Aturan jaringan keluar dan FQDN untuk kluster Azure Kubernetes Service (AKS)
Artikel ini menyediakan detail yang diperlukan yang memungkinkan Anda untuk mengamankan traffic keluar dari Layanan Azure Kubernetes (AKS). Ini berisi persyaratan kluster untuk penyebaran AKS dasar dan persyaratan tambahan untuk addon dan fitur opsional. Anda dapat menerapkan informasi ini ke metode pembatasan keluar atau appliance apa pun.
Untuk melihat contoh konfigurasi menggunakan Azure Firewall, kunjungi Mengontrol lalu lintas keluar menggunakan Azure Firewall di AKS.
Latar belakang
Klaster AKS disebarkan pada jaringan virtual. Jaringan ini dapat disesuaikan dan dikonfigurasi sebelumnya oleh Anda atau dapat dibuat dan dikelola oleh AKS. Dalam kedua kasus, kluster memiliki keluar, atau keluar, dependensi pada layanan di luar jaringan virtual.
Untuk tujuan manajemen dan operasional, simpul dalam kluster AKS perlu mengakses port tertentu dan nama domain yang sepenuhnya memenuhi syarat (FQDN). Titik akhir ini diperlukan agar simpul berkomunikasi dengan server API atau untuk mengunduh dan menginstal komponen kluster Kubernetes inti dan pembaruan keamanan simpul. Misalnya, kluster perlu menarik gambar kontainer dari Registri Artefak Microsoft (MAR).
Dependensi keluar AKS hampir seluruhnya didefinisikan dengan FQDN, yang tidak memiliki alamat statis di belakang mereka. Kurangnya alamat statis berarti Anda tidak dapat menggunakan kelompok keamanan jaringan (NSG) untuk mengunci lalu lintas keluar dari kluster AKS.
Secara default, kluster AKS memiliki akses internet keluar yang tidak terbatas. Tingkat akses jaringan ini memungkinkan node dan layanan yang Anda jalankan untuk mengakses sumber daya eksternal sesuai kebutuhan. Jika Anda ingin membatasi traffic keluar, sejumlah port dan alamat terbatas harus dapat diakses untuk mempertahankan tugas pemeliharaan klaster yang sehat.
Kluster AKS terisolasi jaringan, menyediakan solusi paling sederhana dan paling aman untuk menyiapkan pembatasan keluar untuk kluster di luar kotak. Kluster terisolasi jaringan menarik gambar untuk komponen kluster dan add-on dari instans Azure Container Registry (ACR) privat yang terhubung ke kluster alih-alih menarik dari MAR. Jika gambar tidak ada, ACR privat menariknya dari MAR dan melayaninya melalui titik akhir privatnya, menghilangkan kebutuhan untuk mengaktifkan egress dari kluster ke titik akhir MAR publik. Operator kluster kemudian dapat secara bertahap menyiapkan lalu lintas keluar yang diizinkan dengan aman melalui jaringan privat untuk setiap skenario yang ingin mereka aktifkan. Dengan cara ini operator kluster memiliki kontrol penuh atas desain lalu lintas keluar yang diizinkan dari kluster mereka sejak awal, sehingga memungkinkan mereka mengurangi risiko penyelundupan data.
Solusi lain untuk mengamankan alamat keluar adalah menggunakan perangkat firewall yang dapat mengontrol lalu lintas keluar berdasarkan nama domain. Azure Firewall dapat membatasi lalu lintas HTTP dan HTTPS keluar berdasarkan FQDN tujuan. Anda juga dapat mengonfigurasi firewall dan aturan keamanan pilihan Anda untuk mengizinkan port dan alamat yang diperlukan ini.
