Utgående nätverk och FQDN-regler för AKS-kluster (Azure Kubernetes Service)
Den här artikeln innehåller nödvändig information som gör att du kan skydda utgående trafik från din Azure Kubernetes Service (AKS). Den innehåller klusterkraven för en grundläggande AKS-distribution och ytterligare krav för valfria tillägg och funktioner. Du kan använda den här informationen för alla utgående begränsningsmetoder eller -installationer.
Om du vill se en exempelkonfiguration med Hjälp av Azure Firewall går du till Kontrollera utgående trafik med hjälp av Azure Firewall i AKS.
Bakgrund
AKS-kluster distribueras i ett virtuellt nätverk. Det här nätverket kan antingen anpassas och förkonfigureras av dig eller så kan det skapas och hanteras av AKS. I båda fallen har klustret utgående eller utgående beroenden på tjänster utanför det virtuella nätverket.
För hantering och drift behöver noder i ett AKS-kluster komma åt vissa portar och fullständigt kvalificerade domännamn (FQDN). Dessa slutpunkter krävs för att noderna ska kunna kommunicera med API-servern eller för att ladda ned och installera kubernetes-kärnklusterkomponenter och nodsäkerhetsuppdateringar. Klustret måste till exempel hämta containeravbildningar från Microsofts artefaktregister (MAR).
AKS utgående beroenden definieras nästan helt med FQDN, som inte har statiska adresser bakom sig. Bristen på statiska adresser innebär att du inte kan använda nätverkssäkerhetsgrupper (NSG:er) för att låsa utgående trafik från ett AKS-kluster.
Som standard har AKS-kluster obegränsad utgående internetåtkomst. Med den här nivån av nätverksåtkomst kan noder och tjänster som du kör komma åt externa resurser efter behov. Om du vill begränsa utgående trafik måste ett begränsat antal portar och adresser vara tillgängliga för att upprätthålla felfria klusterunderhållsuppgifter.
Ett nätverksisolerade AKS-kluster ger den enklaste och säkraste lösningen för att konfigurera utgående begränsningar för ett kluster direkt. Ett isolerat nätverkskluster hämtar avbildningarna för klusterkomponenter och tillägg från en privat Azure Container Registry-instans (ACR) som är ansluten till klustret i stället för att hämta från MAR. Om bilderna inte finns hämtar den privata ACR dem från MAR och hanterar dem via sin privata slutpunkt, vilket eliminerar behovet av att aktivera utgående från klustret till den offentliga MAR-slutpunkten. Klusteroperatorn kan sedan stegvis konfigurera tillåten utgående trafik på ett säkert sätt över ett privat nätverk för varje scenario som de vill aktivera. På så sätt har klusteroperatorerna fullständig kontroll över utformningen av den tillåtna utgående trafiken från sina kluster redan från början, vilket gör att de kan minska risken för dataexfiltrering.
En annan lösning för att skydda utgående adresser är att använda en brandväggsenhet som kan styra utgående trafik baserat på domännamn. Azure Firewall kan begränsa utgående HTTP- och HTTPS-trafik baserat på målets fullständiga domännamn. Du kan också konfigurera de brandväggs- och säkerhetsregler som krävs för att tillåta dessa portar och adresser.
Viktigt!
Det här dokumentet beskriver bara hur du låser trafiken som lämnar AKS-undernätet. AKS har inga ingresskrav som standard. Det går inte att blockera intern undernätstrafik med nätverkssäkerhetsgrupper (NSG:er) och brandväggar. Information om hur du styr och blockerar trafiken i klustret finns i Skydda trafik mellan poddar med hjälp av nätverksprinciper i AKS.
Obligatoriska regler för utgående nätverk och fullständiga domännamn för AKS-kluster
Följande regler för nätverk och FQDN/program krävs för ett AKS-kluster. Du kan använda dem om du vill konfigurera en annan lösning än Azure Firewall.
- IP-adressberoenden gäller för icke-HTTP/S-trafik (både TCP- och UDP-trafik).
- FQDN HTTP/HTTPS-slutpunkter kan placeras i brandväggsenheten.
- HTTP/HTTPS-slutpunkter med jokertecken är beroenden som kan variera med ditt AKS-kluster baserat på ett antal kvalificerare.
