Ausgehende Netzwerk- und FQDN-Regeln für Azure Kubernetes Service-Cluster (AKS)
In diesem Artikel werden die erforderlichen Details zum Schutz des ausgehenden Datenverkehrs von Azure Kubernetes Service (AKS) behandelt. Er enthält die Clusteranforderungen für eine grundlegende AKS-Bereitstellung sowie zusätzliche Anforderungen für optionale Add-Ons und Features. Diese Informationen sind auf jede Einschränkungsmethode oder Appliance für ausgehenden Datenverkehr anwendbar.
Eine Beispielkonfiguration mit Azure Firewall finden Sie unter Steuern des ausgehenden Datenverkehrs mithilfe von Azure Firewall in AKS.
Hintergrund
AKS-Cluster werden in einem virtuellen Netzwerk bereitgestellt. Dieses Netzwerk kann von Ihnen angepasst und vorkonfiguriert oder von AKS erstellt und verwaltet werden. In beiden Fällen weist der Cluster ausgehende Abhängigkeiten von Diensten außerhalb des virtuellen Netzwerks auf.
Zu Verwaltungs- und Betriebszwecken müssen Knoten in einem AKS-Cluster auf bestimmte Ports und vollqualifizierte Domänennamen (FQDNs) zugreifen. Diese Endpunkte sind erforderlich, damit die Knoten mit dem API-Server kommunizieren oder Kernkomponenten des Kubernetes-Clusters sowie Sicherheitsupdates für Knoten heruntergeladen und installiert werden können. So müssen von dem Cluster beispielsweise Containerimages aus der Microsoft-Artefaktregistrierung (MAR) abgerufen werden.
Die AKS-Abhängigkeiten für ausgehenden Datenverkehr werden fast ausschließlich mit FQDNs definiert, hinter denen sich keine statischen Adressen befinden. Das Fehlen statischer Adressen bedeutet, dass Sie keine Netzwerksicherheitsgruppen (NSGs) verwenden können, um den ausgehenden Datenverkehr eines AKS-Clusters zu sperren.
Standardmäßig haben AKS-Cluster uneingeschränkten ausgehenden Internetzugriff. Diese Ebene des Netzwerkzugriffs ermöglicht, dass ausgeführte Knoten und Dienste nach Bedarf auf externe Ressourcen zugreifen können. Wenn Sie den ausgehenden Datenverkehr einschränken möchten, muss eine begrenzte Anzahl von Ports und Adressen zugänglich sein, um fehlerfreie Clusterwartungsaufgaben verwalten zu können.
Ein vom Netzwerk isolierter AKS-Cluster bietet die einfachste und sicherste Lösung für das Einrichten ausgehender Einschränkungen für einen Cluster, da keine zusätzliche Konfiguration erforderlich. Ein vom Netzwerk isolierter Cluster pullt die Images für Clusterkomponenten und Add-ons aus einer privaten Azure Container Registry (ACR)-Instanz abzurufen, die mit dem Cluster verbunden ist, anstatt von der MAR zu pullen. Wenn die Images nicht vorhanden sind, ruft die private ACR sie von MAR ab und stellt sie über ihren privaten Endpunkt zu, ohne dass ausgehender Datenverkehr vom Cluster zum öffentlichen MAR-Endpunkt aktiviert werden muss. Der Clusteroperator kann dann inkrementell zulässigen ausgehenden Datenverkehr sicher über ein privates Netzwerk für jedes Szenario einrichten, das aktiviert werden soll. Auf diese Weise haben die Clusteroperatoren von Anfang an die vollständige Kontrolle über das Entwerfen des zulässigen ausgehenden Datenverkehrs von ihren Clustern, sodass sie das Risiko der Datenexfiltration reduzieren können.
Eine andere Lösung zum Schutz ausgehender Adressen besteht in der Verwendung eines Firewallgeräts, das den ausgehenden Datenverkehr auf der Grundlage von Domänennamen kontrolliert. Azure Firewall kann ausgehenden HTTP- und HTTPS-Datenverkehr basierend auf den FQDN des Ziels beschränken. Darüber hinaus können Sie Ihre bevorzugten Firewall- und Sicherheitsregeln konfigurieren, um diese erforderlichen Ports und Adressen zuzulassen.
