Azure Kubernetes Service (AKS) kümeleri için giden ağ ve FQDN kuralları
Bu makalede, Azure Kubernetes Service'inizden (AKS) giden trafiğin güvenliğini sağlamanıza olanak sağlayan gerekli ayrıntılar sağlanır. Temel AKS dağıtımı için küme gereksinimlerini ve isteğe bağlı eklentiler ve özellikler için ek gereksinimleri içerir. Bu bilgileri herhangi bir giden kısıtlama yöntemine veya aletine uygulayabilirsiniz.
Azure Güvenlik Duvarı kullanarak örnek bir yapılandırma görmek için AKS'de Azure Güvenlik Duvarı kullanarak çıkış trafiğini denetleme adresini ziyaret edin.
Background
AKS kümeleri bir sanal ağa dağıtılır. Bu ağ sizin tarafınızdan özelleştirilebilir ve önceden yapılandırılabilir veya AKS tarafından oluşturulup yönetilebilir. Her iki durumda da kümenin sanal ağ dışındaki hizmetlere giden veya çıkış bağımlılıkları vardır.
Yönetim ve işletim amaçları doğrultusunda AKS kümesindeki düğümlerin belirli bağlantı noktalarına ve tam etki alanı adlarına (FQDN) erişmesi gerekir. Düğümlerin API sunucusuyla iletişim kurması veya çekirdek Kubernetes kümesi bileşenlerini ve düğüm güvenlik güncelleştirmelerini indirip yüklemesi için bu uç noktalar gereklidir. Örneğin, kümenin Microsoft Yapıt Kayıt Defteri (MAR) kapsayıcı görüntülerini çekmesi gerekir.
AKS giden bağımlılıkları, arkalarında statik adresleri olmayan FQDN'lerle neredeyse tamamen tanımlanır. Statik adreslerin olmaması, aks kümesinden giden trafiği kilitlemek için ağ güvenlik gruplarını (NSG) kullanamamanızı sağlar.
Varsayılan olarak AKS kümeleri sınırsız giden İnternet erişimine sahiptir. Bu ağ erişimi düzeyi, çalıştırdığınız düğümlerin ve hizmetlerin gerektiğinde dış kaynaklara erişmesine olanak tanır. Çıkış trafiğini kısıtlamak istiyorsanız, küme bakım görevlerinin sürdürülmesi için sınırlı sayıda bağlantı noktası ve adres erişilebilir olmalıdır.
Ağdan yalıtılmış AKS kümesi, bir küme için giden kısıtlamaların kullanıma hazır şekilde ayarlanması için en basit ve en güvenli çözümü sağlar. Ağdan yalıtılmış küme, KÜME bileşenleri ve eklentilerinin görüntülerini MAR'dan çekmek yerine kümeye bağlı özel bir Azure Container Registry (ACR) örneğinden çeker. Görüntüler mevcut değilse, özel ACR bunları MAR'dan çeker ve özel uç noktası üzerinden sunar ve kümeden genel MAR uç noktasına çıkışı etkinleştirme gereksinimini ortadan kaldırır. Küme operatörü, etkinleştirmek istediği her senaryo için özel bir ağ üzerinden izin verilen giden trafiği artımlı olarak ayarlayabilir. Bu şekilde küme operatörleri, kümelerinden izin verilen giden trafiği en baştan tasarlama üzerinde tam denetime sahip olur ve böylece veri sızdırma riskini azaltmalarına olanak sağlar.
Giden adreslerin güvenliğini sağlamanın bir diğer çözümü de, etki alanı adlarına göre giden trafiği denetleyebilen bir güvenlik duvarı cihazı kullanmaktır. Azure Güvenlik Duvarı giden HTTP ve HTTPS trafiğini hedefin FQDN'sine göre kısıtlayabilir. Ayrıca bu gerekli bağlantı noktalarına ve adreslere izin vermek için tercih ettiğiniz güvenlik duvarını ve güvenlik kurallarını yapılandırabilirsiniz.