Penting
Dokumen ini hanya mencakup cara mengunci traffic yang meninggalkan subnet AKS. AKS tidak memiliki persyaratan masuk secara default. Memblokir lalu lintas subnet internal menggunakan kelompok keamanan jaringan (NSG) dan firewall tidak didukung. Untuk mengontrol dan memblokir lalu lintas dalam kluster, lihat Mengamankan lalu lintas antar pod menggunakan kebijakan jaringan di AKS.
Aturan jaringan keluar dan FQDN yang diperlukan untuk kluster AKS
Aturan jaringan dan FQDN/aplikasi berikut diperlukan untuk kluster AKS. Anda dapat menggunakannya jika Anda ingin mengonfigurasi solusi selain Azure Firewall.
- Dependensi alamat IP adalah untuk lalu lintas non-HTTP/S (lalu lintas TCP dan UDP).
- Titik akhir HTTP/HTTPS FQDN dapat ditempatkan di perangkat firewall Anda.
- Titik akhir WILDCARD HTTP/HTTPS adalah dependensi yang dapat bervariasi menurut klaster AKS Anda berdasarkan sejumlah kualifikasi.
- AKS menggunakan pengontrol penerimaan untuk menyuntikkan FQDN sebagai variabel lingkungan ke semua penyebaran di bawah sistem kube dan gatekeeper-system. Ini memastikan semua komunikasi sistem antara simpul dan server API menggunakan FQDN server API dan bukan IP server API. Anda bisa mendapatkan perilaku yang sama pada pod Anda sendiri, di namespace apa pun, dengan menganotasi spesifikasi pod dengan anotasi bernama
kubernetes.azure.com/set-kube-service-host-fqdn. Jika anotasi tersebut ada, AKS akan mengatur variabel KUBERNETES_SERVICE_HOST ke nama domain server API alih-alih IP layanan dalam kluster. Ini berguna dalam kasus di mana egress kluster melalui firewall lapisan 7. - Jika Anda memiliki aplikasi atau solusi yang perlu berbicara dengan server API, Anda harus menambahkan aturan jaringan tambahan untuk memungkinkan komunikasi TCP ke port 443 IP SERVER API Anda ATAU , jika Anda memiliki firewall lapisan 7 yang dikonfigurasi untuk memungkinkan lalu lintas ke nama domain API Server, diatur
kubernetes.azure.com/set-kube-service-host-fqdndalam spesifikasi pod Anda. - Pada kesempatan yang jarang terjadi, jika ada operasi pemeliharaan, IP server API Anda mungkin berubah. Operasi pemeliharaan terencana yang dapat mengubah IP server API selalu dikomunikasikan terlebih dahulu.
- Anda mungkin melihat lalu lintas menuju titik akhir "md-*.blob.storage.azure.net". Titik akhir ini digunakan untuk komponen internal Azure Managed Disks. Memblokir akses ke titik akhir ini dari firewall Anda seharusnya tidak menyebabkan masalah apa pun.
- Anda mungkin melihat lalu lintas menuju titik akhir "umsa*.blob.core.windows.net". Titik akhir ini digunakan untuk menyimpan manifes untuk Azure Linux VM Agent & Extensions dan secara teratur diperiksa untuk mengunduh versi baru. Anda dapat menemukan detail selengkapnya tentang Ekstensi VM.
