Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera niezbędne szczegóły, które umożliwiają zabezpieczanie ruchu wychodzącego z usługi Azure Kubernetes Service (AKS). Zawiera wymagania dotyczące klastra dla podstawowego wdrożenia usługi AKS oraz dodatkowe wymagania dotyczące opcjonalnych dodatków i funkcji. Te informacje można zastosować do dowolnej metody ograniczenia ruchu wychodzącego lub urządzenia.
Aby wyświetlić przykładową konfigurację przy użyciu usługi Azure Firewall, odwiedź stronę Kontrolowanie ruchu wychodzącego przy użyciu usługi Azure Firewall w usłudze AKS.
Ważne
Od 30 listopada 2025 r. usługa Azure Kubernetes Service (AKS) nie obsługuje już ani nie zapewnia aktualizacji zabezpieczeń dla systemu Azure Linux 2.0. Obraz węzła systemu Linux 2.0 platformy Azure został zamrożony w wersji 202512.06.0. Od 31 marca 2026 r. obrazy węzłów zostaną usunięte i nie będzie można skalować pul węzłów. Przeprowadź migrację do obsługiwanej wersji systemu Linux platformy Azure, uaktualniając pule węzłów do obsługiwanej wersji rozwiązania Kubernetes lub migrując do systemu osSku AzureLinux3. Aby uzyskać więcej informacji, zobacz [Wycofywanie] pul węzłów Azure Linux 2.0 w usłudze AKS.
Kontekst
Klastry AKS są wdrażane w sieci wirtualnej. Tę sieć można dostosować i wstępnie skonfigurować lub można ją utworzyć i zarządzać przez usługę AKS. W obu przypadkach klaster ma wychodzące lub wychodzące zależności od usług spoza sieci wirtualnej.
Do celów zarządzania i działania węzły w klastrze usługi AKS muszą uzyskiwać dostęp do określonych portów i w pełni kwalifikowanych nazw domen (FQDN). Te punkty końcowe są wymagane, aby węzły komunikowały się z serwerem interfejsu API lub pobierały i instalowali podstawowe składniki klastra Kubernetes i aktualizacje zabezpieczeń węzłów. Na przykład klaster musi ściągnąć obrazy kontenerów z usługi Microsoft Artifact Registry (MAR).
Zależności wychodzące usługi AKS są prawie całkowicie zdefiniowane przy użyciu nazw FQDN, które nie mają za nimi statycznych adresów. Brak adresów statycznych oznacza, że nie można użyć sieciowych grup zabezpieczeń w celu zablokowania ruchu wychodzącego z klastra usługi AKS.
Domyślnie klastry usługi AKS mają nieograniczony wychodzący dostęp do Internetu. Ten poziom dostępu do sieci umożliwia uruchamianym węzłom i usługom dostęp do zewnętrznych zasobów zgodnie z potrzebami. Jeśli chcesz ograniczyć ruch wychodzący, ograniczona liczba portów i adresów musi być dostępna, aby zachować zadania konserwacji klastra w dobrej kondycji. W przypadku wychodzącego ruchu internetowego nie zaleca się ustawiania wszystkich reguł odmowy w sieciowej grupie zabezpieczeń.
Izolowany klaster usługi AKS w sieci zapewnia najprostsze i najbezpieczniejsze rozwiązanie do konfigurowania ograniczeń ruchu wychodzącego dla klastra gotowego do użycia. Klaster izolowany w sieci pobiera obrazy składników klastra i dodatków z prywatnego wystąpienia usługi Azure Container Registry (ACR) połączonego z klastrem, zamiast pobierać je z MAR. Jeśli obrazy nie są obecne, prywatne repozytorium ACR ściąga je z MAR i dostarcza je poprzez prywatny punkt końcowy, eliminując konieczność włączenia egressu z klastra do publicznego punktu końcowego MAR. Operator klastra może następnie przyrostowo skonfigurować dozwolony ruch wychodzący bezpiecznie przez sieć prywatną dla każdego scenariusza, który chce włączyć. Dzięki temu operatorzy klastrów mają pełną kontrolę nad projektowaniem dozwolonego ruchu wychodzącego z klastrów bezpośrednio od samego początku, co pozwala im zmniejszyć ryzyko eksfiltracji danych.
