Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведены необходимые сведения, позволяющие защитить исходящий трафик из службы Azure Kubernetes (AKS). Он содержит требования к кластеру для базового развертывания AKS и дополнительные требования к дополнительным надстройкам и функциям. Эти сведения можно применить к любому методу ограничения исходящего трафика или устройству.
Чтобы просмотреть пример конфигурации с помощью брандмауэра Azure, посетите Контролируйте исходящий трафик с помощью Azure Firewall в AKS.
Предыстория
Кластеры AKS развертываются в виртуальной сети. Эту сеть можно настроить и предварительно сконфигурировать вами или создать и управлять ею AKS. В любом случае кластер имеет исходящие или исходящие зависимости от служб за пределами виртуальной сети.
Для управления и эксплуатации узлы в кластере AKS должны получить доступ к определенным портам и полным доменным именам (FQDN). Эти конечные точки необходимы для взаимодействия узлов с сервером API или для скачивания и установки основных компонентов кластера Kubernetes и обновлений безопасности узлов. Например, кластеру необходимо извлечь образы контейнеров из Реестра артефактов Майкрософт (MAR).
Исходящие зависимости AKS почти полностью определены с FQDN, которые не поддерживают статические адреса. Отсутствие статических адресов означает, что группы безопасности сети (NSG) нельзя использовать для блокировки исходящего трафика из кластера AKS.
По умолчанию кластеры AKS имеют неограниченный исходящий доступ к Интернету. Такой уровень сетевого доступа позволяет работающим узлам и службам обращаться к внешним ресурсам по мере необходимости. Если вы хотите ограничить исходящий трафик, нужно сохранить доступ для ограниченного числа портов и адресов, чтобы обеспечить работоспособность для задач обслуживания кластера.
Изолированный кластер AKS сети предоставляет самое простое и наиболее безопасное решение для настройки ограничений исходящего трафика для кластера из коробки. Изолированный сетевой кластер извлекает образы для компонентов кластера и надстроек из частного экземпляра Реестра контейнеров Azure (ACR), подключенного к кластеру, а не извлекает из MAR. Если образы отсутствуют, частный ACR загружает их из MAR и предоставляет доступ к ним через свою частную конечную точку, устраняя необходимость включения исходящего трафика из кластера к общедоступной конечной точке MAR. Затем оператор кластера может постепенно настроить разрешенный исходящий трафик безопасно через частную сеть для каждого сценария, который требуется включить. Таким образом, операторы кластера полностью контролируют проектирование разрешенного исходящего трафика из своих кластеров прямо с начала, что позволяет им снизить риск кражи данных.
Другим решением для защиты исходящих адресов является использование устройства брандмауэра, которое может управлять исходящим трафиком на основе доменных имен. Брандмауэр Azure может ограничить исходящий трафик HTTP и HTTPS на основе полного доменного имени назначения. Вы также можете настроить разрешения для этих портов и адресов в выбранном брандмауэре и в правилах безопасности.
Это важно
В этом документе описывается только блокировка трафика, покидающего подсеть AKS. AKS по умолчанию не имеет требований к входящему трафику. Блокировка внутреннего трафика подсети с помощью групп безопасности сети (NSG) и брандмауэров не поддерживается. Чтобы контролировать и блокировать трафик в кластере, см. раздел "Безопасный трафик между подами, используя сетевые политики в AKS".
Обязательные правила исходящей сети и полные доменные имена для кластеров AKS
Для кластера AKS требуются следующие правила сети и правила FQDN/приложений. Их можно использовать, если вы хотите настроить решение, отличное от брандмауэра Azure.
- Зависимости IP-адресов предназначены для трафика, отличного от HTTP/S (как TCP, так и трафика UDP).
- Конечные точки HTTP/HTTPS FQDN можно поместить на устройство брандмауэра.
- Универсальные конечные точки HTTP/HTTPS являются зависимостями, которые могут варьироваться в зависимости от ряда критериев в вашем кластере AKS.
