Azure Kubernetes Service (AKS) kümeleri için giden ağ ve FQDN kuralları
Bu makalede, Azure Kubernetes Service'inizden (AKS) giden trafiğin güvenliğini sağlamanıza olanak sağlayan gerekli ayrıntılar sağlanır. Temel AKS dağıtımı için küme gereksinimlerini ve isteğe bağlı eklentiler ve özellikler için ek gereksinimleri içerir. Bu bilgileri herhangi bir giden kısıtlama yöntemine veya aletine uygulayabilirsiniz.
Azure Güvenlik Duvarı kullanarak örnek bir yapılandırma görmek için AKS'de Azure Güvenlik Duvarı kullanarak çıkış trafiğini denetleme adresini ziyaret edin.
Background
AKS kümeleri bir sanal ağa dağıtılır. Bu ağ sizin tarafınızdan özelleştirilebilir ve önceden yapılandırılabilir veya AKS tarafından oluşturulup yönetilebilir. Her iki durumda da kümenin sanal ağ dışındaki hizmetlere giden veya çıkış bağımlılıkları vardır.
Yönetim ve işletim amaçları doğrultusunda AKS kümesindeki düğümlerin belirli bağlantı noktalarına ve tam etki alanı adlarına (FQDN) erişmesi gerekir. Düğümlerin API sunucusuyla iletişim kurması veya çekirdek Kubernetes kümesi bileşenlerini ve düğüm güvenlik güncelleştirmelerini indirip yüklemesi için bu uç noktalar gereklidir. Örneğin, kümenin Microsoft Container Registry'den (MCR) temel sistem kapsayıcı görüntülerini çekmesi gerekir.
AKS giden bağımlılıkları, arkalarında statik adresleri olmayan FQDN'lerle neredeyse tamamen tanımlanır. Statik adreslerin olmaması, aks kümesinden giden trafiği kilitlemek için ağ güvenlik gruplarını (NSG) kullanamamanızı sağlar.
Varsayılan olarak AKS kümeleri sınırsız giden İnternet erişimine sahiptir. Bu ağ erişimi düzeyi, çalıştırdığınız düğümlerin ve hizmetlerin gerektiğinde dış kaynaklara erişmesine olanak tanır. Çıkış trafiğini kısıtlamak istiyorsanız, küme bakım görevlerinin sürdürülmesi için sınırlı sayıda bağlantı noktası ve adres erişilebilir olmalıdır. Giden adreslerin güvenliğini sağlamanın en basit çözümü, etki alanı adlarına göre giden trafiği denetleyebilen bir güvenlik duvarı cihazı kullanmaktır. Azure Güvenlik Duvarı giden HTTP ve HTTPS trafiğini hedefin FQDN'sine göre kısıtlayabilir. Ayrıca bu gerekli bağlantı noktalarına ve adreslere izin vermek için tercih ettiğiniz güvenlik duvarını ve güvenlik kurallarını yapılandırabilirsiniz.
Önemli
Bu belge yalnızca AKS alt aktan çıkan trafiği kilitlemeyi kapsar. AKS'nin varsayılan olarak giriş gereksinimi yoktur. Ağ güvenlik gruplarını (NSG) ve güvenlik duvarlarını kullanarak iç alt ağ trafiğini engelleme desteklenmez. Küme içindeki trafiği denetlemek ve engellemek için bkz . AKS'de ağ ilkelerini kullanarak podlar arasındaki trafiğin güvenliğini sağlama.
AKS kümeleri için gerekli giden ağ kuralları ve FQDN'ler
Aks kümesi için aşağıdaki ağ ve FQDN/uygulama kuralları gereklidir. Azure Güvenlik Duvarı dışında bir çözüm yapılandırmak istiyorsanız bunları kullanabilirsiniz.
- IP adresi bağımlılıkları HTTP/S olmayan trafik (hem TCP hem de UDP trafiği) içindir.