Innym rozwiązaniem do zabezpieczania adresów wychodzących jest użycie urządzenia zapory, które może kontrolować ruch wychodzący na podstawie nazw domen. Usługa Azure Firewall może ograniczyć wychodzący ruch HTTP i HTTPS na podstawie nazwy FQDN miejsca docelowego. Możesz również skonfigurować preferowaną zaporę i reguły zabezpieczeń, aby zezwolić na te wymagane porty i adresy.
Ważne
W tym dokumencie opisano tylko sposób blokowania ruchu opuszczającego podsieć usługi AKS. Usługa AKS domyślnie nie ma wymagań dotyczących ruchu przychodzącego. Blokowanie wewnętrznego ruchu podsieci przy użyciu sieciowych grup zabezpieczeń i zapór nie jest obsługiwane. Aby kontrolować i blokować ruch w klastrze, zobacz Ochrona ruchu między zasobnikami za pomocą zasad sieciowych w AKS.
Wymagane zasady sieciowe dla ruchu wychodzącego i w pełni kwalifikowane nazwy domen (FQDN) dla klastrów AKS
Następujące reguły dotyczące sieci oraz nazw FQDN/aplikacji są wymagane dla klastra AKS. Możesz ich użyć, jeśli chcesz skonfigurować rozwiązanie inne niż usługa Azure Firewall.
- Zależności adresów IP dotyczą ruchu innego niż HTTP/S (ruch TCP i UDP).
- Punkty końcowe HTTP/HTTPS z nazwą FQDN można umieścić w urządzeniu zapory.
- Punkty końcowe HTTP/HTTPS o nazwach wieloznacznych są zależnościami, które mogą się różnić zależnie od różnych czynników związanych z klastrem AKS.
- Usługa AKS używa kontrolera dostępu do wstrzykiwania nazwy FQDN jako zmiennej środowiskowej do wszystkich wdrożeń w ramach platformy kube-system i gatekeeper-system. Dzięki temu cała komunikacja systemowa między węzłami i serwerem interfejsu API używa nazwy FQDN serwera interfejsu API, a nie adresu IP serwera interfejsu API. Możesz uzyskać to samo zachowanie na własnych podach w dowolnej przestrzeni nazw, dodając adnotację do specyfikacji poda o nazwie
kubernetes.azure.com/set-kube-service-host-fqdn. Jeśli ta adnotacja jest obecna, usługa AKS ustawi zmienną KUBERNETES_SERVICE_HOST na nazwę domeny serwera interfejsu API zamiast adresu IP usługi klastra. Jest to przydatne w przypadkach, gdy ruch wychodzący klastra odbywa się za pośrednictwem zapory warstwy 7. - Jeśli masz aplikację lub rozwiązanie, które musi komunikować się z serwerem interfejsu API, musisz dodać dodatkową regułę sieci, aby umożliwić komunikację TCP z portem 443 adresu IP serwera interfejsu APILUB , jeśli masz zaporę warstwy 7 skonfigurowaną do zezwalania na ruch do nazwy domeny serwera interfejsu API, ustaw
kubernetes.azure.com/set-kube-service-host-fqdnw specyfikacji zasobnika. - W rzadkich przypadkach, jeśli istnieje operacja konserwacji, adres IP serwera interfejsu API może ulec zmianie. Zaplanowane operacje konserwacji, które mogą zmienić adres IP serwera interfejsu API, są zawsze przekazywane z wyprzedzeniem.
- Możesz zauważyć ruch w kierunku punktu końcowego "md-*.blob.storage.azure.net". Ten punkt dostępu jest używany dla wewnętrznych komponentów Zarządzanych Dysków Azure. Blokowanie dostępu do tego punktu końcowego z zapory nie powinno powodować żadnych problemów.
- Możesz zauważyć ruch w kierunku punktu końcowego "umsa*.blob.core.windows.net". Ten punkt końcowy służy do przechowywania manifestów dla agenta i rozszerzeń maszyny wirtualnej z systemem Linux platformy Azure i jest regularnie sprawdzany pod kątem pobierania nowych wersji. Więcej informacji na temat rozszerzeń maszyn wirtualnych można znaleźć.
