Freigeben über


Ausgehende Netzwerk- und FQDN-Regeln für Azure Kubernetes Service-Cluster (AKS)

In diesem Artikel werden die erforderlichen Details zum Schutz des ausgehenden Datenverkehrs von Azure Kubernetes Service (AKS) behandelt. Er enthält die Clusteranforderungen für eine grundlegende AKS-Bereitstellung sowie zusätzliche Anforderungen für optionale Add-Ons und Features. Diese Informationen sind auf jede Einschränkungsmethode oder Appliance für ausgehenden Datenverkehr anwendbar.

Eine Beispielkonfiguration mit Azure Firewall finden Sie unter Steuern des ausgehenden Datenverkehrs mithilfe von Azure Firewall in AKS.

Hintergrund

AKS-Cluster werden in einem virtuellen Netzwerk bereitgestellt. Dieses Netzwerk kann von Ihnen angepasst und vorkonfiguriert oder von AKS erstellt und verwaltet werden. In beiden Fällen weist der Cluster ausgehende Abhängigkeiten von Diensten außerhalb des virtuellen Netzwerks auf.

Zu Verwaltungs- und Betriebszwecken müssen Knoten in einem AKS-Cluster auf bestimmte Ports und vollqualifizierte Domänennamen (FQDNs) zugreifen. Diese Endpunkte sind erforderlich, damit die Knoten mit dem API-Server kommunizieren oder Kernkomponenten des Kubernetes-Clusters sowie Sicherheitsupdates für Knoten heruntergeladen und installiert werden können. So müssen von dem Cluster beispielsweise Containerimages aus der Microsoft-Artefaktregistrierung (MAR) abgerufen werden.

Die AKS-Abhängigkeiten für ausgehenden Datenverkehr werden fast ausschließlich mit FQDNs definiert, hinter denen sich keine statischen Adressen befinden. Das Fehlen statischer Adressen bedeutet, dass Sie keine Netzwerksicherheitsgruppen (NSGs) verwenden können, um den ausgehenden Datenverkehr eines AKS-Clusters zu sperren.

Standardmäßig haben AKS-Cluster uneingeschränkten ausgehenden Internetzugriff. Diese Ebene des Netzwerkzugriffs ermöglicht, dass ausgeführte Knoten und Dienste nach Bedarf auf externe Ressourcen zugreifen können. Wenn Sie den ausgehenden Datenverkehr einschränken möchten, muss eine begrenzte Anzahl von Ports und Adressen zugänglich sein, um fehlerfreie Clusterwartungsaufgaben verwalten zu können.

Ein vom Netzwerk isolierter AKS-Cluster bietet die einfachste und sicherste Lösung für das Einrichten ausgehender Einschränkungen für einen Cluster, da keine zusätzliche Konfiguration erforderlich. Ein vom Netzwerk isolierter Cluster pullt die Images für Clusterkomponenten und Add-ons aus einer privaten Azure Container Registry (ACR)-Instanz abzurufen, die mit dem Cluster verbunden ist, anstatt von der MAR zu pullen. Wenn die Images nicht vorhanden sind, ruft die private ACR sie von MAR ab und stellt sie über ihren privaten Endpunkt zu, ohne dass ausgehender Datenverkehr vom Cluster zum öffentlichen MAR-Endpunkt aktiviert werden muss. Der Clusteroperator kann dann inkrementell zulässigen ausgehenden Datenverkehr sicher über ein privates Netzwerk für jedes Szenario einrichten, das aktiviert werden soll. Auf diese Weise haben die Clusteroperatoren von Anfang an die vollständige Kontrolle über das Entwerfen des zulässigen ausgehenden Datenverkehrs von ihren Clustern, sodass sie das Risiko der Datenexfiltration reduzieren können.

Eine andere Lösung zum Schutz ausgehender Adressen besteht in der Verwendung eines Firewallgeräts, das den ausgehenden Datenverkehr auf der Grundlage von Domänennamen kontrolliert. Azure Firewall kann ausgehenden HTTP- und HTTPS-Datenverkehr basierend auf den FQDN des Ziels beschränken. Darüber hinaus können Sie Ihre bevorzugten Firewall- und Sicherheitsregeln konfigurieren, um diese erforderlichen Ports und Adressen zuzulassen.