- AKS använder en antagningskontrollant för att mata in FQDN som en miljövariabel till alla distributioner under kube-system och gatekeeper-system. Detta säkerställer att all systemkommunikation mellan noder och API-servern använder API-serverns FQDN och inte API-serverns IP-adress. Du kan få samma beteende på dina egna poddar, i valfritt namnområde, genom att kommentera poddspecifikationen med en anteckning med namnet
kubernetes.azure.com/set-kube-service-host-fqdn. Om den kommentaren finns anger AKS variabeln KUBERNETES_SERVICE_HOST till API-serverns domännamn i stället för IP-adressen för tjänsten i klustret. Detta är användbart i fall där klustrets utgående är via en layer 7-brandvägg. - Om du har en app eller lösning som behöver prata med API-servern måste du antingen lägga till ytterligare en nätverksregel för att tillåta TCP-kommunikation till port 443 i API-serverns IP OR , om du har en layer 7-brandvägg konfigurerad för att tillåta trafik till API-serverns domännamn anger
kubernetes.azure.com/set-kube-service-host-fqdndu i poddspecifikationerna. - I sällsynta fall kan API-serverns IP-adress ändras om det finns en underhållsåtgärd. Planerade underhållsåtgärder som kan ändra API-serverns IP-adress kommuniceras alltid i förväg.
- Du kanske märker trafik mot slutpunkten "md-*.blob.storage.azure.net". Den här slutpunkten används för interna komponenter i Azure Managed Disks. Att blockera åtkomsten till den här slutpunkten från brandväggen bör inte orsaka några problem.
- Du kanske märker trafik mot slutpunkten "umsa*.blob.core.windows.net". Den här slutpunkten används för att lagra manifest för Azure Linux VM Agent & Extensions och kontrolleras regelbundet för att ladda ned nya versioner. Du hittar mer information om VM-tillägg.
Nätverksregler som krävs för Azure Global
| Målslutpunkt | Protokoll | Port | Använd |
|---|---|---|---|
*:1194 eller ServiceTag - AzureCloud.<Region>:1194 eller Regionala CIDR:ar - RegionCIDRs:1194 eller APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | För tunnelbaserad säker kommunikation mellan noderna och kontrollplanet. Detta krävs inte för privata kluster eller för kluster med konnektivitetsagenten aktiverad. |
*:9000 eller ServiceTag - AzureCloud.<Region>:9000 eller Regionala CIDR:ar - RegionCIDRs:9000 eller APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9 000 | För tunnelbaserad säker kommunikation mellan noderna och kontrollplanet. Detta krävs inte för privata kluster eller för kluster med konnektivitetsagenten aktiverad. |
*:123 eller ntp.ubuntu.com:123 (om du använder Azure Firewall-nätverksregler) |
UDP | 123 | Krävs för NTP-tidssynkronisering (Network Time Protocol) på Linux-noder. Detta krävs inte för noder som etablerats efter mars 2021. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Om du använder anpassade DNS-servrar måste du se till att de är tillgängliga för klusternoderna. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Krävs om du kör poddar/distributioner som har åtkomst till API-servern, skulle dessa poddar/distributioner använda API-IP-adressen. Den här porten krävs inte för privata kluster. |
Azure Global obligatoriskt FQDN/programregler
| Mål-FQDN | Port | Använd |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Krävs för Node <–> API-serverkommunikation. Ersätt <platsen> med den region där AKS-klustret distribueras. Detta krävs för kluster med konnektivitetsagent aktiverad. Konnectivity använder också Application-Layer Protocol Negotiation (ALPN) för att kommunicera mellan agent och server. Om du blockerar eller skriver om ALPN-tillägget orsakas ett fel. Detta krävs inte för privata kluster. |
mcr.microsoft.com |
HTTPS:443 |
