قواعد الشبكة الصادرة وFQDN لمجموعات Azure Kubernetes Service (AKS)
توفر هذه المقالة التفاصيل الضرورية التي تسمح لك بتأمين حركة المرور الصادرة من Azure Kubernetes Service (AKS). يحتوي على متطلبات نظام المجموعة لتوزيع AKS الأساسي ومتطلبات إضافية للوظائف الإضافية والميزات الاختيارية. يمكنك تطبيق هذه المعلومات على أي أسلوب أو جهاز تقييد صادر.
لمشاهدة مثال على التكوين باستخدام جدار حماية Azure، تفضل بزيارة التحكم في حركة الخروج باستخدام جدار حماية Azure في AKS.
الخلفية.
يتم نشر أنظمة مجموعات AKS على شبكة اتصال ظاهرية. يمكن تخصيص هذه الشبكة وتكوينها مسبقا من قبلك أو يمكن إنشاؤها وإدارتها بواسطة AKS. في كلتا الحالتين، يحتوي نظام المجموعة على تبعيات صادرة أو خروج على الخدمات خارج الشبكة الظاهرية.
لأغراض الإدارة والتشغيل، تحتاج العقد في نظام مجموعة AKS إلى الوصول إلى منافذ معينة وأسماء مجالات مؤهلة بالكامل (FQDNs). نقاط النهاية هذه مطلوبة للعقد للاتصال بخادم API أو لتنزيل وتثبيت مكونات مجموعة Kubernetes الأساسية وتحديثات أمان العقدة. على سبيل المثال، يحتاج نظام المجموعة إلى سحب صور الحاوية من Microsoft Artifact Registry (MAR).
يتم تعريف تبعيات AKS الصادرة بالكامل تقريبًا باستخدام FQDNs، والتي ليست لها عناوين ثابتة خلفها. يعني عدم وجود عناوين ثابتة أنه لا يمكنك استخدام مجموعات أمان الشبكة (NSGs) لتأمين نسبة استخدام الشبكة الصادرة من مجموعة AKS.
بشكل افتراضي، تتمتع نظم مجموعات AKS بوصول غير مقيد إلى الإنترنت الصادر. يسمح هذا المستوى من الوصول إلى الشبكة للعقد والخدمات التي تقوم بتشغيلها بالوصول إلى الموارد الخارجية حسب الحاجة. إذا كنت ترغب في تقييد حركة الخروج، يجب أن يكون هناك عدد محدود من المنافذ والعناوين متاحة للحفاظ على مهام صيانة نظام المجموعة الصحي.
توفر مجموعة AKS المعزولة للشبكة أبسط الحلول وأكثرها أمانا لإعداد قيود صادرة لنظام مجموعة خارج الصندوق. تسحب مجموعة شبكة معزولة الصور لمكونات نظام المجموعة والوظائف الإضافية من مثيل Azure Container Registry (ACR) الخاص المتصل بالمجموعة بدلا من السحب من MAR. إذا لم تكن الصور موجودة، يسحبها ACR الخاص من MAR ويخدمها عبر نقطة النهاية الخاصة به، ما يلغي الحاجة إلى تمكين الخروج من المجموعة إلى نقطة نهاية MAR العامة. يمكن لمشغل نظام المجموعة بعد ذلك إعداد حركة المرور الصادرة المسموح بها بشكل متزايد بشكل آمن عبر شبكة خاصة لكل سيناريو يريد تمكينه. بهذه الطريقة، يتمتع مشغلو نظام المجموعة بالتحكم الكامل في تصميم حركة المرور الصادرة المسموح بها من مجموعاتهم مباشرة من البداية، مما يسمح لهم بتقليل مخاطر النقل غير المصرح للبيانات.
هناك حل آخر لتأمين العناوين الصادرة وهو استخدام جهاز جدار حماية يمكنه التحكم في نسبة استخدام الشبكة الصادرة استنادا إلى أسماء المجالات. يمكن لجدار حماية Azure تقييد نسبة استخدام الشبكة HTTP و HTTPS الصادرة بناءً على FQDN للوجهة. يمكنك أيضًا تكوين جدار الحماية المفضل وقواعد الأمان للسماح بهذه المنافذ والعناوين المطلوبة.