Azure Global aturan jaringan yang diperlukan
| Titik Akhir Tujuan | Protokol | Port | Menggunakan |
|---|---|---|---|
*:1194 Atau ServiceTag - AzureCloud.<Region>:1194 Atau CIDR Wilayah - RegionCIDRs:1194 Atau APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Untuk komunikasi aman tunnel antara simpul dan sarana kontrol. Ini tidak diperlukan untuk kluster privat, atau untuk kluster dengan agen konnectivitas diaktifkan. |
*:9000 Atau ServiceTag - AzureCloud.<Region>:9000 Atau CIDR Wilayah - RegionCIDRs:9000 Atau APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Untuk komunikasi aman tunnel antara simpul dan sarana kontrol. Ini tidak diperlukan untuk kluster privat, atau untuk kluster dengan agen konnectivitas diaktifkan. |
*:123 atau ntp.ubuntu.com:123 (jika menggunakan aturan jaringan Azure Firewall) |
UDP | 123 | Diperlukan untuk sinkronisasi waktu Network Time Protocol (NTP) pada node Linux. Ini tidak diperlukan untuk simpul yang disediakan setelah Maret 2021. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Jika Anda menggunakan server DNS kustom, Anda harus memastikan server tersebut dapat diakses oleh node klaster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Diperlukan jika menjalankan pod/penyebaran yang mengakses server API, pod/penyebaran tersebut akan menggunakan IP API. Port ini tidak diperlukan untuk kluster privat. |
Azure Global memerlukan aturan FQDN / aplikasi
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Diperlukan untuk komunikasi server API Node <->. Ganti <lokasi> dengan wilayah tempat kluster AKS Anda disebarkan. Ini diperlukan untuk kluster dengan konnectivity-agent diaktifkan. Konnectivity juga menggunakan Application-Layer Protocol Negotiation (ALPN) untuk berkomunikasi antara agen dan server. Memblokir atau menulis ulang ekstensi ALPN akan menyebabkan kegagalan. Ini tidak diperlukan untuk kluster privat. |
mcr.microsoft.com |
HTTPS:443 |
Diperlukan untuk mengakses gambar di Microsoft Container Registry (MCR). Registri ini berisi gambar /bagan pihak pertama (misalnya, coreDNS, dll.). Gambar-gambar ini diperlukan untuk pembuatan dan fungsi klaster yang benar, termasuk operasi skala dan peningkatan. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Diperlukan untuk penyimpanan MCR yang didukung oleh jaringan pengiriman konten Azure (CDN). |
management.azure.com |
HTTPS:443 |
Diperlukan untuk operasi Kubernetes terhadap Azure API. |
login.microsoftonline.com |
HTTPS:443 |
Diperlukan untuk autentikasi Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Alamat ini adalah repositori paket Microsoft yang digunakan untuk operasi apt-get singgahan. Contoh paket termasuk Moby, PowerShell, dan Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Alamat ini untuk repositori yang diperlukan untuk mengunduh dan menginstal biner yang diperlukan seperti kubenet dan Azure CNI. |
Microsoft Azure dioperasikan oleh 21Vianet aturan jaringan yang diperlukan
| Titik Akhir Tujuan | Protokol | Port | Menggunakan |
|---|---|---|---|
*:1194 Atau ServiceTag - AzureCloud.Region:1194 Atau CIDR Wilayah - RegionCIDRs:1194 Atau APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Untuk komunikasi aman tunnel antara simpul dan sarana kontrol. |
*:9000 Atau ServiceTag - AzureCloud.<Region>:9000 Atau CIDR Wilayah - RegionCIDRs:9000 Atau APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Untuk komunikasi aman tunnel antara simpul dan sarana kontrol. |
*:22 Atau ServiceTag - AzureCloud.<Region>:22 Atau CIDR Wilayah - RegionCIDRs:22 Atau APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | Untuk komunikasi aman tunnel antara simpul dan sarana kontrol. |
*:123 atau ntp.ubuntu.com:123 (jika menggunakan aturan jaringan Azure Firewall) |
UDP | 123 | Diperlukan untuk sinkronisasi waktu Network Time Protocol (NTP) pada node Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Jika Anda menggunakan server DNS kustom, Anda harus memastikan server tersebut dapat diakses oleh node klaster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Diperlukan jika menjalankan pod/penyebaran yang mengakses server API, pod/penyebaran tersebut akan menggunakan IP API. |
Microsoft Azure yang dioperasikan oleh 21Vianet memerlukan aturan FQDN / aplikasi