Krävs för åtkomst till avbildningar i Microsoft Container Registry (MCR). Det här registret innehåller avbildningar/diagram från första part (till exempel coreDNS osv.). Dessa avbildningar krävs för att klustret ska kunna skapas och fungera korrekt, inklusive skalnings- och uppgraderingsåtgärder. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Krävs för MCR-lagring som backas upp av Azures nätverk för innehållsleverans (CDN). |
management.azure.com |
HTTPS:443 |
Krävs för Kubernetes-åtgärder mot Azure-API:et. |
login.microsoftonline.com |
HTTPS:443 |
Krävs för Microsoft Entra-autentisering. |
packages.microsoft.com |
HTTPS:443 |
Den här adressen är microsoft-paketlagringsplatsen som används för cachelagrade apt-get-åtgärder . Exempelpaket är Moby, PowerShell och Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Den här adressen är avsedd för den lagringsplats som krävs för att ladda ned och installera nödvändiga binärfiler som kubenet och Azure CNI. |
Microsoft Azure drivs av 21Vianet-obligatoriska nätverksregler
| Målslutpunkt | Protokoll | Port | Använd |
|---|---|---|---|
*:1194 eller ServiceTag - AzureCloud.Region:1194 eller Regionala CIDR:ar - RegionCIDRs:1194 eller APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | För tunnelbaserad säker kommunikation mellan noderna och kontrollplanet. |
*:9000 eller ServiceTag - AzureCloud.<Region>:9000 eller Regionala CIDR:ar - RegionCIDRs:9000 eller APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9 000 | För tunnelbaserad säker kommunikation mellan noderna och kontrollplanet. |
*:22 eller ServiceTag - AzureCloud.<Region>:22 eller Regionala CIDR:ar - RegionCIDRs:22 eller APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | För tunnelbaserad säker kommunikation mellan noderna och kontrollplanet. |
*:123 eller ntp.ubuntu.com:123 (om du använder Azure Firewall-nätverksregler) |
UDP | 123 | Krävs för NTP-tidssynkronisering (Network Time Protocol) på Linux-noder. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Om du använder anpassade DNS-servrar måste du se till att de är tillgängliga för klusternoderna. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Krävs om du kör poddar/distributioner som har åtkomst till API-servern, skulle dessa poddar/distributioner använda API-IP-adressen. |
Microsoft Azure drivs av 21Vianet-krav på FQDN/programregler
| Mål-FQDN | Port | Använd |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Krävs för Node <–> API-serverkommunikation. Ersätt <platsen> med den region där AKS-klustret distribueras. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Krävs för Node <–> API-serverkommunikation. Ersätt <platsen> med den region där AKS-klustret distribueras. |
mcr.microsoft.com |
HTTPS:443 |
Krävs för åtkomst till avbildningar i Microsoft Container Registry (MCR). Det här registret innehåller avbildningar/diagram från första part (till exempel coreDNS osv.). Dessa avbildningar krävs för att klustret ska kunna skapas och fungera korrekt, inklusive skalnings- och uppgraderingsåtgärder. |
.data.mcr.microsoft.com |
HTTPS:443 |
Krävs för MCR-lagring som backas upp av Azure Content Delivery Network (CDN). |
management.chinacloudapi.cn |
HTTPS:443 |
Krävs för Kubernetes-åtgärder mot Azure-API:et. |
login.chinacloudapi.cn |
HTTPS:443 |
Krävs för Microsoft Entra-autentisering. |
packages.microsoft.com |
HTTPS:443 |
Den här adressen är microsoft-paketlagringsplatsen som används för cachelagrade apt-get-åtgärder . Exempelpaket är Moby, PowerShell och Azure CLI. |
*.azk8s.cn |
HTTPS:443 |
Den här adressen är avsedd för den lagringsplats som krävs för att ladda ned och installera nödvändiga binärfiler som kubenet och Azure CNI. |
Azure US Government krävs nätverksregler
| Målslutpunkt | Protokoll | Port | Använd |
|---|---|---|---|
*:1194 eller ServiceTag - AzureCloud.<Region>:1194 eller Regionala CIDR:ar - RegionCIDRs:1194 eller APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | För tunnelbaserad säker kommunikation mellan noderna och kontrollplanet. |
