Azure Kubernetes Service (AKS) クラスターのアウトバウンド ネットワークと FQDN の規則
この記事では、Azure Kubernetes Service (AKS) からの送信トラフィックをセキュリティで保護するために必要な詳細情報について説明します。 基になる AKS のデプロイのクラスター要件と、オプションのアドオンと機能に対する追加要件が含まれています。 この情報はあらゆるアウトバウンド制限の方法またはアプライアンスに適用できます。
Azure Firewall を使用した構成例については、「AKS で Azure Firewall を使用してエグレス トラフィックを制御する」を参照してください。
バックグラウンド
AKS クラスターは仮想ネットワークにデプロイされます。 このネットワークは、お客様がカスタマイズして事前に構成することも、AKS が作成・管理することも可能です。 どちらの場合も、クラスターは、仮想ネットワーク外のサービスに対してアウトバウンド、つまりエグレスの依存関係を持つことになります。
管理と運用上の目的から、AKS クラスター内のノードは特定のポートと完全修飾ドメイン名 (FQDN) にアクセスする必要があります。 これらのエンドポイントは、ノードが API サーバーと通信するため、またはコア Kubernetes クラスター コンポーネントとノードのセキュリティ更新プログラムをダウンロードしてからインストールするために必要です。 たとえば、クラスターでは Microsoft Container Registry (MCR) から基本システムのコンテナー イメージをプルする必要があります。
AKS の送信依存関係は、ほぼすべて、背後に静的アドレスがない FQDN を使用して定義されています。 静的アドレスがないということは、ネットワーク セキュリティ グループ (NSG) を使用して AKS クラスターからのアウトバウンド トラフィックをロック ダウンすることができないことを意味します。
既定で、AKS クラスターは、送信インターネット アクセスが無制限です。 このレベルのネットワーク アクセスでは、実行しているノードやサービスから必要に応じて外部リソースにアクセスできます。 エグレス トラフィックを制限する場合は、正常なクラスター メンテナンス タスクを維持するために、アクセスできるポートとアドレスの数を制限する必要があります。 アウトバウンド アドレスをセキュリティで保護する最も簡単なソリューションは、ドメイン名に基づいてアウトバウンド トラフィックを制御できるファイアウォール デバイスを使用することです。 Azure Firewall では、宛先の FQDN に基づいて送信 HTTP および HTTPS トラフィックを制限できます。 また、適切なファイアウォール規則とセキュリティ規則を構成し、これらの必要なポートとアドレスを許可することができます。
重要
このドキュメントでは、AKS サブネットから出て行くトラフィックをロックダウンする方法についてのみ説明します。 既定では、AKS にはイングレス要件はありません。 ネットワーク セキュリティ グループ (NSG) とファイアウォールを使用して内部サブネット トラフィックをブロックすることは、サポートされていません。 クラスター内のトラフィックを制御およびブロックするには、「AKS のネットワーク ポリシーを使用してポッド間のトラフィックをセキュリティ保護する」を参照してください。
AKS クラスターに必要な送信ネットワーク規則と FQDN
AKS クラスターには、次のネットワーク規則と FQDN/アプリケーションの規則が必要です。 Azure Firewall 以外のソリューションを構成する場合は、これらの規則を使用できます。
- IP アドレスの依存関係が HTTP/S 以外のトラフィック (TCP トラフィックと UDP トラフィックの両方) に対応しています。
- FQDN HTTP/HTTPS エンドポイントは、ファイアウォール デバイスに配置することができます。
- HTTP と HTTPS のワイルドカード エンドポイントは、いくつかの修飾子に基づき、AKS クラスターによって異なる場合がある依存関係です。
- AKS では、アドミッション コントローラーを使用して、kube-system と gatekeeper-system の下にあるすべてのデプロイに対し、FQDN が環境変数として挿入されます。 これにより、ノードと API サーバー間のすべてのシステム通信において、API サーバーの IP ではなく、API サーバーの FQDN が使用されるようになります。 ポッド仕様に
kubernetes.azure.com/set-kube-service-host-fqdnという注釈を付けることで、どの名前空間でも独自のポッド上で同じ動作を実現できます。 この注釈がある場合、AKS は、KUBERNETES_SERVICE_HOST 変数をクラスター内サーバーの IP ではなく API サーバーのドメイン名に設定します。 これは、クラスターのエグレスがレイヤー 7 ファイアウォールを経由する場合に便利です。 - API サーバーと通信する必要があるアプリまたはソリューションがある場合、新しいネットワーク規則を追加して API サーバーの IP のポート 443 への TCP 通信を許可するする必要があります。または、API サーバーのドメイン名へのトラフィックを許可するようにレイヤー 7 のファイアウォールを構成してある場合は、ポッドの仕様で
kubernetes.azure.com/set-kube-service-host-fqdnを設定します。 - まれに、メンテナンスが行われると、API サーバーの IP が変わる可能性があります。 API サーバーの IP が変わる可能性がある計画メンテナンス操作は、常に事前に通知されます。
- 特定の状況では、"md-*.blob.storage.azure.net" へのトラフィックが必要になることがあります。 この依存関係は、Azure Managed Disks のいくつかの内部メカニズムが原因です。 Storage のサービス タグを使用することもできます。