Wichtig
In diesem Dokument wird lediglich erläutert, wie der ausgehende Datenverkehr aus dem AKS-Subnetz gesperrt wird. Für AKS gelten standardmäßig keine Anforderungen für eingehenden Datenverkehr. Das Blockieren von internem Datenverkehr im Subnetz mithilfe von Netzwerksicherheitsgruppen (NSGs) und Firewalls wird nicht unterstützt. Informationen zum Steuern und Blockieren des Datenverkehrs innerhalb des Clusters finden Sie unter Sicherer Datenverkehr zwischen Pods und Netzwerkrichtlinien in in AKS.
Erforderliche Netzwerkregeln für ausgehenden Datenverkehr und FQDNs für AKS-Cluster
Die folgenden Netzwerk- und FQDN-/Anwendungsregeln sind für einen AKS-Cluster erforderlich. Sie können diese verwenden, wenn Sie eine andere Lösung als Azure Firewall konfigurieren möchten.
- IP-Adressabhängigkeiten gelten für Nicht-HTTP/S-Datenverkehr (TCP- und UDP-Datenverkehr).
- FQDN-HTTP/HTTPS-Endpunkte können in Ihrem Firewallgerät bereitgestellt werden.
- HTTP/HTTPS-Platzhalterendpunkte sind Abhängigkeiten, die sich je nach AKS-Cluster unterscheiden können (basierend auf einer Reihe von Qualifizierern).
- AKS verwendet einen Zugangscontroller, um den FQDN als Umgebungsvariable in alle Bereitstellungen unter kube-system und gatekeeper-system zu injizieren. Dadurch wird sichergestellt, dass die gesamte Systemkommunikation zwischen Knoten und API-Server den FQDN des API-Servers und nicht die IP des API-Servers verwendet. Sie können dasselbe Verhalten bei Ihren eigenen Pods in jedem beliebigen Namespace erreichen, indem Sie die Podspezifikation mit einer Anmerkung namens
kubernetes.azure.com/set-kube-service-host-fqdn
kommentieren. Wenn diese Anmerkung vorhanden ist, legt AKS die Variable KUBERNETES_SERVICE_HOST auf den Domänennamen des API-Servers fest, nicht auf die clusterinterne Dienst-IP. Dies ist in Fällen hilfreich, in denen der ausgehende Datenverkehr aus dem Cluster über eine Layer-7-Firewall gesendet wird. - Wenn Sie über eine App oder Lösung verfügen, die mit dem API-Server kommunizieren muss, müssen Sie entweder eine zusätzliche Netzwerkregel hinzufügen, um die TCP-Kommunikation mit Port 443 der IP-Adresse Ihres API-Servers zulassen, ODER Sie müssen
kubernetes.azure.com/set-kube-service-host-fqdn
in Ihren Podspezifikationen festlegen, wenn Sie über eine Layer-7-Firewall verfügen, die so konfiguriert ist, dass Datenverkehr zum Domänennamen des API-Servers zugelassen ist. - In seltenen Fällen kann sich die IP-Adresse Ihres API-Servers aufgrund eines Wartungsvorgang ändern. Geplante Wartungsvorgänge, bei denen sich die IP-Adresse des API-Servers ändern kann, werden immer vorab kommuniziert.
- Möglicherweise bemerken Sie Datenverkehr zum Endpunkt „md-*.blob.storage.azure.net“. Dieser Endpunkt wird für interne Komponenten von Azure Managed Disks verwendet. Das Blockieren des Zugriffs auf diesen Endpunkt über Ihre Firewall sollte keine Probleme verursachen.
- Möglicherweise bemerken Sie Datenverkehr zum Endpunkt „umsa*.blob.core.windows.net“. Dieser Endpunkt wird verwendet, um Manifeste für Azure Linux VM Agent & Extensions zu speichern, und wird regelmäßig überprüft, um neue Versionen herunterzuladen. Weitere Informationen finden Sie unter VM-Erweiterungen.