- FQDN HTTP/HTTPS uç noktaları güvenlik duvarı cihazınıza yerleştirilebilir.
- Joker HTTP/HTTPS uç noktaları, BIR dizi niteleyiciye göre AKS kümenize göre farklılık gösterebilen bağımlılıklardır.
- AKS, FQDN'yi kube-system ve gatekeeper-system altındaki tüm dağıtımlara ortam değişkeni olarak eklemek için bir erişim denetleyicisi kullanır. Bu, düğümler ve API sunucusu arasındaki tüm sistem iletişiminin API sunucusu IP'sini değil API sunucusu FQDN'sini kullanmasını sağlar. Pod belirtimlerine adlı
kubernetes.azure.com/set-kube-service-host-fqdnbir ek açıklama ekleyerek kendi podlarınızda, herhangi bir ad alanında aynı davranışı elde edebilirsiniz. Bu ek açıklama varsa AKS, KUBERNETES_SERVICE_HOST değişkenini küme içi hizmet IP'sinin yerine API sunucusunun etki alanı adına ayarlar. Bu, küme çıkışının 7. katman güvenlik duvarı üzerinden yapıldığı durumlarda kullanışlıdır. - API sunucusuyla konuşması gereken bir uygulamanız veya çözümünüz varsa, POD belirtimlerinizde ayarlanmış
kubernetes.azure.com/set-kube-service-host-fqdnAPI Server'ın etki alanı adına giden trafiğe izin verecek şekilde yapılandırılmış bir katman 7 güvenlik duvarınız varsa, API sunucunuzun IP VEYA bağlantı noktası 443'e TCP iletişimine izin vermek için ek bir ağ kuralı eklemeniz gerekir. - Nadir durumlarda, bir bakım işlemi varsa API sunucusu IP'niz değişebilir. API sunucusu IP'sini değiştirebilen planlı bakım işlemleri her zaman önceden iletilir.
- Belirli durumlarda, "md-*.blob.storage.azure.net" yönünde trafik gerekebilir. Bu bağımlılık, Azure Yönetilen Diskler'nin bazı iç mekanizmalarından kaynaklanır. Depolama hizmeti etiketini de kullanmak isteyebilirsiniz.
- "umsa*.blob.core.windows.net" uç noktasına doğru trafik olduğunu fark edebilirsiniz. Bu uç nokta, Azure Linux VM Aracısı ve Uzantıları için bildirimleri depolamak için kullanılır ve yeni sürümleri indirmek için düzenli olarak denetlenmektedir.
Azure Genel gerekli ağ kuralları
| Hedef Uç Nokta | Protokol | Bağlantı noktası | Kullanma |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.<Region>:1194 Or Bölgesel CIDR'ler - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Düğümler ve kontrol düzlemi arasında tünelli güvenli iletişim için. Bu, özel kümeler veya konnectivity-agent etkinleştirilmiş kümeler için gerekli değildir. |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or Bölgesel CIDR'ler - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Düğümler ve kontrol düzlemi arasında tünelli güvenli iletişim için. Bu, özel kümeler veya konnectivity-agent etkinleştirilmiş kümeler için gerekli değildir. |
*:123veya ntp.ubuntu.com:123 (Azure Güvenlik Duvarı ağ kuralları kullanılıyorsa) |
UDP | 123 | Linux düğümlerinde Ağ Saat Protokolü (NTP) zaman eşitlemesi için gereklidir. Mart 2021'de sağlanan düğümler için bu gerekli değildir. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Özel DNS sunucuları kullanıyorsanız, bunların küme düğümleri tarafından erişilebilir olduğundan emin olmanız gerekir. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | API Sunucusu'na erişen podlar/dağıtımlar çalıştırılıyorsa bu podlar/dağıtımlar API IP'sini kullanır. Bu bağlantı noktası özel kümeler için gerekli değildir. |
Azure Global gerekli FQDN /uygulama kuralları
| Hedef FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Node <-> API sunucusu iletişimi için gereklidir. konumu> AKS kümenizin dağıtıldığı bölgeyle değiştirin<. Konnectivity-agent etkinleştirilmiş kümeler için bu gereklidir. Konnektivite, aracı ve sunucu arasında iletişim kurmak için Uygulama Katmanı Protokolü Anlaşması'na (ALPN) da sahiptir. ALPN uzantısının engellenmesi veya yeniden yazılması hataya neden olur. Bu, özel kümeler için gerekli değildir. |