Wichtig

In diesem Dokument wird lediglich erläutert, wie der ausgehende Datenverkehr aus dem AKS-Subnetz gesperrt wird. Für AKS gelten standardmäßig keine Anforderungen für eingehenden Datenverkehr. Das Blockieren von internem Datenverkehr im Subnetz mithilfe von Netzwerksicherheitsgruppen (NSGs) und Firewalls wird nicht unterstützt. Informationen zum Steuern und Blockieren des Datenverkehrs innerhalb des Clusters finden Sie unter Sicherer Datenverkehr zwischen Pods und Netzwerkrichtlinien in in AKS.

Erforderliche Netzwerkregeln für ausgehenden Datenverkehr und FQDNs für AKS-Cluster

Die folgenden Netzwerk- und FQDN-/Anwendungsregeln sind für einen AKS-Cluster erforderlich. Sie können diese verwenden, wenn Sie eine andere Lösung als Azure Firewall konfigurieren möchten.

  • IP-Adressabhängigkeiten gelten für Nicht-HTTP/S-Datenverkehr (TCP- und UDP-Datenverkehr).
  • FQDN-HTTP/HTTPS-Endpunkte können in Ihrem Firewallgerät bereitgestellt werden.
  • HTTP/HTTPS-Platzhalterendpunkte sind Abhängigkeiten, die sich je nach AKS-Cluster unterscheiden können (basierend auf einer Reihe von Qualifizierern).
  • AKS verwendet einen Zugangscontroller, um den FQDN als Umgebungsvariable in alle Bereitstellungen unter kube-system und gatekeeper-system zu injizieren. Dadurch wird sichergestellt, dass die gesamte Systemkommunikation zwischen Knoten und API-Server den FQDN des API-Servers und nicht die IP des API-Servers verwendet. Sie können dasselbe Verhalten bei Ihren eigenen Pods in jedem beliebigen Namespace erreichen, indem Sie die Podspezifikation mit einer Anmerkung namens kubernetes.azure.com/set-kube-service-host-fqdn kommentieren. Wenn diese Anmerkung vorhanden ist, legt AKS die Variable KUBERNETES_SERVICE_HOST auf den Domänennamen des API-Servers fest, nicht auf die clusterinterne Dienst-IP. Dies ist in Fällen hilfreich, in denen der ausgehende Datenverkehr aus dem Cluster über eine Layer-7-Firewall gesendet wird.
  • Wenn Sie über eine App oder Lösung verfügen, die mit dem API-Server kommunizieren muss, müssen Sie entweder eine zusätzliche Netzwerkregel hinzufügen, um die TCP-Kommunikation mit Port 443 der IP-Adresse Ihres API-Servers zulassen, ODER Sie müssen kubernetes.azure.com/set-kube-service-host-fqdn in Ihren Podspezifikationen festlegen, wenn Sie über eine Layer-7-Firewall verfügen, die so konfiguriert ist, dass Datenverkehr zum Domänennamen des API-Servers zugelassen ist.
  • In seltenen Fällen kann sich die IP-Adresse Ihres API-Servers aufgrund eines Wartungsvorgang ändern. Geplante Wartungsvorgänge, bei denen sich die IP-Adresse des API-Servers ändern kann, werden immer vorab kommuniziert.
  • Möglicherweise bemerken Sie Datenverkehr zum Endpunkt „md-*.blob.storage.azure.net“. Dieser Endpunkt wird für interne Komponenten von Azure Managed Disks verwendet. Das Blockieren des Zugriffs auf diesen Endpunkt über Ihre Firewall sollte keine Probleme verursachen.
  • Möglicherweise bemerken Sie Datenverkehr zum Endpunkt „umsa*.blob.core.windows.net“. Dieser Endpunkt wird verwendet, um Manifeste für Azure Linux VM Agent & Extensions zu speichern, und wird regelmäßig überprüft, um neue Versionen herunterzuladen. Weitere Informationen finden Sie unter VM-Erweiterungen.