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Diperlukan untuk komunikasi server API Node <->. Ganti <lokasi> dengan wilayah tempat kluster AKS Anda disebarkan. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Diperlukan untuk komunikasi server API Node <->. Ganti <lokasi> dengan wilayah tempat kluster AKS Anda disebarkan. |
mcr.microsoft.com |
HTTPS:443 |
Diperlukan untuk mengakses gambar di Microsoft Container Registry (MCR). Registri ini berisi gambar /bagan pihak pertama (misalnya, coreDNS, dll.). Gambar-gambar ini diperlukan untuk pembuatan dan fungsi klaster yang benar, termasuk operasi skala dan peningkatan. |
.data.mcr.microsoft.com |
HTTPS:443 |
Diperlukan untuk penyimpanan MCR yang didukung oleh jaringan pengiriman konten Azure (CDN). |
management.chinacloudapi.cn |
HTTPS:443 |
Diperlukan untuk operasi Kubernetes terhadap Azure API. |
login.chinacloudapi.cn |
HTTPS:443 |
Diperlukan untuk autentikasi Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Alamat ini adalah repositori paket Microsoft yang digunakan untuk operasi apt-get singgahan. Contoh paket termasuk Moby, PowerShell, dan Azure CLI. |
*.azk8s.cn |
HTTPS:443 |
Alamat ini untuk repositori yang diperlukan untuk mengunduh dan menginstal biner yang diperlukan seperti kubenet dan Azure CNI. |
Pemerintah AS Azure memerlukan aturan jaringan
| Titik Akhir Tujuan | Protokol | Port | Menggunakan |
|---|---|---|---|
*:1194 Atau ServiceTag - AzureCloud.<Region>:1194 Atau CIDR Wilayah - RegionCIDRs:1194 Atau APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Untuk komunikasi aman tunnel antara simpul dan sarana kontrol. |
*:9000 Atau ServiceTag - AzureCloud.<Region>:9000 Atau CIDR Wilayah - RegionCIDRs:9000 Atau APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Untuk komunikasi aman tunnel antara simpul dan sarana kontrol. |
*:123 atau ntp.ubuntu.com:123 (jika menggunakan aturan jaringan Azure Firewall) |
UDP | 123 | Diperlukan untuk sinkronisasi waktu Network Time Protocol (NTP) pada node Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Jika Anda menggunakan server DNS kustom, Anda harus memastikan server tersebut dapat diakses oleh node klaster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Diperlukan jika menjalankan pod/penyebaran yang mengakses server API, pod/penyebaran tersebut akan menggunakan IP API. |
Pemerintah AS Azure memerlukan aturan FQDN / aplikasi
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Diperlukan untuk komunikasi server API Node <->. Ganti <lokasi> dengan wilayah tempat kluster AKS Anda disebarkan. |
mcr.microsoft.com |
HTTPS:443 |
Diperlukan untuk mengakses gambar di Microsoft Container Registry (MCR). Registri ini berisi gambar /bagan pihak pertama (misalnya, coreDNS, dll.). Gambar-gambar ini diperlukan untuk pembuatan dan fungsi klaster yang benar, termasuk operasi skala dan peningkatan. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Diperlukan untuk penyimpanan MCR yang didukung oleh jaringan pengiriman konten Azure (CDN). |
management.usgovcloudapi.net |
HTTPS:443 |
Diperlukan untuk operasi Kubernetes terhadap Azure API. |
login.microsoftonline.us |
HTTPS:443 |
Diperlukan untuk autentikasi Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Alamat ini adalah repositori paket Microsoft yang digunakan untuk operasi apt-get singgahan. Contoh paket termasuk Moby, PowerShell, dan Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Alamat ini untuk repositori yang diperlukan untuk mengunduh dan menginstal biner yang diperlukan seperti kubenet dan Azure CNI. |
Aturan FQDN / aplikasi opsional yang direkomendasikan untuk klaster AKS
Aturan FQDN / aplikasi berikut tidak diperlukan, tetapi direkomendasikan untuk kluster AKS:
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
security.ubuntu.com, , azure.archive.ubuntu.comchangelogs.ubuntu.com |
HTTP:80 |
Alamat ini memungkinkan node klaster Linux mengunduh patch dan pembaruan keamanan yang diperlukan. |
snapshot.ubuntu.com |
HTTPS:443 |
Alamat ini memungkinkan node kluster Linux mengunduh patch keamanan dan pembaruan yang diperlukan dari layanan rekam jepret ubuntu. |
Jika Anda memilih untuk memblokir / tidak mengizinkan FQDN ini, node hanya akan menerima pembaruan OS ketika Anda melakukan upgrade gambar node atau pemutakhiran klaster. Perlu diingat bahwa peningkatan gambar simpul juga dilengkapi dengan paket yang diperbarui termasuk perbaikan keamanan.