- AKS использует контроллер допуска для внедрения FQDN (полное доменное имя) в качестве переменной среды для всех развертываний внутри систем kube-system и gatekeeper-system. Это гарантирует, что все системные связи между узлами и сервером API используют полное доменное имя сервера API, а не IP-адрес сервера API. Вы можете добиться такого же поведения на своих pod в любом пространстве имен, добавив в спецификацию pod аннотацию с названием
kubernetes.azure.com/set-kube-service-host-fqdn. Если эта заметка присутствует, AKS установит переменную KUBERNETES_SERVICE_HOST имя домена сервера API вместо IP-адреса службы в кластере. Это полезно в случаях, когда исходящий трафик кластера осуществляется через брандмауэр уровня 7. - Если у вас есть приложение или решение, которое должно взаимодействовать с сервером API, необходимо добавить дополнительное правило сети, чтобы разрешить tcp-связь через порт 443 IP-адреса сервера APIили , если у вас есть брандмауэр уровня 7, настроенный для разрешения трафика на доменное имя сервера API, задайте
kubernetes.azure.com/set-kube-service-host-fqdnв спецификациях pod. - В редких случаях, если есть операция обслуживания, IP-адрес сервера API может измениться. Запланированные операции обслуживания, которые могут изменить IP-адрес сервера API, всегда передаются заранее.
- Вы можете заметить трафик к конечной точке md-*.blob.storage.azure.net. Эта конечная точка используется для внутренних компонентов управляемых дисков Azure. Блокировка доступа к этой конечной точке из брандмауэра не должна вызывать никаких проблем.
- Вы можете заметить трафик к конечной точке umsa*.blob.core.windows.net. Эта конечная точка используется для хранения манифестов агента виртуальной машины Azure и расширений виртуальных машин Azure и регулярно проверяется для скачивания новых версий. Дополнительные сведения о расширениях виртуальных машин можно найти.
Глобальные обязательные правила сети Azure
| Конечная точка назначения | Протокол | Порт | Использование |
|---|---|---|---|
*:1194 или ServiceTag - AzureCloud.<Region>:1194 или Региональные идентификаторы CIDR - RegionCIDRs:1194 или APIServerPublicIP:1194
(only known after cluster creation)
|
UDP | 1194 | Для туннелированного безопасного взаимодействия между узлами и контрольной плоскостью. Это не требуется для частных кластеров или для кластеров с включенным агентом коннективности . |
*:9000 или ServiceTag - AzureCloud.<Region>:9000 или Региональные идентификаторы CIDR - RegionCIDRs:9000 или APIServerPublicIP:9000
(only known after cluster creation)
|
Протокол tcp | 9000 | Для туннелированного безопасного взаимодействия между узлами и контрольной плоскостью. Это не требуется для частных кластеров или для кластеров с включенным агентом коннективности . |
*:123 или ntp.ubuntu.com:123 (при использовании правил сети брандмауэра Azure) |
протокол пользовательских дейтаграмм (UDP) | 123 | Требуется для синхронизации времени протокола NTP на узлах Linux. Это не обязательно для узлов, подготовленных после марта 2021 г. |
CustomDNSIP:53
(if using custom DNS servers)
|
UDP | 53 | Если вы используете пользовательские DNS-серверы, необходимо убедиться, что они доступны узлами кластера. |
APIServerPublicIP:443
(if running pods/deployments, like Ingress Controller, that access the API Server)
|
Протокол tcp | 443 | Требуется, если запускаются pods/deployments, которые обращаются к серверу API (например, контроллер входящего трафика); эти pods/deployments будут использовать IP-адрес API. Этот порт не требуется для частных кластеров. |
Требуемые FQDN и правила приложений для Azure Global
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Требуется для взаимодействия с сервером API Node<>. Замените <расположение> регионом, в котором развернут кластер AKS. Это необходимо для кластеров с включенным агентом коннективности . Konnectivity также использует согласование протоколов через ALPN (Application-Layer Protocol Negotiation) для обмена данными между агентом и сервером. Блокировка или перезапись расширения ALPN приведет к сбою. Это не обязательно для частных кластеров. |
mcr.microsoft.com |
HTTPS:443 |
Требуется для доступа к образам в реестре контейнеров Майкрософт (MCR). Этот реестр содержит сторонние образы и диаграммы (например, coreDNS и т. д.). Эти образы необходимы для правильного создания и функционирования кластера, включая операции масштабирования и обновления. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Требуется для хранилища MCR, поддерживаемого сетью доставки содержимого Azure (CDN). |
management.azure.com |
HTTPS:443 |
Требуется для операций Kubernetes с API Azure. |
login.microsoftonline.com |
HTTPS:443 |
Требуется для аутентификации Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Этот адрес — это репозиторий пакетов Майкрософт, используемый для кэшированных операций apt-get . Примеры пакетов включают Moby, PowerShell и Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Этот адрес предназначен для репозитория, необходимого для скачивания и установки необходимых двоичных файлов, таких как kubenet и Azure CNI. |
packages.aks.azure.com |
HTTPS:443 |
Этот адрес будет заменен acs-mirror.azureedge.net в будущем и будет использоваться для скачивания и установки необходимых двоичных файлов Kubernetes и Azure CNI. |
Microsoft Azure под управлением 21Vianet требует сетевых правил.