Für Azure Global benötigte Netzwerkregeln

Zielendpunkt Protokoll Port Zweck
*:1194
Oder
ServiceTag - AzureCloud.<Region>:1194
Oder
Regionale CIDRs - RegionCIDRs:1194
Oder
APIServerPublicIP:1194 (only known after cluster creation)
UDP 1.194 Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene Dies ist nicht für private Cluster oder für Cluster mit aktivierter konnectivity-agent-Option erforderlich.
*:9000
Oder
ServiceTag - AzureCloud.<Region>:9000
Oder
Regionale CIDRs - RegionCIDRs:9000
Oder
APIServerPublicIP:9000 (only known after cluster creation)
TCP 9000 Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene Dies ist nicht für private Cluster oder für Cluster mit aktivierter konnectivity-agent-Option erforderlich.
*:123 oder ntp.ubuntu.com:123 (bei Verwendung von Azure Firewall-Netzwerkregeln) UDP 123 Erforderlich für die NTP-Zeitsynchronisierung (Network Time Protocol) auf Linux-Knoten Dies ist für Knoten, die nach März 2021 bereitgestellt wurden, nicht erforderlich.
CustomDNSIP:53 (if using custom DNS servers) UDP 53 Bei Verwendung benutzerdefinierter DNS-Server müssen die Clusterknoten auf diese Server zugreifen können.
APIServerPublicIP:443 (if running pods/deployments that access the API Server) TCP 443 Erforderlich bei Verwendung von Pods/Bereitstellungen, die auf den API-Server zugreifen. Von diesen Pods/Bereitstellungen wird die API-IP-Adresse verwendet. Dieser Port ist für private Cluster nicht erforderlich.

Für Azure Global benötigte FQDNs/Anwendungsregeln

Ziel-FQDN Port Zweck
*.hcp.<location>.azmk8s.io HTTPS:443 Erforderlich für die Kommunikation mit dem Knoten <-> API-Server. Ersetzen Sie <location> durch die Region, in der Ihr AKS-Cluster bereitgestellt wurde. Dies ist für Cluster mit aktiviertem konnectivity-agent erforderlich. Konnectivity verwendet auch ALPN (Application-Layer Protocol Negotiation) für sie Kommunikation zwischen Agent und Server. Das Blockieren oder erneute Schreiben der ALPN-Erweiterung führt zu einem Fehler. Dies ist für private Cluster nicht erforderlich.
mcr.microsoft.com HTTPS:443 Erforderlich für den Zugriff auf Images in Microsoft Container Registry (MCR). Diese Registrierung enthält Images/Diagramme von Erstanbietern (beispielsweise coreDNS usw.). Diese Images sind für die korrekte Erstellung und Funktionsweise des Clusters erforderlich (unter anderem für Skalierungs- und Upgradevorgänge).
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net HTTPS:443 Erforderlich für den auf Azure Content Delivery Network (CDN) basierenden MCR-Speicher.
management.azure.com HTTPS:443 Erforderlich für Kubernetes-Vorgänge für die Azure-API.
login.microsoftonline.com HTTPS:443 Erforderlich für die Microsoft Entra-Authentifizierung.
packages.microsoft.com HTTPS:443 Diese Adresse ist das Microsoft-Paketrepository, das für zwischengespeicherte apt-get-Vorgänge verwendet wird. Beispielpakete sind Moby, PowerShell und Azure CLI.
acs-mirror.azureedge.net HTTPS:443 Hierbei handelt es sich um die Adresse für das Repository, das zum Herunterladen und Installieren erforderlicher Binärdateien wie kubenet und Azure CNI benötigt wird.