Globalne reguły sieci wymagane na platformie Azure
| Docelowy punkt końcowy | Protokół | Port | Użyj |
|---|---|---|---|
*:1194 Lub ServiceTag - AzureCloud.<Region>:1194 Lub Regionalne CIDR-y - RegionCIDRs:1194 Lub APIServerPublicIP:1194
(only known after cluster creation)
|
protokół UDP | 1194 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami a płaszczyzną kontrolną. Nie jest to wymagane w przypadku klastrów prywatnych ani dla klastrów z włączonym agentem konnectivity-agent . |
*:9000 Lub ServiceTag - AzureCloud.<Region>:9000 Lub Regionalne CIDR-y - RegionCIDRs:9000 Lub APIServerPublicIP:9000
(only known after cluster creation)
|
TCP | 9000 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami a płaszczyzną kontrolną. Nie jest to wymagane w przypadku klastrów prywatnych ani dla klastrów z włączonym agentem konnectivity-agent . |
*:123 lub ntp.ubuntu.com:123 (jeśli używasz reguł sieci usługi Azure Firewall) |
protokół UDP | 123 | Wymagana do synchronizacji czasu protokołu NTP (Network Time Protocol) w węzłach systemu Linux. Nie jest to wymagane w przypadku węzłów przydzielonych po marcu 2021 roku. |
CustomDNSIP:53
(if using custom DNS servers)
|
protokół UDP | 53 | Jeśli używasz niestandardowych serwerów DNS, upewnij się, że są one dostępne dla węzłów klastra. |
APIServerPublicIP:443
(if running pods/deployments, like Ingress Controller, that access the API Server)
|
TCP | 443 | Wymagane w przypadku uruchamiania zasobników/wdrożeń, które uzyskują dostęp do serwera API (na przykład Ingress Controller); te zasobniki/wdrożenia będą używać adresu IP API. Ten port nie jest wymagany dla klastrów prywatnych. |
Wymagane FQDN platformy Azure i reguły aplikacji
| Docelowa nazwa FQDN | Port | Użyj |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Wymagane dla komunikacji serwera API węzła <->. Zastąp <lokalizację> regionem, w którym wdrożono klaster usługi AKS. Jest to wymagane w przypadku klastrów z włączonym agentem konnectivity. Konnectivity używa również negocjacji protokołu warstwy aplikacji (ALPN) do komunikacji między agentem a serwerem. Blokowanie lub ponowne zapisywanie rozszerzenia ALPN spowoduje awarię. Nie jest to wymagane w przypadku klastrów prywatnych. |
mcr.microsoft.com |
HTTPS:443 |
Wymagane do uzyskania dostępu do obrazów w usłudze Microsoft Container Registry (MCR). Ten rejestr zawiera obrazy lub wykresy pierwszej strony (na przykład coreDNS itp.). Te obrazy są wymagane do poprawnego tworzenia i funkcjonowania klastra, w tym operacji skalowania i uaktualniania. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Wymagane dla magazynu MCR opartego o sieć CDN platformy Azure. |
management.azure.com |
HTTPS:443 |
Wymagane do operacji Kubernetes na interfejsie API Azure. |
login.microsoftonline.com |
HTTPS:443 |
Wymagane do uwierzytelniania Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Ten adres to repozytorium pakietów firmy Microsoft używane do buforowanych operacji apt-get . Przykładowe pakiety to Moby, PowerShell i Interfejs wiersza polecenia platformy Azure. |
acs-mirror.azureedge.net |
HTTPS:443 |
Ten adres jest przeznaczony dla repozytorium wymaganego do pobrania i zainstalowania wymaganych plików binarnych, takich jak kubenet i Azure CNI. |
packages.aks.azure.com |
HTTPS:443 |
Ten adres zostanie zastąpiony acs-mirror.azureedge.net w przyszłości i zostanie użyty do pobrania i zainstalowania wymaganych plików binarnych Kubernetes i Azure CNI. |
Microsoft Azure operowana przez 21Vianet — wymagane reguły sieci