هام
يغطي هذا المستند فقط كيفية تأمين حركة المرور التي تغادر الشبكة الفرعية AKS. لا توجد متطلبات دخول لـ AKS بشكل افتراضي. حظر حركة مرور الشبكة الفرعية الداخلية باستخدام مجموعات أمان الشبكة (NSGs) وجدران الحماية غير مدعوم. للتحكم في حركة المرور وحظرها داخل نظام المجموعة، راجع تأمين نسبة استخدام الشبكة بين pods باستخدام نهج الشبكة في AKS.
قواعد الشبكة الصادرة المطلوبة وFQDNs لأنظمة مجموعات AKS
قواعد الشبكة وFQDN/التطبيق التالية مطلوبة لمجموعة AKS. يمكنك استخدامها إذا كنت ترغب في تكوين حل آخر غير Azure Firewall.
- تبعيات عنوان IP مخصصة لنسبة استخدام الشبكة غير HTTP/S (كل من حركة مرور TCP وUDP).
- يمكن وضع نقاط النهاية لـ FQDN HTTP/HTTPS في جهاز جدار الحماية.
- نقاط النهاية لـ HTTP/HTTPS البدل هي تبعيات يمكن أن تختلف مع نظام مجموعة AKS استنادًا إلى عدد من التصفيات.
- تستخدم AKS وحدة تحكم القبول لإدخال FQDN كمتغير بيئة لجميع عمليات النشر ضمن نظام kube ونظام gatekeeper. وهذا يضمن أن جميع اتصالات النظام بين العقد وخادم API يستخدم خادم API FQDN وليس عنوان IP لخادم API. يمكنك الحصول على نفس السلوك على الحجيرات الخاصة بك، في أي مساحة اسم، عن طريق إضافة تعليق توضيحي على مواصفات pod مع تعليق توضيحي باسم
kubernetes.azure.com/set-kube-service-host-fqdn. إذا كان هذا التعليق التوضيحي موجودا، فسيضبط AKS المتغير KUBERNETES_SERVICE_HOST على اسم المجال لخادم API بدلا من IP خدمة داخل نظام المجموعة. وهذا مفيد في الحالات التي يكون فيها خروج نظام المجموعة عبر جدار حماية الطبقة 7. - إذا كان لديك تطبيق أو حل يحتاج إلى التحدث إلى خادم API، فيجب عليك إما إضافة قاعدة شبكة إضافية للسماح لاتصال TCP بالمنفذ 443 من IP الخاص بخادم API أو ، إذا كان لديك جدار حماية من الطبقة 7 تم تكوينه للسماح بنسبة استخدام الشبكة إلى اسم مجال API Server، يتم تعيينه
kubernetes.azure.com/set-kube-service-host-fqdnفي مواصفات الجراب. - في حالات نادرة، إذا كانت هناك عملية صيانة، فقد يتغير عنوان IP لخادم API. يتم دائمًا الاتصال مسبقًا بعمليات الصيانة المخططة التي يمكن أن تغير IP خادم API.
- قد تلاحظ حركة المرور نحو نقطة نهاية "md-*.blob.storage.azure.net". يتم استخدام نقطة النهاية هذه للمكونات الداخلية لأقراص Azure المدارة. يجب ألا يتسبب حظر الوصول إلى نقطة النهاية هذه من جدار الحماية في حدوث أي مشكلات.
- قد تلاحظ حركة المرور نحو نقطة نهاية "umsa*.blob.core.windows.net". يتم استخدام نقطة النهاية هذه لتخزين بيانات عامل الجهاز الظاهري ل Azure Linux وملحقاته ويتم التحقق منها بانتظام لتنزيل الإصدارات الجديدة. يمكنك العثور على مزيد من التفاصيل حول ملحقات الجهاز الظاهري.