- "umsa*.blob.core.windows.net" エンドポイントへのトラフィックに気付く場合があります。 このエンドポイントは、Azure Linux VM エージェントと拡張機能のマニフェストを格納するために使用されているため、新しいバージョンをダウンロードするために定期的にチェックされます。
Azure Global に必要なネットワーク規則
| 送信先エンドポイント | Protocol | Port | 用途 |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.<Region>:1194 Or リージョンの CIDR - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | ノードとコントロール プレーンの間のセキュリティで保護されたトンネル通信の場合。 プライベート クラスター、または konnectivity-agent が有効になっているクラスターには必要ありません。 |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or リージョンの CIDR - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | ノードとコントロール プレーンの間のセキュリティで保護されたトンネル通信の場合。 プライベート クラスター、または konnectivity-agent が有効になっているクラスターには必要ありません。 |
*:123 または ntp.ubuntu.com:123 (Azure Firewall ネットワーク規則を使用している場合) |
UDP | 123 | Linux ノードでのネットワーク タイム プロトコル (NTP) の時刻同期に必要です。 2021 年 3 月以降にプロビジョニングされたノードでは必要ありません。 |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | カスタム DNS サーバーを使用している場合は、クラスター ノードからそれらにアクセスできることを確認する必要があります。 |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | API サーバーにアクセスするポッドとデプロイを実行する場合に必要です。それらのポッドとデプロイでは API IP が使用されます。 このポートは、プライベート クラスターでは必要ありません。 |
Azure Global に必要な FQDN とアプリケーションの規則
| 送信先 FQDN | Port | 用途 |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
ノード <-> API サーバーの間の通信に必要です。 <location> は、AKS クラスターがデプロイされているリージョンに置き換えてください。 これは、konnectivity-agent が有効になっているクラスターでは必要です。 Konnectivity では、Application-Layer Protocol Negotiation (ALPN) を使用して、エージェントとサーバー間の通信も行います。 ALPN 拡張機能をブロックするかまたは書き換えると、エラーが発生します。 これは、プライベート クラスターでは必要ありません。 |
mcr.microsoft.com |
HTTPS:443 |
Microsoft Container Registry (MCR) のイメージにアクセスするために必要です。 このレジストリには、ファーストパーティのイメージとグラフ (coreDNS など) が含まれます。 これらのイメージは、スケーリング操作やアップグレード操作など、クラスターの適切な作成と機能のために必要です。 |
*.data.mcr.microsoft.com、mcr-0001.mcr-msedge.net |
HTTPS:443 |
Azure Content Delivery Network (CDN) によってサポートされる MCR ストレージに必要です。 |
management.azure.com |
HTTPS:443 |
Azure API に対する Kubernetes の操作に必要です。 |
login.microsoftonline.com |
HTTPS:443 |
Microsoft Entra 認証に必要です。 |
packages.microsoft.com |
HTTPS:443 |
このアドレスは、キャッシュされた apt-get 操作に使用される Microsoft パッケージ リポジトリです。 パッケージの例としては、Moby、PowerShell、Azure CLI などがあります。 |
acs-mirror.azureedge.net |
HTTPS:443 |
このアドレスは、kubernet や Azure CNI などの必要なバイナリをダウンロードしてインストールするために必要なリポジトリ用です。 |
21Vianet によって運営される Microsoft Azure で必要なネットワーク規則
| 送信先エンドポイント | Protocol | Port | 用途 |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.Region:1194 Or リージョンの CIDR - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | ノードとコントロール プレーンの間のセキュリティで保護されたトンネル通信の場合。 |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or リージョンの CIDR - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | ノードとコントロール プレーンの間のセキュリティで保護されたトンネル通信の場合。 |
