверки подлинности Microsoft Entra. |
Microsoft Defender для Контейнеров
Требуемое полное доменное имя/правила приложения
| Полное доменное имя | Порт | Использование |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us(Azure для государственных организаций)login.microsoftonline.cn (Azure, управляемый 21Vianet) |
HTTPS:443 |
Требуется для проверки подлинности Microsoft Entra. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us(Azure для государственных организаций)*.ods.opinsights.azure.cn (Azure, управляемый 21Vianet) |
HTTPS:443 |
Требуется Microsoft Defender для передачи событий безопасности в облако. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us(Azure для государственных организаций)*.oms.opinsights.azure.cn (Azure, управляемый 21Vianet) |
HTTPS:443 |
Требуется для проверки подлинности в рабочих областях Log Analytics. |
Поставщик Azure Key Vault для драйвера CSI хранилища секретов
При использовании изолированных сетевых кластеров рекомендуется настроить частную конечную точку для доступа к Azure Key Vault.
Если кластер имеет определяемую пользователем маршрутизацию исходящего типа и Брандмауэр Azure, применяются следующие сетевые правила и правила приложения:
Требуемое полное доменное имя/правила приложения
| Полное доменное имя | Порт | Использование |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Требуется, чтобы группы pod надстроек хранилища секретов CSI взаимодействовали с сервером Azure KeyVault. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Требуется для надстройки хранилища секретов CSI для взаимодействия с сервером Azure KeyVault в Azure для государственных организаций. |
Azure Monitor — Managed Prometheus и Container Insights
При использовании изолированных сетевых кластеров рекомендуется настроить прием на основе частной конечной точки, которая поддерживается как для управляемой рабочей области Prometheus (рабочая область Azure Monitor), так и для аналитики контейнеров (рабочая область Log Analytics).
Если кластер имеет определяемую пользователем маршрутизацию исходящего типа и Брандмауэр Azure, применяются следующие сетевые правила и правила приложения:
Требуемые сетевые правила
| Целевая конечная точка | Протокол | Порт | Использование |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Эта конечная точка используется для отправки данных и журналов метрик в Azure Monitor и Log Analytics. |
Необходимое полное доменное имя или правила приложения в общедоступном облаке Azure
| Конечная точка | Характер использования | Порт |
|---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
Служба контроля доступа | 443 |
*.ingest.monitor.azure.com |
Container Insights — конечная точка приема журналов (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
Управляемая служба Azure Monitor для Prometheus — конечная точка приема метрик (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
Получение правил сбора данных для определенного кластера | 443 |
Microsoft Azure, управляемый облаком 21Vianet, требуется полное доменное имя или правила приложения
| Конечная точка | Характер использования | Порт |
|---|---|---|
*.ods.opinsights.azure.cn |
Прием данных | 443 |
*.oms.opinsights.azure.cn |
Подключение агента Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
Для телеметрии агентов, использующих Application Insights в общедоступном облаке Azure | 443 |
global.handler.control.monitor.azure.cn |
Служба контроля доступа | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
Получение правил сбора данных для определенного кластера | 443 |
*.ingest.monitor.azure.cn |
Container Insights — конечная точка приема журналов (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
Управляемая служба Azure Monitor для Prometheus — конечная точка приема метрик (DCE) | 443 |
Azure для государственных организаций облачное полное доменное имя или правила приложения
| Конечная точка | Характер использования | Порт |
|---|---|---|
*.ods.opinsights.azure.us |
Прием данных | 443 |
*.oms.opinsights.azure.us |
Подключение агента Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
Для телеметрии агентов, использующих Application Insights в общедоступном облаке Azure | 443 |
global.handler.control.monitor.azure.us |
Служба контроля доступа | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
Получение правил сбора данных для определенного кластера | 443 |
*.ingest.monitor.azure.us |
Container Insights — конечная точка приема журналов (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
Управляемая служба Azure Monitor для Prometheus — конечная точка приема метрик (DCE) | 443 |
Политика Azure
Требуемое полное доменное имя/правила приложения
| Полное доменное имя | Порт | Использование |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Этот адрес используется для извлечения политик Kubernetes и для сообщения о состоянии соответствия кластера службе политики. |
store.policy.core.windows.net |
HTTPS:443 |
Этот адрес используется для извлечения артефактов встроенных политик. |
dc.services.visualstudio.com |
HTTPS:443 |
Надстройка службы "Политика Azure", которая отправляет данные телеметрии в конечную точку Application Insights. |