| Конечная точка назначения | Протокол | Порт | Использование |
|---|---|---|---|
*:1194 или ServiceTag - AzureCloud.Region:1194 или Региональные идентификаторы CIDR - RegionCIDRs:1194 или APIServerPublicIP:1194
(only known after cluster creation)
|
UDP | 1194 | Для туннелированной безопасной связи между узлами и контрольной плоскостью. |
*:9000 или ServiceTag - AzureCloud.<Region>:9000 или Региональные идентификаторы CIDR - RegionCIDRs:9000 или APIServerPublicIP:9000
(only known after cluster creation)
|
Протокол tcp | 9000 | Для туннелированного безопасного взаимодействия между узлами и плоскостью управления. |
*:22 или ServiceTag - AzureCloud.<Region>:22 или Региональные идентификаторы CIDR - RegionCIDRs:22 или APIServerPublicIP:22
(only known after cluster creation)
|
Протокол tcp | двадцать два | Для туннелированного безопасного взаимодействия между узлами и плоскостями управления. |
*:123 или ntp.ubuntu.com:123 (при использовании правил сети брандмауэра Azure) |
UDP | 123 | Требуется для синхронизации времени протокола NTP на узлах Linux. |
CustomDNSIP:53
(if using custom DNS servers)
|
UDP | 53 | Если вы используете пользовательские DNS-серверы, необходимо убедиться, что они доступны узлами кластера. |
APIServerPublicIP:443
(if running pods/deployments, like Ingress Controller, that access the API Server)
|
Протокол tcp | 443 | Требуется, если выполняются pods/deployments, обращающихся к серверу API (например, Ingress Controller), эти модули будут использовать IP-адрес API. |
Microsoft Azure, управляемая 21Vianet, требует FQDN и правил приложения.
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Требуется для взаимодействия с сервером API Node<>. Замените <расположение> регионом, в котором развернут кластер AKS. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Требуется для связи с API-сервером Node<>. Замените <расположение> регионом, в котором развернут кластер AKS. |
mcr.microsoft.com |
HTTPS:443 |
Требуется для доступа к образам в реестре контейнеров Майкрософт (MCR). Этот реестр содержит сторонние образы и диаграммы (например, coreDNS и т. д.). Эти образы необходимы для правильного создания и функционирования кластера, включая операции масштабирования и обновления. |
.data.mcr.microsoft.com |
HTTPS:443 |
Требуется для хранилища MCR, поддерживаемого сетью доставки содержимого Azure (CDN). |
management.chinacloudapi.cn |
HTTPS:443 |
Требуется для операций Kubernetes с API Azure. |
login.chinacloudapi.cn |
HTTPS:443 |
Требуется для аутентификации Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Этот адрес — это репозиторий пакетов Майкрософт, используемый для кэшированных операций apt-get . Примеры пакетов включают Moby, PowerShell и Azure CLI. |
*.azk8s.cn |
HTTPS:443 |
Этот адрес предназначен для репозитория, необходимого для скачивания и установки необходимых двоичных файлов, таких как kubenet и Azure CNI. |
Обязательные сетевые правила Azure для правительства США
| Конечная точка назначения | Протокол | Порт | Использование |
|---|---|---|---|
*:1194 или ServiceTag - AzureCloud.<Region>:1194 или Региональные идентификаторы CIDR - RegionCIDRs:1194 или APIServerPublicIP:1194
(only known after cluster creation)
|
UDP | 1194 | Для туннелированной безопасной связи между узлами и контрольной плоскостью. |
*:9000 или ServiceTag - AzureCloud.<Region>:9000 или Региональные идентификаторы CIDR - RegionCIDRs:9000 или APIServerPublicIP:9000
(only known after cluster creation)
|
Протокол tcp | 9000 | Для туннелированного безопасного взаимодействия между узлами и контрольной плоскостью. |
*:123 или ntp.ubuntu.com:123 (при использовании правил сети брандмауэра Azure) |
UDP | 123 | Требуется для синхронизации времени протокола NTP на узлах Linux. |
CustomDNSIP:53
(if using custom DNS servers)
|
