Regole di rete e FQDN in uscita per i cluster del servizio Azure Kubernetes
Questo articolo fornisce i dettagli necessari per proteggere il traffico in uscita dal servizio Azure Kubernetes. Contiene i requisiti del cluster per una distribuzione del servizio Azure Kubernetes di base e requisiti aggiuntivi per componenti aggiuntivi e funzionalità facoltativi. È possibile applicare queste informazioni a qualsiasi metodo di restrizione in uscita o appliance.
Per visualizzare una configurazione di esempio con Firewall di Azure, vedere Controllare il traffico in uscita usando Firewall di Azure nel servizio Azure Kubernetes.
Background
I cluster del servizio Azure Kubernetes vengono distribuiti in una rete virtuale. Questa rete può essere personalizzata e preconfigurata dall'utente oppure può essere creata e gestita dal servizio Azure Kubernetes. In entrambi i casi, il cluster ha dipendenze in uscita da servizi esterni alla rete virtuale.
A scopi di gestione e operativi, i nodi in un cluster del servizio Azure Kubernetes devono poter accedere a porte e nomi di dominio completi (FQDN) specifici. Questi endpoint sono necessari per consentire ai nodi di comunicare con il server API o di scaricare e installare i componenti del cluster Kubernetes di base e gli aggiornamenti della sicurezza dei nodi. Ad esempio, il cluster deve eseguire il pull delle immagini dei contenitori di sistema di base da Microsoft Container Registry.
Le dipendenze in uscita del servizio Azure Kubernetes sono quasi interamente definite con nomi di dominio completo, senza indirizzi statici sottostanti. La mancanza di indirizzi statici significa che non è possibile usare gruppi di sicurezza di rete per bloccare il traffico in uscita da un cluster del servizio Azure Kubernetes.
Per impostazione predefinita, i cluster del servizio Azure Kubernetes hanno accesso a Internet in uscita senza restrizioni. Questo livello di accesso alla rete consente a nodi e servizi in esecuzione di accedere alle risorse esterne in base alle esigenze. Se si vuole limitare il traffico in uscita, è necessario rendere accessibile un numero limitato di porte e indirizzi per mantenere l'integrità delle attività di manutenzione del cluster. La soluzione più semplice per proteggere gli indirizzi in uscita consiste nell'usare un dispositivo firewall in grado di controllare il traffico in uscita in base ai nomi di dominio. Firewall di Azure può limitare il traffico HTTP e HTTPS in uscita in base all'FQDN della destinazione. È anche possibile configurare le regole di sicurezza e del firewall preferite per consentire le porte e gli indirizzi necessari.
Importante
Questo documento illustra solo come bloccare il traffico in uscita dalla subnet del servizio Azure Kubernetes. Il servizio Azure Kubernetes non prevede requisiti per il traffico in ingresso per impostazione predefinita. Il blocco del traffico interno della subnet usando gruppi di sicurezza di rete e firewall non è supportato. Per controllare e bloccare il traffico all'interno del cluster, vedere Proteggere il traffico tra i pod usando i criteri di rete nel servizio Azure Kubernetes.
Regole di rete e FQDN in uscita necessarie per i cluster del servizio Azure Kubernetes
Per un cluster del servizio Azure Kubernetes sono necessarie le regole di rete e FQDN/applicazioni seguenti. È possibile usarle se si vuole configurare una soluzione diversa da Firewall di Azure.
- Le dipendenze degli indirizzi IP sono per il traffico non HTTP/S (traffico sia TCP che UDP).
- Gli endpoint HTTP/HTTPS con nome di dominio completo possono essere posizionati nel dispositivo firewall.
- Gli endpoint HTTP/HTTPS con caratteri jolly sono dipendenze che possono variare con l'ambiente del servizio Azure Kubernetes in base a diversi qualificatori.