Erforderliche Netzwerkregeln für Microsoft Azure, betrieben von 21Vianet

Zielendpunkt Protokoll Port Zweck
*:1194
Oder
ServiceTag - AzureCloud.Region:1194
Oder
Regionale CIDRs - RegionCIDRs:1194
Oder
APIServerPublicIP:1194 (only known after cluster creation)
UDP 1.194 Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene
*:9000
Oder
ServiceTag - AzureCloud.<Region>:9000
Oder
Regionale CIDRs - RegionCIDRs:9000
Oder
APIServerPublicIP:9000 (only known after cluster creation)
TCP 9000 Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene
*:22
Oder
ServiceTag - AzureCloud.<Region>:22
Oder
Regionale CIDRs - RegionCIDRs:22
Oder
APIServerPublicIP:22 (only known after cluster creation)
TCP 22 Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene
*:123 oder ntp.ubuntu.com:123 (bei Verwendung von Azure Firewall-Netzwerkregeln) UDP 123 Erforderlich für die NTP-Zeitsynchronisierung (Network Time Protocol) auf Linux-Knoten
CustomDNSIP:53 (if using custom DNS servers) UDP 53 Bei Verwendung benutzerdefinierter DNS-Server müssen die Clusterknoten auf diese Server zugreifen können.
APIServerPublicIP:443 (if running pods/deployments that access the API Server) TCP 443 Erforderlich bei Verwendung von Pods/Bereitstellungen, die auf den API-Server zugreifen. Von diesen Pods/Bereitstellungen wird die API-IP-Adresse verwendet.

Erforderliche FQDN-/Anwendungsregeln für Microsoft Azure, betrieben von 21Vianet

Ziel-FQDN Port Zweck
*.hcp.<location>.cx.prod.service.azk8s.cn HTTPS:443 Erforderlich für die Kommunikation mit dem Knoten <-> API-Server. Ersetzen Sie <location> durch die Region, in der Ihr AKS-Cluster bereitgestellt wurde.
*.tun.<location>.cx.prod.service.azk8s.cn HTTPS:443 Erforderlich für die Kommunikation mit dem Knoten <-> API-Server. Ersetzen Sie <location> durch die Region, in der Ihr AKS-Cluster bereitgestellt wurde.
mcr.microsoft.com HTTPS:443 Erforderlich für den Zugriff auf Images in Microsoft Container Registry (MCR). Diese Registrierung enthält Images/Diagramme von Erstanbietern (beispielsweise coreDNS usw.). Diese Images sind für die korrekte Erstellung und Funktionsweise des Clusters erforderlich (unter anderem für Skalierungs- und Upgradevorgänge).
.data.mcr.microsoft.com HTTPS:443 Erforderlich für den auf Azure Content Delivery Network (CDN) basierenden MCR-Speicher.
management.chinacloudapi.cn HTTPS:443 Erforderlich für Kubernetes-Vorgänge für die Azure-API.
login.chinacloudapi.cn HTTPS:443 Erforderlich für die Microsoft Entra-Authentifizierung.
packages.microsoft.com HTTPS:443 Diese Adresse ist das Microsoft-Paketrepository, das für zwischengespeicherte apt-get-Vorgänge verwendet wird. Beispielpakete sind Moby, PowerShell und Azure CLI.
*.azk8s.cn HTTPS:443 Hierbei handelt es sich um die Adresse für das Repository, das zum Herunterladen und Installieren erforderlicher Binärdateien wie kubenet und Azure CNI benötigt wird.

Für Azure US Government benötigte Netzwerkregeln

Zielendpunkt Protokoll Port Zweck
*:1194
Oder
ServiceTag - AzureCloud.<Region>:1194
Oder
Regionale CIDRs - RegionCIDRs:1194
Oder
APIServerPublicIP:1194 (only known after cluster creation)
UDP 1.194 Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene
*:9000
Oder
ServiceTag - AzureCloud.<Region>:9000
Oder
Regionale CIDRs - RegionCIDRs:9000
Oder
APIServerPublicIP:9000 (only known after cluster creation)
TCP 9000 Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene
*:123 oder ntp.ubuntu.com:123 (bei Verwendung von Azure Firewall-Netzwerkregeln) UDP 123 Erforderlich für die NTP-Zeitsynchronisierung (Network Time Protocol) auf Linux-Knoten
CustomDNSIP:53 (if using custom DNS servers) UDP 53 Bei Verwendung benutzerdefinierter DNS-Server müssen die Clusterknoten auf diese Server zugreifen können.
APIServerPublicIP:443 (if running pods/deployments that access the API Server) TCP 443 Erforderlich bei Verwendung von Pods/Bereitstellungen, die auf den API-Server zugreifen. Von diesen Pods/Bereitstellungen wird die API-IP-Adresse verwendet.

