Kimenő hálózati és teljes tartománynév-szabályok az Azure Kubernetes Service- (AKS-) fürtökhöz
Ez a cikk azokat a szükséges részleteket ismerteti, amelyek lehetővé teszik az Azure Kubernetes Service (AKS) kimenő forgalmának védelmét. Tartalmazza az alapszintű AKS-telepítés fürtkövetelményeit, valamint az opcionális bővítményekre és funkciókra vonatkozó további követelményeket. Ezeket az információkat bármely kimenő korlátozási módszerre vagy berendezésre alkalmazhatja.
Az Azure Firewall használatával történő példakonfiguráció megtekintéséhez látogasson el a Kimenő forgalom szabályozása az Azure Firewall használatával az AKS-ben című témakörben.
Háttér
Az AKS-fürtök virtuális hálózaton vannak üzembe helyezve. Ezt a hálózatot testre szabhatja és előre konfigurálhatja, vagy létrehozhatja és felügyelheti az AKS. A fürt mindkét esetben kimenő vagy kimenő függőségekkel rendelkezik a virtuális hálózaton kívüli szolgáltatásoktól.
Felügyeleti és üzemeltetési célokból az AKS-fürtök csomópontjainak bizonyos portokhoz és teljes tartománynevekhez (FQDN-ekhez) kell hozzáférnie. Ezek a végpontok szükségesek ahhoz, hogy a csomópontok kommunikáljanak az API-kiszolgálóval, vagy letöltsék és telepítsek alapvető Kubernetes-fürtösszetevőket és csomópontbiztonsági frissítéseket. A fürtnek például le kell vennie a tárolólemezképeket a Microsoft Eszközjegyzék (MAR) alkalmazásból.
Az AKS kimenő függőségei szinte teljes egészében FQDN-ekkel vannak definiálva, amelyek mögött nincsenek statikus címek. A statikus címek hiánya azt jelenti, hogy nem használhat hálózati biztonsági csoportokat (NSG-ket) az AKS-fürtök kimenő forgalmának zárolásához.
Alapértelmezés szerint az AKS-fürtök korlátlan kimenő internetkapcsolattal rendelkeznek. A hálózati hozzáférés ezen szintje lehetővé teszi, hogy a futtatott csomópontok és szolgáltatások szükség szerint hozzáférjenek a külső erőforrásokhoz. Ha korlátozni szeretné a kimenő forgalmat, korlátozott számú portnak és címnek kell elérhetőnek lennie a fürt kifogástalan karbantartási feladatainak fenntartásához.
A hálózat által elkülönített AKS-fürtök a legegyszerűbb és legbiztonságosabb megoldást biztosítják a fürtök kimenő korlátozásainak beállításához a dobozon kívül. A hálózati izolált fürt lekéri a fürtösszetevők és -bővítmények lemezképeit a fürthöz csatlakoztatott privát Azure Container Registry -példányból a MAR-ból való lekérés helyett. Ha a rendszerképek nem jelennek meg, a privát ACR lekéri őket a MAR-ból, és a privát végpontján keresztül szolgálja ki őket, így nincs szükség a fürtből a nyilvános MAR-végpontra való kimenő forgalom engedélyezésére. A fürt operátora ezután növekményesen állíthatja be az engedélyezett kimenő forgalmat biztonságosan egy magánhálózaton minden olyan esethez, amelyet engedélyezni szeretne. Így a fürtüzemeltetők teljes mértékben szabályozhatják a fürtjeikből érkező kimenő forgalom tervezését közvetlenül a kezdetektől fogva, így csökkenthetik az adatkiszivárgás kockázatát.
A kimenő címek védelmének másik megoldása egy tűzfaleszköz használata, amely tartománynevek alapján képes szabályozni a kimenő forgalmat. Az Azure Firewall a cél teljes tartományneve alapján korlátozhatja a kimenő HTTP- és HTTPS-forgalmat. Az előnyben részesített tűzfalat és biztonsági szabályokat úgy is konfigurálhatja, hogy engedélyezze ezeket a szükséges portokat és címeket.
Fontos
Ez a dokumentum csak az AKS-alhálózatot elhagyó forgalom zárolását ismerteti. Az AKS alapértelmezés szerint nem rendelkezik bemeneti követelményekkel. A belső alhálózati forgalom hálózati biztonsági csoportok (NSG-k) és tűzfalak használatával történő blokkolása nem támogatott. A fürt forgalmának szabályozásáról és letiltásáról az AKS-ben található hálózati házirendek használatával a podok közötti forgalom biztonságossá tételéről olvashat.