قواعد شبكة الاتصال المطلوبة Azure Global
| نقطة نهاية الوجهة | البروتوكول | المنفذ | استخدام |
|---|---|---|---|
*:1194 أو علامة الخدمة - AzureCloud.<Region>:1194 أو CIDRs الإقليمية - RegionCIDRs:1194 أو APIServerPublicIP:1194 (only known after cluster creation) |
بروتوكول مخطط بيانات المستخدم | 1194 | للاتصال الآمن النفقي بين العقد ووحدة التحكم. هذا غير مطلوب للمجموعات الخاصة، أو للمجموعات التي تم تمكين عامل konnectivity. |
*:9000 أو علامة الخدمة - AzureCloud.<Region>:9000 أو CIDRs الإقليمية - RegionCIDRs:9000 أو APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | للاتصال الآمن النفقي بين العقد ووحدة التحكم. هذا غير مطلوب للمجموعات الخاصة، أو للمجموعات التي تم تمكين عامل konnectivity. |
*:123أو ntp.ubuntu.com:123(إذا كنت تستخدم قواعد شبكة Azure Firewall) |
بروتوكول مخطط بيانات المستخدم | 123 | مطلوب لمزامنة وقت Network Time Protocol (NTP) على عقد Linux. هذا غير مطلوب للعقد التي تم توفيرها بعد مارس 2021. |
CustomDNSIP:53 (if using custom DNS servers) |
بروتوكول مخطط بيانات المستخدم | 53 | إذا كنت تستخدم خوادم DNS مخصصة، يجب التأكد من إمكانية الوصول إليها بواسطة عقد نظام المجموعة. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | مطلوبة إذا كان تشغيل pods/عمليات النشر التي تصل إلى خادم API، فستستخدم هذه pods/عمليات النشر IP API. هذا المنفذ غير مطلوب للمجموعات الخاصة. |
قواعد تطبيق / FQDN المطلوبة والخاصة بـ Azure Global
Microsoft Azure المشغل بواسطة قواعد الشبكة المطلوبة 21Vianet
| نقطة نهاية الوجهة | البروتوكول | المنفذ | استخدام |
|---|---|---|---|
*:1194 أو علامة الخدمة - AzureCloud.Region:1194 أو CIDRs الإقليمية - RegionCIDRs:1194 أو APIServerPublicIP:1194 (only known after cluster creation) |
بروتوكول مخطط بيانات المستخدم | 1194 | للاتصال الآمن النفقي بين العقد ووحدة التحكم. |
*:9000 أو علامة الخدمة - AzureCloud.<Region>:9000 أو CIDRs الإقليمية - RegionCIDRs:9000 أو APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | للاتصال الآمن النفقي بين العقد ووحدة التحكم. |
*:22 أو علامة الخدمة - AzureCloud.<Region>:22 أو CIDRs الإقليمية - RegionCIDRs:22 أو APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | للاتصال الآمن النفقي بين العقد ووحدة التحكم. |
*:123أو ntp.ubuntu.com:123(إذا كنت تستخدم قواعد شبكة Azure Firewall) |
بروتوكول مخطط بيانات المستخدم | 123 | مطلوب لمزامنة وقت Network Time Protocol (NTP) على عقد Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
بروتوكول مخطط بيانات المستخدم | 53 | إذا كنت تستخدم خوادم DNS مخصصة، يجب التأكد من إمكانية الوصول إليها بواسطة عقد نظام المجموعة. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | مطلوبة إذا كان تشغيل pods/عمليات النشر التي تصل إلى خادم API، ستستخدم هذه pod/عمليات النشر IP API. |
Microsoft Azure المشغل بواسطة 21Vianet المطلوبة FQDN / قواعد التطبيق
| وجهة FQDN | المنفذ | استخدام |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
مطلوب لعقدة <-> اتصال خادم API. استبدل <location> بالمنطقة حيث تم نشر نظام مجموعة AKS بها. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
مطلوب لعقدة <-> اتصال خادم API. استبدل <location> بالمنطقة حيث تم نشر نظام مجموعة AKS بها. |
mcr.microsoft.com |
HTTPS:443 |
مطلوب للوصول إلى الصور في Microsoft Container Registry (MCR). يحتوي هذا التسجيل على صور/مخططات الطرف الأول (على سبيل المثال، coreDNS، إلخ). هذه الصور مطلوبة لإنشاء نظام المجموعة وعمله بشكل صحيح، بما في ذلك عمليات القياس والترقية. |
.data.mcr.microsoft.com |
HTTPS:443 |