Für Azure US Government benötigte FQDNs/Anwendungsregeln

Ziel-FQDN Port Zweck
*.hcp.<location>.cx.aks.containerservice.azure.us HTTPS:443 Erforderlich für die Kommunikation mit dem Knoten <-> API-Server. Ersetzen Sie <location> durch die Region, in der Ihr AKS-Cluster bereitgestellt wurde.
mcr.microsoft.com HTTPS:443 Erforderlich für den Zugriff auf Images in Microsoft Container Registry (MCR). Diese Registrierung enthält Images/Diagramme von Erstanbietern (beispielsweise coreDNS usw.). Diese Images sind für die korrekte Erstellung und Funktionsweise des Clusters erforderlich (unter anderem für Skalierungs- und Upgradevorgänge).
*.data.mcr.microsoft.com HTTPS:443 Erforderlich für den auf Azure Content Delivery Network (CDN) basierenden MCR-Speicher.
management.usgovcloudapi.net HTTPS:443 Erforderlich für Kubernetes-Vorgänge für die Azure-API.
login.microsoftonline.us HTTPS:443 Erforderlich für die Microsoft Entra-Authentifizierung.
packages.microsoft.com HTTPS:443 Diese Adresse ist das Microsoft-Paketrepository, das für zwischengespeicherte apt-get-Vorgänge verwendet wird. Beispielpakete sind Moby, PowerShell und Azure CLI.
acs-mirror.azureedge.net HTTPS:443 Diese Adresse ist für das Repository, das zum Installieren erforderlicher Binärdateien wie kubenet und Azure CNI benötigt wird.

Die folgenden vollqualifizierten Domänennamen und Anwendungsregeln sind nicht erforderlich, werden jedoch für AKS-Cluster empfohlen:

Ziel-FQDN Port Zweck
security.ubuntu.com, azure.archive.ubuntu.com, changelogs.ubuntu.com HTTP:80 Über diese Adresse können die Linux-Clusterknoten die erforderlichen Sicherheitspatches und Updates herunterladen.
snapshot.ubuntu.com HTTPS:443 Mit dieser Adresse können die Linux-Clusterknoten die erforderlichen Sicherheitspatches und Updates aus dem Ubuntu-Snapshot-Dienst herunterladen.

Wenn Sie diese FQDNs blockieren/nicht zulassen, erhalten die Knoten nur Betriebssystemupdates, wenn Sie ein Upgrade für Knotenimages oder ein Clusterupgrade durchführen. Beachten Sie, dass Upgrades für Knotenimages auch aktualisierte Pakete enthalten, einschließlich Sicherheitskorrekturen.

GPU-fähige AKS-Cluster, die FQDN-/Anwendungsregeln erforderten

Ziel-FQDN Port Zweck
nvidia.github.io HTTPS:443 Diese Adresse wird für die ordnungsgemäße Treiberinstallation und -ausführung für GPU-basierte Knoten verwendet.
us.download.nvidia.com HTTPS:443 Diese Adresse wird für die ordnungsgemäße Treiberinstallation und -ausführung für GPU-basierte Knoten verwendet.
download.docker.com HTTPS:443 Diese Adresse wird für die ordnungsgemäße Treiberinstallation und -ausführung für GPU-basierte Knoten verwendet.

Windows Server-basierte Knotenpools erforderten FQDN-/Anwendungsregeln

Ziel-FQDN Port Zweck
onegetcdn.azureedge.net, go.microsoft.com HTTPS:443 Zum Installieren Windows-bezogener Binärdateien
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com HTTP:80 Zum Installieren Windows-bezogener Binärdateien

Wenn Sie diese FQDNs blockieren/nicht zulassen, erhalten die Knoten nur Betriebssystemupdates, wenn Sie ein Upgrade für Knotenimages oder ein Clusterupgrade durchführen. Beachten Sie, dass Upgrades für Knotenimages auch aktualisierte Pakete enthalten, einschließlich Sicherheitskorrekturen.