Önemli
Bu belge yalnızca AKS alt aktan çıkan trafiği kilitlemeyi kapsar. AKS'nin varsayılan olarak giriş gereksinimi yoktur. Ağ güvenlik gruplarını (NSG) ve güvenlik duvarlarını kullanarak iç alt ağ trafiğini engelleme desteklenmez. Küme içindeki trafiği denetlemek ve engellemek için bkz . AKS'de ağ ilkelerini kullanarak podlar arasındaki trafiğin güvenliğini sağlama.
AKS kümeleri için gerekli giden ağ kuralları ve FQDN'ler
Aks kümesi için aşağıdaki ağ ve FQDN/uygulama kuralları gereklidir. Azure Güvenlik Duvarı dışında bir çözüm yapılandırmak istiyorsanız bunları kullanabilirsiniz.
- IP adresi bağımlılıkları HTTP/S olmayan trafik (hem TCP hem de UDP trafiği) içindir.
- FQDN HTTP/HTTPS uç noktaları güvenlik duvarı cihazınıza yerleştirilebilir.
- Joker HTTP/HTTPS uç noktaları, BIR dizi niteleyiciye göre AKS kümenize göre farklılık gösterebilen bağımlılıklardır.
- AKS, FQDN'yi kube-system ve gatekeeper-system altındaki tüm dağıtımlara ortam değişkeni olarak eklemek için bir erişim denetleyicisi kullanır. Bu, düğümler ve API sunucusu arasındaki tüm sistem iletişiminin API sunucusu IP'sini değil API sunucusu FQDN'sini kullanmasını sağlar. Pod belirtimlerine adlı
kubernetes.azure.com/set-kube-service-host-fqdnbir ek açıklama ekleyerek kendi podlarınızda, herhangi bir ad alanında aynı davranışı elde edebilirsiniz. Bu ek açıklama varsa AKS, KUBERNETES_SERVICE_HOST değişkenini küme içi hizmet IP'sinin yerine API sunucusunun etki alanı adına ayarlar. Bu, küme çıkışının 7. katman güvenlik duvarı üzerinden yapıldığı durumlarda kullanışlıdır. - API sunucusuyla konuşması gereken bir uygulamanız veya çözümünüz varsa, POD belirtimlerinizde ayarlanmış
kubernetes.azure.com/set-kube-service-host-fqdnAPI Server'ın etki alanı adına giden trafiğe izin verecek şekilde yapılandırılmış bir katman 7 güvenlik duvarınız varsa, API sunucunuzun IP VEYA bağlantı noktası 443'e TCP iletişimine izin vermek için ek bir ağ kuralı eklemeniz gerekir. - Nadir durumlarda, bir bakım işlemi varsa API sunucusu IP'niz değişebilir. API sunucusu IP'sini değiştirebilen planlı bakım işlemleri her zaman önceden iletilir.
- "md-*.blob.storage.azure.net" uç noktasına doğru trafik olduğunu fark edebilirsiniz. Bu uç nokta, Azure Yönetilen Diskler iç bileşenleri için kullanılır. Güvenlik duvarınızdan bu uç noktaya erişimin engellenmesi herhangi bir soruna neden olmamalıdır.
- "umsa*.blob.core.windows.net" uç noktasına doğru trafik olduğunu fark edebilirsiniz. Bu uç nokta, Azure Linux VM Aracısı ve Uzantıları için bildirimleri depolamak için kullanılır ve yeni sürümleri indirmek için düzenli olarak denetlenmektedir. VM Uzantıları hakkında daha fazla ayrıntı bulabilirsiniz.