Für Azure Global benötigte Netzwerkregeln
Zielendpunkt | Protokoll | Port | Zweck |
---|---|---|---|
*:1194 Oder ServiceTag - AzureCloud.<Region>:1194 Oder Regionale CIDRs - RegionCIDRs:1194 Oder APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1.194 | Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene Dies ist nicht für private Cluster oder für Cluster mit aktivierter konnectivity-agent-Option erforderlich. |
*:9000 Oder ServiceTag - AzureCloud.<Region>:9000 Oder Regionale CIDRs - RegionCIDRs:9000 Oder APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene Dies ist nicht für private Cluster oder für Cluster mit aktivierter konnectivity-agent-Option erforderlich. |
*:123 oder ntp.ubuntu.com:123 (bei Verwendung von Azure Firewall-Netzwerkregeln) |
UDP | 123 | Erforderlich für die NTP-Zeitsynchronisierung (Network Time Protocol) auf Linux-Knoten Dies ist für Knoten, die nach März 2021 bereitgestellt wurden, nicht erforderlich. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Bei Verwendung benutzerdefinierter DNS-Server müssen die Clusterknoten auf diese Server zugreifen können. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Erforderlich bei Verwendung von Pods/Bereitstellungen, die auf den API-Server zugreifen. Von diesen Pods/Bereitstellungen wird die API-IP-Adresse verwendet. Dieser Port ist für private Cluster nicht erforderlich. |
Für Azure Global benötigte FQDNs/Anwendungsregeln
Ziel-FQDN | Port | Zweck |
---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Erforderlich für die Kommunikation mit dem Knoten <-> API-Server. Ersetzen Sie <location> durch die Region, in der Ihr AKS-Cluster bereitgestellt wurde. Dies ist für Cluster mit aktiviertem konnectivity-agent erforderlich. Konnectivity verwendet auch ALPN (Application-Layer Protocol Negotiation) für sie Kommunikation zwischen Agent und Server. Das Blockieren oder erneute Schreiben der ALPN-Erweiterung führt zu einem Fehler. Dies ist für private Cluster nicht erforderlich. |
mcr.microsoft.com |
HTTPS:443 |
Erforderlich für den Zugriff auf Images in Microsoft Container Registry (MCR). Diese Registrierung enthält Images/Diagramme von Erstanbietern (beispielsweise coreDNS usw.). Diese Images sind für die korrekte Erstellung und Funktionsweise des Clusters erforderlich (unter anderem für Skalierungs- und Upgradevorgänge). |
*.data.mcr.microsoft.com , mcr-0001.mcr-msedge.net |
HTTPS:443 |
Erforderlich für den auf Azure Content Delivery Network (CDN) basierenden MCR-Speicher. |
management.azure.com |
HTTPS:443 |
Erforderlich für Kubernetes-Vorgänge für die Azure-API. |
login.microsoftonline.com |
HTTPS:443 |
Erforderlich für die Microsoft Entra-Authentifizierung. |
packages.microsoft.com |
HTTPS:443 |
Diese Adresse ist das Microsoft-Paketrepository, das für zwischengespeicherte apt-get-Vorgänge verwendet wird. Beispielpakete sind Moby, PowerShell und Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Hierbei handelt es sich um die Adresse für das Repository, das zum Herunterladen und Installieren erforderlicher Binärdateien wie kubenet und Azure CNI benötigt wird. |
Erforderliche Netzwerkregeln für Microsoft Azure, betrieben von 21Vianet
Zielendpunkt | Protokoll | Port | Zweck |
---|---|---|---|
*:1194 Oder ServiceTag - AzureCloud.Region:1194 Oder Regionale CIDRs - RegionCIDRs:1194 Oder APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1.194 | Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene |
*:9000 Oder ServiceTag - AzureCloud.<Region>:9000 Oder Regionale CIDRs - RegionCIDRs:9000 Oder APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene |
*:22 Oder ServiceTag - AzureCloud.<Region>:22 Oder Regionale CIDRs - RegionCIDRs:22 Oder APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene |
*:123 oder ntp.ubuntu.com:123 (bei Verwendung von Azure Firewall-Netzwerkregeln) |
UDP | 123 | Erforderlich für die NTP-Zeitsynchronisierung (Network Time Protocol) auf Linux-Knoten |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Bei Verwendung benutzerdefinierter DNS-Server müssen die Clusterknoten auf diese Server zugreifen können. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Erforderlich bei Verwendung von Pods/Bereitstellungen, die auf den API-Server zugreifen. Von diesen Pods/Bereitstellungen wird die API-IP-Adresse verwendet. |