AKS-Features, -Add-Ons und -Integrationen

Workloadidentität

Benötigte FQDNs/Anwendungsregeln

Ziel-FQDN Port Zweck
login.microsoftonline.com oder login.chinacloudapi.cn oder login.microsoftonline.us HTTPS:443 Erforderlich für die Microsoft Entra-Authentifizierung.

Microsoft Defender für Container

Benötigte FQDNs/Anwendungsregeln

FQDN Port Zweck
login.microsoftonline.com
login.microsoftonline.us (Azure Government)
login.microsoftonline.cn (Azure, betrieben von 21Vianet)
HTTPS:443 Erforderlich für die Microsoft Entra-Authentifizierung.
*.ods.opinsights.azure.com
*.ods.opinsights.azure.us (Azure Government)
*.ods.opinsights.azure.cn (Azure, betrieben von 21Vianet)
HTTPS:443 Erforderlich, damit Microsoft Defender sicherheitsrelevante Ereignisse in die Cloud hochlädt
*.oms.opinsights.azure.com
*.oms.opinsights.azure.us (Azure Government)
*.oms.opinsights.azure.cn (Azure, betrieben von 21Vianet)
HTTPS:443 Erforderlich für die Authentifizierung mit Log Analytics-Arbeitsbereichen

Azure Key Vault-Anbieter für den Secrets Store CSI-Treiber

Wenn Sie isolierte Netzwerkcluster verwenden, empfiehlt es sich, einen privaten Endpunkt für den Zugriff auf Azure Key Vault einzurichten.

Wenn Ihr Cluster über benutzerdefiniertes Routing vom Typ „Ausgehend” und Azure Firewall verfügt, gelten die folgenden Netzwerkregeln und Anwendungsregeln:

Benötigte FQDNs/Anwendungsregeln

FQDN Port Zweck
vault.azure.net HTTPS:443 Erforderlich für Add-On-Pods des CSI-Geheimnisspeichers, um mit dem Azure KeyVault-Server zu kommunizieren.
*.vault.usgovcloudapi.net HTTPS:443 Erforderlich für Add-On-Pods des CSI-Geheimnisspeichers, um mit dem Azure KeyVault-Server in Azure Government zu kommunizieren.

Azure Monitor: Prometheus und Container-Erkenntnisse

Bei der Verwendung von netzwerkisolierten Clustern wird empfohlen, eine auf privaten Endpunkten basierte Erfassung einzurichten, die sowohl für Managed Prometheus (Azure Monitor-Arbeitsbereich) als auch für Container-Insights (Log Analytics-Arbeitsbereich) unterstützt wird.

Wenn Ihr Cluster über benutzerdefiniertes Routing vom Typ „Ausgehend” und Azure Firewall verfügt, gelten die folgenden Netzwerkregeln und Anwendungsregeln:

Benötigte Netzwerkregeln

Zielendpunkt Protokoll Port Zweck
ServiceTag - AzureMonitor:443 TCP 443 Dieser Endpunkt dient zum Senden von Metrikdaten und Protokollen an Azure Monitor und Log Analytics.

Für öffentliche Azure-Cloud benötigte FQDNs/Anwendungsregeln

Endpunkt Zweck Port
*.ods.opinsights.azure.com 443
*.oms.opinsights.azure.com 443
dc.services.visualstudio.com 443
*.monitoring.azure.com 443
login.microsoftonline.com 443
global.handler.control.monitor.azure.com Zugriffssteuerungsdienst 443
*.ingest.monitor.azure.com Containereinblicke – Protokollaufnahmeendpunkt (DCE) 443
*.metrics.ingest.monitor.azure.com Verwalteter Azure Monitor-Dienst für Prometheus – Metrikerfassungsendpunkt (DCE) 443
<cluster-region-name>.handler.control.monitor.azure.com Abrufen von Datensammlungsregeln für einen bestimmten Cluster 443

Erforderliche FQDN-/Anwendungsregeln für Microsoft Azure, betrieben von 21Vianet-Cloud