Azure Genel gerekli ağ kuralları
| Hedef Uç Nokta | Protokol | Bağlantı noktası | Kullanma |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.<Region>:1194 Or Bölgesel CIDR'ler - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Düğümler ve kontrol düzlemi arasında tünelli güvenli iletişim için. Bu, özel kümeler veya konnectivity-agent etkinleştirilmiş kümeler için gerekli değildir. |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or Bölgesel CIDR'ler - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Düğümler ve kontrol düzlemi arasında tünelli güvenli iletişim için. Bu, özel kümeler veya konnectivity-agent etkinleştirilmiş kümeler için gerekli değildir. |
*:123veya ntp.ubuntu.com:123 (Azure Güvenlik Duvarı ağ kuralları kullanılıyorsa) |
UDP | 123 | Linux düğümlerinde Ağ Saat Protokolü (NTP) zaman eşitlemesi için gereklidir. Mart 2021'de sağlanan düğümler için bu gerekli değildir. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Özel DNS sunucuları kullanıyorsanız, bunların küme düğümleri tarafından erişilebilir olduğundan emin olmanız gerekir. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | API Sunucusu'na erişen podlar/dağıtımlar çalıştırılıyorsa bu podlar/dağıtımlar API IP'sini kullanır. Bu bağlantı noktası özel kümeler için gerekli değildir. |
Azure Global gerekli FQDN /uygulama kuralları
| Hedef FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Node <-> API sunucusu iletişimi için gereklidir. konumu> AKS kümenizin dağıtıldığı bölgeyle değiştirin<. Konnectivity-agent etkinleştirilmiş kümeler için bu gereklidir. Konnektivite, aracı ve sunucu arasında iletişim kurmak için Uygulama Katmanı Protokolü Anlaşması'na (ALPN) da sahiptir. ALPN uzantısının engellenmesi veya yeniden yazılması hataya neden olur. Bu, özel kümeler için gerekli değildir. |
mcr.microsoft.com |
HTTPS:443 |
Microsoft Container Registry'deki (MCR) görüntülere erişmek için gereklidir. Bu kayıt defteri birinci taraf görüntüler/grafikler (örneğin, coreDNS vb.) içerir. Bu görüntüler, ölçek ve yükseltme işlemleri de dahil olmak üzere kümenin doğru oluşturulması ve çalışması için gereklidir. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Azure içerik teslim ağı (CDN) tarafından yedeklenen MCR depolaması için gereklidir. |
management.azure.com |
HTTPS:443 |
Azure API'sine karşı Kubernetes işlemleri için gereklidir. |
login.microsoftonline.com |
HTTPS:443 |
Microsoft Entra kimlik doğrulaması için gereklidir. |
packages.microsoft.com |
HTTPS:443 |
Bu adres, önbelleğe alınan apt-get işlemleri için kullanılan Microsoft paketleri deposudur. Moby, PowerShell ve Azure CLI örnek paketleridir. |
acs-mirror.azureedge.net |
HTTPS:443 |
Bu adres, kubenet ve Azure CNI gibi gerekli ikili dosyaları indirmek ve yüklemek için gereken depoya yöneliktir. |
21Vianet tarafından sağlanan Microsoft Azure gerekli ağ kuralları
| Hedef Uç Nokta | Protokol | Bağlantı noktası | Kullanma |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.Region:1194 Or Bölgesel CIDR'ler - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Düğümler ve kontrol düzlemi arasında tünelli güvenli iletişim için. |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or Bölgesel CIDR'ler - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Düğümler ve kontrol düzlemi arasında tünelli güvenli iletişim için. |
*:22 Or ServiceTag - AzureCloud.<Region>:22 Or Bölgesel CIDR'ler - RegionCIDRs:22 Or APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | Düğümler ve kontrol düzlemi arasında tünelli güvenli iletişim için. |
*:123veya ntp.ubuntu.com:123 (Azure Güvenlik Duvarı ağ kuralları kullanılıyorsa) |
UDP | 123 | Linux düğümlerinde Ağ Saat Protokolü (NTP) zaman eşitlemesi için gereklidir. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Özel DNS sunucuları kullanıyorsanız, bunların küme düğümleri tarafından erişilebilir olduğundan emin olmanız gerekir. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | API Server'a erişen podlar/dağıtımlar çalıştırılıyorsa bu pod/dağıtımlar API IP'sini kullanır. |
21Vianet tarafından sağlanan Microsoft Azure gerekli FQDN / uygulama kuralları