*:9000 eller ServiceTag - AzureCloud.<Region>:9000 eller Regionala CIDR:ar - RegionCIDRs:9000 eller APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9 000 | För tunnelbaserad säker kommunikation mellan noderna och kontrollplanet. |
*:123 eller ntp.ubuntu.com:123 (om du använder Azure Firewall-nätverksregler) |
UDP | 123 | Krävs för NTP-tidssynkronisering (Network Time Protocol) på Linux-noder. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Om du använder anpassade DNS-servrar måste du se till att de är tillgängliga för klusternoderna. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Krävs om du kör poddar/distributioner som har åtkomst till API-servern, skulle dessa poddar/distributioner använda API-IP-adressen. |
Azure US Government krävs FQDN/programregler
| Mål-FQDN | Port | Använd |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Krävs för Node <–> API-serverkommunikation. Ersätt <platsen> med den region där AKS-klustret distribueras. |
mcr.microsoft.com |
HTTPS:443 |
Krävs för åtkomst till avbildningar i Microsoft Container Registry (MCR). Det här registret innehåller avbildningar/diagram från första part (till exempel coreDNS osv.). Dessa avbildningar krävs för att klustret ska kunna skapas och fungera korrekt, inklusive skalnings- och uppgraderingsåtgärder. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Krävs för MCR-lagring som backas upp av Azures nätverk för innehållsleverans (CDN). |
management.usgovcloudapi.net |
HTTPS:443 |
Krävs för Kubernetes-åtgärder mot Azure-API:et. |
login.microsoftonline.us |
HTTPS:443 |
Krävs för Microsoft Entra-autentisering. |
packages.microsoft.com |
HTTPS:443 |
Den här adressen är microsoft-paketlagringsplatsen som används för cachelagrade apt-get-åtgärder . Exempelpaket är Moby, PowerShell och Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Den här adressen är avsedd för den lagringsplats som krävs för att installera nödvändiga binärfiler som kubenet och Azure CNI. |
Valfritt rekommenderat FQDN/programregler för AKS-kluster
Följande FQDN/programregler krävs inte, men rekommenderas för AKS-kluster:
| Mål-FQDN | Port | Använd |
|---|---|---|
security.ubuntu.com, , azure.archive.ubuntu.comchangelogs.ubuntu.com |
HTTP:80 |
Med den här adressen kan Linux-klusternoderna ladda ned nödvändiga säkerhetskorrigeringar och uppdateringar. |
snapshot.ubuntu.com |
HTTPS:443 |
Med den här adressen kan Linux-klusternoderna ladda ned nödvändiga säkerhetskorrigeringar och uppdateringar från tjänsten ubuntu snapshot. |
Om du väljer att blockera/inte tillåta dessa FQDN får noderna endast OS-uppdateringar när du uppgraderar en nodavbildning eller en klusteruppgradering. Tänk på att uppgraderingar av nodbild också levereras med uppdaterade paket, inklusive säkerhetskorrigeringar.
GPU-aktiverade AKS-kluster kräver FQDN/programregler
| Mål-FQDN | Port | Använd |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Den här adressen används för korrekt drivrutinsinstallation och -åtgärd på GPU-baserade noder. |
us.download.nvidia.com |
HTTPS:443 |
Den här adressen används för korrekt drivrutinsinstallation och -åtgärd på GPU-baserade noder. |
download.docker.com |
HTTPS:443 |
Den här adressen används för korrekt drivrutinsinstallation och -åtgärd på GPU-baserade noder. |
Windows Server-baserade nodpooler som krävs för FQDN/programregler
| Mål-FQDN | Port | Använd |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Så här installerar du Windows-relaterade binärfiler |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Så här installerar du Windows-relaterade binärfiler |
Om du väljer att blockera/inte tillåta dessa FQDN får noderna endast OS-uppdateringar när du uppgraderar en nodavbildning eller en klusteruppgradering. Tänk på att node image upgrades också levereras med uppdaterade paket, inklusive säkerhetskorrigeringar.
