Azure Arc-aktiverade Kubernetes-nätverkskrav

I det här avsnittet beskrivs nätverkskraven för att ansluta ett Kubernetes-kluster till Azure Arc och stödja olika Arc-aktiverade Kubernetes-scenarier.

Details

I allmänhet omfattar anslutningskrav följande principer:

  • Alla anslutningar är TCP om inget annat anges.
  • Alla HTTP-anslutningar använder HTTPS- och SSL/TLS med officiellt signerade och verifierbara certifikat.
  • Alla anslutningar är utgående om inget annat anges.

Om du vill använda en proxy kontrollerar du att agenterna och datorn som utför registreringsprocessen uppfyller nätverkskraven i den här artikeln.

Viktigt!

Azure Arc-agenter kräver följande utgående URL:er https://:443 för att fungera. För *.servicebus.windows.netmåste websockets aktiveras för utgående åtkomst i brandväggen och proxyn.

Slutpunkt (DNS) beskrivning
https://management.azure.com Krävs för att agenten ska kunna ansluta till Azure och registrera klustret.
https://<region>.dp.kubernetesconfiguration.azure.com Dataplanets slutpunkt för agenten för att push-överföra status och hämta konfigurationsinformation.
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net
Krävs för att hämta och uppdatera Azure Resource Manager-token.
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com
Krävs för att hämta containeravbildningar för Azure Arc-agenter.
https://gbl.his.arc.azure.com Krävs för att hämta den regionala slutpunkten för att hämta systemtilldelade hanterade identitetscertifikat.
https://*.his.arc.azure.com Krävs för att hämta systemtilldelade hanterade identitetscertifikat.
https://k8connecthelm.azureedge.net az connectedk8s connect använder Helm 3 för att distribuera Azure Arc-agenter i Kubernetes-klustret. Den här slutpunkten behövs för nedladdning av Helm-klienten för att underlätta distributionen av agentens helm-diagram.
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net
För Klusteranslutning och för scenarier baserade på anpassad plats .
*.servicebus.windows.net För Klusteranslutning och för scenarier baserade på anpassad plats .
https://graph.microsoft.com/ Krävs när Azure RBAC har konfigurerats.
*.arc.azure.net Krävs för att hantera anslutna kluster i Azure Portal.
https://<region>.obo.arc.azure.com:8084/ Krävs när Cluster Connect har konfigurerats.
https://linuxgeneva-microsoft.azurecr.io Krävs om du använder Azure Arc-aktiverade Kubernetes-tillägg.

Om du vill översätta *.servicebus.windows.net jokertecknet till specifika slutpunkter använder du kommandot:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Om du vill hämta regionsegmentet för en regional slutpunkt tar du bort alla blanksteg från Namnet på Azure-regionen. Till exempel regionen USA, östra 2 , är eastus2regionnamnet .

Till exempel: *.<region>.arcdataservices.com bör finnas *.eastus2.arcdataservices.com i regionen USA, östra 2.

Om du vill se en lista över alla regioner kör du det här kommandot:

az account list-locations -o table
Get-AzLocation | Format-Table

Ytterligare slutpunkter

Beroende på ditt scenario kan du behöva anslutning till andra URL:er, till exempel de som används av Azure Portal, hanteringsverktyg eller andra Azure-tjänster. Granska särskilt de här listorna för att se till att du tillåter anslutning till nödvändiga slutpunkter:

En fullständig lista över nätverkskrav för Azure Arc-funktioner och Azure Arc-aktiverade tjänster finns i Nätverkskraven för Azure Arc.

Nästa steg