| Docelowy punkt końcowy | Protokół | Port | Użyj |
|---|---|---|---|
*:1194 Lub ServiceTag - AzureCloud.Region:1194 Lub Regionalne CIDR-y - RegionCIDRs:1194 Lub APIServerPublicIP:1194
(only known after cluster creation)
|
protokół UDP | 1194 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami a płaszczyzną kontrolną. |
*:9000 Lub ServiceTag - AzureCloud.<Region>:9000 Lub Regionalne CIDR-y - RegionCIDRs:9000 Lub APIServerPublicIP:9000
(only known after cluster creation)
|
TCP | 9000 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami a płaszczyzną kontrolną. |
*:22 Lub ServiceTag - AzureCloud.<Region>:22 Lub Regionalne CIDR-y - RegionCIDRs:22 Lub APIServerPublicIP:22
(only known after cluster creation)
|
TCP | 22 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami a płaszczyzną kontrolną. |
*:123 lub ntp.ubuntu.com:123 (jeśli używasz reguł sieci usługi Azure Firewall) |
protokół UDP | 123 | Wymagana do synchronizacji czasu protokołu NTP (Network Time Protocol) w węzłach systemu Linux. |
CustomDNSIP:53
(if using custom DNS servers)
|
protokół UDP | 53 | Jeśli używasz niestandardowych serwerów DNS, upewnij się, że są one dostępne dla węzłów klastra. |
APIServerPublicIP:443
(if running pods/deployments, like Ingress Controller, that access the API Server)
|
TCP | 443 | Wymagane w przypadku uruchamiania zasobników/wdrożeń uzyskujących dostęp do serwera interfejsu API (na przykład kontrolera ruchu przychodzącego), te zasobniki/wdrożenia będą używać adresu IP interfejsu API. |
Platforma Microsoft Azure obsługiwana przez wymaganą nazwę FQDN /reguły aplikacji 21Vianet
| Docelowa nazwa FQDN | Port | Użyj |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Wymagane dla komunikacji serwera API węzła <->. Zastąp <lokalizację> regionem, w którym wdrożono klaster usługi AKS. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Wymagane dla komunikacji serwera API węzła <->. Zastąp <lokalizację> regionem, w którym wdrożono klaster usługi AKS. |
mcr.microsoft.com |
HTTPS:443 |
Wymagane do uzyskania dostępu do obrazów w usłudze Microsoft Container Registry (MCR). Ten rejestr zawiera obrazy lub wykresy pierwszej strony (na przykład coreDNS itp.). Te obrazy są wymagane do poprawnego tworzenia i funkcjonowania klastra, w tym operacji skalowania i uaktualniania. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Wymagane dla magazynu MCR wspieranego przez Azure Content Delivery Network (CDN). |
management.chinacloudapi.cn |
HTTPS:443 |
Wymagane do operacji Kubernetes na interfejsie API Azure. |
login.chinacloudapi.cn |
HTTPS:443 |
Wymagane do uwierzytelniania Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Ten adres to repozytorium pakietów firmy Microsoft używane do buforowanych operacji apt-get . Przykładowe pakiety to Moby, PowerShell i Interfejs wiersza polecenia platformy Azure. |
*.azk8s.cn |
HTTPS:443 |
Ten adres jest przeznaczony dla repozytorium wymaganego do pobrania i zainstalowania wymaganych plików binarnych, takich jak kubenet i Azure CNI. |
mcr.azure.cn, *.data.mcr.azure.cn |
HTTPS:443 |
Wymagane do uzyskiwania dostępu do obrazów usługi Microsoft Container Registry (MCR) w usłudze Chiny Cloud (Mooncake). Ten rejestr służy jako pamięć podręczna dla mcr.microsoft.com o lepszej niezawodności i wydajności. |
Wymagane reguły sieci na platformie Azure US Government
| Docelowy punkt końcowy | Protokół | Port | Użyj |
|---|---|---|---|
*:1194 Lub ServiceTag - AzureCloud.<Region>:1194 Lub Regionalne CIDR-y - RegionCIDRs:1194 Lub APIServerPublicIP:1194