Kötelező kimenő hálózati szabályok és teljes tartománynevek az AKS-fürtökhöz
Az AKS-fürtökhöz az alábbi hálózati és teljes tartománynév-/alkalmazásszabályok szükségesek. Ezeket akkor használhatja, ha az Azure Firewalltól eltérő megoldást szeretne konfigurálni.
- Az IP-címek függőségei nem HTTP/S forgalomhoz tartoznak (TCP- és UDP-forgalom esetén is).
- Az FQDN HTTP/HTTPS-végpontok elhelyezhetők a tűzfaleszközön.
- A helyettesítő HTTP/HTTPS-végpontok olyan függőségek, amelyek számos minősítő alapján eltérhetnek az AKS-fürttől.
- Az AKS egy beléptető vezérlővel injektálja az FQDN-t környezeti változóként a kube-system és a gatekeeper-system összes üzemelő példányára. Ez biztosítja, hogy a csomópontok és az API-kiszolgáló közötti összes rendszerkommunikáció az API-kiszolgáló teljes tartománynevét használja, és ne az API-kiszolgáló IP-címét. Ugyanezt a viselkedést saját podjaiban, bármely névtérben is megkaphatja, ha a pod-specifikációt egy elnevezett széljegyzettel jegyzeteli
kubernetes.azure.com/set-kube-service-host-fqdn. Ha ez a megjegyzés jelen van, az AKS a KUBERNETES_SERVICE_HOST változót a fürtszolgáltatás IP-címe helyett az API-kiszolgáló tartománynevére állítja. Ez akkor hasznos, ha a fürt kiesése egy 7. rétegbeli tűzfalon keresztül történik. - Ha olyan alkalmazással vagy megoldással rendelkezik, amely beszélni szeretne az API-kiszolgálóval, vagy hozzá kell adnia egy további hálózati szabályt, amely lehetővé teszi a TCP-kommunikációt az API-kiszolgáló IP-címének 443-es portjára, vagy ha a 7. rétegbeli tűzfal úgy van konfigurálva, hogy engedélyezze az API-kiszolgáló tartománynevének forgalmát, állítsa be
kubernetes.azure.com/set-kube-service-host-fqdna pod specifikációit. - Ritkán, ha karbantartási művelet történik, az API-kiszolgáló IP-címe megváltozhat. Az API-kiszolgáló IP-címét módosító tervezett karbantartási műveleteket mindig előre közli a rendszer.
- Az "md-*.blob.storage.azure.net" végpont felé irányuló forgalom észlelhető. Ez a végpont az Azure Managed Disks belső összetevőihez használatos. A végpont tűzfalról való elérésének letiltása nem okozhat problémát.
- Az "umsa*.blob.core.windows.net" végpont felé irányuló forgalom észlelhető. Ez a végpont az Azure Linux virtuálisgép-ügynök és -bővítmények jegyzékfájljainak tárolására szolgál, és rendszeresen ellenőrzi az új verziók letöltését. További részleteket a virtuálisgép-bővítményekről talál.