| Hedef FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Node <-> API sunucusu iletişimi için gereklidir. konumu> AKS kümenizin dağıtıldığı bölgeyle değiştirin<. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Node <-> API sunucusu iletişimi için gereklidir. konumu> AKS kümenizin dağıtıldığı bölgeyle değiştirin<. |
mcr.microsoft.com |
HTTPS:443 |
Microsoft Container Registry'deki (MCR) görüntülere erişmek için gereklidir. Bu kayıt defteri birinci taraf görüntüler/grafikler (örneğin, coreDNS vb.) içerir. Bu görüntüler, ölçek ve yükseltme işlemleri de dahil olmak üzere kümenin doğru oluşturulması ve çalışması için gereklidir. |
.data.mcr.microsoft.com |
HTTPS:443 |
Azure Content Delivery Network (CDN) tarafından yedeklenen MCR depolaması için gereklidir. |
management.chinacloudapi.cn |
HTTPS:443 |
Azure API'sine karşı Kubernetes işlemleri için gereklidir. |
login.chinacloudapi.cn |
HTTPS:443 |
Microsoft Entra kimlik doğrulaması için gereklidir. |
packages.microsoft.com |
HTTPS:443 |
Bu adres, önbelleğe alınan apt-get işlemleri için kullanılan Microsoft paketleri deposudur. Moby, PowerShell ve Azure CLI örnek paketleridir. |
*.azk8s.cn |
HTTPS:443 |
Bu adres, kubenet ve Azure CNI gibi gerekli ikili dosyaları indirmek ve yüklemek için gereken depoya yöneliktir. |
Azure US Government gerekli ağ kuralları
| Hedef Uç Nokta | Protokol | Bağlantı noktası | Kullanma |
|---|---|---|---|
*:1194 Or ServiceTag - AzureCloud.<Region>:1194 Or Bölgesel CIDR'ler - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Düğümler ve kontrol düzlemi arasında tünelli güvenli iletişim için. |
*:9000 Or ServiceTag - AzureCloud.<Region>:9000 Or Bölgesel CIDR'ler - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Düğümler ve kontrol düzlemi arasında tünelli güvenli iletişim için. |
*:123veya ntp.ubuntu.com:123 (Azure Güvenlik Duvarı ağ kuralları kullanılıyorsa) |
UDP | 123 | Linux düğümlerinde Ağ Saat Protokolü (NTP) zaman eşitlemesi için gereklidir. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Özel DNS sunucuları kullanıyorsanız, bunların küme düğümleri tarafından erişilebilir olduğundan emin olmanız gerekir. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | API Sunucusu'na erişen podlar/dağıtımlar çalıştırılıyorsa bu podlar/dağıtımlar API IP'sini kullanır. |
Azure US Government için gerekli FQDN / uygulama kuralları
| Hedef FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Node <-> API sunucusu iletişimi için gereklidir. konumu> AKS kümenizin dağıtıldığı bölgeyle değiştirin<. |
mcr.microsoft.com |
HTTPS:443 |
Microsoft Container Registry'deki (MCR) görüntülere erişmek için gereklidir. Bu kayıt defteri birinci taraf görüntüler/grafikler (örneğin, coreDNS vb.) içerir. Bu görüntüler, ölçek ve yükseltme işlemleri de dahil olmak üzere kümenin doğru oluşturulması ve çalışması için gereklidir. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Azure içerik teslim ağı (CDN) tarafından yedeklenen MCR depolaması için gereklidir. |
management.usgovcloudapi.net |
HTTPS:443 |
Azure API'sine karşı Kubernetes işlemleri için gereklidir. |
login.microsoftonline.us |
HTTPS:443 |
Microsoft Entra kimlik doğrulaması için gereklidir. |
packages.microsoft.com |
HTTPS:443 |
Bu adres, önbelleğe alınan apt-get işlemleri için kullanılan Microsoft paketleri deposudur. Moby, PowerShell ve Azure CLI örnek paketleridir. |
acs-mirror.azureedge.net |
HTTPS:443 |
Bu adres, kubenet ve Azure CNI gibi gerekli ikili dosyaları yüklemek için gereken depoya yöneliktir. |
AKS kümeleri için isteğe bağlı önerilen FQDN / uygulama kuralları
Aşağıdaki FQDN /uygulama kuralları gerekli değildir, ancak AKS kümeleri için önerilir:
| Hedef FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
security.ubuntu.com, azure.archive.ubuntu.com, changelogs.ubuntu.com |
HTTP:80 |
Bu adres, Linux küme düğümlerinin gerekli güvenlik düzeltme eklerini ve güncelleştirmelerini indirmesine olanak tanır. |
snapshot.ubuntu.com |
HTTPS:443 |
Bu adres, Linux küme düğümlerinin ubuntu anlık görüntü hizmetinden gerekli güvenlik düzeltme eklerini ve güncelleştirmelerini indirmesine olanak tanır. |
Bu FQDN'leri engellemeyi/izin vermemeyi seçerseniz düğümler yalnızca düğüm görüntüsü yükseltmesi veya küme yükseltmesi yaptığınızda işletim sistemi güncelleştirmelerini alır. Düğüm görüntüsü yükseltmelerinin güvenlik düzeltmeleri de dahil olmak üzere güncelleştirilmiş paketlerle birlikte geldiğini unutmayın.