Kluster AKS yang diaktifkan GPU memerlukan aturan FQDN / aplikasi
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Alamat ini digunakan untuk pemasangan dan pengoperasian pengandar yang benar pada node berbasis GPU. |
us.download.nvidia.com |
HTTPS:443 |
Alamat ini digunakan untuk pemasangan dan pengoperasian pengandar yang benar pada node berbasis GPU. |
download.docker.com |
HTTPS:443 |
Alamat ini digunakan untuk pemasangan dan pengoperasian pengandar yang benar pada node berbasis GPU. |
Kumpulan simpul berbasis Windows Server memerlukan aturan FQDN / aplikasi
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Untuk menginstal biner terkait windows |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Untuk menginstal biner terkait windows |
Jika Anda memilih untuk memblokir / tidak mengizinkan FQDN ini, node hanya akan menerima pembaruan OS ketika Anda melakukan upgrade gambar node atau pemutakhiran klaster. Perlu diingat bahwa Peningkatan Gambar Simpul juga dilengkapi dengan paket yang diperbarui termasuk perbaikan keamanan.
Fitur, addon, dan integrasi AKS
Identitas beban kerja
Aturan FQDN / aplikasi yang diperlukan
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
login.microsoftonline.com atau login.chinacloudapi.cn atau login.microsoftonline.us |
HTTPS:443 |
Diperlukan untuk autentikasi Microsoft Entra. |
Pertahanan Microsoft untuk Kontainer
Aturan FQDN / aplikasi yang diperlukan
| FQDN | Port | Menggunakan |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure dioperasikan oleh 21Vianet) |
HTTPS:443 |
Diperlukan untuk Autentikasi Microsoft Entra. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government) *.ods.opinsights.azure.cn (Azure dioperasikan oleh 21Vianet) |
HTTPS:443 |
Diperlukan Microsoft Defender untuk mengunggah peristiwa keamanan ke cloud. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government) *.oms.opinsights.azure.cn (Azure dioperasikan oleh 21Vianet) |
HTTPS:443 |
Diperlukan untuk mengautentikasi dengan ruang kerja Analitik Log. |
Penyedia Azure Key Vault untuk Secrets Store CSI Driver
Jika menggunakan kluster terisolasi jaringan, disarankan untuk menyiapkan titik akhir privat untuk mengakses Azure Key Vault.
Jika kluster Anda memiliki perutean yang ditentukan pengguna jenis keluar dan Azure Firewall, aturan jaringan dan aturan aplikasi berikut berlaku:
Aturan FQDN / aplikasi yang diperlukan
| FQDN | Port | Menggunakan |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Diperlukan untuk pod addon Penyimpanan Rahasia CSI untuk berbicara dengan server Azure KeyVault. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Diperlukan untuk pod addon CSI Secret Store untuk berbicara dengan server Azure KeyVault di Azure Government. |
Azure Monitor - Wawasan Prometheus dan Kontainer Terkelola
Jika menggunakan kluster terisolasi jaringan, disarankan untuk menyiapkan penyerapan berbasis titik akhir privat, yang didukung untuk Prometheus Terkelola (ruang kerja Azure Monitor) dan wawasan Kontainer (ruang kerja Analitik Log).