UDP | 53 | Если вы используете пользовательские DNS-серверы, необходимо убедиться, что они доступны узлами кластера. |
APIServerPublicIP:443
(if running pods/deployments, like Ingress Controller, that access the API Server)
|
Протокол tcp | 443 | Требуется, если выполняются pods/deployments, обращающиеся к серверу API (например, Ingress-контроллер); эти pods/deployments будут использовать IP-адрес API. |
Azure для государственных организаций США требуется полное доменное имя или правила приложения
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Требуется для взаимодействия с сервером API Node<>. Замените <расположение> регионом, в котором развернут кластер AKS. |
mcr.microsoft.com |
HTTPS:443 |
Требуется для доступа к образам в реестре контейнеров Майкрософт (MCR). Этот реестр содержит сторонние образы и диаграммы (например, coreDNS и т. д.). Эти образы необходимы для правильного создания и функционирования кластера, включая операции масштабирования и обновления. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Требуется для хранилища MCR, поддерживаемого сетью доставки содержимого Azure (CDN). |
management.usgovcloudapi.net |
HTTPS:443 |
Требуется для операций Kubernetes с API Azure. |
login.microsoftonline.us |
HTTPS:443 |
Требуется для проверки подлинности с помощью Microsoft Entra ID. |
packages.microsoft.com |
HTTPS:443 |
Этот адрес — это репозиторий пакетов Майкрософт, используемый для кэшированных операций apt-get . Примеры пакетов включают Moby, PowerShell и Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Этот адрес предназначен для репозитория, необходимого для установки необходимых двоичных файлов, таких как kubenet и Azure CNI. |
packages.aks.azure.com |
HTTPS:443 |
Этот адрес будет заменен acs-mirror.azureedge.net в будущем и будет использоваться для скачивания и установки необходимых двоичных файлов Kubernetes и Azure CNI. |
Необязательные рекомендуемые правила для FQDN и приложений в кластерах AKS
Для кластеров AKS следующие полные доменные имена или правила приложений не являются обязательными, но рекомендуются:
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
security.ubuntu.com, azure.archive.ubuntu.com, changelogs.ubuntu.com |
HTTP:80 |
Этот адрес позволяет узлам кластера Linux скачивать необходимые исправления безопасности и обновления. |
snapshot.ubuntu.com |
HTTPS:443 |
Этот адрес позволяет узлам кластера Linux скачивать необходимые исправления безопасности и обновления из службы моментальных снимков Ubuntu. |
Если вы решили блокировать или не разрешать эти полные доменные имена, узлы будут получать обновления ОС только при обновлении образа узла или обновлении кластера. Помните, что обновления образа узла также содержат обновленные пакеты с исправлениями безопасности.
Кластеры AKS с поддержкой GPU требуют как полное доменное имя (FQDN), так и правила приложения.
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Этот адрес используется для правильной установки и работы драйверов на узлах на основе GPU. |
us.download.nvidia.com |
HTTPS:443 |
Этот адрес используется для правильной установки и работы драйверов на узлах на основе GPU. |
download.docker.com |
HTTPS:443 |
Этот адрес используется для правильной установки и работы драйверов на узлах на основе GPU. |
Пулы узлов на основе Windows Server требуют полное доменное имя и правила приложения.
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Для установки бинарных файлов, связанных с Windows. |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Установка двоичных файлов, связанных с Windows |
Если вы решили блокировать или не разрешать эти полные доменные имена, узлы будут получать обновления ОС только при обновлении образа узла или обновлении кластера. Помните, что обновления образов узла также содержат пакеты с обновлениями, включая исправления безопасности.