AKS-funktioner, tillägg och integreringar
Arbetsbelastningsidentitet
Obligatoriskt FQDN/programregler
| Mål-FQDN | Port | Använd |
|---|---|---|
login.microsoftonline.comeller login.chinacloudapi.cnlogin.microsoftonline.us |
HTTPS:443 |
Krävs för Microsoft Entra-autentisering. |
Microsoft Defender for Containers
Obligatoriskt FQDN/programregler
| FQDN | Port | Använd |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure drivs av 21Vianet) |
HTTPS:443 |
Krävs för Microsoft Entra-autentisering. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government) *.ods.opinsights.azure.cn (Azure drivs av 21Vianet) |
HTTPS:443 |
Krävs för att Microsoft Defender ska kunna ladda upp säkerhetshändelser till molnet. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government) *.oms.opinsights.azure.cn (Azure drivs av 21Vianet) |
HTTPS:443 |
Krävs för att autentisera med Log Analytics-arbetsytor. |
Azure Key Vault-provider för Secrets Store CSI-drivrutin
Om du använder isolerade nätverkskluster rekommenderar vi att du konfigurerar en privat slutpunkt för åtkomst till Azure Key Vault.
Om klustret har användardefinierad routning av utgående typ och Azure Firewall gäller följande nätverksregler och programregler:
Obligatoriskt FQDN/programregler
| FQDN | Port | Använd |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Krävs för att CSI Secret Store-tilläggspoddar ska kunna kommunicera med Azure KeyVault-servern. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Krävs för att CSI Secret Store-tilläggspoddar ska kunna kommunicera med Azure KeyVault-servern i Azure Government. |
Azure Monitor – Hanterad Prometheus och Container Insights
Om du använder isolerade nätverkskluster rekommenderar vi att du konfigurerar privat slutpunktsbaserad inmatning, vilket stöds för både Managed Prometheus (Azure Monitor-arbetsyta) och Container Insights (Log Analytics-arbetsyta).
Om klustret har användardefinierad routning av utgående typ och Azure Firewall gäller följande nätverksregler och programregler:
Nödvändiga nätverksregler
| Målslutpunkt | Protokoll | Port | Använd |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Den här slutpunkten används för att skicka måttdata och loggar till Azure Monitor och Log Analytics. |
Azure public cloud required FQDN/application rules
| Slutpunkt | Syfte | Port |
|---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
Access Control Service | 443 |
*.ingest.monitor.azure.com |
Container Insights – logginmatningsslutpunkt (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
Azure monitor managed service for Prometheus – måttinmatningsslutpunkt (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
Hämta datainsamlingsregler för specifika kluster | 443 |
Microsoft Azure som drivs av 21Vianet-molnet kräver FQDN/programregler
| Slutpunkt | Syfte | Port |
|---|---|---|
*.ods.opinsights.azure.cn |
Datainsamling | 443 |
*.oms.opinsights.azure.cn |
Registrering av Azure Monitor-agent (AMA) | 443 |
dc.services.visualstudio.com |
För agenttelemetri som använder Azure Public Cloud Application Insights | 443 |
global.handler.control.monitor.azure.cn |
Access Control Service | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
Hämta datainsamlingsregler för specifika kluster | 443 |
*.ingest.monitor.azure.cn |
Container Insights – logginmatningsslutpunkt (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
Azure monitor managed service for Prometheus – måttinmatningsslutpunkt (DCE) | 443 |
Azure Government-molnet kräver FQDN/programregler
| Slutpunkt | Syfte | Port |
|---|---|---|
*.ods.opinsights.azure.us |
Datainsamling | 443 |
*.oms.opinsights.azure.us |
Registrering av Azure Monitor-agent (AMA) | 443 |
dc.services.visualstudio.com |
För agenttelemetri som använder Azure Public Cloud Application Insights | 443 |
global.handler.control.monitor.azure.us |
Access Control Service | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
Hämta datainsamlingsregler för specifika kluster | 443 |
*.ingest.monitor.azure.us |
Container Insights – logginmatningsslutpunkt (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
Azure monitor managed service for Prometheus – måttinmatningsslutpunkt (DCE) | 443 |
Azure Policy
Obligatoriskt FQDN/programregler
| FQDN | Port | Använd |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Den här adressen används för att hämta Kubernetes-principerna och rapportera klusterefterlevnadsstatus till principtjänsten. |
store.policy.core.windows.net |
HTTPS:443 |
Den här adressen används för att hämta Gatekeeper-artefakterna för inbyggda principer. |
dc.services.visualstudio.com |
HTTPS:443 |
Azure Policy-tillägg som skickar telemetridata till application insights-slutpunkten. |