مطلوب لتخزين MCR مدعوم من قبل شبكة توصيل المحتوى Azure (CDN). |
management.chinacloudapi.cn |
HTTPS:443 |
مطلوب لعمليات Kubernetes مقابل API Azure. |
login.chinacloudapi.cn |
HTTPS:443 |
مطلوب لمصادقة Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
هذا العنوان هو مستودع حزم Microsoft المستخدمة لعمليات apt-get المخزنة مؤقتًا. تتضمن حزم المثال Moby وPowerShell وAzure CLI. |
*.azk8s.cn |
HTTPS:443 |
هذا العنوان هو للمستودع المطلوب لتحميل وتثبيت الثنائيات المطلوبة مثل kubenet وAzure CNI. |
قواعد الشبكة المطلوبة والخاصة بـ Azure US Government
| نقطة نهاية الوجهة | البروتوكول | المنفذ | استخدام |
|---|---|---|---|
*:1194 أو علامة الخدمة - AzureCloud.<Region>:1194 أو CIDRs الإقليمية - RegionCIDRs:1194 أو APIServerPublicIP:1194 (only known after cluster creation) |
بروتوكول مخطط بيانات المستخدم | 1194 | للاتصال الآمن النفقي بين العقد ووحدة التحكم. |
*:9000 أو علامة الخدمة - AzureCloud.<Region>:9000 أو CIDRs الإقليمية - RegionCIDRs:9000 أو APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | للاتصال الآمن النفقي بين العقد ووحدة التحكم. |
*:123أو ntp.ubuntu.com:123(إذا كنت تستخدم قواعد شبكة Azure Firewall) |
بروتوكول مخطط بيانات المستخدم | 123 | مطلوب لمزامنة وقت Network Time Protocol (NTP) على عقد Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
بروتوكول مخطط بيانات المستخدم | 53 | إذا كنت تستخدم خوادم DNS مخصصة، يجب التأكد من إمكانية الوصول إليها بواسطة عقد نظام المجموعة. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | مطلوبة إذا كان تشغيل pods/عمليات النشر التي تصل إلى خادم API، فستستخدم هذه pods/عمليات النشر IP API. |
قواعد التطبيق / FQDN المطلوبة والخاصة بـ Azure US Government
| وجهة FQDN | المنفذ | استخدام |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
مطلوب لعقدة <-> اتصال خادم API. استبدل <location> بالمنطقة حيث تم نشر نظام مجموعة AKS بها. |
mcr.microsoft.com |
HTTPS:443 |
مطلوب للوصول إلى الصور في Microsoft Container Registry (MCR). يحتوي هذا التسجيل على صور/مخططات الطرف الأول (على سبيل المثال، coreDNS، إلخ). هذه الصور مطلوبة لإنشاء نظام المجموعة وعمله بشكل صحيح، بما في ذلك عمليات القياس والترقية. |
*.data.mcr.microsoft.com |
HTTPS:443 |
مطلوب لتخزين MCR مدعومة من قبل شبكة توصيل المحتوى Azure (CDN). |
management.usgovcloudapi.net |
HTTPS:443 |
مطلوب لعمليات Kubernetes مقابل API Azure. |
login.microsoftonline.us |
HTTPS:443 |
مطلوب لمصادقة Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
هذا العنوان هو مستودع حزم Microsoft المستخدمة لعمليات apt-get المخزنة مؤقتًا. تتضمن حزم المثال Moby وPowerShell وAzure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
هذا العنوان للمستودع المطلوب لتثبيت الثنائيات المطلوبة مثل kubenet وAzure CNI. |
قواعد التطبيق / FQDN الموصى بها الاختيارية لأنظمة مجموعات AKS
قواعد FQDN / التطبيق التالية غير مطلوبة، ولكن يوصى بها لمجموعات AKS:
| وجهة FQDN | المنفذ | استخدام |
|---|---|---|
security.ubuntu.com، ، azure.archive.ubuntu.comchangelogs.ubuntu.com |
HTTP:80 |
يتيح هذا العنوان لعقد نظام التشغيل Linux تنزيل تصحيحات الأمان المطلوبة والتحديثات. |
snapshot.ubuntu.com |
HTTPS:443 |
يتيح هذا العنوان لعقد نظام مجموعة Linux تنزيل تصحيحات الأمان المطلوبة والتحديثات من خدمة لقطة ubuntu. |
إذا اخترت حظر/عدم السماح لهذه FQDNs، فسوف تتلقى العقد تحديثات نظام التشغيل فقط عندما تقوم بترقية صورة عقدة أو ترقية نظام المجموعة. ضع في اعتبارك أن ترقيات صورة العقدة تأتي أيضا مع حزم محدثة بما في ذلك إصلاحات الأمان.