Функции AKS, надстройки и интеграции
Идентификация рабочей нагрузки
Обязательный полный домен или правила приложения
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
login.microsoftonline.com или login.chinacloudapi.cn или login.microsoftonline.us |
HTTPS:443 |
Требуется для аутентификации Microsoft Entra. |
Microsoft Defender для контейнеров
Обязательный полный домен или правила приложения
| Полное доменное имя (FQDN) | Порт | Использование |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure для государственных организаций) login.microsoftonline.cn (Azure под управлением 21Vianet) |
HTTPS:443 |
Требуется для проверки подлинности Microsoft Entra. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure для государственных организаций) *.ods.opinsights.azure.cn (Azure под управлением 21Vianet) |
HTTPS:443 |
Требуется для отправки событий безопасности в облако в Microsoft Defender. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure для государственных организаций) *.oms.opinsights.azure.cn (Azure, управляемый 21Vianet) |
HTTPS:443 |
Требуется для аутентификации в рабочих пространствах Log Analytics. |
Поставщик Azure Key Vault для драйвера CSI для хранения секретов
При использовании изолированных сетевых кластеров рекомендуется настроить частную конечную точку для доступа к Azure Key Vault.
Если кластер имеет определяемую пользователем маршрутизацию исходящего типа и брандмауэр Azure, применяются следующие сетевые правила и правила приложения:
Обязательный полный домен или правила приложения
| Полное доменное имя (FQDN) | Порт | Использование |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Требуется для надстроек хранилища секретов CSI для взаимодействия с сервером Azure KeyVault. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Требуется для pod аддона хранилища секретов CSI для взаимодействия с сервером Azure KeyVault в Azure для государственных учреждений. |
Azure Monitor — Managed Prometheus и Container Insights
При использовании изолированных сетевых кластеров рекомендуется настраивать прием данных через частную конечную точку, что поддерживается как в управляемом сервисе Prometheus (рабочая область Azure Monitor), так и в аналитике контейнеров (рабочая область Log Analytics).
Если кластер имеет определяемую пользователем маршрутизацию исходящего типа и брандмауэр Azure, применяются следующие сетевые правила и правила приложения:
Обязательные сетевые правила
| Конечная точка назначения | Протокол | Порт | Использование |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
Протокол tcp | 443 | Эта конечная точка используется для отправки данных и журналов метрик в Azure Monitor и Log Analytics. |
Требуются полные доменные имена (FQDN) и правила приложения для общедоступного облака Azure
| Конечная точка | Цель | Порт |
|---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
Служба контроля доступа | 443 |
*.ingest.monitor.azure.com |
Container Insights — конечная точка приема журналов (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
Управляемая служба Azure Monitor для Prometheus — конечная точка приема метрик (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
Получение правил сбора данных для определенного кластера | 443 |
Microsoft Azure, управляемый облаком 21Vianet, требует полного доменного имени и/или правил приложения.
| Конечная точка | Цель | Порт |
|---|---|---|
*.ods.opinsights.azure.cn |
Прием данных | 443 |
*.oms.opinsights.azure.cn |
Подключение агента Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
Для телеметрии агентов, использующих Application Insights в общедоступном облаке Azure | 443 |
global.handler.control.monitor.azure.cn |
Служба контроля доступа | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
Получение правил сбора данных для определенного кластера | 443 |
*.ingest.monitor.azure.cn |
Container Insights — конечная точка приема журналов (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
Управляемая служба Azure Monitor для Prometheus — конечная точка приема метрик (DCE) | 443 |
Для облака Azure для государственных организаций требуется полное доменное имя или правила приложения
| Конечная точка | Цель | Порт |
|---|---|---|
*.ods.opinsights.azure.us |
Прием данных | 443 |
*.oms.opinsights.azure.us |
Подключение агента Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
Для телеметрии агентов, использующих Application Insights в общедоступном облаке Azure | 443 |
global.handler.control.monitor.azure.us |
Служба контроля доступа | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
Получение правил сбора данных для определенного кластера | 443 |
*.ingest.monitor.azure.us |
Container Insights — конечная точка приема журналов (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
Управляемая служба Azure Monitor для Prometheus — конечная точка приема метрик (DCE) | 443 |
Политика Azure
Обязательный полный домен / правила для приложений
| Полное доменное имя (FQDN) | Порт | Использование |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Этот адрес используется для извлечения политик Kubernetes и отчета о состоянии соответствия кластера службе политик. |
store.policy.core.windows.net |
HTTPS:443 |
Этот адрес используется для извлечения артефактов встроенных политик Gatekeeper. |
dc.services.visualstudio.com |
HTTPS:443 |
Надстройка политики Azure, которая отправляет данные телеметрии в конечную точку аналитики приложений. |
