共用方式為


已啟用 Azure Arc 的 Kubernetes 網路需求

本主題描述將 Kubernetes 叢集連線至 Azure Arc 並支援各種已啟用 Arc 的 Kubernetes 案例之網路需求。

提示

針對 Azure 公用雲端,您可以使用 Azure Arc 閘道來減少所需的端點數目(預覽版)。

詳細資料

一般而言,連線需求包括下列原則:

  • 所有連線皆為 TCP,除非另有指定。
  • 所有 HTTP 連線都會使用具有正式簽署和可驗證憑證的 HTTPS 和 SSL/TLS。
  • 所有連線皆為輸出,除非另有指定。

若要使用 Proxy,請確認執行上線程序的代理程式和機器符合本文中的網路需求。

重要

下列輸出 URL 必須透過 https://:443,Azure Arc 代理程式才能運作。 若是 *.servicebus.windows.net,必須在防火牆和 Proxy 上啟用 websocket 才能進行輸出存取。

端點 (DNS) 描述
https://management.azure.com 代理程式連線到 Azure 並註冊叢集時所需。
https://<region>.dp.kubernetesconfiguration.azure.com 代理程式的資料平面端點,用來推送狀態以及擷取設定資訊。
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net
擷取和更新 Azure Resource Manager 權杖的必要項目。
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com
提取 Azure Arc 代理程式的容器映像時所需。
https://gbl.his.arc.azure.com 取得區域端點以提取系統指派受控識別憑證的必要項目。
https://*.his.arc.azure.com 提取系統指派受控識別憑證的必要項目。
https://k8connecthelm.azureedge.net az connectedk8s connect 使用 Helm 3 在 Kubernetes 叢集上部署 Azure Arc 代理程式。 Helm 用戶端下載需要此端點來輔助部署代理程式的 Helm 圖表。
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net
適用於叢集連線自訂位置類型的案例。
*.servicebus.windows.net 適用於叢集連線自訂位置類型的案例。
https://graph.microsoft.com/ 設定 Azure RBAC 的必要項目。
*.arc.azure.net 在 Azure 入口網站中管理已連線的叢集時,為必要項目。
https://<region>.obo.arc.azure.com:8084/ 設定叢集連線時,為必要項目。
https://linuxgeneva-microsoft.azurecr.io 如果使用已啟用 Azure Arc 的 Kubernetes 延伸模組,則為必要項目。

若要將 *.servicebus.windows.net 萬用字元轉譯為特定端點,請使用命令:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

若要取得區域端點的區域區段,請移除 Azure 區域名稱中的所有空格。 例如,美國東部 2 區域,區域名稱為 eastus2

例如:在美國東部 2 區域中,*.<region>.arcdataservices.com 應為 *.eastus2.arcdataservices.com

若要查看所有區域的清單,請執行此命令:

az account list-locations -o table
Get-AzLocation | Format-Table

額外端點

視您的案例而定,您可能需要其他 URL 的連線能力,例如 Azure 入口網站、管理工具或其他 Azure 服務所使用的 URL。 特別是,請檢閱這些清單,確保您允許連線到任何必要的端點:

如需 Azure Arc 功能和已啟用 Azure Arc 的服務的網路需求完整清單,請參閱 Azure Arc 網路需求 (部分機器翻譯)。

下一步