*:22 Or ServiceTag - AzureCloud.<Region>:22 Or リージョンの CIDR - RegionCIDRs:22 Or APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | ノードとコントロール プレーンの間のセキュリティで保護されたトンネル通信の場合。 |
*:123 または ntp.ubuntu.com:123 (Azure Firewall ネットワーク規則を使用している場合) |
UDP | 123 | Linux ノードでのネットワーク タイム プロトコル (NTP) の時刻同期に必要です。 |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | カスタム DNS サーバーを使用している場合は、クラスター ノードからそれらにアクセスできることを確認する必要があります。 |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | API サーバーにアクセスするポッドとデプロイを実行する場合に必要です。それらのポッドとデプロイでは API IP が使用されます。 |
21Vianet によって運営される Microsoft Azure で必要な FQDN とアプリケーションの規則
| 送信先 FQDN | Port | 用途 |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
ノード <-> API サーバーの間の通信に必要です。 <location> は、AKS クラスターがデプロイされているリージョンに置き換えてください。 |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
ノード <-> API サーバーの間の通信に必要です。 <location> は、AKS クラスターがデプロイされているリージョンに置き換えてください。 |
mcr.microsoft.com |
HTTPS:443 |
Microsoft Container Registry (MCR) のイメージにアクセスするために必要です。 このレジストリには、ファーストパーティのイメージとグラフ (coreDNS など) が含まれます。 これらのイメージは、スケーリング操作やアップグレード操作など、クラスターの適切な作成と機能のために必要です。 |
.data.mcr.microsoft.com |
HTTPS:443 |
Azure Content Delivery Network (CDN) によってサポートされる MCR ストレージに必要です。 |
management.chinacloudapi.cn |
HTTPS:443 |
Azure API に対する Kubernetes の操作に必要です。 |
login.chinacloudapi.cn |
HTTPS:443 |
Microsoft Entra 認証に必要です。 |
packages.microsoft.com |
HTTPS:443 |
このアドレスは、キャッシュされた apt-get 操作に使用される Microsoft パッケージ リポジトリです。 パッケージの例としては、Moby、PowerShell、Azure CLI などがあります。 |
*.azk8s.cn |
HTTPS:443 |
このアドレスは、kubernet や Azure CNI などの必要なバイナリをダウンロードしてインストールするために必要なリポジトリ用です。 |
Azure US Government に必要なネットワーク規則
| 送信先エンドポイント | Protocol | Port | 用途 |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.<Region>:1194 Or リージョンの CIDR - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | ノードとコントロール プレーンの間のセキュリティで保護されたトンネル通信の場合。 |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or リージョンの CIDR - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | ノードとコントロール プレーンの間のセキュリティで保護されたトンネル通信の場合。 |
*:123 または ntp.ubuntu.com:123 (Azure Firewall ネットワーク規則を使用している場合) |
UDP | 123 | Linux ノードでのネットワーク タイム プロトコル (NTP) の時刻同期に必要です。 |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | カスタム DNS サーバーを使用している場合は、クラスター ノードからそれらにアクセスできることを確認する必要があります。 |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | API サーバーにアクセスするポッドとデプロイを実行する場合に必要です。それらのポッドとデプロイでは API IP が使用されます。 |
Azure US Government に必要な FQDN とアプリケーションの規則
| 送信先 FQDN | Port | 用途 |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
ノード <-> API サーバーの間の通信に必要です。 <location> は、AKS クラスターがデプロイされているリージョンに置き換えてください。 |
mcr.microsoft.com |
HTTPS:443 |
Microsoft Container Registry (MCR) のイメージにアクセスするために必要です。 このレジストリには、ファーストパーティのイメージとグラフ (coreDNS など) が含まれます。 これらのイメージは、スケーリング操作やアップグレード操作など、クラスターの適切な作成と機能のために必要です。 |
*.data.mcr.microsoft.com |
HTTPS:443 |