مجموعات AKS الممكنة لوحدة معالجة الرسومات (GPU) المطلوبة FQDN / قواعد التطبيق
| وجهة FQDN | المنفذ | استخدام |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
يستخدم هذا العنوان لتثبيت برنامج التشغيل الصحيح وتشغيله على العقد المستندة إلى GPU. |
us.download.nvidia.com |
HTTPS:443 |
يستخدم هذا العنوان لتثبيت برنامج التشغيل الصحيح وتشغيله على العقد المستندة إلى GPU. |
download.docker.com |
HTTPS:443 |
يستخدم هذا العنوان لتثبيت برنامج التشغيل الصحيح وتشغيله على العقد المستندة إلى GPU. |
تتطلب تجمعات العقد المستندة إلى Windows Server قواعد FQDN / التطبيق
| وجهة FQDN | المنفذ | استخدام |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
لتثبيت الثنائيات المرتبطة بالنوافذ |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
لتثبيت الثنائيات المرتبطة بالنوافذ |
إذا اخترت حظر/عدم السماح لهذه FQDNs، فسوف تتلقى العقد تحديثات نظام التشغيل فقط عندما تقوم بترقية صورة عقدة أو ترقية نظام المجموعة. ضع في اعتبارك أن ترقيات صورة العقدة تأتي أيضا مع حزم محدثة بما في ذلك إصلاحات الأمان.
ميزات AKS والإضافات والتكاملات
هوية حمل العمل
قواعد التطبيق / FQDN المطلوبة
| وجهة FQDN | المنفذ | استخدام |
|---|---|---|
login.microsoftonline.com أو login.chinacloudapi.cn أو login.microsoftonline.us |
HTTPS:443 |
مطلوب لمصادقة Microsoft Entra. |
Microsoft Defender for Containers
قواعد التطبيق / FQDN المطلوبة
| FQDN | المنفذ | استخدام |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (يتم تشغيل Azure بواسطة 21Vianet) |
HTTPS:443 |
مطلوب لمصادقة Microsoft Entra. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government) *.ods.opinsights.azure.cn (يتم تشغيل Azure بواسطة 21Vianet) |
HTTPS:443 |
مطلوب لـ Microsoft Defender لتحميل أحداث الأمان إلى السحابة. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government) *.oms.opinsights.azure.cn (يتم تشغيل Azure بواسطة 21Vianet) |
HTTPS:443 |
مطلوب للمصادقة باستخدام مساحات عمل Log Analytics. |
موفر Azure Key Vault لبرنامج تشغيل Secrets Store CSI
إذا كنت تستخدم أنظمة مجموعات معزولة للشبكة، فمن المستحسن إعداد نقطة نهاية خاصة للوصول إلى Azure Key Vault.
إذا كان نظام المجموعة الخاص بك يحتوي على توجيه معرف من قبل المستخدم من نوع صادر وجدار حماية Azure، فإن قواعد الشبكة وقواعد التطبيق التالية قابلة للتطبيق:
قواعد التطبيق / FQDN المطلوبة
| FQDN | المنفذ | استخدام |
|---|---|---|
vault.azure.net |
HTTPS:443 |
مطلوب لـ CSI Secret Store للتحدث إلى خادم Azure KeyVault. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
مطلوب لوحدات إضافة مخزن CSI السري للتحدث إلى خادم Azure KeyVault في Azure Government. |
Azure Monitor - Prometheus المدار و Container Insights
إذا كنت تستخدم أنظمة مجموعات معزولة للشبكة، فمن المستحسن إعداد الاستيعاب المستند إلى نقطة النهاية الخاصة، وهو مدعوم لكل من Prometheus المدارة (مساحة عمل Azure Monitor) ونتائج تحليلات الحاوية (مساحة عمل Log Analytics).