Az Azure Globalhoz szükséges hálózati szabályok
| Célvégpont | Protokoll | Kikötő | Használat |
|---|---|---|---|
*:1194 Vagy ServiceTag - AzureCloud.<Region>:1194 Vagy Regionális CIDR-ek - RegionCIDRs:1194 Vagy APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | A csomópontok és a vezérlősík közötti bújtatott biztonságos kommunikációhoz. Ez nem szükséges magánfürtökhöz vagy konnectivity-ügynökkel rendelkező fürtökhöz. |
*:9000 Vagy ServiceTag - AzureCloud.<Region>:9000 Vagy Regionális CIDR-ek - RegionCIDRs:9000 Vagy APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | A csomópontok és a vezérlősík közötti bújtatott biztonságos kommunikációhoz. Ez nem szükséges magánfürtökhöz vagy konnectivity-ügynökkel rendelkező fürtökhöz. |
*:123 vagy ntp.ubuntu.com:123 (ha Azure Firewall-hálózati szabályokat használ) |
UDP | 123 | A Hálózati idő protokoll (NTP) időszinkronizálásához szükséges Linux-csomópontokon. Ez nem szükséges a 2021 márciusa után kiépített csomópontokhoz. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Ha egyéni DNS-kiszolgálókat használ, győződjön meg arról, hogy azok elérhetők a fürtcsomópontok számára. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Ha az API-kiszolgálóhoz hozzáférő podokat/üzemelő példányokat futtat, ezek a podok/üzemelő példányok az API IP-címet használják. Ez a port nem szükséges privát fürtökhöz. |
Az Azure Global kötelező teljes tartománynevét/alkalmazásszabályát
| Cél teljes tartománynév | Kikötő | Használat |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
A Node <–> API-kiszolgáló kommunikációhoz szükséges. Cserélje le <a helyet> arra a régióra, ahol az AKS-fürt telepítve van. Ez a konnectivity-agent engedélyezésével rendelkező fürtök esetében szükséges. A Konnectivity az Application-Layer Protocol Negotiation (ALPN) protokollal is kommunikál az ügynök és a kiszolgáló között. Az ALPN-bővítmény blokkolása vagy újraírása hibát fog okozni. Ez a privát fürtök esetében nem szükséges. |
mcr.microsoft.com |
HTTPS:443 |
A Microsoft Container Registry (MCR) rendszerképekhez való hozzáféréséhez szükséges. Ez a beállításjegyzék belső képeket/diagramokat (például coreDNS stb.) tartalmaz. Ezek a rendszerképek szükségesek a fürt megfelelő létrehozásához és működéséhez, beleértve a méretezési és frissítési műveleteket is. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Az Azure tartalomkézbesítési hálózat (CDN) által támogatott MCR-tárolóhoz szükséges. |
management.azure.com |
HTTPS:443 |
Az Azure API-val végzett Kubernetes-műveletekhez szükséges. |
login.microsoftonline.com |
HTTPS:443 |
A Microsoft Entra-hitelesítéshez szükséges. |
packages.microsoft.com |
HTTPS:443 |
Ez a cím a gyorsítótárazott apt-get műveletekhez használt Microsoft-csomagok adattára. Ilyen csomagok például a Moby, a PowerShell és az Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Ez a cím a szükséges bináris fájlok, például a Kubenet és az Azure CNI letöltéséhez és telepítéséhez szükséges adattárhoz tartozik. |
A 21Vianet által üzemeltetett Microsoft Azure szükséges hálózati szabályok
| Célvégpont | Protokoll | Kikötő | Használat |
|---|---|---|---|
*:1194 Vagy ServiceTag - AzureCloud.Region:1194 Vagy Regionális CIDR-ek - RegionCIDRs:1194 Vagy APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | A csomópontok és a vezérlősík közötti bújtatott biztonságos kommunikációhoz. |
*:9000 Vagy ServiceTag - AzureCloud.<Region>:9000 Vagy Regionális CIDR-ek - RegionCIDRs:9000 Vagy APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | A csomópontok és a vezérlősík közötti bújtatott biztonságos kommunikációhoz. |
*:22 Vagy ServiceTag - AzureCloud.<Region>:22 Vagy Regionális CIDR-ek - RegionCIDRs:22 Vagy APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | A csomópontok és a vezérlősík közötti bújtatott biztonságos kommunikációhoz. |
*:123 vagy ntp.ubuntu.com:123 (ha Azure Firewall-hálózati szabályokat használ) |
UDP | 123 | A Hálózati idő protokoll (NTP) időszinkronizálásához szükséges Linux-csomópontokon. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Ha egyéni DNS-kiszolgálókat használ, győződjön meg arról, hogy azok elérhetők a fürtcsomópontok számára. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Az API-kiszolgálóhoz hozzáférő podok/üzemelő példányok futtatása esetén ezek a podok/üzemelő példányok az API-IP-címet használják. |
A 21Vianet által üzemeltetett Microsoft Azure kötelező teljes tartományneveket és alkalmazásszabályokat
| Cél teljes tartománynév | Kikötő | Használat |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
