Requisiti di rete di Kubernetes con abilitazione di Azure Arc

Questo argomento descrive i requisiti di rete per la connessione di un cluster Kubernetes ad Azure Arc e il supporto di vari scenari Kubernetes abilitati per Arc.

Dettagli

In genere, i requisiti di connettività includono i principi seguenti:

  • Tutte le connessioni sono TCP, se non diversamente specificato.
  • Tutte le connessioni HTTP usano i protocolli HTTPS e SSL/TLS con certificati firmati e verificabili ufficialmente.
  • Tutte le connessioni sono in uscita, se non diversamente specificato.

Per usare un proxy, verificare che gli agenti e il computer che eseguono il processo di onboarding soddisfino i requisiti di rete riportati in questo articolo.

Importante

Per il funzionamento degli agenti di Azure Arc sono necessari gli URL in uscita seguenti su https://:443. Per *.servicebus.windows.net, i web socket devono essere abilitati per l'accesso in uscita nel firewall e nel proxy.

Endpoint (DNS) Descrizione
https://management.azure.com Necessario per consentire all'agente di connettersi ad Azure e registrare il cluster.
https://<region>.dp.kubernetesconfiguration.azure.com Endpoint del piano dati che consente all'agente di eseguire il push dello stato e recuperare le informazioni di configurazione.
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net
Obbligatorio per recuperare e aggiornare i token di Azure Resource Manager.
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com
Obbligatorio per il pull delle immagini del contenitore per gli agenti di Azure Arc
https://gbl.his.arc.azure.com Obbligatorio per ottenere l'endpoint a livello di area per il pull dei certificati di identità gestita assegnata dal sistema.
https://*.his.arc.azure.com Obbligatorio per eseguire il pull dei certificati di identità gestita assegnata dal sistema.
https://k8connecthelm.azureedge.net az connectedk8s connect usa Helm 3 per distribuire gli agenti Di Azure Arc nel cluster Kubernetes. Questo endpoint è necessario per il download del client Helm per facilitare la distribuzione del grafico helm dell'agente.
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net
Per Cluster Connect e per scenari basati sulla posizione personalizzata.
*.servicebus.windows.net Per Cluster Connect e per scenari basati sulla posizione personalizzata.
https://graph.microsoft.com/ Obbligatorio quando è configurato il controllo degli accessi in base al ruolo di Azure.
*.arc.azure.net Obbligatorio per gestire i cluster connessi nel portale di Azure.
https://<region>.obo.arc.azure.com:8084/ Obbligatorio quando Cluster Connect è configurato.
https://linuxgeneva-microsoft.azurecr.io Obbligatorio se si usano le estensioni Kubernetes abilitate per Azure Arc.

Per convertire il carattere jolly *.servicebus.windows.net in endpoint specifici, usare il comando:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Per ottenere il segmento relativo all'area dell'endpoint a livello di area, rimuovere tutti gli spazi dal nome dell'area di Azure. Ad esempio, per l'area Stati Uniti orientali 2 , il nome dell'area è eastus2.

Ad esempio: *.<region>.arcdataservices.com dovrebbe essere *.eastus2.arcdataservices.com nell'area Stati Uniti orientali 2.

Per visualizzare un elenco di tutte le aree, eseguire questo comando:

az account list-locations -o table
Get-AzLocation | Format-Table

Altri endpoint

A seconda dello scenario, potrebbe essere necessaria la connettività ad altri URL, ad esempio quelli usati dal portale di Azure, dagli strumenti di gestione o da altri servizi di Azure. In particolare, esaminare questi elenchi per assicurarsi di consentire la connettività a tutti gli endpoint necessari:

Per un elenco completo dei requisiti di rete per le funzionalità di Azure Arc e i servizi abilitati per Azure Arc, vedere Requisiti di rete di Azure Arc.

Passaggi successivi