(only known after cluster creation)
|
protokół UDP | 1194 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami a płaszczyzną kontrolną. |
*:9000 Lub ServiceTag - AzureCloud.<Region>:9000 Lub Regionalne CIDR-y - RegionCIDRs:9000 Lub APIServerPublicIP:9000
(only known after cluster creation)
|
TCP | 9000 | W przypadku tunelowanej bezpiecznej komunikacji między węzłami a płaszczyzną kontrolną. |
*:123 lub ntp.ubuntu.com:123 (jeśli używasz reguł sieci usługi Azure Firewall) |
protokół UDP | 123 | Wymagana do synchronizacji czasu protokołu NTP (Network Time Protocol) w węzłach systemu Linux. |
CustomDNSIP:53
(if using custom DNS servers)
|
protokół UDP | 53 | Jeśli używasz niestandardowych serwerów DNS, upewnij się, że są one dostępne dla węzłów klastra. |
APIServerPublicIP:443
(if running pods/deployments, like Ingress Controller, that access the API Server)
|
TCP | 443 | Wymagane w przypadku uruchamiania zasobników/wdrożeń, które uzyskują dostęp do serwera API (na przykład Ingress Controller); te zasobniki/wdrożenia będą używać adresu IP API. |
Wymagana nazwa FQDN/reguły aplikacji Azure US Government
| Docelowa nazwa FQDN | Port | Użyj |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Wymagane dla komunikacji serwera API węzła <->. Zastąp <lokalizację> regionem, w którym wdrożono klaster usługi AKS. |
mcr.microsoft.com |
HTTPS:443 |
Wymagane do uzyskania dostępu do obrazów w usłudze Microsoft Container Registry (MCR). Ten rejestr zawiera obrazy lub wykresy pierwszej strony (na przykład coreDNS itp.). Te obrazy są wymagane do poprawnego tworzenia i funkcjonowania klastra, w tym operacji skalowania i uaktualniania. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Wymagane dla magazynu MCR opartego o sieć CDN platformy Azure. |
management.usgovcloudapi.net |
HTTPS:443 |
Wymagane do operacji Kubernetes na interfejsie API Azure. |
login.microsoftonline.us |
HTTPS:443 |
Wymagane do uwierzytelniania Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Ten adres to repozytorium pakietów firmy Microsoft używane do buforowanych operacji apt-get . Przykładowe pakiety to Moby, PowerShell i Interfejs wiersza polecenia platformy Azure. |
acs-mirror.azureedge.net |
HTTPS:443 |
Ten adres jest przeznaczony dla repozytorium wymaganego do zainstalowania wymaganych plików binarnych, takich jak kubenet i Azure CNI. |
packages.aks.azure.com |
HTTPS:443 |
Ten adres zostanie zastąpiony acs-mirror.azureedge.net w przyszłości i zostanie użyty do pobrania i zainstalowania wymaganych plików binarnych Kubernetes i Azure CNI. |
Opcjonalne zalecane pełne nazwy domen/reguły aplikacji dla klastrów AKS
Następujące reguły FQDN lub aplikacji nie są wymagane, ale są zalecane w klastrach AKS:
| Docelowa nazwa FQDN | Port | Użyj |
|---|---|---|
security.ubuntu.com, , azure.archive.ubuntu.comchangelogs.ubuntu.com |
HTTP:80 |
Ten adres umożliwia węzłom klastra systemu Linux pobieranie wymaganych poprawek zabezpieczeń i aktualizacji. |
snapshot.ubuntu.com |
HTTPS:443 |
Ten adres umożliwia węzłom klastra systemu Linux pobieranie wymaganych poprawek zabezpieczeń i aktualizacji z usługi migawki systemu Ubuntu. |
Jeśli zdecydujesz się zablokować/uniemożliwić te nazwy FQDN (ang. Fully Qualified Domain Name), węzły będą otrzymywać aktualizacje systemu operacyjnego tylko podczas uaktualniania obrazu węzła lub uaktualniania klastra. Należy pamiętać, że uaktualnienia obrazów węzłów są również dostarczane ze zaktualizowanymi pakietami, w tym poprawkami zabezpieczeń.