A Node <–> API-kiszolgáló kommunikációhoz szükséges. Cserélje le <a helyet> arra a régióra, ahol az AKS-fürt telepítve van. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
A Node <–> API-kiszolgáló kommunikációhoz szükséges. Cserélje le <a helyet> arra a régióra, ahol az AKS-fürt telepítve van. |
mcr.microsoft.com |
HTTPS:443 |
A Microsoft Container Registry (MCR) rendszerképekhez való hozzáféréséhez szükséges. Ez a beállításjegyzék belső képeket/diagramokat (például coreDNS stb.) tartalmaz. Ezek a rendszerképek szükségesek a fürt megfelelő létrehozásához és működéséhez, beleértve a méretezési és frissítési műveleteket is. |
.data.mcr.microsoft.com |
HTTPS:443 |
Az Azure Content Delivery Network (CDN) által támogatott MCR-tárolóhoz szükséges. |
management.chinacloudapi.cn |
HTTPS:443 |
Az Azure API-val végzett Kubernetes-műveletekhez szükséges. |
login.chinacloudapi.cn |
HTTPS:443 |
A Microsoft Entra-hitelesítéshez szükséges. |
packages.microsoft.com |
HTTPS:443 |
Ez a cím a gyorsítótárazott apt-get műveletekhez használt Microsoft-csomagok adattára. Ilyen csomagok például a Moby, a PowerShell és az Azure CLI. |
*.azk8s.cn |
HTTPS:443 |
Ez a cím a szükséges bináris fájlok, például a Kubenet és az Azure CNI letöltéséhez és telepítéséhez szükséges adattárhoz tartozik. |
Az Azure US Government szükséges hálózati szabályai
| Célvégpont | Protokoll | Kikötő | Használat |
|---|---|---|---|
*:1194 Vagy ServiceTag - AzureCloud.<Region>:1194 Vagy Regionális CIDR-ek - RegionCIDRs:1194 Vagy APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | A csomópontok és a vezérlősík közötti bújtatott biztonságos kommunikációhoz. |
*:9000 Vagy ServiceTag - AzureCloud.<Region>:9000 Vagy Regionális CIDR-ek - RegionCIDRs:9000 Vagy APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | A csomópontok és a vezérlősík közötti bújtatott biztonságos kommunikációhoz. |
*:123 vagy ntp.ubuntu.com:123 (ha Azure Firewall-hálózati szabályokat használ) |
UDP | 123 | A Hálózati idő protokoll (NTP) időszinkronizálásához szükséges Linux-csomópontokon. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Ha egyéni DNS-kiszolgálókat használ, győződjön meg arról, hogy azok elérhetők a fürtcsomópontok számára. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Ha az API-kiszolgálóhoz hozzáférő podokat/üzemelő példányokat futtat, ezek a podok/üzemelő példányok az API IP-címet használják. |
Az Azure US Government kötelező teljes tartománynevét/alkalmazásszabályát
| Cél teljes tartománynév | Kikötő | Használat |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
A Node <–> API-kiszolgáló kommunikációhoz szükséges. Cserélje le <a helyet> arra a régióra, ahol az AKS-fürt telepítve van. |
mcr.microsoft.com |
HTTPS:443 |
A Microsoft Container Registry (MCR) rendszerképekhez való hozzáféréséhez szükséges. Ez a beállításjegyzék belső képeket/diagramokat (például coreDNS stb.) tartalmaz. Ezek a rendszerképek szükségesek a fürt megfelelő létrehozásához és működéséhez, beleértve a méretezési és frissítési műveleteket is. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Az Azure tartalomkézbesítési hálózat (CDN) által támogatott MCR-tárolóhoz szükséges. |
management.usgovcloudapi.net |
HTTPS:443 |
Az Azure API-val végzett Kubernetes-műveletekhez szükséges. |
login.microsoftonline.us |
HTTPS:443 |
A Microsoft Entra-hitelesítéshez szükséges. |
packages.microsoft.com |
HTTPS:443 |
Ez a cím a gyorsítótárazott apt-get műveletekhez használt Microsoft-csomagok adattára. Ilyen csomagok például a Moby, a PowerShell és az Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Ez a cím a szükséges bináris fájlok, például a kubenet és az Azure CNI telepítéséhez szükséges adattárhoz tartozik. |
Választható ajánlott teljes tartománynév/ alkalmazásszabályok az AKS-fürtökhöz
A következő teljes tartománynév- és alkalmazásszabályok nem szükségesek, de AKS-fürtökhöz ajánlottak:
| Cél teljes tartománynév | Kikötő | Használat |
|---|---|---|
security.ubuntu.com, , azure.archive.ubuntu.comchangelogs.ubuntu.com |
HTTP:80 |
Ezzel a címmel a Linux-fürtcsomópontok letöltik a szükséges biztonsági javításokat és frissítéseket. |
snapshot.ubuntu.com |
HTTPS:443 |
Ez a cím lehetővé teszi, hogy a Linux-fürtcsomópontok letöltik a szükséges biztonsági javításokat és frissítéseket az ubuntu pillanatkép-szolgáltatásból. |
Ha úgy dönt, hogy letiltja vagy nem engedélyezi ezeket a teljes tartományneveket, a csomópontok csak akkor kapnak operációsrendszer-frissítéseket, ha csomópontrendszerkép-frissítést vagy fürtfrissítést végez. Ne feledje, hogy a csomópontrendszerképek frissítései is frissített csomagokkal járnak, beleértve a biztonsági javításokat is.