إذا كان نظام المجموعة الخاص بك يحتوي على توجيه معرف من قبل المستخدم من نوع صادر وجدار حماية Azure، فإن قواعد الشبكة وقواعد التطبيق التالية قابلة للتطبيق:
قواعد الشبكة المطلوبة
| نقطة نهاية الوجهة | البروتوكول | المنفذ | استخدام |
|---|---|---|---|
علامة الخدمة - AzureMonitor:443 |
TCP | 443 | يتم استخدام نقطة النهاية هذه لإرسال بيانات المقاييس والسجلات إلى Azure Monitor وLog Analytics. |
سحابة Azure العامة المطلوبة FQDN / قواعد التطبيق
| نقطة النهاية | الغرض | المنفذ |
|---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
خدمة التحكم في الوصول | 443 |
*.ingest.monitor.azure.com |
Container Insights - نقطة نهاية استيعاب السجلات (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
خدمة Azure Monitor المدارة ل Prometheus - نقطة نهاية استيعاب المقاييس (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
إحضار قواعد جمع البيانات لمجموعة معينة | 443 |
Microsoft Azure التي تديرها سحابة 21Vianet المطلوبة FQDN / قواعد التطبيق
| نقطة النهاية | الغرض | المنفذ |
|---|---|---|
*.ods.opinsights.azure.cn |
احتواء البيانات | 443 |
*.oms.opinsights.azure.cn |
إلحاق عامل Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
بالنسبة إلى بيانات تتبع استخدام العامل الذي يستخدم Application Insights على Cloud عام | 443 |
global.handler.control.monitor.azure.cn |
خدمة التحكم في الوصول | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
إحضار قواعد جمع البيانات لمجموعة معينة | 443 |
*.ingest.monitor.azure.cn |
Container Insights - نقطة نهاية استيعاب السجلات (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
خدمة Azure Monitor المدارة ل Prometheus - نقطة نهاية استيعاب المقاييس (DCE) | 443 |
سحابة Azure Government المطلوبة FQDN / قواعد التطبيق
| نقطة النهاية | الغرض | المنفذ |
|---|---|---|
*.ods.opinsights.azure.us |
احتواء البيانات | 443 |
*.oms.opinsights.azure.us |
إلحاق عامل Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
بالنسبة إلى بيانات تتبع استخدام العامل الذي يستخدم Application Insights على Cloud عام | 443 |
global.handler.control.monitor.azure.us |
خدمة التحكم في الوصول | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
إحضار قواعد جمع البيانات لمجموعة معينة | 443 |
*.ingest.monitor.azure.us |
Container Insights - نقطة نهاية استيعاب السجلات (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
خدمة Azure Monitor المدارة ل Prometheus - نقطة نهاية استيعاب المقاييس (DCE) | 443 |
نهج Azure
قواعد التطبيق / FQDN المطلوبة
| FQDN | المنفذ | استخدام |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
يستخدم هذا العنوان لسحب نهج Kubernetes والإبلاغ عن حالة التوافق مع نظام المجموعة إلى خدمة النهج. |
store.policy.core.windows.net |
HTTPS:443 |
يستخدم هذا العنوان لسحب الأجزاء الاصطناعية الخاصة بـ Gatekeeper من النهج المدمج. |
dc.services.visualstudio.com |
HTTPS:443 |
الوظيفة الإضافية لـ Azure Policy التي ترسل بيانات القياس عن بُعد إلى نقطة نهاية رؤى التطبيقات. |
Microsoft Azure المشغل بواسطة 21Vianet المطلوبة FQDN / قواعد التطبيق
| FQDN | المنفذ | استخدام |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
يستخدم هذا العنوان لسحب نهج Kubernetes والإبلاغ عن حالة التوافق مع نظام المجموعة إلى خدمة النهج. |
store.policy.azure.cn |
HTTPS:443 |
يستخدم هذا العنوان لسحب الأجزاء الاصطناعية الخاصة بـ Gatekeeper من النهج المدمج. |
قواعد التطبيق / FQDN المطلوبة والخاصة بـ Azure US Government
| FQDN | المنفذ | استخدام |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
يستخدم هذا العنوان لسحب نهج Kubernetes والإبلاغ عن حالة التوافق مع نظام المجموعة إلى خدمة النهج. |
store.policy.azure.us |
HTTPS:443 |
يستخدم هذا العنوان لسحب الأجزاء الاصطناعية الخاصة بـ Gatekeeper من النهج المدمج. |