- Il servizio Azure Kubernetes usa un controller di ammissione per inserire il nome di dominio completo come variabile di ambiente a tutte le distribuzioni in kube-system e gatekeeper-system. In questo modo, tutte le comunicazioni di sistema tra nodi e server API usano il nome di dominio completo del server API e non l'indirizzo IP del server API. È possibile ottenere lo stesso comportamento nei pod personalizzati, in qualsiasi spazio dei nomi, annotando la specifica del pod con un'annotazione denominata
kubernetes.azure.com/set-kube-service-host-fqdn. Se questa annotazione è presente, il servizio Azure Kubernetes imposta la variabile KUBERNETES_SERVICE_HOST sul nome di dominio del server API anziché sull'indirizzo IP del servizio nel cluster. Questo approccio è utile nei casi in cui il traffico del cluster transita tramite un firewall di livello 7. - Se si dispone di un'applicazione o di una soluzione che deve comunicare con il server API, è necessario aggiungere una regola di rete supplementare per consentire la comunicazione TCP alla porta 443 dell'IP del server API, OPPURE, se si dispone di un firewall di livello 7 configurato per consentire il traffico verso il nome di dominio del server API, impostare
kubernetes.azure.com/set-kube-service-host-fqdnnelle specifiche del pod. - In rari casi, ad esempio durante un'operazione di manutenzione, l'indirizzo IP del server API potrebbe cambiare. Le operazioni di manutenzione pianificata che possono modificare l'indirizzo IP del server API vengono sempre comunicate in anticipo.
- In determinate circostanze, potrebbe essere necessario indirizzare il traffico verso "md-*.blob.storage.azure.net". Questa dipendenza è dovuta ad alcuni meccanismi interni di Azure Managed Disks. È anche possibile usare il tag del servizio di archiviazione.
- È possibile notare il traffico verso l'endpoint "umsa*.blob.core.windows.net". Questo endpoint viene usato per archiviare i manifesti per l'agente e le estensioni di macchine virtuali Linux di Azure ed è regolarmente controllato per scaricare le nuove versioni.
Regole di rete necessarie per Azure a livello globale
| Endpoint di destinazione | Protocollo | Port | Utilizzo |
|---|---|---|---|
*:1194 Or Tag del servizio - AzureCloud.<Region>:1194 Or CIDR regionali - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo. Non è necessaria per i cluster privati o per i cluster in cui è abilitato konnectivity-agent. |
*:9000 Or Tag del servizio - AzureCloud.<Region>:9000 Or CIDR regionali - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo. Non è necessaria per i cluster privati o per i cluster in cui è abilitato konnectivity-agent. |
*:123 o ntp.ubuntu.com:123 (se si usano le regole di rete di Firewall di Azure) |
UDP | 123 | Necessaria per la sincronizzazione dell'ora del protocollo NTP (Network Time Protocol) nei nodi Linux. Non è necessaria per i nodi di cui è stato effettuato il provisioning dopo marzo 2021. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Se si usano server DNS personalizzati, è necessario assicurarsi che siano accessibili dai nodi del cluster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Necessaria se si eseguono pod/distribuzioni che accedono al server API. In tal caso, i pod/distribuzioni useranno l'indirizzo IP dell'API. Questa porta non è necessaria per i cluster privati. |
Regole FQDN/applicazione necessarie per Azure a livello globale
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Necessaria per la comunicazione Nodo <-> Server API. Sostituire <località> con l'area in cui è distribuito il cluster del servizio Azure Kubernetes. Questa operazione è necessaria per i cluster in cui è abilitato konnectivity-agent. Konnectivity usa anche ALPN (Application-Layer Protocol Negotiation) per la comunicazione tra agente e server. Il blocco o la riscrittura dell'estensione ALPN genera un errore. Non è necessaria per i cluster privati. |
mcr.microsoft.com |
HTTPS:443 |
Necessaria per accedere alle immagini in Microsoft Container Registry. Questo registro contiene immagini/grafici proprietari, ad esempio coreDNS e così via. Queste immagini sono necessarie per la creazione e il funzionamento corretti del cluster, incluse le operazioni di scalabilità e aggiornamento. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Necessaria per l'archiviazione di Microsoft Container Registry basata sul servizio Rete di distribuzione dei contenuti di Azure. |
management.azure.com |
HTTPS:443 |
Necessaria per le operazioni Kubernetes sull'API di Azure. |
login.microsoftonline.com |
HTTPS:443 |