GPU-kompatibilis AKS-fürtökhöz FQDN/alkalmazásszabályok szükségesek
| Cél teljes tartománynév | Kikötő | Használat |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Ez a cím a GPU-alapú csomópontokon a megfelelő illesztőprogram-telepítéshez és -művelethez használatos. |
us.download.nvidia.com |
HTTPS:443 |
Ez a cím a GPU-alapú csomópontokon a megfelelő illesztőprogram-telepítéshez és -művelethez használatos. |
download.docker.com |
HTTPS:443 |
Ez a cím a GPU-alapú csomópontokon a megfelelő illesztőprogram-telepítéshez és -művelethez használatos. |
Windows Server-alapú csomópontkészletekhez szükséges teljes tartománynév/ alkalmazásszabályok
| Cél teljes tartománynév | Kikötő | Használat |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Windowshoz kapcsolódó bináris fájlok telepítése |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Windowshoz kapcsolódó bináris fájlok telepítése |
Ha úgy dönt, hogy letiltja vagy nem engedélyezi ezeket a teljes tartományneveket, a csomópontok csak akkor kapnak operációsrendszer-frissítéseket, ha csomópontrendszerkép-frissítést vagy fürtfrissítést végez. Ne feledje, hogy a csomópontrendszerkép-frissítésekhez frissített csomagok is tartoznak, beleértve a biztonsági javításokat is.
AKS-funkciók, bővítmények és integrációk
Számítási feladatok identitása
Kötelező teljes tartománynév/ alkalmazásszabályok
| Cél teljes tartománynév | Kikötő | Használat |
|---|---|---|
login.microsoftonline.comvagy login.chinacloudapi.cnlogin.microsoftonline.us |
HTTPS:443 |
A Microsoft Entra-hitelesítéshez szükséges. |
Microsoft Defender tárolókhoz
Kötelező teljes tartománynév/ alkalmazásszabályok
| FQDN | Kikötő | Használat |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (A 21Vianet által üzemeltetett Azure) |
HTTPS:443 |
A Microsoft Entra-hitelesítéshez szükséges. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government) *.ods.opinsights.azure.cn (A 21Vianet által üzemeltetett Azure) |
HTTPS:443 |
A Microsoft Defender biztonsági események felhőbe való feltöltéséhez szükséges. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government) *.oms.opinsights.azure.cn (A 21Vianet által üzemeltetett Azure) |
HTTPS:443 |
A Log Analytics-munkaterületekkel való hitelesítéshez szükséges. |
Azure Key Vault-szolgáltató a Secrets Store CSI-illesztőprogramhoz
Ha elkülönített hálózati fürtöket használ, ajánlott privát végpontot beállítani az Azure Key Vault eléréséhez.
Ha a fürt kimenő típusú, felhasználó által definiált útválasztással és Azure Firewalllal rendelkezik, a következő hálózati szabályok és alkalmazásszabályok érvényesek:
Kötelező teljes tartománynév/ alkalmazásszabályok
| FQDN | Kikötő | Használat |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Az Azure KeyVault-kiszolgálóval való beszélgetéshez szükséges a CSI Titkos tár bővítmény podjaihoz. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
A TITKOS KULCS-tároló bővítmény podjaihoz szükséges az Azure KeyVault-kiszolgálóval való beszélgetéshez az Azure Governmentben. |
Azure Monitor – Felügyelt Prometheus és Container Insights
Ha elkülönített hálózati fürtöket használ, ajánlott privát végpontalapú betöltési beállításokat beállítani, amely a Felügyelt Prometheus (Azure Monitor-munkaterület) és a Container Insights (Log Analytics-munkaterület) esetében is támogatott.