GPU özellikli AKS kümeleri için gerekli FQDN / uygulama kuralları
| Hedef FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Bu adres, GPU tabanlı düğümlerde doğru sürücü yüklemesi ve işlemi için kullanılır. |
us.download.nvidia.com |
HTTPS:443 |
Bu adres, GPU tabanlı düğümlerde doğru sürücü yüklemesi ve işlemi için kullanılır. |
download.docker.com |
HTTPS:443 |
Bu adres, GPU tabanlı düğümlerde doğru sürücü yüklemesi ve işlemi için kullanılır. |
Windows Server tabanlı düğüm havuzları için gereken FQDN / uygulama kuralları
| Hedef FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Windows ile ilgili ikili dosyaları yüklemek için |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Windows ile ilgili ikili dosyaları yüklemek için |
Bu FQDN'leri engellemeyi/izin vermemeyi seçerseniz düğümler yalnızca düğüm görüntüsü yükseltmesi veya küme yükseltmesi yaptığınızda işletim sistemi güncelleştirmelerini alır. Düğüm Görüntüsü Yükseltmelerinin güvenlik düzeltmeleri de dahil olmak üzere güncelleştirilmiş paketlerle birlikte geldiğini unutmayın.
AKS özellikleri, eklentileri ve tümleştirmeleri
İş yükü kimliği
Gerekli FQDN / uygulama kuralları
| Hedef FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
login.microsoftonline.comveya veya login.chinacloudapi.cnlogin.microsoftonline.us |
HTTPS:443 |
Microsoft Entra kimlik doğrulaması için gereklidir. |
Kapsayıcılar için Microsoft Defender
Gerekli FQDN / uygulama kuralları
| FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us(Azure Kamu)login.microsoftonline.cn (21Vianet tarafından sağlanan Azure) |
HTTPS:443 |
Microsoft Entra Kimlik Doğrulaması için gereklidir. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us(Azure Kamu)*.ods.opinsights.azure.cn (21Vianet tarafından sağlanan Azure) |
HTTPS:443 |
Microsoft Defender'ın buluta güvenlik olaylarını yüklemesi için gereklidir. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us(Azure Kamu)*.oms.opinsights.azure.cn (21Vianet tarafından sağlanan Azure) |
HTTPS:443 |
Log Analytics çalışma alanlarıyla kimlik doğrulaması yapmak için gereklidir. |
Gizli Dizi Deposu CSI Sürücüsü için Azure Key Vault sağlayıcısı
Ağdan yalıtılmış kümeler kullanılıyorsa, Azure Key Vault'a erişmek için özel uç nokta ayarlamanız önerilir.
Kümenizde giden türü kullanıcı tanımlı yönlendirme ve Azure Güvenlik Duvarı varsa, aşağıdaki ağ kuralları ve uygulama kuralları geçerlidir:
Gerekli FQDN / uygulama kuralları
| FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
vault.azure.net |
HTTPS:443 |
CSI Gizli Dizi Deposu eklenti podlarının Azure KeyVault sunucusuyla konuşması için gereklidir. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
CSI Gizli Depolama eklenti podlarının Azure Kamu'da Azure KeyVault sunucusuyla konuşması için gereklidir. |
Azure İzleyici - Yönetilen Prometheus ve Container Insights
Ağdan yalıtılmış kümeler kullanılıyorsa, hem Yönetilen Prometheus (Azure İzleyici çalışma alanı) hem de Kapsayıcı içgörüleri (Log Analytics çalışma alanı) için desteklenen özel uç nokta tabanlı alımın ayarlanması önerilir.