Necessaria per l'autenticazione di Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Questo indirizzo è il repository di pacchetti Microsoft usato per le operazioni apt-get memorizzate nella cache. I pacchetti di esempio includono Moby, PowerShell e l'interfaccia della riga di comando di Azure. |
acs-mirror.azureedge.net |
HTTPS:443 |
Questo indirizzo è per il repository necessario per installare i file binari necessari, come kubenet e Azure CNI. |
Regole di rete necessarie per Microsoft Azure gestito da 21Vianet
| Endpoint di destinazione | Protocollo | Port | Utilizzo |
|---|---|---|---|
*:1194 Or Tag del servizio - AzureCloud.Region:1194 Or CIDR regionali - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo. |
*:9000 Or Tag del servizio - AzureCloud.<Region>:9000 Or CIDR regionali - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo. |
*:22 Or Tag del servizio - AzureCloud.<Region>:22 Or CIDR regionali - RegionCIDRs:22 Or APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo. |
*:123 o ntp.ubuntu.com:123 (se si usano le regole di rete di Firewall di Azure) |
UDP | 123 | Necessaria per la sincronizzazione dell'ora del protocollo NTP (Network Time Protocol) nei nodi Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Se si usano server DNS personalizzati, è necessario assicurarsi che siano accessibili dai nodi del cluster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Necessaria se si eseguono pod/distribuzioni che accedono al server API, tali pod/distribuzioni userebbero l'IP dell'API. |
Regole FQDN/applicazione necessarie per Microsoft Azure gestito da 21 Vianet
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Necessaria per la comunicazione Nodo <-> Server API. Sostituire <località> con l'area in cui è distribuito il cluster del servizio Azure Kubernetes. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Necessaria per la comunicazione Nodo <-> Server API. Sostituire <località> con l'area in cui è distribuito il cluster del servizio Azure Kubernetes. |
mcr.microsoft.com |
HTTPS:443 |
Necessaria per accedere alle immagini in Microsoft Container Registry. Questo registro contiene immagini/grafici proprietari, ad esempio coreDNS e così via. Queste immagini sono necessarie per la creazione e il funzionamento corretti del cluster, incluse le operazioni di scalabilità e aggiornamento. |
.data.mcr.microsoft.com |
HTTPS:443 |
Necessaria per l'archiviazione di Microsoft Container Registry basata sul servizio Rete di distribuzione dei contenuti di Azure. |
management.chinacloudapi.cn |
HTTPS:443 |
Necessaria per le operazioni Kubernetes sull'API di Azure. |
login.chinacloudapi.cn |
HTTPS:443 |
Necessaria per l'autenticazione di Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Questo indirizzo è il repository di pacchetti Microsoft usato per le operazioni apt-get memorizzate nella cache. I pacchetti di esempio includono Moby, PowerShell e l'interfaccia della riga di comando di Azure. |
*.azk8s.cn |
HTTPS:443 |
Questo indirizzo è per il repository necessario per installare i file binari necessari, come kubenet e Azure CNI. |
Regole di rete necessarie per Azure US Government
| Endpoint di destinazione | Protocollo | Port | Utilizzo |
|---|---|---|---|
*:1194 Or Tag del servizio - AzureCloud.<Region>:1194 Or CIDR regionali - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo. |
*:9000 Or Tag del servizio - AzureCloud.<Region>:9000 Or CIDR regionali - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo. |
*:123 o ntp.ubuntu.com:123 (se si usano le regole di rete di Firewall di Azure) |
UDP | 123 | Necessaria per la sincronizzazione dell'ora del protocollo NTP (Network Time Protocol) nei nodi Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Se si usano server DNS personalizzati, è necessario assicurarsi che siano accessibili dai nodi del cluster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Necessaria se si eseguono pod/distribuzioni che accedono al server API. In tal caso, i pod/distribuzioni useranno l'indirizzo IP dell'API. |
Regole FQDN/applicazione necessarie per Azure US Government
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Necessaria per la comunicazione Nodo <-> Server API. Sostituire <località> con l'area in cui è distribuito il cluster del servizio Azure Kubernetes. |
mcr.microsoft.com |
HTTPS:443 |
Necessaria per accedere alle immagini in Microsoft Container Registry. Questo registro contiene immagini/grafici proprietari, ad esempio coreDNS e così via. Queste immagini sono necessarie per la creazione e il funzionamento corretti del cluster, incluse le operazioni di scalabilità e aggiornamento. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Necessaria per l'archiviazione di Microsoft Container Registry basata sul servizio Rete di distribuzione dei contenuti di Azure. |