Endpunkt Zweck Port
*.ods.opinsights.azure.cn Datenerfassung 443
*.oms.opinsights.azure.cn Onboarding des Azure Monitor-Agents (AMA) 443
dc.services.visualstudio.com Für Agent-Telemetrie, die Application Insights in der öffentlichen Azure-Cloud verwendet. 443
global.handler.control.monitor.azure.cn Zugriffssteuerungsdienst 443
<cluster-region-name>.handler.control.monitor.azure.cn Abrufen von Datensammlungsregeln für einen bestimmten Cluster 443
*.ingest.monitor.azure.cn Containereinblicke – Protokollaufnahmeendpunkt (DCE) 443
*.metrics.ingest.monitor.azure.cn Verwalteter Azure Monitor-Dienst für Prometheus – Metrikerfassungsendpunkt (DCE) 443

Für Azure Government-Cloud benötigte FQDNs/Anwendungsregeln

Endpunkt Zweck Port
*.ods.opinsights.azure.us Datenerfassung 443
*.oms.opinsights.azure.us Onboarding des Azure Monitor-Agents (AMA) 443
dc.services.visualstudio.com Für Agent-Telemetrie, die Application Insights in der öffentlichen Azure-Cloud verwendet. 443
global.handler.control.monitor.azure.us Zugriffssteuerungsdienst 443
<cluster-region-name>.handler.control.monitor.azure.us Abrufen von Datensammlungsregeln für einen bestimmten Cluster 443
*.ingest.monitor.azure.us Containereinblicke – Protokollaufnahmeendpunkt (DCE) 443
*.metrics.ingest.monitor.azure.us Verwalteter Azure Monitor-Dienst für Prometheus – Metrikerfassungsendpunkt (DCE) 443

Azure Policy

Benötigte FQDNs/Anwendungsregeln

FQDN Port Zweck
data.policy.core.windows.net HTTPS:443 Diese Adresse wird verwendet, um die Kubernetes-Richtlinien abzurufen und den Konformitätsstatus des Clusters an den Richtliniendienst zu melden.
store.policy.core.windows.net HTTPS:443 Diese Adresse wird zum Abrufen der Gatekeeper-Artefakte integrierter Richtlinien verwendet.
dc.services.visualstudio.com HTTPS:443 Das Azure Policy-Add-On, das Telemetriedaten an den Application Insights-Endpunkt sendet.

Erforderliche FQDN-/Anwendungsregeln für Microsoft Azure, betrieben von 21Vianet

FQDN Port Zweck
data.policy.azure.cn HTTPS:443 Diese Adresse wird verwendet, um die Kubernetes-Richtlinien abzurufen und den Konformitätsstatus des Clusters an den Richtliniendienst zu melden.
store.policy.azure.cn HTTPS:443 Diese Adresse wird zum Abrufen der Gatekeeper-Artefakte integrierter Richtlinien verwendet.

Für Azure US Government benötigte FQDNs/Anwendungsregeln

FQDN Port Zweck
data.policy.azure.us HTTPS:443 Diese Adresse wird verwendet, um die Kubernetes-Richtlinien abzurufen und den Konformitätsstatus des Clusters an den Richtliniendienst zu melden.
store.policy.azure.us HTTPS:443 Diese Adresse wird zum Abrufen der Gatekeeper-Artefakte integrierter Richtlinien verwendet.

Add-On für die AKS-Kostenanalyse

Benötigte FQDNs/Anwendungsregeln

FQDN Port Zweck
management.azure.com
management.usgovcloudapi.net (Azure Government)
management.chinacloudapi.cn (Azure, betrieben von 21Vianet)
HTTPS:443 Erforderlich für Kubernetes-Vorgänge für die Azure-API.
login.microsoftonline.com
login.microsoftonline.us (Azure Government)
login.microsoftonline.cn (Azure, betrieben von 21Vianet)
HTTPS:443 Erforderlich für die Authentifizierung von Microsoft Entra ID