Klastry AKS z obsługą procesora GPU wymagają nazwy FQDN i reguł aplikacji
| Docelowa nazwa FQDN | Port | Użyj |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Ten adres jest używany do poprawnej instalacji sterownika i operacji na węzłach opartych na procesorze GPU. |
us.download.nvidia.com |
HTTPS:443 |
Ten adres jest używany do poprawnej instalacji sterownika i operacji na węzłach opartych na procesorze GPU. |
download.docker.com |
HTTPS:443 |
Ten adres jest używany do poprawnej instalacji sterownika i operacji na węzłach opartych na procesorze GPU. |
Pule węzłów bazujących na systemie Windows Server wymagają nazw FQDN lub reguł aplikacji
| Docelowa nazwa FQDN | Port | Użyj |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Aby zainstalować pliki binarne związane z systemem Windows |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Aby zainstalować pliki binarne związane z systemem Windows |
Jeśli zdecydujesz się zablokować/uniemożliwić te nazwy FQDN (ang. Fully Qualified Domain Name), węzły będą otrzymywać aktualizacje systemu operacyjnego tylko podczas uaktualniania obrazu węzła lub uaktualniania klastra. Należy pamiętać, że uaktualnienia obrazów węzłów są również dostarczane ze zaktualizowanymi pakietami, w tym poprawkami zabezpieczeń.
Funkcje, dodatki i integracje usługi AKS
Tożsamość obciążenia roboczego
Wymagane FQDN / reguły dla aplikacji
| Docelowa nazwa FQDN | Port | Użyj |
|---|---|---|
login.microsoftonline.com lub login.chinacloudapi.cn lub login.microsoftonline.us |
HTTPS:443 |
Wymagane do uwierzytelniania Microsoft Entra. |
Microsoft Defender dla Kontenerów
Wymagane FQDN / reguły dla aplikacji
| FQDN | Port | Użyj |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Platforma Azure obsługiwana przez firmę 21Vianet) |
HTTPS:443 |
Wymagane do uwierzytelniania Microsoft Entra. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government) *.ods.opinsights.azure.cn (Platforma Azure obsługiwana przez firmę 21Vianet) |
HTTPS:443 |
Usługa Microsoft Defender jest wymagana do przekazywania zdarzeń zabezpieczeń do chmury. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government) *.oms.opinsights.azure.cn (Platforma Azure obsługiwana przez firmę 21Vianet) |
HTTPS:443 |
Wymagane do uwierzytelniania w obszarach roboczych usługi Log Analytics. |
*.cloud.defender.microsoft.com |
HTTPS:443 |
NOWOŚĆ: Usługa Microsoft Defender wymaga przekazywania zdarzeń zabezpieczeń do chmury. |
Dostawca Azure Key Vault dla sterownika CSI Sklepu Tajemnic
W przypadku korzystania z izolowanych klastrów sieci zaleca się skonfigurowanie prywatnego punktu końcowego w celu uzyskania dostępu do usługi Azure Key Vault.
Jeśli klaster ma routing zdefiniowany przez użytkownika typu wychodzącego i usługę Azure Firewall, mają zastosowanie następujące reguły sieciowe i reguły aplikacji:
Wymagane FQDN / reguły dla aplikacji
| FQDN | Port | Użyj |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Wymagane, aby zasobniki dodatku CSI Secret Store komunikowały się z serwerem usługi Azure KeyVault. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Wymagane dla zasobników dodatków CSI Secret Store w celu komunikacji z serwerem Azure KeyVault w usłudze Azure Government. |
Azure Monitor — zarządzana aplikacja Prometheus, Container Insights i Autoinstrumentacja usługi Azure Monitor Application Insights
W przypadku korzystania z izolowanych klastrów sieci zaleca się skonfigurowanie pozyskiwania opartego na prywatnym punkcie końcowym, które jest obsługiwane dla zarządzanego Prometheusa (obszaru roboczego usługi Azure Monitor), wglądu w kontenery (obszaru roboczego usługi Log Analytics) i automatycznej instrumentacji usługi Azure Monitor Application Insights (zasób usługi Application Insights).
