已啟用 Azure Arc 的 Kubernetes 網路需求
本主題描述將 Kubernetes 叢集連線至 Azure Arc 並支援各種已啟用 Arc 的 Kubernetes 案例之網路需求。
提示
針對 Azure 公用雲端,您可以使用 Azure Arc 閘道來減少所需的端點數目(預覽版)。
詳細資料
一般而言,連線需求包括下列原則:
- 所有連線皆為 TCP,除非另有指定。
- 所有 HTTP 連線都會使用具有正式簽署和可驗證憑證的 HTTPS 和 SSL/TLS。
- 所有連線皆為輸出,除非另有指定。
若要使用 Proxy,請確認執行上線程序的代理程式和機器符合本文中的網路需求。
重要
下列輸出 URL 必須透過 https://:443
,Azure Arc 代理程式才能運作。
若是 *.servicebus.windows.net
,必須在防火牆和 Proxy 上啟用 websocket 才能進行輸出存取。
端點 (DNS) |
描述 |
https://management.azure.com |
代理程式連線到 Azure 並註冊叢集時所需。 |
https://<region>.dp.kubernetesconfiguration.azure.com |
代理程式的資料平面端點,用來推送狀態以及擷取設定資訊。 |
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net |
擷取和更新 Azure Resource Manager 權杖的必要項目。 |
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com |
提取 Azure Arc 代理程式的容器映像時所需。 |
https://gbl.his.arc.azure.com |
取得區域端點以提取系統指派受控識別憑證的必要項目。 |
https://*.his.arc.azure.com |
提取系統指派受控識別憑證的必要項目。 |
https://k8connecthelm.azureedge.net |
az connectedk8s connect 使用 Helm 3 在 Kubernetes 叢集上部署 Azure Arc 代理程式。 Helm 用戶端下載需要此端點來輔助部署代理程式的 Helm 圖表。 |
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net |
適用於叢集連線和自訂位置類型的案例。 |
*.servicebus.windows.net |
適用於叢集連線和自訂位置類型的案例。 |
https://graph.microsoft.com/ |
設定 Azure RBAC 的必要項目。 |
*.arc.azure.net |
在 Azure 入口網站中管理已連線的叢集時,為必要項目。 |
https://<region>.obo.arc.azure.com:8084/ |
設定叢集連線時,為必要項目。 |
https://linuxgeneva-microsoft.azurecr.io |
如果使用已啟用 Azure Arc 的 Kubernetes 延伸模組,則為必要項目。 |
若要將 *.servicebus.windows.net
萬用字元轉譯為特定端點,請使用命令:
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
若要取得區域端點的區域區段,請移除 Azure 區域名稱中的所有空格。 例如,美國東部 2 區域,區域名稱為 eastus2
。
例如:在美國東部 2 區域中,*.<region>.arcdataservices.com
應為 *.eastus2.arcdataservices.com
。
若要查看所有區域的清單,請執行此命令:
az account list-locations -o table
Get-AzLocation | Format-Table
重要
下列輸出 URL 必須透過 https://:443
,Azure Arc 代理程式才能運作。
若是 *.servicebus.usgovcloudapi.net
,必須在防火牆和 Proxy 上啟用 websocket 才能進行輸出存取。
端點 (DNS) |
描述 |
https://management.usgovcloudapi.net |
代理程式連線到 Azure 並註冊叢集時所需。 |
https://<region>.dp.kubernetesconfiguration.azure.us |
代理程式的資料平面端點,用來推送狀態以及擷取設定資訊。 |
https://login.microsoftonline.us
<region>.login.microsoftonline.us |
擷取和更新 Azure Resource Manager 權杖的必要項目。 |
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com |
提取 Azure Arc 代理程式的容器映像時所需。 |
https://gbl.his.arc.azure.us |
取得區域端點以提取系統指派受控識別憑證的必要項目。 |
