Požadavky na síť Kubernetes s podporou Služby Azure Arc

  • Článek

Toto téma popisuje síťové požadavky pro připojení clusteru Kubernetes ke službě Azure Arc a podpoře různých scénářů Kubernetes s podporou arc.

Detaily

Obecně platí, že požadavky na připojení zahrnují tyto principy:

  • Všechna připojení jsou TCP, pokud není uvedeno jinak.
  • Všechna připojení HTTP používají protokol HTTPS a SSL/TLS s oficiálně podepsanými a ověřitelnými certifikáty.
  • Všechna připojení jsou odchozí, pokud není zadáno jinak.

Pokud chcete použít proxy server, ověřte, že agenti a počítač provádějící proces onboardingu splňují požadavky na síť v tomto článku.

Důležité

Agenti Azure Arc vyžadují, aby fungovaly následující odchozí adresy URL https://:443 . Pro *.servicebus.windows.netprotokoly websocket je potřeba povolit odchozí přístup na bráně firewall a proxy serveru.

Koncový bod (DNS) Popis
https://management.azure.com Vyžaduje se, aby se agent připojil k Azure a zaregistroval cluster.
https://<region>.dp.kubernetesconfiguration.azure.com Koncový bod roviny dat pro agenta pro nabízení informací o stavu a načítání konfiguračních informací.
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net		 Vyžaduje se k načtení a aktualizaci tokenů Azure Resource Manageru.
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com		 Vyžaduje se pro vyžádání imagí kontejnerů pro agenty Azure Arc.
https://gbl.his.arc.azure.com Vyžaduje se k získání regionálního koncového bodu pro vyžádání certifikátů spravované identity přiřazených systémem.
https://*.his.arc.azure.com Vyžaduje se k vyžádání certifikátů spravované identity přiřazených systémem.
https://k8connecthelm.azureedge.net az connectedk8s connect používá Helm 3 k nasazení agentů Azure Arc v clusteru Kubernetes. Tento koncový bod je potřeba ke stažení klienta Helm, aby se usnadnilo nasazení chartu Helm agenta.
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net		 Pro scénáře připojení ke clusteru a pro scénáře založené na vlastním umístění .
*.servicebus.windows.net Pro scénáře připojení ke clusteru a pro scénáře založené na vlastním umístění .
https://graph.microsoft.com/ Vyžaduje se při konfiguraci Azure RBAC .
*.arc.azure.net Vyžaduje se ke správě připojených clusterů na webu Azure Portal.
https://<region>.obo.arc.azure.com:8084/ Vyžaduje se při konfiguraci připojení ke clusteru.
https://linuxgeneva-microsoft.azurecr.io Vyžaduje se, pokud používáte rozšíření Kubernetes s podporou Azure Arc.

Pokud chcete zástupný znak přeložit *.servicebus.windows.net na konkrétní koncové body, použijte příkaz:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Pokud chcete získat segment oblasti regionálního koncového bodu, odeberte všechny mezery z názvu oblasti Azure. Například oblast USA – východ 2 , název oblasti je eastus2.

Například: *.<region>.arcdataservices.com musí být *.eastus2.arcdataservices.com v oblasti USA – východ 2.

Pokud chcete zobrazit seznam všech oblastí, spusťte tento příkaz:

az account list-locations -o table

Get-AzLocation | Format-Table

Další koncové body

V závislosti na vašem scénáři možná budete potřebovat připojení k jiným adresám URL, jako jsou adresy URL používané na webu Azure Portal, nástroje pro správu nebo jiné služby Azure. Konkrétně si projděte tyto seznamy a ujistěte se, že povolíte připojení k jakýmkoli nezbytným koncovým bodům:

Úplný seznam požadavků na síť pro funkce Azure Arc a služby s podporou Azure Arc najdete v požadavcích na síť Azure Arc.

Další kroky