Kümenizde giden türü kullanıcı tanımlı yönlendirme ve Azure Güvenlik Duvarı varsa, aşağıdaki ağ kuralları ve uygulama kuralları geçerlidir:
Gerekli ağ kuralları
| Hedef Uç Nokta | Protokol | Bağlantı noktası | Kullanma |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Bu uç nokta, ölçüm verilerini ve günlüklerini Azure İzleyici ve Log Analytics'e göndermek için kullanılır. |
Azure genel bulutu gerekli FQDN /uygulama kuralları
| Uç nokta | Purpose | Bağlantı noktası |
|---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
Access control service | 443 |
*.ingest.monitor.azure.com |
Container Insights - günlük alım uç noktası (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
Prometheus için Azure İzleyici yönetilen hizmeti - ölçüm alımı uç noktası (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
Belirli bir küme için veri toplama kurallarını getirme | 443 |
21Vianet bulutu tarafından sağlanan Microsoft Azure gerekli FQDN /uygulama kuralları
| Uç nokta | Purpose | Bağlantı noktası |
|---|---|---|
*.ods.opinsights.azure.cn |
Veri alımı | 443 |
*.oms.opinsights.azure.cn |
Azure İzleyici aracısı (AMA) ekleme | 443 |
dc.services.visualstudio.com |
Azure Genel Bulut Application Insights kullanan aracı telemetrisi için | 443 |
global.handler.control.monitor.azure.cn |
Access control service | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
Belirli bir küme için veri toplama kurallarını getirme | 443 |
*.ingest.monitor.azure.cn |
Container Insights - günlük alım uç noktası (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
Prometheus için Azure İzleyici yönetilen hizmeti - ölçüm alımı uç noktası (DCE) | 443 |
Azure Kamu bulut gerekli FQDN /uygulama kuralları
| Uç nokta | Purpose | Bağlantı noktası |
|---|---|---|
*.ods.opinsights.azure.us |
Veri alımı | 443 |
*.oms.opinsights.azure.us |
Azure İzleyici aracısı (AMA) ekleme | 443 |
dc.services.visualstudio.com |
Azure Genel Bulut Application Insights kullanan aracı telemetrisi için | 443 |
global.handler.control.monitor.azure.us |
Access control service | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
Belirli bir küme için veri toplama kurallarını getirme | 443 |
*.ingest.monitor.azure.us |
Container Insights - günlük alım uç noktası (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
Prometheus için Azure İzleyici yönetilen hizmeti - ölçüm alımı uç noktası (DCE) | 443 |
Azure İlkesi
Gerekli FQDN / uygulama kuralları
| FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Bu adres Kubernetes ilkelerini çekmek ve küme uyumluluk durumunu ilke hizmetine bildirmek için kullanılır. |
store.policy.core.windows.net |
HTTPS:443 |
Bu adres, yerleşik ilkelerin Ağ Geçidi Denetleyicisi yapıtlarını çekmek için kullanılır. |
dc.services.visualstudio.com |
HTTPS:443 |
Azure İlkesi uygulamalar içgörü uç noktasına telemetri verileri gönderen eklenti. |
21Vianet tarafından sağlanan Microsoft Azure gerekli FQDN / uygulama kuralları
| FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Bu adres Kubernetes ilkelerini çekmek ve küme uyumluluk durumunu ilke hizmetine bildirmek için kullanılır. |
store.policy.azure.cn |
HTTPS:443 |
Bu adres, yerleşik ilkelerin Ağ Geçidi Denetleyicisi yapıtlarını çekmek için kullanılır. |
Azure US Government için gerekli FQDN / uygulama kuralları
| FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Bu adres Kubernetes ilkelerini çekmek ve küme uyumluluk durumunu ilke hizmetine bildirmek için kullanılır. |
store.policy.azure.us |
HTTPS:443 |
Bu adres, yerleşik ilkelerin Ağ Geçidi Denetleyicisi yapıtlarını çekmek için kullanılır. |
AKS maliyet analizi eklentisi
Gerekli FQDN / uygulama kuralları
| FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