Clustererweiterungen

Benötigte FQDNs/Anwendungsregeln

FQDN Port Verwendung
<region>.dp.kubernetesconfiguration.azure.com HTTPS:443 Diese Adresse wird verwendet, um Konfigurationsinformationen aus dem Clustererweiterungsdienst abzurufen und den Erweiterungsstatus an den Dienst zu melden.
mcr.microsoft.com, *.data.mcr.microsoft.com HTTPS:443 Diese Adresse ist erforderlich, um Containerimages für die Installation von Clustererweiterungs-Agents aus dem AKS-Cluster zu pullen.
arcmktplaceprod.azurecr.io HTTPS:443 Diese Adresse ist erforderlich, um Containerimages für die Installation von Marketplace-Erweiterungen aus dem AKS-Cluster zu pullen.
arcmktplaceprod.centralindia.data.azurecr.io HTTPS:443 Diese Adresse ist für den regionalen Datenendpunkt in Zentralindien und wird benötigt, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster zu beziehen.
arcmktplaceprod.japaneast.data.azurecr.io HTTPS:443 Diese Adresse ist für den regionalen Datenendpunkt Ostjapan und wird benötigt, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster zu beziehen.
arcmktplaceprod.westus2.data.azurecr.io HTTPS:443 Diese Adresse gilt für den regionalen US2-Datenendpunkt „Westen“ und ist erforderlich, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster abzurufen.
arcmktplaceprod.westeurope.data.azurecr.io HTTPS:443 Diese Adresse gilt für den regionalen Endpunkt für westeuropäische Daten und ist erforderlich, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster abzurufen.
arcmktplaceprod.eastus.data.azurecr.io HTTPS:443 Diese Adresse gilt für den regionalen Ost-US-Datenendpunkt und ist erforderlich, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster abzurufen.
*.ingestion.msftcloudes.com, *.microsoftmetrics.com HTTPS:443 Diese Adresse wird verwendet, um Agent-Metrikdaten an Azure zu senden.
marketplaceapi.microsoft.com HTTPS: 443 Diese Adresse wird verwendet, um eine benutzerdefinierte meterbasierte Nutzung an die E-Commerce-Verbrauchs-API zu senden.

Für Azure US Government benötigte FQDNs/Anwendungsregeln

FQDN Port Zweck
<region>.dp.kubernetesconfiguration.azure.us HTTPS:443 Diese Adresse wird verwendet, um Konfigurationsinformationen aus dem Clustererweiterungsdienst abzurufen und den Erweiterungsstatus an den Dienst zu melden.
mcr.microsoft.com, *.data.mcr.microsoft.com HTTPS:443 Diese Adresse ist erforderlich, um Containerimages für die Installation von Clustererweiterungs-Agents aus dem AKS-Cluster zu pullen.

Hinweis

Für alle Add-Ons, die hier nicht explizit angegeben sind, decken die Kernanforderungen dies ab.

Istio-basiertes Dienstnetz-Add-On

Wenn Sie Istiod im Istio=based Service Mesh Add-on mit einer Plugin-Zertifizierungsstelle (CA) einrichten oder ein sicheres Eingangsgateway einrichten, ist für diese Funktionen der Azure Key Vault-Anbieter für den Secrets Store CSI-Treiber erforderlich. Anforderungen an ausgehende Netzwerke für den Azure Key Vault-Anbieter für den Secrets Store CSI-Treiber finden Sie hier.

Anwendungsrouting-Add-On

Das Anwendungsrouting-Add-On unterstützt die SSL-Beendigung am Eingang mit Zertifikaten, die in Azure Key Vault gespeichert sind. Anforderungen an ausgehende Netzwerke für den Azure Key Vault-Anbieter für den Secrets Store CSI-Treiber finden Sie hier.

Nächste Schritte

In diesem Artikel haben Sie gelernt, welche Ports und Adressen zugelassen werden müssen, wenn Sie den ausgehenden Datenverkehr für den Cluster einschränken möchten.

Informationen zur Einschränkung der Kommunikation zwischen Pods sowie zu Ost-West-Datenverkehrseinschränkungen innerhalb des Clusters finden Sie unter Sicherer Datenverkehr zwischen Pods durch Netzwerkrichtlinien in Azure Kubernetes Service (AKS).