management.usgovcloudapi.net |
HTTPS:443 |
Necessaria per le operazioni Kubernetes sull'API di Azure. |
login.microsoftonline.us |
HTTPS:443 |
Necessaria per l'autenticazione di Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Questo indirizzo è il repository di pacchetti Microsoft usato per le operazioni apt-get memorizzate nella cache. I pacchetti di esempio includono Moby, PowerShell e l'interfaccia della riga di comando di Azure. |
acs-mirror.azureedge.net |
HTTPS:443 |
Questo indirizzo è per il repository necessario per installare i file binari richiesti, come Kubenet e Azure CNI. |
Regole FQDN/applicazione facoltative raccomandate per i cluster del servizio Azure Kubernetes
Le regole FQDN/applicazione seguenti non sono obbligatorie ma sono consigliate per il corretto funzionamento dei cluster del servizio Azure Kubernetes:
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
security.ubuntu.com, azure.archive.ubuntu.com, changelogs.ubuntu.com |
HTTP:80 |
Questo indirizzo consente ai nodi del cluster Linux di scaricare le patch di sicurezza e gli aggiornamenti necessari. |
snapshot.ubuntu.com |
HTTPS:443 |
Questo indirizzo consente ai nodi del cluster Linux di scaricare le patch di sicurezza e gli aggiornamenti necessari dal servizio snapshot ubuntu. |
Se si sceglie di bloccare o non consentire questi nomi FQDN, i nodi riceveranno gli aggiornamenti del sistema operativo solo quando si esegue un aggiornamento dell'immagine del nodo o un aggiornamento del cluster. Tenere presente che gli aggiornamenti delle immagini del nodo comprendono anche pacchetti aggiornati, incluse le correzioni di sicurezza.
Cluster del servizio Azure Kubernetes abilitati per GPU: regole FQDN/applicazione necessarie
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Questo indirizzo viene usato per l'installazione e il funzionamento corretti dei driver nei nodi basati su GPU. |
us.download.nvidia.com |
HTTPS:443 |
Questo indirizzo viene usato per l'installazione e il funzionamento corretti dei driver nei nodi basati su GPU. |
download.docker.com |
HTTPS:443 |
Questo indirizzo viene usato per l'installazione e il funzionamento corretti dei driver nei nodi basati su GPU. |
Regole FQDN/applicazione necessarie per i pool di nodi basati su Windows Server
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Per installare file binari correlati a Windows |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Per installare file binari correlati a Windows |
Se si sceglie di bloccare o non consentire questi nomi FQDN, i nodi riceveranno gli aggiornamenti del sistema operativo solo quando si esegue un aggiornamento dell'immagine del nodo o un aggiornamento del cluster. Tenere presente che gli aggiornamenti delle immagini del nodo comprendono anche pacchetti aggiornati, incluse le correzioni di sicurezza.
Componenti aggiuntivi e integrazioni del servizio Azure Kubernetes
Microsoft Defender per contenitori
Regole FQDN/applicazione necessarie
| FQDN | Porta | Utilizzo |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure per enti pubblici) login.microsoftonline.cn (Azure gestito da 21Vianet) |
HTTPS:443 |
Necessaria per l'autenticazione di Active Directory. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure per enti pubblici) *.ods.opinsights.azure.cn (Azure gestito da 21Vianet) |
HTTPS:443 |
Necessaria per consentire a Microsoft Defender di caricare gli eventi di sicurezza nel cloud. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure per enti pubblici) *.oms.opinsights.azure.cn (Azure gestito da 21Vianet) |
HTTPS:443 |
Necessaria per eseguire l'autenticazione con le aree di lavoro Log Analytics. |
Archivio di segreti CSI
Regole FQDN/applicazione necessarie
| FQDN | Porta | Utilizzo |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Necessaria per i pod del componente aggiuntivo Archivio di segreti CSI per comunicare con il server Azure KeyVault. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Obbligatorio per i pod di addon dell'archivio segreti CSI per comunicare con il server Azure KeyVault in Azure per enti pubblici. |
Monitoraggio di Azure per contenitori
Sono disponibili due opzioni per fornire l'accesso a Monitoraggio di Azure per contenitori:
- Consentire il Tag del servizio di Monitoraggio di Azure.
- Fornire l'accesso alle regole FQDN/applicazione necessarie.