Jeśli klaster ma routing zdefiniowany przez użytkownika typu wychodzącego i usługę Azure Firewall, mają zastosowanie następujące reguły sieciowe i reguły aplikacji:
Wymagane reguły sieci
| Docelowy punkt końcowy | Protokół | Port | Użyj |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Ten punkt końcowy służy do wysyłania danych metryk i dzienników do usług Azure Monitor i Log Analytics. |
Wymagana nazwa FQDN/reguły aplikacji w chmurze publicznej platformy Azure
| Punkt końcowy | Przeznaczenie | Port |
|---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.in.applicationinsights.azure.com |
Autoinstrumentacja Application Insights. Aby ograniczyć zakres, można zmienić tak, aby zezwalać tylko na punkty końcowe w parametrach połączenia dla zasobów docelowych | 443 |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
Usługa kontroli dostępu | 443 |
*.ingest.monitor.azure.com |
Container Insights — punkt zbierania logów (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
Zarządzana usługa Azure Monitor dla Prometheus — punkt końcowy pobierania metryk (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
Pobieranie reguł zbierania danych dla określonego klastra | 443 |
Chmura Microsoft Azure obsługiwana przez 21Vianet wymaga użycia nazw FQDN oraz reguł aplikacji.
| Punkt końcowy | Przeznaczenie | Port |
|---|---|---|
*.ods.opinsights.azure.cn |
Pozyskiwanie danych | 443 |
*.oms.opinsights.azure.cn |
Wdrażanie agenta usługi Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
W przypadku telemetrii agenta korzystającej z usługi Azure Public Cloud Application Insights | 443 |
*.in.applicationinsights.azure.com |
Autoinstrumentacja Application Insights. Aby ograniczyć zakres, można zmienić tak, aby zezwalać tylko na punkty końcowe w parametrach połączenia dla zasobów docelowych | 443 |
global.handler.control.monitor.azure.cn |
Usługa kontroli dostępu | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
Pobieranie reguł zbierania danych dla określonego klastra | 443 |
*.ingest.monitor.azure.cn |
Container Insights — punkt zbierania logów (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
Zarządzana usługa Azure Monitor dla Prometheus — punkt końcowy pobierania metryk (DCE) | 443 |
Wymagane FQDN i reguły aplikacji w chmurze Azure Government
| Punkt końcowy | Przeznaczenie | Port |
|---|---|---|
*.ods.opinsights.azure.us |
Pozyskiwanie danych | 443 |
*.oms.opinsights.azure.us |
Wdrażanie agenta usługi Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
W przypadku telemetrii agenta korzystającej z usługi Azure Public Cloud Application Insights | 443 |
*.in.applicationinsights.azure.com |
Autoinstrumentacja Application Insights. Aby ograniczyć zakres, można zmienić tak, aby zezwalać tylko na punkty końcowe w parametrach połączenia dla zasobów docelowych | 443 |
global.handler.control.monitor.azure.us |
Usługa kontroli dostępu | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
Pobieranie reguł zbierania danych dla określonego klastra | 443 |
*.ingest.monitor.azure.us |
Container Insights — punkt zbierania logów (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
Zarządzana usługa Azure Monitor dla Prometheus — punkt końcowy pobierania metryk (DCE) | 443 |
Azure Policy
Wymagane FQDN / reguły dla aplikacji
| FQDN | Port | Użyj |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Ten adres służy do pobierania polityk Kubernetes i raportowania stanu zgodności klastra do serwisu polityki. |
store.policy.core.windows.net |
HTTPS:443 |
Ten adres służy do ściągania elementów usługi Gatekeeper polityk wbudowanych. |
dc.services.visualstudio.com |
HTTPS:443 |
Dodatek do usługi Azure Policy, który wysyła dane telemetryczne do punktu końcowego Application Insights. |
Platforma Microsoft Azure obsługiwana przez wymaganą nazwę FQDN /reguły aplikacji 21Vianet
| FQDN | Port | Użyj |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Ten adres służy do pobierania polityk Kubernetes i raportowania stanu zgodności klastra do serwisu polityki. |
store.policy.azure.cn |
HTTPS:443 |
Ten adres służy do ściągania elementów usługi Gatekeeper polityk wbudowanych. |
Wymagana nazwa FQDN/reguły aplikacji Azure US Government
| FQDN | Port | Użyj |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Ten adres służy do pobierania polityk Kubernetes i raportowania stanu zgodności klastra do serwisu polityki. |
store.policy.azure.us |