https://usgv.his.arc.azure.us |
提取系統指派受控識別憑證的必要項目。 |
https://k8connecthelm.azureedge.net |
az connectedk8s connect 使用 Helm 3 在 Kubernetes 叢集上部署 Azure Arc 代理程式。 Helm 用戶端下載需要此端點來輔助部署代理程式的 Helm 圖表。 |
guestnotificationservice.azure.us
*.guestnotificationservice.azure.us
sts.windows.net
https://k8sconnectcsp.azureedge.net |
適用於叢集連線和自訂位置類型的案例。 |
*.servicebus.usgovcloudapi.net |
適用於叢集連線和自訂位置類型的案例。 |
https://graph.microsoft.com/ |
設定 Azure RBAC 的必要項目。 |
https://usgovvirginia.obo.arc.azure.us:8084/ |
設定叢集連線時,為必要項目。 |
若要將 *.servicebus.usgovcloudapi.net
萬用字元轉譯為特定端點,請使用命令:
GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&location=region
若要取得區域端點的區域區段,請移除 Azure 區域名稱中的所有空格。 例如,美國東部 2 區域,區域名稱為 eastus2
。
例如:在美國東部 2 區域中,*.<region>.arcdataservices.com
應為 *.eastus2.arcdataservices.com
。
若要查看所有區域的清單,請執行此命令:
az account list-locations -o table
Get-AzLocation | Format-Table
重要
下列輸出 URL 必須透過 https://:443
,Azure Arc 代理程式才能運作。
若是 *.servicebus.chinacloudapi.cn
,必須在防火牆和 Proxy 上啟用 websocket 才能進行輸出存取。
端點 (DNS) |
描述 |
https://management.chinacloudapi.cn |
代理程式連線到 Azure 並註冊叢集時所需。 |
https://<region>.dp.kubernetesconfiguration.azure.cn |
代理程式的資料平面端點,用來推送狀態以及擷取設定資訊。 |
https://login.chinacloudapi.cn
https://<region>.login.chinacloudapi.cn
login.partner.microsoftonline.cn |
擷取和更新 Azure Resource Manager 權杖的必要項目。 |
mcr.azk8s.cn |
提取 Azure Arc 代理程式的容器映像時所需。 |
https://gbl.his.arc.azure.cn |
取得區域端點以提取系統指派受控識別憑證的必要項目。 |
https://*.his.arc.azure.cn |
提取系統指派受控識別憑證的必要項目。 |
https://k8connecthelm.azureedge.net |
az connectedk8s connect 使用 Helm 3 在 Kubernetes 叢集上部署 Azure Arc 代理程式。 Helm 用戶端下載需要此端點來輔助部署代理程式的 Helm 圖表。 |
guestnotificationservice.azure.cn
*.guestnotificationservice.azure.cn
sts.chinacloudapi.cn
https://k8sconnectcsp.azureedge.net |
適用於叢集連線和自訂位置類型的案例。 |
*.servicebus.chinacloudapi.cn |
適用於叢集連線和自訂位置類型的案例。 |
https://graph.chinacloudapi.cn/ |
設定 Azure RBAC 的必要項目。 |
*.arc.azure.cn |
在 Azure 入口網站中管理已連線的叢集時,為必要項目。 |
https://<region>.obo.arc.azure.cn:8084/ |
設定叢集連線時,為必要項目。 |
quay.azk8s.cn
registryk8s.azk8s.cn
k8sgcr.azk8s.cn
usgcr.azk8s.cn
dockerhub.azk8s.cn/<repo-name>/<image-name>:<version> |
適用於 Azure 中國 VM 的容器登錄 Proxy 伺服器。 |
額外端點
視您的案例而定,您可能需要其他 URL 的連線能力,例如 Azure 入口網站、管理工具或其他 Azure 服務所使用的 URL。 特別是,請檢閱這些清單,確保您允許連線到任何必要的端點:
如需 Azure Arc 功能和已啟用 Azure Arc 的服務的網路需求完整清單,請參閱 Azure Arc 網路需求 (部分機器翻譯)。
下一步