Regole di rete necessarie
| Endpoint di destinazione | Protocollo | Port | Utilizzo |
|---|---|---|---|
Tag del servizio - AzureMonitor:443 |
TCP | 443 | Questo endpoint viene usato per inviare dati e log delle metriche a Monitoraggio di Azure e Log Analytics. |
Regole FQDN/applicazione necessarie
| FQDN | Porta | Utilizzo |
|---|---|---|
dc.services.visualstudio.com |
HTTPS:443 |
Questo endpoint viene usato da Monitoraggio di Azure per i Dati di telemetria dell'agente dei contenitori. |
*.ods.opinsights.azure.com |
HTTPS:443 |
Questo endpoint viene usato da Monitoraggio di Azure per l'inserimento dei dati di Log Analytics. |
*.oms.opinsights.azure.com |
HTTPS:443 |
Questo indirizzo viene usato da omsagent, che consente di autenticare il servizio Log Analytics. |
*.monitoring.azure.com |
HTTPS:443 |
Questo endpoint viene usato per l'invio dei dati delle metriche a Monitoraggio di Azure. |
<cluster-region-name>.ingest.monitor.azure.com |
HTTPS:443 |
Questo endpoint viene usato dal servizio gestito per Prometheus di Monitoraggio di Azure per l'inserimento delle metriche. |
<cluster-region-name>.handler.control.monitor.azure.com |
HTTPS:443 |
Questo endpoint viene usato per recuperare le regole di raccolta dati per un cluster specifico. |
Regole FQDN/applicazione necessarie per Microsoft Azure gestito da 21Vianet
| FQDN | Porta | Utilizzo |
|---|---|---|
dc.services.visualstudio.cn |
HTTPS:443 |
Questo endpoint viene usato da Monitoraggio di Azure per i Dati di telemetria dell'agente dei contenitori. |
*.ods.opinsights.azure.cn |
HTTPS:443 |
Questo endpoint viene usato da Monitoraggio di Azure per l'inserimento dei dati di Log Analytics. |
*.oms.opinsights.azure.cn |
HTTPS:443 |
Questo indirizzo viene usato da omsagent, che consente di autenticare il servizio Log Analytics. |
global.handler.control.monitor.azure.cn |
HTTPS:443 |
Questo endpoint viene usato da Monitoraggio di Azure per accedere al servizio di controllo. |
<cluster-region-name>.handler.control.monitor.azure.cn |
HTTPS:443 |
Questo endpoint viene usato per recuperare le regole di raccolta dati per un cluster specifico. |
Regole FQDN/applicazione necessarie per Azure US Government
| FQDN | Porta | Utilizzo |
|---|---|---|
dc.services.visualstudio.us |
HTTPS:443 |
Questo endpoint viene usato da Monitoraggio di Azure per i Dati di telemetria dell'agente dei contenitori. |
*.ods.opinsights.azure.us |
HTTPS:443 |
Questo endpoint viene usato da Monitoraggio di Azure per l'inserimento dei dati di Log Analytics. |
*.oms.opinsights.azure.us |
HTTPS:443 |
Questo indirizzo viene usato da omsagent, che consente di autenticare il servizio Log Analytics. |
global.handler.control.monitor.azure.us |
HTTPS:443 |
Questo endpoint viene usato da Monitoraggio di Azure per accedere al servizio di controllo. |
<cluster-region-name>.handler.control.monitor.azure.us |
HTTPS:443 |
Questo endpoint viene usato per recuperare le regole di raccolta dati per un cluster specifico. |
Criteri di Azure
Regole FQDN/applicazione necessarie
| FQDN | Porta | Utilizzo |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Questo indirizzo viene usato per eseguire il pull dei criteri Kubernetes e per segnalare lo stato di conformità del cluster al servizio dei criteri. |
store.policy.core.windows.net |
HTTPS:443 |
Questo indirizzo viene usato per eseguire il pull degli artefatti di Gatekeeper dei criteri predefiniti. |
dc.services.visualstudio.com |
HTTPS:443 |
Componente aggiuntivo di Criteri di Azure che invia i dati di telemetria all'endpoint di Application Insights. |
Regole FQDN/applicazione necessarie per Microsoft Azure gestito da 21Vianet
| FQDN | Porta | Utilizzo |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Questo indirizzo viene usato per eseguire il pull dei criteri Kubernetes e per segnalare lo stato di conformità del cluster al servizio dei criteri. |
store.policy.azure.cn |
HTTPS:443 |
Questo indirizzo viene usato per eseguire il pull degli artefatti di Gatekeeper dei criteri predefiniti. |
Regole FQDN/applicazione necessarie per Azure US Government
| FQDN | Porta | Utilizzo |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Questo indirizzo viene usato per eseguire il pull dei criteri Kubernetes e per segnalare lo stato di conformità del cluster al servizio dei criteri. |
store.policy.azure.us |
HTTPS:443 |
Questo indirizzo viene usato per eseguire il pull degli artefatti di Gatekeeper dei criteri predefiniti. |