Azure Content Delivery Network (CDN) によってサポートされる MCR ストレージに必要です。 |
management.usgovcloudapi.net |
HTTPS:443 |
Azure API に対する Kubernetes の操作に必要です。 |
login.microsoftonline.us |
HTTPS:443 |
Microsoft Entra 認証に必要です。 |
packages.microsoft.com |
HTTPS:443 |
このアドレスは、キャッシュされた apt-get 操作に使用される Microsoft パッケージ リポジトリです。 パッケージの例としては、Moby、PowerShell、Azure CLI などがあります。 |
acs-mirror.azureedge.net |
HTTPS:443 |
このアドレスは、kubernet や Azure CNI などの必要なバイナリをインストールするために必要なリポジトリ用です。 |
AKS クラスターに対して推奨される省略可能な FQDN とアプリケーションの規則
以下の FQDN/アプリケーション規則は必須ではありませんが、AKS クラスターでは推奨されます。
| 送信先 FQDN | Port | 用途 |
|---|---|---|
security.ubuntu.com、azure.archive.ubuntu.com、changelogs.ubuntu.com |
HTTP:80 |
このアドレスを使用すると、Linux クラスター ノードから必要なセキュリティ パッチと更新プログラムをダウンロードできます。 |
snapshot.ubuntu.com |
HTTPS:443 |
このアドレスによって、Linux クラスター ノードは、ubuntu スナップショット サービスから必要なセキュリティ パッチと更新プログラムをダウンロードできます。 |
これらの FQDN をブロックして許可しない場合、ノード イメージのアップグレードまたはクラスターのアップグレードを行うと、ノードは OS の更新プログラムのみを受け取ります。 ノード イメージのアップグレードは、セキュリティ修正を含む、更新後のパッケージにも付属することにご留意ください。
GPU 対応 AKS クラスターに必要な FQDN/アプリケーションの規則
| 送信先 FQDN | Port | 用途 |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
このアドレスは、GPU ベースのノード上のドライバーの適切なインストールと操作に使用されます。 |
us.download.nvidia.com |
HTTPS:443 |
このアドレスは、GPU ベースのノード上のドライバーの適切なインストールと操作に使用されます。 |
download.docker.com |
HTTPS:443 |
このアドレスは、GPU ベースのノード上のドライバーの適切なインストールと操作に使用されます。 |
Windows Server ベースのノード プールに必要な FQDN/アプリケーション規則
| 送信先 FQDN | Port | 用途 |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Windows 関連のバイナリをインストールするため |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Windows 関連のバイナリをインストールするため |
これらの FQDN をブロックして許可しない場合、ノード イメージのアップグレードまたはクラスターのアップグレードを行うと、ノードは OS の更新プログラムのみを受け取ります。 ノード イメージのアップグレードは、セキュリティ修正を含む、更新後のパッケージにも付属することにご留意ください。
AKS のアドオンと統合
Microsoft Defender for Containers
必要な FQDN とアプリケーションの規則
| FQDN | Port | 用途 |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn(21Vianet によって運営される Azure) |
HTTPS:443 |
Active Directory 認証に必要です。 |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government) *.ods.opinsights.azure.cn(21Vianet によって運営される Azure) |
HTTPS:443 |
Microsoft Defender がセキュリティ イベントをクラウドにアップロードするために必要です。 |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government) *.oms.opinsights.azure.cn(21Vianet によって運営される Azure) |
HTTPS:443 |
LogAnalytics ワークスペースで認証するために必要です。 |
CSI シークレット ストア
必要な FQDN とアプリケーションの規則
| FQDN | Port | 用途 |
|---|---|---|
vault.azure.net |
HTTPS:443 |
CSI シークレット ストア アドオン ポッドが Azure KeyVault サーバーと通信するために必要です。 |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Azure Government で Azure KeyVault サーバーと通信するためには CSI シークレット ストア アドオン ポッドが必要です。 |
コンテナーに対する Azure Monitor
コンテナー用 Azure Monitor へのアクセスを提供するには、次の 2 つのオプションがあります。
- Azure Monitor の ServiceTag を許可します。
- 必要な FQDN/アプリケーション規則へのアクセスを提供します。