Jika kluster Anda memiliki perutean yang ditentukan pengguna jenis keluar dan Azure Firewall, aturan jaringan dan aturan aplikasi berikut berlaku:
Aturan jaringan yang diperlukan
| Titik Akhir Tujuan | Protokol | Port | Menggunakan |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Titik akhir ini digunakan untuk mengirim data metrik dan log ke Azure Monitor dan Analitik Log. |
Cloud publik Azure memerlukan aturan FQDN / aplikasi
| Titik akhir | Tujuan | Port |
|---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
Layanan kontrol akses | 443 |
*.ingest.monitor.azure.com |
Container Insights - titik akhir penyerapan log (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
Layanan terkelola azure monitor untuk Prometheus - titik akhir penyerapan metrik (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
Mengambil aturan pengumpulan data untuk kluster tertentu | 443 |
Microsoft Azure yang dioperasikan oleh cloud 21Vianet memerlukan aturan FQDN / aplikasi
| Titik akhir | Tujuan | Port |
|---|---|---|
*.ods.opinsights.azure.cn |
Penyerapan data | 443 |
*.oms.opinsights.azure.cn |
Onboarding agen Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
Untuk telemetri agen yang menggunakan Azure Public Cloud Application Insights | 443 |
global.handler.control.monitor.azure.cn |
Layanan kontrol akses | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
Mengambil aturan pengumpulan data untuk kluster tertentu | 443 |
*.ingest.monitor.azure.cn |
Container Insights - titik akhir penyerapan log (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
Layanan terkelola azure monitor untuk Prometheus - titik akhir penyerapan metrik (DCE) | 443 |
Cloud Azure Government memerlukan aturan FQDN / aplikasi
| Titik akhir | Tujuan | Port |
|---|---|---|
*.ods.opinsights.azure.us |
Penyerapan data | 443 |
*.oms.opinsights.azure.us |
Onboarding agen Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
Untuk telemetri agen yang menggunakan Azure Public Cloud Application Insights | 443 |
global.handler.control.monitor.azure.us |
Layanan kontrol akses | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
Mengambil aturan pengumpulan data untuk kluster tertentu | 443 |
*.ingest.monitor.azure.us |
Container Insights - titik akhir penyerapan log (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
Layanan terkelola azure monitor untuk Prometheus - titik akhir penyerapan metrik (DCE) | 443 |
Kebijakan Azure
Aturan FQDN / aplikasi yang diperlukan
| FQDN | Port | Menggunakan |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Alamat ini digunakan untuk menarik kebijakan Kubernetes dan melaporkan status kepatuhan klaster ke layanan kebijakan. |
store.policy.core.windows.net |
HTTPS:443 |
Alamat ini digunakan untuk menarik artefak Gatekeeper dari kebijakan bawaan. |
dc.services.visualstudio.com |
HTTPS:443 |
Add-on Kebijakan Azure yang mengirim data telemetri ke titik akhir wawasan aplikasi. |
Microsoft Azure yang dioperasikan oleh 21Vianet memerlukan aturan FQDN / aplikasi
| FQDN | Port | Menggunakan |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Alamat ini digunakan untuk menarik kebijakan Kubernetes dan melaporkan status kepatuhan klaster ke layanan kebijakan. |
store.policy.azure.cn |
HTTPS:443 |
Alamat ini digunakan untuk menarik artefak Gatekeeper dari kebijakan bawaan. |
Pemerintah AS Azure memerlukan aturan FQDN / aplikasi
| FQDN | Port | Menggunakan |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Alamat ini digunakan untuk menarik kebijakan Kubernetes dan melaporkan status kepatuhan klaster ke layanan kebijakan. |
store.policy.azure.us |
HTTPS:443 |
Alamat ini digunakan untuk menarik artefak Gatekeeper dari kebijakan bawaan. |
Add-on analisis biaya AKS
Aturan FQDN / aplikasi yang diperlukan