management.azure.com management.usgovcloudapi.net(Azure Kamu)management.chinacloudapi.cn (21Vianet tarafından sağlanan Azure) |
HTTPS:443 |
Azure API'sine karşı Kubernetes işlemleri için gereklidir. |
login.microsoftonline.com login.microsoftonline.us(Azure Kamu)login.microsoftonline.cn (21Vianet tarafından sağlanan Azure) |
HTTPS:443 |
Microsoft Entra Id kimlik doğrulaması için gereklidir. |
Küme uzantıları
Gerekli FQDN / uygulama kuralları
| FQDN | Liman | Kullanma |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Bu adres, Küme Uzantıları hizmetinden yapılandırma bilgilerini getirmek ve uzantı durumunu hizmete bildirmek için kullanılır. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Aks kümesine küme uzantısı aracılarını yüklemek için kapsayıcı görüntülerini çekmek için bu adres gereklidir. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Aks kümesine market uzantıları yüklemek için kapsayıcı görüntülerini çekmek için bu adres gereklidir. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Bu adres Orta Hindistan bölgesel veri uç noktasına yöneliktir ve AKS kümesine market uzantıları yüklemek için kapsayıcı görüntülerini çekmek için gereklidir. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Bu adres Doğu Japonya bölgesel veri uç noktasına yöneliktir ve AKS kümesine market uzantıları yüklemek için kapsayıcı görüntülerini çekmek için gereklidir. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Bu adres Batı ABD2 bölgesel veri uç noktasına yöneliktir ve AKS kümesine market uzantıları yüklemek için kapsayıcı görüntülerini çekmek için gereklidir. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Bu adres Batı Avrupa bölgesel veri uç noktasına yöneliktir ve AKS kümesine market uzantıları yüklemek için kapsayıcı görüntülerini çekmek için gereklidir. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Bu adres Doğu ABD bölgesel veri uç noktasına yöneliktir ve AKS kümesine market uzantıları yüklemek için kapsayıcı görüntülerini çekmek için gereklidir. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Bu adres, aracı ölçüm verilerini Azure'a göndermek için kullanılır. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Bu adres, ticari ölçüm API'sine özel ölçüm tabanlı kullanım göndermek için kullanılır. |
Azure US Government için gerekli FQDN / uygulama kuralları
| FQDN | Bağlantı noktası | Kullanma |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Bu adres, Küme Uzantıları hizmetinden yapılandırma bilgilerini getirmek ve uzantı durumunu hizmete bildirmek için kullanılır. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Aks kümesine küme uzantısı aracılarını yüklemek için kapsayıcı görüntülerini çekmek için bu adres gereklidir. |
Not
Burada açıkça belirtilmeyen tüm eklentiler için temel gereksinimler bunu kapsar.
Istio tabanlı hizmet ağı eklentisi
Istio=tabanlı hizmet ağı eklentisinde, eklenti sertifika yetkilisi (CA) ile istiod kuruyorsanız veya güvenli giriş ağ geçidi ayarlıyorsanız, bu özellikler için Gizli Dizi Deposu CSI Sürücüsü için Azure Key Vault sağlayıcısı gereklidir. Gizli Dizi Deposu CSI Sürücüsü için Azure Key Vault sağlayıcısına yönelik giden ağ gereksinimleri burada bulunabilir.
Uygulama yönlendirme eklentisi
Uygulama yönlendirme eklentisi, Azure Key Vault'ta depolanan sertifikalarla girişte SSL sonlandırmayı destekler. Gizli Dizi Deposu CSI Sürücüsü için Azure Key Vault sağlayıcısına yönelik giden ağ gereksinimleri burada bulunabilir.
Sonraki adımlar
Bu makalede, küme için çıkış trafiğini kısıtlamak istiyorsanız izin vermek istediğiniz bağlantı noktalarını ve adresleri öğrendiniz.
Podların kendi aralarında iletişim kurma şeklini ve küme içindeki Doğu-Batı trafik kısıtlamalarını kısıtlamak istiyorsanız bkz. AKS'de ağ ilkelerini kullanarak podlar arasındaki trafiğin güvenliğini sağlama.
Azure Kubernetes Service