الوظيفة الإضافية لتحليل تكلفة AKS
قواعد التطبيق / FQDN المطلوبة
| FQDN | المنفذ | استخدام |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Azure Government) management.chinacloudapi.cn (يتم تشغيل Azure بواسطة 21Vianet) |
HTTPS:443 |
مطلوب لعمليات Kubernetes مقابل API Azure. |
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (يتم تشغيل Azure بواسطة 21Vianet) |
HTTPS:443 |
مطلوب لمصادقة معرف Microsoft Entra. |
ملحقات المجموعات
قواعد التطبيق / FQDN المطلوبة
| FQDN | ميناء | استخدام |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
يستخدم هذا العنوان لجلب معلومات التكوين من خدمة Cluster Extensions وحالة ملحق التقرير إلى الخدمة. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
مطلوب هذا العنوان لسحب صور الحاوية لتثبيت عوامل ملحق نظام المجموعة على نظام المجموعة AKS. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
هذا العنوان مطلوب لسحب صور الحاوية لتثبيت ملحقات السوق على نظام مجموعة AKS. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
هذا العنوان مخصص لنقطة نهاية البيانات الإقليمية في وسط الهند وهو مطلوب لسحب صور الحاوية لتثبيت ملحقات السوق على نظام مجموعة AKS. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
هذا العنوان مخصص لنقطة نهاية البيانات الإقليمية لشرق اليابان وهو مطلوب لسحب صور الحاوية لتثبيت ملحقات السوق على نظام مجموعة AKS. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
هذا العنوان مخصص لنقطة نهاية البيانات الإقليمية غرب الولايات المتحدة 2 وهو مطلوب لسحب صور الحاوية لتثبيت ملحقات السوق على نظام مجموعة AKS. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
هذا العنوان مخصص لنقطة نهاية البيانات الإقليمية لغرب أوروبا وهو مطلوب لسحب صور الحاوية لتثبيت ملحقات السوق على نظام مجموعة AKS. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
هذا العنوان مخصص لنقطة نهاية البيانات الإقليمية لشرق الولايات المتحدة وهو مطلوب لسحب صور الحاوية لتثبيت ملحقات السوق على نظام مجموعة AKS. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
يستخدم هذا العنوان لإرسال بيانات مقاييس العوامل إلى Azure. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
يستخدم هذا العنوان لإرسال استخدام مخصص قائم على العداد إلى واجهة برمجة تطبيقات قياس التجارة. |
قواعد التطبيق / FQDN المطلوبة والخاصة بـ Azure US Government
| FQDN | المنفذ | استخدام |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
يستخدم هذا العنوان لجلب معلومات التكوين من خدمة Cluster Extensions وحالة ملحق التقرير إلى الخدمة. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
مطلوب هذا العنوان لسحب صور الحاوية لتثبيت عوامل ملحق نظام المجموعة على نظام المجموعة AKS. |
إشعار
بالنسبة لأي إضافات لم يتم ذكرها صراحة هنا، تغطي المتطلبات الأساسية ذلك.
الوظيفة الإضافية الشبكات الخدمة المستندة إلى Istio
في الوظيفة الإضافية Istio=based service mesh، إذا كنت تقوم بإعداد istiod باستخدام مرجع مصدق إضافي (CA) أو إذا كنت تقوم بإعداد بوابة دخول آمنة، فإن موفر Azure Key Vault لبرنامج تشغيل Secrets Store CSI مطلوب لهذه الميزات. يمكن العثور على متطلبات الشبكة الصادرة لموفر Azure Key Vault لبرنامج تشغيل Secrets Store CSI هنا.
الوظيفة الإضافية لتوجيه التطبيق
تدعم الوظيفة الإضافية لتوجيه التطبيق إنهاء SSL عند الدخول مع الشهادات المخزنة في Azure Key Vault. يمكن العثور على متطلبات الشبكة الصادرة لموفر Azure Key Vault لبرنامج تشغيل Secrets Store CSI هنا.
الخطوات التالية
في هذه المقالة، تعرف على المنافذ والعناوين التي تمكنك إذا كنت تريد تقييد حركة مرور الخروج عن نظام المجموعة.
إذا كنت تريد تقييد كيفية تواصل القرون بينها وبين East-West قيود حركة المرور داخل نظام المجموعة، راجع حركة المرور الآمنة بين pods باستخدام سياسات الشبكة في AKS.
Azure Kubernetes Service