mcr.microsoft.com |
HTTPS:443 |
Microsoft Container Registry'deki (MCR) görüntülere erişmek için gereklidir. Bu kayıt defteri birinci taraf görüntüler/grafikler (örneğin, coreDNS vb.) içerir. Bu görüntüler, ölçek ve yükseltme işlemleri de dahil olmak üzere kümenin doğru oluşturulması ve çalışması için gereklidir. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Azure içerik teslim ağı (CDN) tarafından yedeklenen MCR depolaması için gereklidir. |
management.azure.com |
HTTPS:443 |
Azure API'sine karşı Kubernetes işlemleri için gereklidir. |
login.microsoftonline.com |
HTTPS:443 |
Microsoft Entra kimlik doğrulaması için gereklidir. |
packages.microsoft.com |
HTTPS:443 |
Bu adres, önbelleğe alınan apt-get işlemleri için kullanılan Microsoft paketleri deposudur. Moby, PowerShell ve Azure CLI örnek paketleridir. |
acs-mirror.azureedge.net |
HTTPS:443 |
Bu adres, kubenet ve Azure CNI gibi gerekli ikili dosyaları indirmek ve yüklemek için gereken depoya yöneliktir. |
21Vianet tarafından sağlanan Microsoft Azure gerekli ağ kuralları
| Hedef Uç Nokta | Protokol | Bağlantı noktası | Kullanma |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.Region:1194 Or Bölgesel CIDR'ler - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Düğümler ve kontrol düzlemi arasında tünelli güvenli iletişim için. |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or Bölgesel CIDR'ler - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Düğümler ve kontrol düzlemi arasında tünelli güvenli iletişim için. |
*:22 Or ServiceTag - AzureCloud.<Region>:22 Or Bölgesel CIDR'ler - RegionCIDRs:22 Or APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | Düğümler ve kontrol düzlemi arasında tünelli güvenli iletişim için. |
*:123veya ntp.ubuntu.com:123 (Azure Güvenlik Duvarı ağ kuralları kullanılıyorsa) |
UDP | 123 | Linux düğümlerinde Ağ Saat Protokolü (NTP) zaman eşitlemesi için gereklidir. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Özel DNS sunucuları kullanıyorsanız, bunların küme düğümleri tarafından erişilebilir olduğundan emin olmanız gerekir. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | API Server'a erişen podlar/dağıtımlar çalıştırılıyorsa bu pod/dağıtımlar API IP'sini kullanır. |
21Vianet tarafından sağlanan Microsoft Azure gerekli FQDN / uygulama kuralları
| Hedef FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Node <-> API sunucusu iletişimi için gereklidir. konumu> AKS kümenizin dağıtıldığı bölgeyle değiştirin<. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Node <-> API sunucusu iletişimi için gereklidir. konumu> AKS kümenizin dağıtıldığı bölgeyle değiştirin<. |
mcr.microsoft.com |
HTTPS:443 |
Microsoft Container Registry'deki (MCR) görüntülere erişmek için gereklidir. Bu kayıt defteri birinci taraf görüntüler/grafikler (örneğin, coreDNS vb.) içerir. Bu görüntüler, ölçek ve yükseltme işlemleri de dahil olmak üzere kümenin doğru oluşturulması ve çalışması için gereklidir. |
.data.mcr.microsoft.com |
HTTPS:443 |
Azure Content Delivery Network (CDN) tarafından yedeklenen MCR depolaması için gereklidir. |
management.chinacloudapi.cn |
HTTPS:443 |
Azure API'sine karşı Kubernetes işlemleri için gereklidir. |
login.chinacloudapi.cn |
HTTPS:443 |
Microsoft Entra kimlik doğrulaması için gereklidir. |