Componente aggiuntivo di analisi dei costi del servizio Azure Kubernetes
Regole FQDN/applicazione necessarie
| FQDN | Porta | Utilizzo |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Azure per enti pubblici) management.chinacloudapi.cn (Azure gestito da 21Vianet) |
HTTPS:443 |
Necessaria per le operazioni Kubernetes sull'API di Azure. |
login.microsoftonline.com login.microsoftonline.us (Azure per enti pubblici) login.microsoftonline.cn (Azure gestito da 21Vianet) |
HTTPS:443 |
Necessario per l'autenticazione di Microsoft Entra ID. |
Estensioni dei cluster
Regole FQDN/applicazione necessarie
| FQDN | Porta | Utilizzo |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Questo indirizzo viene usato per recuperare le informazioni di configurazione dal servizio Estensioni cluster e segnalare lo stato dell'estensione al servizio. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Questo indirizzo è necessario per eseguire il pull delle immagini del contenitore per l'installazione degli agenti di estensione del cluster nel cluster del servizio Azure Kubernetes. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Questo indirizzo è necessario per eseguire il pull delle immagini del contenitore per l'installazione delle estensioni del marketplace nel cluster del servizio Azure Kubernetes. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Questo indirizzo è destinato all'endpoint dati per l'area India centrale ed è necessario per eseguire il pull delle immagini del contenitore per l'installazione delle estensioni del marketplace nel cluster del servizio Azure Kubernetes. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Questo indirizzo è destinato all'endpoint dati per l'area Giappone orientale ed è necessario per eseguire il pull delle immagini del contenitore per l'installazione delle estensioni del marketplace nel cluster del servizio Azure Kubernetes. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Questo indirizzo è destinato all'endpoint dati per l'area Stati Uniti occidentali 2 ed è necessario per eseguire il pull delle immagini del contenitore per l'installazione delle estensioni del marketplace nel cluster del servizio Azure Kubernetes. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Questo indirizzo è destinato all'endpoint dati per l'area Europa occidentale ed è necessario per eseguire il pull delle immagini del contenitore per l'installazione delle estensioni del marketplace nel cluster del servizio Azure Kubernetes. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Questo indirizzo è destinato all'endpoint dati per l'area Stati Uniti orientali ed è necessario per eseguire il pull delle immagini del contenitore per l'installazione delle estensioni del marketplace nel cluster del servizio Azure Kubernetes. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Questo indirizzo viene usato per inviare i dati delle metriche degli agenti ad Azure. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Questo indirizzo viene usato per inviare l'utilizzo basato su contatori personalizzati all'API di misurazione commerciale. |
Regole FQDN/applicazione necessarie per Azure US Government
| FQDN | Porta | Utilizzo |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Questo indirizzo viene usato per recuperare le informazioni di configurazione dal servizio Estensioni cluster e segnalare lo stato dell'estensione al servizio. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Questo indirizzo è necessario per eseguire il pull delle immagini del contenitore per l'installazione degli agenti di estensione del cluster nel cluster del servizio Azure Kubernetes. |
Nota
Per tutti i componenti aggiuntivi che non sono indicati in modo esplicito qui, è prevista la copertura dei requisiti di base.
Passaggi successivi
In questo articolo sono state fornite informazioni sulle porte e sugli indirizzi da consentire se si vuole limitare il traffico in uscita per il cluster.
Se si vuole limitare il modo in cui i pod comunicano tra loro e le restrizioni del traffico orizzontale destra-sinistra all'interno del cluster, vedere Proteggere il traffico tra i pod usando i criteri di rete nel servizio Azure Kubernetes.
Collabora con noi su GitHub
L'origine di questo contenuto è disponibile in GitHub, in cui è anche possibile creare ed esaminare i problemi e le richieste pull. Per ulteriori informazioni, vedere la guida per i collaboratori.
Azure Kubernetes Service