Compartir a través de

Requisitos de red de Kubernetes habilitado para Azure Arc

En este tema se describen los requisitos de red para conectar un clúster de Kubernetes a Azure Arc y admitir varios escenarios de Kubernetes habilitados para Arc.

Sugerencia

Para la nube pública de Azure, puede reducir el número de puntos de conexión necesarios mediante la Puerta de enlace de Azure Arc (versión preliminar).

Detalles

Por lo general, los requisitos de conectividad incluyen estos principios:

  • Todas las conexiones son TCP a menos que se especifique lo contrario.
  • Todas las conexiones HTTP usan HTTPS y SSL/TLS con certificados firmados oficialmente y verificables.
  • Todas las conexiones son hacia afuera a no ser que se especifique lo contrario.

Para utilizar un proxy, compruebe que los agentes y la máquina que realiza el proceso de incorporación cumplen los requisitos de red indicados en este artículo.

Importante

Los agentes de Azure Arc necesitan las siguientes direcciones URL de salida en https://:443 para funcionar: Para *.servicebus.windows.net, los websockets deben estar habilitados para el acceso saliente en el firewall y el proxy.

Punto de conexión (DNS) Descripción
https://management.azure.com Necesario para que el agente se conecte a Azure y registre el clúster.
https://<region>.dp.kubernetesconfiguration.azure.com Punto de conexión de plano de datos para que el agente envíe el estado y obtenga información de configuración.
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net		 Necesario para capturar y actualizar tokens de Azure Resource Manager.
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com		 Necesario para extraer imágenes de contenedor para agentes de Azure Arc.
dl.k8s.io Necesario para descargar archivos binarios de kubectl durante la incorporación de Azure Arc mediante la extensión connectedk8s de la CLI de Azure.
https://gbl.his.arc.azure.com Necesario para obtener el punto de conexión regional para extraer los certificados de la identidad administrada asignada por el sistema.
https://*.his.arc.azure.com Necesario para extraer certificados de identidad administrados que haya asignado el sistema.
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net		 Para escenarios basados en la conexión de clúster y la ubicación personalizada.
*.servicebus.windows.net Para escenarios basados en la conexión de clúster y la ubicación personalizada.
https://graph.microsoft.com/ Obligatorio cuando se configura el RBAC de Azure.
*.arc.azure.net Obligatorio para administrar clústeres conectados en Azure Portal.
https://<region>.obo.arc.azure.com:8084/ Obligatorio cuando se configura Cluster Connect y Azure RBAC .
https://linuxgeneva-microsoft.azurecr.io Obligatorio si usa extensiones de Kubernetes habilitadas para Azure Arc.

Para convertir el carácter comodín *.servicebus.windows.net en puntos de conexión específicos, use el comando:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Para obtener el segmento de región de un punto de conexión regional, quite todos los espacios del nombre de la región de Azure. Por ejemplo, en la región Este de EE. UU. 2, el nombre de la región es eastus2.

Por ejemplo: *.<region>.arcdataservices.com debe ser *.eastus2.arcdataservices.com en la región Este de EE. UU. 2.

Para ver una lista de todas las regiones, ejecute este comando:

az account list-locations -o table

Get-AzLocation | Format-Table

Puntos de conexión adicionales

En función de su escenario, es posible que necesite conectividad con otras direcciones URL, como las que usa Azure Portal, las herramientas de administración u otros servicios de Azure. En concreto, revise estas listas para asegurarse de que permite la conectividad a los puntos de conexión necesarios:

Para obtener una lista completa de los requisitos de red para las características de Azure Arc y los servicios habilitados para Azure Arc, consulte Requisitos de red de Azure Arc.

Pasos siguientes

  • Last updated on