Microsoft Azure, управляемый 21Vianet, требуется полное доменное имя или правила приложения
| Полное доменное имя (FQDN) | Порт | Использование |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Этот адрес используется для извлечения политик Kubernetes и отчета о состоянии соответствия кластера службе политик. |
store.policy.azure.cn |
HTTPS:443 |
Этот адрес используется для извлечения артефактов Gatekeeper встроенных политик. |
Azure для государственных организаций США требуются полное доменное имя (FQDN) и правила приложения
| Полное доменное имя (FQDN) | Порт | Использование |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Этот адрес используется для извлечения политик Kubernetes и отчета о состоянии соответствия кластера службе политик. |
store.policy.azure.us |
HTTPS:443 |
Этот адрес используется для извлечения артефактов Gatekeeper, связанных со встроенными политиками. |
Надстройка для анализа затрат AKS
Обязательный полный домен или правила приложения
| Полное доменное имя (FQDN) | Порт | Использование |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Azure для государственных организаций) management.chinacloudapi.cn (Azure, управляемый 21Vianet) |
HTTPS:443 |
Требуется для операций Kubernetes с API Azure. |
login.microsoftonline.com login.microsoftonline.us (Azure для государственных организаций) login.microsoftonline.cn (Azure управляется компанией 21Vianet) |
HTTPS:443 |
Требуется для проверки подлинности идентификатора Microsoft Entra. |
Расширения кластера
Обязательный полный домен или правила приложения
| Полное доменное имя (FQDN) | Порт | Использование |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Этот адрес используется для получения сведений о конфигурации из службы расширений кластера и для передачи статуса расширения в службу. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Этот адрес необходим для извлечения образов контейнеров для установки агентов расширения кластера в кластере AKS. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Этот адрес необходим для извлечения образов контейнеров для установки расширений Marketplace в кластере AKS. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Этот адрес предназначен для конечной точки региональных данных Центральной Индии и требуется для извлечения образов контейнеров для установки расширений Marketplace в кластере AKS. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Этот адрес предназначен для региональной конечной точки данных Восточной Японии и требуется для извлечения образов контейнеров для установки расширений Marketplace в кластере AKS. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Этот адрес предназначен для конечной точки региональных данных в западной части США 2 и требуется для загрузки контейнерных образов для установки расширений Marketplace в кластере AKS. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Этот адрес предназначен для конечной точки региональных данных Западной Европы и требуется для извлечения образов контейнеров для установки расширений Marketplace в кластере AKS. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Этот адрес предназначен для конечной точки региональных данных восточного региона США и необходим для загрузки образов контейнеров при установке расширений Marketplace в кластере AKS. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Этот адрес используется для отправки данных метрик агентов в Azure. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Этот адрес используется для отправки данных об использовании, основанном на счетчиках, в торговый API учета. |
Azure US Government требует полное доменное имя (FQDN) или правила приложения
| Полное доменное имя (FQDN) | Порт | Использование |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Этот адрес используется для получения информации о конфигурации из службы расширений кластера и для отправки статуса расширения в службу. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Этот адрес необходим для извлечения образов контейнеров для установки агентов расширения кластера в кластере AKS. |
Примечание.
Для любых дополнений, которые не указаны здесь явно, основные требования охватывают их.
Надстройка сервисной сетки на основе Istio
В надстройке сетевой службы на основе Istio, если вы настраиваете istiod с помощью плагинового центра сертификации (ЦС) или если вы настраиваете безопасный шлюз входящего трафика, для этих функций требуется использование поставщика Azure Key Vault для драйвера CSI хранилища секретов. Требования к исходящей сети для поставщика Azure Key Vault для драйвера CSI хранилища секретов см. здесь.
Дополнение для маршрутизации приложений
Надстройка маршрутизации приложений поддерживает завершение SSL при входе с сертификатами, хранящимися в Azure Key Vault. Требования к исходящей сети для поставщика Azure Key Vault для драйвера CSI хранилища секретов см. здесь.
Дальнейшие действия
Из этой статьи вы узнали, какие порты и адреса нужно разрешить при ограничении исходящего трафика для кластера.
Если вы хотите ограничить взаимодействие модулей pod между собой и East-West ограничения трафика в кластере, просмотрите безопасный трафик между модулями pod с помощью политик сети в AKS.
Совместная работа с нами на GitHub
Источник этого содержимого можно найти на GitHub, где также можно создавать и просматривать проблемы и запросы на вытягивание. Дополнительные сведения см. в нашем руководстве для участников.
Azure Kubernetes Service