Ha a fürt kimenő típusú, felhasználó által definiált útválasztással és Azure Firewalllal rendelkezik, a következő hálózati szabályok és alkalmazásszabályok érvényesek:
Szükséges hálózati szabályok
| Célvégpont | Protokoll | Kikötő | Használat |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Ez a végpont metrikák adatait és naplóit küldi el az Azure Monitornak és a Log Analyticsnek. |
Az Azure nyilvános felhőre vonatkozó kötelező teljes tartománynév/ alkalmazásszabályok
| Végpont | Cél | Kikötő |
|---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
Access Control Service | 443 |
*.ingest.monitor.azure.com |
Container Insights – naplók betöltési végpontja (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
Azure Monitor által felügyelt szolgáltatás a Prometheushoz – metrikák betöltési végpontja (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
Adott fürt adatgyűjtési szabályainak lekérése | 443 |
A 21Vianet-felhő által üzemeltetett Microsoft Azure kötelező teljes tartománynevű / alkalmazásszabályok
| Végpont | Cél | Kikötő |
|---|---|---|
*.ods.opinsights.azure.cn |
Adatok betöltése | 443 |
*.oms.opinsights.azure.cn |
Azure Monitor-ügynök (AMA) előkészítése | 443 |
dc.services.visualstudio.com |
Az Azure Public Cloud Application Insightst használó ügynöktelemetria esetén | 443 |
global.handler.control.monitor.azure.cn |
Access Control Service | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
Adott fürt adatgyűjtési szabályainak lekérése | 443 |
*.ingest.monitor.azure.cn |
Container Insights – naplók betöltési végpontja (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
Azure Monitor által felügyelt szolgáltatás a Prometheushoz – metrikák betöltési végpontja (DCE) | 443 |
Az Azure Government felhőre vonatkozó kötelező teljes tartománynév/ alkalmazásszabályok
| Végpont | Cél | Kikötő |
|---|---|---|
*.ods.opinsights.azure.us |
Adatok betöltése | 443 |
*.oms.opinsights.azure.us |
Azure Monitor-ügynök (AMA) előkészítése | 443 |
dc.services.visualstudio.com |
Az Azure Public Cloud Application Insightst használó ügynöktelemetria esetén | 443 |
global.handler.control.monitor.azure.us |
Access Control Service | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
Adott fürt adatgyűjtési szabályainak lekérése | 443 |
*.ingest.monitor.azure.us |
Container Insights – naplók betöltési végpontja (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
Azure Monitor által felügyelt szolgáltatás a Prometheushoz – metrikák betöltési végpontja (DCE) | 443 |
Azure Policy
Kötelező teljes tartománynév/ alkalmazásszabályok
| FQDN | Kikötő | Használat |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Ez a cím a Kubernetes-szabályzatok lekérésére és a fürtmegfelelőségi állapot jelentésére szolgál a szabályzatszolgáltatásnak. |
store.policy.core.windows.net |
HTTPS:443 |
Ez a cím a beépített szabályzatok Gatekeeper-összetevőinek lekérésére szolgál. |
dc.services.visualstudio.com |
HTTPS:443 |
Az Azure Policy bővítmény telemetriai adatokat küld az Application Insights végpontnak. |
A 21Vianet által üzemeltetett Microsoft Azure kötelező teljes tartományneveket és alkalmazásszabályokat
| FQDN | Kikötő | Használat |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Ez a cím a Kubernetes-szabályzatok lekérésére és a fürtmegfelelőségi állapot jelentésére szolgál a szabályzatszolgáltatásnak. |
store.policy.azure.cn |
HTTPS:443 |
Ez a cím a beépített szabályzatok Gatekeeper-összetevőinek lekérésére szolgál. |
Az Azure US Government kötelező teljes tartománynevét/alkalmazásszabályát
| FQDN | Kikötő | Használat |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Ez a cím a Kubernetes-szabályzatok lekérésére és a fürtmegfelelőségi állapot jelentésére szolgál a szabályzatszolgáltatásnak. |
store.policy.azure.us |
HTTPS:443 |
Ez a cím a beépített szabályzatok Gatekeeper-összetevőinek lekérésére szolgál. |
AKS költségelemzési bővítmény
Kötelező teljes tartománynév/ alkalmazásszabályok