HTTPS:443 |
Ten adres służy do ściągania elementów usługi Gatekeeper polityk wbudowanych. |
Dodatek do analizy kosztów AKS
Wymagane FQDN / reguły dla aplikacji
| FQDN | Port | Użyj |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Azure Government) management.chinacloudapi.cn (Platforma Azure obsługiwana przez firmę 21Vianet) |
HTTPS:443 |
Wymagane do operacji Kubernetes na interfejsie API Azure. |
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Platforma Azure obsługiwana przez firmę 21Vianet) |
HTTPS:443 |
Wymagane do uwierzytelniania identyfikatora Entra firmy Microsoft. |
Rozszerzenia klastra
Wymagane FQDN / reguły dla aplikacji
| FQDN | Port | Użyj |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Ten adres służy do pobierania informacji o konfiguracji z usługi Rozszerzenia klastra i raportowania stanu rozszerzenia do usługi. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Ten adres jest wymagany do pobierania obrazów kontenerowych w celu instalowania agentów rozszerzeń klastra w klastrze AKS. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Ten adres jest wymagany do pobierania obrazów kontenerów do instalacji rozszerzeń Marketplace w klastrze AKS. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Ten adres jest przeznaczony dla regionalnego punktu końcowego danych w Indiach Środkowych i jest wymagany do pobierania obrazów kontenerów w celu instalacji rozszerzeń Marketplace w klastrze AKS. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Ten adres jest przeznaczony dla regionalnego punktu końcowego danych Japonii Wschodniej i jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń Marketplace w klastrze AKS. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Ten adres dotyczy regionalnego punktu końcowego danych w regionie Zachodnie USA2 i jest wymagany do pobierania obrazów kontenerów na potrzeby zainstalowania rozszerzeń z Marketplace w klastrze usługi AKS. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Ten adres jest przeznaczony dla regionalnego punktu końcowego danych w regionie Europa Zachodnia i jest wymagany do ściągania obrazów kontenerów na potrzeby instalowania rozszerzeń witryny Marketplace w klastrze usługi AKS. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Ten adres jest przeznaczony dla punktu końcowego danych dla regionu Wschodnie USA i jest wymagany do pobierania obrazów kontenerów na potrzeby instalowania rozszerzeń Marketplace w klastrze AKS. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Ten adres służy do wysyłania danych metryk agentów na platformę Azure. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Ten adres służy do wysyłania niestandardowego zużycia bazującego na licznikach do interfejsu API mierzenia transakcji. |
Wymagana nazwa FQDN/reguły aplikacji Azure US Government
| FQDN | Port | Użyj |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Ten adres służy do pobierania informacji o konfiguracji z usługi Rozszerzenia klastra i raportowania stanu rozszerzenia do usługi. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Ten adres jest wymagany do pobierania obrazów kontenerowych w celu instalowania agentów rozszerzeń klastra w klastrze AKS. |
Uwaga
W przypadku wszystkich dodatków, które nie zostały jawnie określone w tym miejscu, podstawowe wymagania obejmują je.
Dodatek siatki usług oparty na systemie Istio
W dodatku usługi siatki serwisowej opartej na Istio, jeśli konfigurujesz istiod za pomocą Urzędu Certyfikacji Plugin lub jeśli konfigurujesz bezpieczną bramę wejściową, wymagany jest dostawca Azure Key Vault dla sterownika CSI Sklepu Tajemnic dla tych funkcji. Wymagania dotyczące ruchu wychodzącego w sieci dla dostawcy usługi Azure Key Vault dla sterownika CSI dla magazynu tajemnic można znaleźć tutaj.
Dodatek routingu aplikacji
Dodatek routingu aplikacji obsługuje terminowanie SSL na wejściu z certyfikatami przechowywanymi w usłudze Azure Key Vault. Wymagania dotyczące ruchu wychodzącego w sieci dla dostawcy usługi Azure Key Vault dla sterownika CSI dla magazynu tajemnic można znaleźć tutaj.
Następne kroki
W tym artykule przedstawiono, jakie porty i adresy mają być dozwolone, jeśli chcesz ograniczyć ruch wychodzący dla klastra.
Jeśli chcesz ograniczyć sposób komunikowania się podów między sobą oraz ograniczenia ruchu East-West w klastrze, zapoznaj się z Zabezpieczaniem ruchu między podami przy użyciu zasad sieciowych w AKS.