Microsoft Azure, управляемый 21Vianet, требуется полное доменное имя или правила приложения
| Полное доменное имя | Порт | Использование |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Этот адрес используется для извлечения политик Kubernetes и для сообщения о состоянии соответствия кластера службе политики. |
store.policy.azure.cn |
HTTPS:443 |
Этот адрес используется для извлечения артефактов встроенных политик. |
Для государственных организаций США требуются полные доменные имена и правила приложений
| Полное доменное имя | Порт | Использование |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Этот адрес используется для извлечения политик Kubernetes и для сообщения о состоянии соответствия кластера службе политики. |
store.policy.azure.us |
HTTPS:443 |
Этот адрес используется для извлечения артефактов встроенных политик. |
Надстройка для анализа затрат AKS
Требуемое полное доменное имя/правила приложения
| Полное доменное имя | Порт | Использование |
|---|---|---|
management.azure.com management.usgovcloudapi.net(Azure для государственных организаций)management.chinacloudapi.cn (Azure, управляемый 21Vianet) |
HTTPS:443 |
Требуется для операций Kubernetes с API Azure. |
login.microsoftonline.com login.microsoftonline.us(Azure для государственных организаций)login.microsoftonline.cn (Azure, управляемый 21Vianet) |
HTTPS:443 |
Требуется для проверки подлинности идентификатора Microsoft Entra. |
Расширения кластера
Требуемое полное доменное имя/правила приложения
| Полное доменное имя | Порт | Использование |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Этот адрес используется для получения сведений о конфигурации из службы расширений кластера и для передачи службе состояния расширения отчетов. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Этот адрес необходим для извлечения образов контейнеров для установки агентов расширения кластера в кластере AKS. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Этот адрес необходим для извлечения образов контейнеров для установки расширений Marketplace в кластере AKS. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Этот адрес предназначен для конечной точки региональных данных Центральной Индии и требуется для извлечения образов контейнеров для установки расширений Marketplace в кластере AKS. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Этот адрес предназначен для региональной конечной точки данных Восточной Японии и требуется для извлечения образов контейнеров для установки расширений Marketplace в кластере AKS. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Этот адрес предназначен для конечной точки региональных данных в западной части США 2 и требуется для извлечения образов контейнеров для установки расширений Marketplace в кластере AKS. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Этот адрес предназначен для конечной точки региональных данных Западной Европы и требуется для извлечения образов контейнеров для установки расширений Marketplace в кластере AKS. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Этот адрес предназначен для конечной точки региональных данных восточной части США и требуется для извлечения образов контейнеров для установки расширений Marketplace в кластере AKS. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Этот адрес используется для отправки данных метрик агентов в Azure. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Этот адрес используется для отправки пользовательского использования на основе счетчиков в API измерения торговли. |
Для государственных организаций США требуются полные доменные имена и правила приложений
| Полное доменное имя | Порт | Использование |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Этот адрес используется для получения сведений о конфигурации из службы расширений кластера и для передачи службе состояния расширения отчетов. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Этот адрес необходим для извлечения образов контейнеров для установки агентов расширения кластера в кластере AKS. |
Примечание.
Для любых надстроек, которые не указаны явно здесь, основные требования охватывают его.
Надстройка сетки на основе служб на основе Istio
В надстройке сетки сетки на основе Istio=, если вы настраиваете istiod с помощью центра сертификации подключаемого модуля (ЦС) или если вы настраиваете безопасный шлюз входящего трафика, поставщик Azure Key Vault для драйвера CSI хранилища секретов требуется для этих функций. Требования к исходящей сети для поставщика Azure Key Vault для драйвера CSI хранилища секретов см . здесь.
Надстройка маршрутизации приложений
Надстройка маршрутизации приложений поддерживает завершение SSL при входе с сертификатами, хранящимися в Azure Key Vault. Требования к исходящей сети для поставщика Azure Key Vault для драйвера CSI хранилища секретов см . здесь.
Следующие шаги
Из этой статьи вы узнали, какие порты и адреса нужно разрешить при ограничении исходящего трафика для кластера.
Если необходимо ограничить способ взаимодействия между собой и East-West ограничения трафика в кластере, см. раздел Защита трафика между модулями Pod с помощью сетевых политик в AKS.
Azure Kubernetes Service