| FQDN | Kikötő | Használat |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Azure Government) management.chinacloudapi.cn (A 21Vianet által üzemeltetett Azure) |
HTTPS:443 |
Az Azure API-val végzett Kubernetes-műveletekhez szükséges. |
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (A 21Vianet által üzemeltetett Azure) |
HTTPS:443 |
A Microsoft Entra-azonosító hitelesítéséhez szükséges. |
Fürtbővítmények
Kötelező teljes tartománynév/ alkalmazásszabályok
| FQDN | Kikötő | Használat |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Ez a cím a fürtbővítmények szolgáltatás konfigurációs adatainak lekérésére szolgál, és a jelentéskiterjesztés állapotát a szolgáltatásba. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Ez a cím szükséges a fürtbővítmény-ügynökök AKS-fürtön való telepítéséhez szükséges tárolórendszerképek lekéréséhez. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Ez a cím szükséges a marketplace-bővítmények AKS-fürtön való telepítéséhez szükséges tárolórendszerképek lekéréséhez. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Ez a cím a közép-indiai regionális adatvégponthoz tartozik, és tárolórendszerképek lekéréséhez szükséges a marketplace-bővítmények AKS-fürtön való telepítéséhez. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Ez a cím a kelet-japán regionális adatvégponthoz tartozik, és tárolórendszerképeket kell lekérnie a marketplace-bővítmények AKS-fürtön való telepítéséhez. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Ez a cím az USA2 nyugati régiós adatvégpontjához tartozik, és tárolórendszerképek lekéréséhez szükséges a marketplace-bővítmények AKS-fürtön való telepítéséhez. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Ez a cím a nyugat-európai regionális adatvégponthoz tartozik, és tárolórendszerképeket kell lekérnie a marketplace-bővítmények AKS-fürtön való telepítéséhez. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Ez a cím az USA keleti régiójának adatvégpontja, és tárolórendszerképek lekéréséhez szükséges a marketplace-bővítmények AKS-fürtön való telepítéséhez. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Ez a cím az ügynökök metrikáinak az Azure-ba való küldéséhez használható. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Ezzel a címmel egyéni fogyasztásmérő-alapú használatot küldhet a kereskedelmi fogyasztásmérő API-nak. |
Az Azure US Government kötelező teljes tartománynevét/alkalmazásszabályát
| FQDN | Kikötő | Használat |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Ez a cím a fürtbővítmények szolgáltatás konfigurációs adatainak lekérésére szolgál, és a jelentéskiterjesztés állapotát a szolgáltatásba. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Ez a cím szükséges a fürtbővítmény-ügynökök AKS-fürtön való telepítéséhez szükséges tárolórendszerképek lekéréséhez. |
Feljegyzés
Az itt nem explicit módon megadott bővítmények esetében az alapvető követelmények vonatkoznak rá.
Istio-alapú service mesh bővítmény
Az Istio=-alapú service mesh bővítményben, ha beépülő modultanúsítvány-szolgáltatóval (CA) állítja be az istiod szolgáltatást, vagy ha biztonságos bejövő átjárót állít be, az Azure Key Vault titkos tár CSI-illesztőprogramjának szolgáltatója szükséges ezekhez a funkciókhoz. A Titkos kulcstár CSI-illesztőprogramhoz tartozó Azure Key Vault-szolgáltató kimenő hálózati követelményei itt találhatók.
Alkalmazás-útválasztási bővítmény
Az alkalmazás-útválasztási bővítmény támogatja az SSL-leállítást a bejövő forgalomnál az Azure Key Vaultban tárolt tanúsítványokkal. A Titkos kulcstár CSI-illesztőprogramhoz tartozó Azure Key Vault-szolgáltató kimenő hálózati követelményei itt találhatók.
Következő lépések
Ebben a cikkben megismerhette, hogy milyen portokat és címeket engedélyezhet, ha korlátozni szeretné a fürt kimenő forgalmát.
Ha korlátozni szeretné, hogy a podok hogyan kommunikáljanak egymással és a fürtben a kelet-nyugati forgalomkorlátozásokkal, tekintse meg a podok közötti adatforgalom biztonságossá tételét az AKS-ben található hálózati házirendek használatával.
Azure Kubernetes Service