| FQDN | Port | Menggunakan |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Azure Government) management.chinacloudapi.cn (Azure dioperasikan oleh 21Vianet) |
HTTPS:443 |
Diperlukan untuk operasi Kubernetes terhadap Azure API. |
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure dioperasikan oleh 21Vianet) |
HTTPS:443 |
Diperlukan untuk autentikasi ID Microsoft Entra. |
Ekstensi kluster
Aturan FQDN / aplikasi yang diperlukan
| FQDN | Pelabuhan | Menggunakan |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Alamat ini digunakan untuk mengambil informasi konfigurasi dari layanan Ekstensi Kluster dan melaporkan status ekstensi ke layanan. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Alamat ini diperlukan untuk menarik gambar kontainer untuk memasang agen ekstensi kluster pada kluster AKS. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Alamat ini diperlukan untuk menarik gambar kontainer untuk menginstal ekstensi marketplace pada kluster AKS. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Alamat ini untuk titik akhir data regional India Tengah dan diperlukan untuk menarik gambar kontainer untuk menginstal ekstensi marketplace pada kluster AKS. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Alamat ini untuk titik akhir data regional Jepang Timur dan diperlukan untuk menarik gambar kontainer untuk menginstal ekstensi marketplace pada kluster AKS. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Alamat ini untuk titik akhir data regional US2 Barat dan diperlukan untuk menarik gambar kontainer untuk menginstal ekstensi marketplace pada kluster AKS. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Alamat ini untuk titik akhir data regional Eropa Barat dan diperlukan untuk menarik gambar kontainer untuk menginstal ekstensi marketplace pada kluster AKS. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Alamat ini untuk titik akhir data regional US Timur dan diperlukan untuk menarik gambar kontainer untuk menginstal ekstensi marketplace pada kluster AKS. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Alamat ini digunakan untuk mengirim data metrik agen ke Azure. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Alamat ini digunakan untuk mengirim penggunaan berbasis meteran kustom ke API pengukuran perdagangan. |
Pemerintah AS Azure memerlukan aturan FQDN / aplikasi
| FQDN | Port | Menggunakan |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Alamat ini digunakan untuk mengambil informasi konfigurasi dari layanan Ekstensi Kluster dan melaporkan status ekstensi ke layanan. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Alamat ini diperlukan untuk menarik gambar kontainer untuk memasang agen ekstensi kluster pada kluster AKS. |
Catatan
Untuk setiap addon yang tidak secara eksplisit dinyatakan di sini, persyaratan inti mencakupnya.
Add-on mesh layanan berbasis Istio
Di add-on jala layanan berbasis Istio=, jika Anda menyiapkan istiod dengan Otoritas Sertifikat Plugin (CA) atau jika Anda menyiapkan gateway ingress yang aman, penyedia Azure Key Vault untuk Secrets Store CSI Driver diperlukan untuk fitur-fitur ini. Persyaratan jaringan keluar untuk penyedia Azure Key Vault untuk Secrets Store CSI Driver dapat ditemukan di sini.
Add-on perutean aplikasi
Add-on perutean aplikasi mendukung penghentian SSL di ingress dengan sertifikat yang disimpan di Azure Key Vault. Persyaratan jaringan keluar untuk penyedia Azure Key Vault untuk Secrets Store CSI Driver dapat ditemukan di sini.
Langkah berikutnya
Dalam artikel ini, Anda mempelajari port dan alamat apa yang diizinkan jika Anda ingin membatasi traffic keluar untuk klaster.
Jika Anda ingin membatasi bagaimana Pod berkomunikasi antara mereka sendiri dan pembatasan traffic East-West dalam klaster, lihat Amankan traffic antar-Pod menggunakan kebijakan jaringan di AKS.
Azure Kubernetes Service