packages.microsoft.com |
HTTPS:443 |
Bu adres, önbelleğe alınan apt-get işlemleri için kullanılan Microsoft paketleri deposudur. Moby, PowerShell ve Azure CLI örnek paketleridir. |
*.azk8s.cn |
HTTPS:443 |
Bu adres, kubenet ve Azure CNI gibi gerekli ikili dosyaları indirmek ve yüklemek için gereken depoya yöneliktir. |
Azure US Government gerekli ağ kuralları
| Hedef Uç Nokta | Protokol | Bağlantı noktası | Kullanma |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.<Region>:1194 Or Bölgesel CIDR'ler - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Düğümler ve kontrol düzlemi arasında tünelli güvenli iletişim için. |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or Bölgesel CIDR'ler - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Düğümler ve kontrol düzlemi arasında tünelli güvenli iletişim için. |
*:123veya ntp.ubuntu.com:123 (Azure Güvenlik Duvarı ağ kuralları kullanılıyorsa) |
UDP | 123 | Linux düğümlerinde Ağ Saat Protokolü (NTP) zaman eşitlemesi için gereklidir. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Özel DNS sunucuları kullanıyorsanız, bunların küme düğümleri tarafından erişilebilir olduğundan emin olmanız gerekir. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | API Sunucusu'na erişen podlar/dağıtımlar çalıştırılıyorsa bu podlar/dağıtımlar API IP'sini kullanır. |
Azure US Government için gerekli FQDN / uygulama kuralları
| Hedef FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Node <-> API sunucusu iletişimi için gereklidir. konumu> AKS kümenizin dağıtıldığı bölgeyle değiştirin<. |
mcr.microsoft.com |
HTTPS:443 |
Microsoft Container Registry'deki (MCR) görüntülere erişmek için gereklidir. Bu kayıt defteri birinci taraf görüntüler/grafikler (örneğin, coreDNS vb.) içerir. Bu görüntüler, ölçek ve yükseltme işlemleri de dahil olmak üzere kümenin doğru oluşturulması ve çalışması için gereklidir. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Azure içerik teslim ağı (CDN) tarafından yedeklenen MCR depolaması için gereklidir. |
management.usgovcloudapi.net |
HTTPS:443 |
Azure API'sine karşı Kubernetes işlemleri için gereklidir. |
login.microsoftonline.us |
HTTPS:443 |
Microsoft Entra kimlik doğrulaması için gereklidir. |
packages.microsoft.com |
HTTPS:443 |
Bu adres, önbelleğe alınan apt-get işlemleri için kullanılan Microsoft paketleri deposudur. Moby, PowerShell ve Azure CLI örnek paketleridir. |
acs-mirror.azureedge.net |
HTTPS:443 |
Bu adres, kubenet ve Azure CNI gibi gerekli ikili dosyaları yüklemek için gereken depoya yöneliktir. |
AKS kümeleri için isteğe bağlı önerilen FQDN / uygulama kuralları
Aşağıdaki FQDN /uygulama kuralları gerekli değildir, ancak AKS kümeleri için önerilir:
| Hedef FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
security.ubuntu.com, azure.archive.ubuntu.com, changelogs.ubuntu.com |
HTTP:80 |
Bu adres, Linux küme düğümlerinin gerekli güvenlik düzeltme eklerini ve güncelleştirmelerini indirmesine olanak tanır. |
snapshot.ubuntu.com |
HTTPS:443 |
Bu adres, Linux küme düğümlerinin ubuntu anlık görüntü hizmetinden gerekli güvenlik düzeltme eklerini ve güncelleştirmelerini indirmesine olanak tanır. |
Bu FQDN'leri engellemeyi/izin vermemeyi seçerseniz düğümler yalnızca düğüm görüntüsü yükseltmesi veya küme yükseltmesi yaptığınızda işletim sistemi güncelleştirmelerini alır. Düğüm görüntüsü yükseltmelerinin güvenlik düzeltmeleri de dahil olmak üzere güncelleştirilmiş paketlerle birlikte geldiğini unutmayın.