必要なネットワーク規則
| 送信先エンドポイント | Protocol | Port | 用途 |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | このエンドポイントは、メトリック データとログを Azure Monitor および Log Analytics に送信するために使用されます。 |
必要な FQDN とアプリケーションの規則
| FQDN | Port | 用途 |
|---|---|---|
dc.services.visualstudio.com |
HTTPS:443 |
このエンドポイントは、Azure Monitor によって Containers のエージェント テレメトリ向けに使用されます。 |
*.ods.opinsights.azure.com |
HTTPS:443 |
このエンドポイントは、ログ分析データを取り込むために Azure Monitor によって使用されます。 |
*.oms.opinsights.azure.com |
HTTPS:443 |
このエンドポイントは、ログ分析サービスの認証に使用される omsagent によって使用されます。 |
*.monitoring.azure.com |
HTTPS:443 |
このエンドポイントは、メトリック データを Azure Monitor に送信するために使用されます。 |
<cluster-region-name>.ingest.monitor.azure.com |
HTTPS:443 |
このエンドポイントは、Azure Monitor Prometheus 用マネージド サービス メトリックのインジェストのために使用されます。 |
<cluster-region-name>.handler.control.monitor.azure.com |
HTTPS:443 |
このエンドポイントは、特定のクラスターのデータ収集規則をフェッチするために使用されます。 |
21Vianet によって運営される Microsoft Azure で必要な FQDN とアプリケーションの規則
| FQDN | Port | 用途 |
|---|---|---|
dc.services.visualstudio.cn |
HTTPS:443 |
このエンドポイントは、Azure Monitor によって Containers のエージェント テレメトリ向けに使用されます。 |
*.ods.opinsights.azure.cn |
HTTPS:443 |
このエンドポイントは、ログ分析データを取り込むために Azure Monitor によって使用されます。 |
*.oms.opinsights.azure.cn |
HTTPS:443 |
このエンドポイントは、ログ分析サービスの認証に使用される omsagent によって使用されます。 |
global.handler.control.monitor.azure.cn |
HTTPS:443 |
このエンドポイントは、コントロール サービスにアクセスするために Azure Monitor によって使用されます。 |
<cluster-region-name>.handler.control.monitor.azure.cn |
HTTPS:443 |
このエンドポイントは、特定のクラスターのデータ収集規則をフェッチするために使用されます。 |
Azure US Government に必要な FQDN とアプリケーションの規則
| FQDN | Port | 用途 |
|---|---|---|
dc.services.visualstudio.us |
HTTPS:443 |
このエンドポイントは、Azure Monitor によって Containers のエージェント テレメトリ向けに使用されます。 |
*.ods.opinsights.azure.us |
HTTPS:443 |
このエンドポイントは、ログ分析データを取り込むために Azure Monitor によって使用されます。 |
*.oms.opinsights.azure.us |
HTTPS:443 |
このエンドポイントは、ログ分析サービスの認証に使用される omsagent によって使用されます。 |
global.handler.control.monitor.azure.us |
HTTPS:443 |
このエンドポイントは、コントロール サービスにアクセスするために Azure Monitor によって使用されます。 |
<cluster-region-name>.handler.control.monitor.azure.us |
HTTPS:443 |
このエンドポイントは、特定のクラスターのデータ収集規則をフェッチするために使用されます。 |
Azure Policy
必要な FQDN とアプリケーションの規則
| FQDN | Port | 用途 |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
このアドレスは、Kubernetes ポリシーをプルし、クラスターのコンプライアンス状態をポリシー サービスにレポートするために使用されます。 |
store.policy.core.windows.net |
HTTPS:443 |
このアドレスは、組み込みポリシーの Gatekeeper アーティファクトをプルするために使用されます。 |
dc.services.visualstudio.com |
HTTPS:443 |
テレメトリ データを Application Insights エンドポイントに送信するAzure Policy アドオン。 |
21Vianet によって運営される Microsoft Azure で必要な FQDN とアプリケーションの規則
| FQDN | Port | 用途 |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
このアドレスは、Kubernetes ポリシーをプルし、クラスターのコンプライアンス状態をポリシー サービスにレポートするために使用されます。 |
store.policy.azure.cn |