Microsoft Azure drivs av 21Vianet-krav på FQDN/programregler
| FQDN | Port | Använd |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Den här adressen används för att hämta Kubernetes-principerna och rapportera klusterefterlevnadsstatus till principtjänsten. |
store.policy.azure.cn |
HTTPS:443 |
Den här adressen används för att hämta Gatekeeper-artefakterna för inbyggda principer. |
Azure US Government krävs FQDN/programregler
| FQDN | Port | Använd |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Den här adressen används för att hämta Kubernetes-principerna och rapportera klusterefterlevnadsstatus till principtjänsten. |
store.policy.azure.us |
HTTPS:443 |
Den här adressen används för att hämta Gatekeeper-artefakterna för inbyggda principer. |
AKS-kostnadsanalystillägg
Obligatoriskt FQDN/programregler
| FQDN | Port | Använd |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Azure Government) management.chinacloudapi.cn (Azure drivs av 21Vianet) |
HTTPS:443 |
Krävs för Kubernetes-åtgärder mot Azure-API:et. |
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure drivs av 21Vianet) |
HTTPS:443 |
Krävs för Microsoft Entra-ID-autentisering. |
Klustertillägg
Obligatoriskt FQDN/programregler
| FQDN | Hamn | Använd |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Den här adressen används för att hämta konfigurationsinformation från tjänsten Klustertillägg och status för rapporttillägg till tjänsten. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Den här adressen krävs för att hämta containeravbildningar för installation av klustertilläggsagenter i AKS-kluster. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Den här adressen krävs för att hämta containeravbildningar för att installera Marketplace-tillägg i AKS-kluster. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Den här adressen gäller för den regionala dataslutpunkten i Indien i centrala Indien och krävs för att hämta containeravbildningar för att installera Marketplace-tillägg i AKS-kluster. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Den här adressen gäller för den regionala dataslutpunkten i östra Japan och krävs för att hämta containeravbildningar för att installera Marketplace-tillägg i AKS-kluster. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Den här adressen gäller för den regionala dataslutpunkten usa, västra 2 och krävs för att hämta containeravbildningar för att installera Marketplace-tillägg i AKS-kluster. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Den här adressen gäller för den regionala dataslutpunkten i Europa, västra och krävs för att hämta containeravbildningar för att installera Marketplace-tillägg i AKS-kluster. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Den här adressen gäller för den regionala dataslutpunkten usa, östra och krävs för att hämta containeravbildningar för att installera Marketplace-tillägg i AKS-kluster. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Den här adressen används för att skicka agentstatistikdata till Azure. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Den här adressen används för att skicka anpassad mätarbaserad användning till API:et för handelsmätning. |
Azure US Government krävs FQDN/programregler
| FQDN | Port | Använd |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Den här adressen används för att hämta konfigurationsinformation från tjänsten Klustertillägg och status för rapporttillägg till tjänsten. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Den här adressen krävs för att hämta containeravbildningar för installation av klustertilläggsagenter i AKS-kluster. |
Kommentar
För tillägg som inte uttryckligen anges här omfattar kärnkraven det.
Istio-baserat tillägg för tjänstnät
Om du konfigurerar istiod med en certifikatutfärdare för plugin-program (CA) eller om du konfigurerar en säker ingressgateway i Istio=based service mesh krävs Azure Key Vault-providern för Secrets Store CSI-drivrutinen för dessa funktioner. Utgående nätverkskrav för Azure Key Vault-providern för Secrets Store CSI-drivrutinen finns här.
Tillägg för programroutning
Tillägg för programroutning stöder SSL-avslutning vid ingressen med certifikat som lagras i Azure Key Vault. Utgående nätverkskrav för Azure Key Vault-providern för Secrets Store CSI-drivrutinen finns här.
Nästa steg
I den här artikeln har du lärt dig vilka portar och adresser som ska tillåtas om du vill begränsa utgående trafik för klustret.
Om du vill begränsa hur poddar kommunicerar mellan sig själva och trafikbegränsningar för öst-väst i klustret kan du läsa Skydda trafik mellan poddar med hjälp av nätverksprinciper i AKS.
Azure Kubernetes Service