GPU özellikli AKS kümeleri için gerekli FQDN / uygulama kuralları
| Hedef FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Bu adres, GPU tabanlı düğümlerde doğru sürücü yüklemesi ve işlemi için kullanılır. |
us.download.nvidia.com |
HTTPS:443 |
Bu adres, GPU tabanlı düğümlerde doğru sürücü yüklemesi ve işlemi için kullanılır. |
download.docker.com |
HTTPS:443 |
Bu adres, GPU tabanlı düğümlerde doğru sürücü yüklemesi ve işlemi için kullanılır. |
Windows Server tabanlı düğüm havuzları için gereken FQDN / uygulama kuralları
| Hedef FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Windows ile ilgili ikili dosyaları yüklemek için |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Windows ile ilgili ikili dosyaları yüklemek için |
Bu FQDN'leri engellemeyi/izin vermemeyi seçerseniz düğümler yalnızca düğüm görüntüsü yükseltmesi veya küme yükseltmesi yaptığınızda işletim sistemi güncelleştirmelerini alır. Düğüm Görüntüsü Yükseltmelerinin güvenlik düzeltmeleri de dahil olmak üzere güncelleştirilmiş paketlerle birlikte geldiğini unutmayın.
AKS eklentileri ve tümleştirmeleri
Kapsayıcılar için Microsoft Defender
Gerekli FQDN / uygulama kuralları
| FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us(Azure Kamu)login.microsoftonline.cn (21Vianet tarafından sağlanan Azure) |
HTTPS:443 |
Active Directory Kimlik Doğrulaması için gereklidir. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us(Azure Kamu)*.ods.opinsights.azure.cn (21Vianet tarafından sağlanan Azure) |
HTTPS:443 |
Microsoft Defender'ın buluta güvenlik olaylarını yüklemesi için gereklidir. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us(Azure Kamu)*.oms.opinsights.azure.cn (21Vianet tarafından sağlanan Azure) |
HTTPS:443 |
LogAnalytics çalışma alanlarıyla kimlik doğrulaması yapmak için gereklidir. |
CSI Gizli Dizi Deposu
Gerekli FQDN / uygulama kuralları
| FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
vault.azure.net |
HTTPS:443 |
CSI Gizli Dizi Deposu eklenti podlarının Azure KeyVault sunucusuyla konuşması için gereklidir. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
CSI Gizli Depolama eklenti podlarının Azure Kamu'da Azure KeyVault sunucusuyla konuşması için gereklidir. |
Kapsayıcılar için Azure İzleyici
Kapsayıcılar için Azure İzleyici'ye erişim sağlamak için iki seçenek vardır:
- Azure İzleyici ServiceTag'e izin verin.
- Gerekli FQDN/uygulama kurallarına erişim sağlayın.