HTTPS:443 |
このアドレスは、組み込みポリシーの Gatekeeper アーティファクトをプルするために使用されます。 |
Azure US Government に必要な FQDN とアプリケーションの規則
| FQDN | Port | 用途 |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
このアドレスは、Kubernetes ポリシーをプルし、クラスターのコンプライアンス状態をポリシー サービスにレポートするために使用されます。 |
store.policy.azure.us |
HTTPS:443 |
このアドレスは、組み込みポリシーの Gatekeeper アーティファクトをプルするために使用されます。 |
AKS コスト解析アドオン
必要な FQDN とアプリケーションの規則
| FQDN | Port | 用途 |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Azure Government) management.chinacloudapi.cn(21Vianet によって運営される Azure) |
HTTPS:443 |
Azure API に対する Kubernetes の操作に必要です。 |
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn(21Vianet によって運営される Azure) |
HTTPS:443 |
Microsoft Entra ID 認証に必要です。 |
クラスター拡張機能
必要な FQDN とアプリケーションの規則
| FQDN | Port | 用途 |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
このアドレスは、クラスター拡張機能サービスから構成情報を取得し、サービスに拡張状態をレポートするために使用されます。 |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
このアドレスは、クラスター拡張機能エージェントを AKS クラスターにインストールするためにコンテナーイメージをプルするために必要です。 |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
このアドレスは、AKS クラスターにマーケットプレース拡張機能をインストールするためのコンテナー イメージをプルするために必要です。 |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
このアドレスは、インド中部リージョンのデータ エンドポイント用であり、AKS クラスターにマーケットプレース拡張機能をインストールするコンテナー イメージをプルするために必要です。 |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
このアドレスは、東日本リージョンのデータ エンドポイント用であり、AKS クラスターにマーケットプレース拡張機能をインストールするコンテナー イメージをプルするために必要です。 |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
このアドレスは、米国西部 2 リージョンのデータ エンドポイント用であり、AKS クラスターにマーケットプレース拡張機能をインストールするコンテナー イメージをプルするために必要です。 |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
このアドレスは、西ヨーロッパ リージョンのデータ エンドポイント用であり、AKS クラスターにマーケットプレース拡張機能をインストールするコンテナー イメージをプルするために必要です。 |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
このアドレスは、米国東部リージョンのデータ エンドポイント用であり、AKS クラスターにマーケットプレース拡張機能をインストールするコンテナー イメージをプルするために必要です。 |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
このアドレスは、エージェントのメトリック データを Azure に送信するために使用されます。 |
marketplaceapi.microsoft.com |
HTTPS: 443 |
このアドレスは、カスタム測定ベースの使用状況をコマース測定 API に送信するために使用されます。 |
Azure US Government に必要な FQDN とアプリケーションの規則
| FQDN | Port | 用途 |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
このアドレスは、クラスター拡張機能サービスから構成情報を取得し、サービスに拡張状態をレポートするために使用されます。 |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
このアドレスは、クラスター拡張機能エージェントを AKS クラスターにインストールするためにコンテナーイメージをプルするために必要です。 |
Note
ここに明示的に記載されていないアドオンについては、コア要件でカバーしています。
次のステップ
この記事では、クラスターのエグレス トラフィックを制限する場合に許可するポートとアドレスについて学習しました。
ポッド間の通信方法の制限、およびクラスター内の East-West トラフィックの制限については、「Azure Kubernetes Service (AKS) のネットワーク ポリシーを使用したポッド間のトラフィックの保護」を参照してください。
GitHub で Microsoft と共同作業する
このコンテンツのソースは GitHub にあります。そこで、issue や pull request を作成および確認することもできます。 詳細については、共同作成者ガイドを参照してください。
Azure Kubernetes Service