Gerekli ağ kuralları
| Hedef Uç Nokta | Protokol | Bağlantı noktası | Kullanma |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Bu uç nokta, ölçüm verilerini ve günlüklerini Azure İzleyici ve Log Analytics'e göndermek için kullanılır. |
Gerekli FQDN / uygulama kuralları
| FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
dc.services.visualstudio.com |
HTTPS:443 |
Bu uç nokta Kapsayıcılar için Azure İzleyici Aracısı Telemetrisi tarafından kullanılır. |
*.ods.opinsights.azure.com |
HTTPS:443 |
Bu uç nokta, Log Analytics verilerini almak için Azure İzleyici tarafından kullanılır. |
*.oms.opinsights.azure.com |
HTTPS:443 |
Bu uç nokta, log analytics hizmetinin kimliğini doğrulamak için kullanılan omsagent tarafından kullanılır. |
*.monitoring.azure.com |
HTTPS:443 |
Bu uç nokta, ölçüm verilerini Azure İzleyici'ye göndermek için kullanılır. |
<cluster-region-name>.ingest.monitor.azure.com |
HTTPS:443 |
Bu uç nokta, Prometheus ölçümleri alımı için Azure İzleyici yönetilen hizmeti tarafından kullanılır. |
<cluster-region-name>.handler.control.monitor.azure.com |
HTTPS:443 |
Bu uç nokta, belirli bir küme için veri toplama kurallarını getirmek için kullanılır. |
21Vianet tarafından sağlanan Microsoft Azure gerekli FQDN / uygulama kuralları
| FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
dc.services.visualstudio.cn |
HTTPS:443 |
Bu uç nokta Kapsayıcılar için Azure İzleyici Aracısı Telemetrisi tarafından kullanılır. |
*.ods.opinsights.azure.cn |
HTTPS:443 |
Bu uç nokta, Log Analytics verilerini almak için Azure İzleyici tarafından kullanılır. |
*.oms.opinsights.azure.cn |
HTTPS:443 |
Bu uç nokta, log analytics hizmetinin kimliğini doğrulamak için kullanılan omsagent tarafından kullanılır. |
global.handler.control.monitor.azure.cn |
HTTPS:443 |
Bu uç nokta Azure İzleyici tarafından denetim hizmetine erişmek için kullanılır. |
<cluster-region-name>.handler.control.monitor.azure.cn |
HTTPS:443 |
Bu uç nokta, belirli bir küme için veri toplama kurallarını getirmek için kullanılır. |
Azure US Government için gerekli FQDN / uygulama kuralları
| FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
dc.services.visualstudio.us |
HTTPS:443 |
Bu uç nokta Kapsayıcılar için Azure İzleyici Aracısı Telemetrisi tarafından kullanılır. |
*.ods.opinsights.azure.us |
HTTPS:443 |
Bu uç nokta, Log Analytics verilerini almak için Azure İzleyici tarafından kullanılır. |
*.oms.opinsights.azure.us |
HTTPS:443 |
Bu uç nokta, log analytics hizmetinin kimliğini doğrulamak için kullanılan omsagent tarafından kullanılır. |
global.handler.control.monitor.azure.us |
HTTPS:443 |
Bu uç nokta Azure İzleyici tarafından denetim hizmetine erişmek için kullanılır. |
<cluster-region-name>.handler.control.monitor.azure.us |
HTTPS:443 |
Bu uç nokta, belirli bir küme için veri toplama kurallarını getirmek için kullanılır. |
Azure İlkesi
Gerekli FQDN / uygulama kuralları
| FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Bu adres Kubernetes ilkelerini çekmek ve küme uyumluluk durumunu ilke hizmetine bildirmek için kullanılır. |
store.policy.core.windows.net |
HTTPS:443 |
Bu adres, yerleşik ilkelerin Ağ Geçidi Denetleyicisi yapıtlarını çekmek için kullanılır. |
dc.services.visualstudio.com |
HTTPS:443 |
Azure İlkesi uygulamalar içgörü uç noktasına telemetri verileri gönderen eklenti. |
21Vianet tarafından sağlanan Microsoft Azure gerekli FQDN / uygulama kuralları
| FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Bu adres Kubernetes ilkelerini çekmek ve küme uyumluluk durumunu ilke hizmetine bildirmek için kullanılır. |
store.policy.azure.cn |
HTTPS:443 |
Bu adres, yerleşik ilkelerin Ağ Geçidi Denetleyicisi yapıtlarını çekmek için kullanılır. |
Azure US Government için gerekli FQDN / uygulama kuralları
| FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Bu adres Kubernetes ilkelerini çekmek ve küme uyumluluk durumunu ilke hizmetine bildirmek için kullanılır. |
store.policy.azure.us |
HTTPS:443 |
Bu adres, yerleşik ilkelerin Ağ Geçidi Denetleyicisi yapıtlarını çekmek için kullanılır. |
AKS maliyet analizi eklentisi
Gerekli FQDN / uygulama kuralları
| FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
management.azure.com management.usgovcloudapi.net(Azure Kamu)management.chinacloudapi.cn (21Vianet tarafından sağlanan Azure) |
HTTPS:443 |
Azure API'sine karşı Kubernetes işlemleri için gereklidir. |
login.microsoftonline.com login.microsoftonline.us(Azure Kamu)login.microsoftonline.cn (21Vianet tarafından sağlanan Azure) |
HTTPS:443 |
Microsoft Entra Id kimlik doğrulaması için gereklidir. |
Küme uzantıları
Gerekli FQDN / uygulama kuralları
| FQDN | Liman | Kullanma |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Bu adres, Küme Uzantıları hizmetinden yapılandırma bilgilerini getirmek ve uzantı durumunu hizmete bildirmek için kullanılır. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Aks kümesine küme uzantısı aracılarını yüklemek için kapsayıcı görüntülerini çekmek için bu adres gereklidir. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Aks kümesine market uzantıları yüklemek için kapsayıcı görüntülerini çekmek için bu adres gereklidir. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Bu adres Orta Hindistan bölgesel veri uç noktasına yöneliktir ve AKS kümesine market uzantıları yüklemek için kapsayıcı görüntülerini çekmek için gereklidir. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Bu adres Doğu Japonya bölgesel veri uç noktasına yöneliktir ve AKS kümesine market uzantıları yüklemek için kapsayıcı görüntülerini çekmek için gereklidir. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Bu adres Batı ABD2 bölgesel veri uç noktasına yöneliktir ve AKS kümesine market uzantıları yüklemek için kapsayıcı görüntülerini çekmek için gereklidir. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Bu adres Batı Avrupa bölgesel veri uç noktasına yöneliktir ve AKS kümesine market uzantıları yüklemek için kapsayıcı görüntülerini çekmek için gereklidir. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Bu adres Doğu ABD bölgesel veri uç noktasına yöneliktir ve AKS kümesine market uzantıları yüklemek için kapsayıcı görüntülerini çekmek için gereklidir. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Bu adres, aracı ölçüm verilerini Azure'a göndermek için kullanılır. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Bu adres, ticari ölçüm API'sine özel ölçüm tabanlı kullanım göndermek için kullanılır. |
Azure US Government için gerekli FQDN / uygulama kuralları
| FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Bu adres, Küme Uzantıları hizmetinden yapılandırma bilgilerini getirmek ve uzantı durumunu hizmete bildirmek için kullanılır. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Aks kümesine küme uzantısı aracılarını yüklemek için kapsayıcı görüntülerini çekmek için bu adres gereklidir. |
Not
Burada açıkça belirtilmeyen tüm eklentiler için temel gereksinimler bunu kapsar.
Sonraki adımlar
Bu makalede, küme için çıkış trafiğini kısıtlamak istiyorsanız izin vermek istediğiniz bağlantı noktalarını ve adresleri öğrendiniz.
Podların kendi aralarında iletişim kurma şeklini ve küme içindeki Doğu-Batı trafik kısıtlamalarını kısıtlamak istiyorsanız bkz. AKS'de ağ ilkelerini kullanarak podlar arasındaki trafiğin güvenliğini sağlama.
GitHub'da bizimle işbirliği yapın
Bu içeriğin kaynağı GitHub'da bulunabilir; burada ayrıca sorunları ve çekme isteklerini oluşturup gözden geçirebilirsiniz. Daha fazla bilgi için katkıda bulunan kılavuzumuzu inceleyin.
Azure Kubernetes Service