Erforderliche FQDN-/Anwendungsregeln für Microsoft Azure, betrieben von 21Vianet
Ziel-FQDN | Port | Zweck |
---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Erforderlich für die Kommunikation mit dem Knoten <-> API-Server. Ersetzen Sie <location> durch die Region, in der Ihr AKS-Cluster bereitgestellt wurde. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Erforderlich für die Kommunikation mit dem Knoten <-> API-Server. Ersetzen Sie <location> durch die Region, in der Ihr AKS-Cluster bereitgestellt wurde. |
mcr.microsoft.com |
HTTPS:443 |
Erforderlich für den Zugriff auf Images in Microsoft Container Registry (MCR). Diese Registrierung enthält Images/Diagramme von Erstanbietern (beispielsweise coreDNS usw.). Diese Images sind für die korrekte Erstellung und Funktionsweise des Clusters erforderlich (unter anderem für Skalierungs- und Upgradevorgänge). |
.data.mcr.microsoft.com |
HTTPS:443 |
Erforderlich für den auf Azure Content Delivery Network (CDN) basierenden MCR-Speicher. |
management.chinacloudapi.cn |
HTTPS:443 |
Erforderlich für Kubernetes-Vorgänge für die Azure-API. |
login.chinacloudapi.cn |
HTTPS:443 |
Erforderlich für die Microsoft Entra-Authentifizierung. |
packages.microsoft.com |
HTTPS:443 |
Diese Adresse ist das Microsoft-Paketrepository, das für zwischengespeicherte apt-get-Vorgänge verwendet wird. Beispielpakete sind Moby, PowerShell und Azure CLI. |
*.azk8s.cn |
HTTPS:443 |
Hierbei handelt es sich um die Adresse für das Repository, das zum Herunterladen und Installieren erforderlicher Binärdateien wie kubenet und Azure CNI benötigt wird. |
Für Azure US Government benötigte Netzwerkregeln
Zielendpunkt | Protokoll | Port | Zweck |
---|---|---|---|
*:1194 Oder ServiceTag - AzureCloud.<Region>:1194 Oder Regionale CIDRs - RegionCIDRs:1194 Oder APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1.194 | Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene |
*:9000 Oder ServiceTag - AzureCloud.<Region>:9000 Oder Regionale CIDRs - RegionCIDRs:9000 Oder APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene |
*:123 oder ntp.ubuntu.com:123 (bei Verwendung von Azure Firewall-Netzwerkregeln) |
UDP | 123 | Erforderlich für die NTP-Zeitsynchronisierung (Network Time Protocol) auf Linux-Knoten |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Bei Verwendung benutzerdefinierter DNS-Server müssen die Clusterknoten auf diese Server zugreifen können. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Erforderlich bei Verwendung von Pods/Bereitstellungen, die auf den API-Server zugreifen. Von diesen Pods/Bereitstellungen wird die API-IP-Adresse verwendet. |
Für Azure US Government benötigte FQDNs/Anwendungsregeln
Ziel-FQDN | Port | Zweck |
---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Erforderlich für die Kommunikation mit dem Knoten <-> API-Server. Ersetzen Sie <location> durch die Region, in der Ihr AKS-Cluster bereitgestellt wurde. |
mcr.microsoft.com |
HTTPS:443 |
Erforderlich für den Zugriff auf Images in Microsoft Container Registry (MCR). Diese Registrierung enthält Images/Diagramme von Erstanbietern (beispielsweise coreDNS usw.). Diese Images sind für die korrekte Erstellung und Funktionsweise des Clusters erforderlich (unter anderem für Skalierungs- und Upgradevorgänge). |
*.data.mcr.microsoft.com |
HTTPS:443 |
Erforderlich für den auf Azure Content Delivery Network (CDN) basierenden MCR-Speicher. |
management.usgovcloudapi.net |
HTTPS:443 |
Erforderlich für Kubernetes-Vorgänge für die Azure-API. |
login.microsoftonline.us |
HTTPS:443 |
Erforderlich für die Microsoft Entra-Authentifizierung. |
packages.microsoft.com |
HTTPS:443 |
Diese Adresse ist das Microsoft-Paketrepository, das für zwischengespeicherte apt-get-Vorgänge verwendet wird. Beispielpakete sind Moby, PowerShell und Azure CLI. |
acs-mirror.azureedge.net |
HTTPS:443 |
Diese Adresse ist für das Repository, das zum Installieren erforderlicher Binärdateien wie kubenet und Azure CNI benötigt wird. |
Optional empfohlene FQDNs/Anwendungsregeln für AKS-Cluster
Die folgenden vollqualifizierten Domänennamen und Anwendungsregeln sind nicht erforderlich, werden jedoch für AKS-Cluster empfohlen:
Ziel-FQDN | Port | Zweck |
---|---|---|
security.ubuntu.com , azure.archive.ubuntu.com , changelogs.ubuntu.com |
HTTP:80 |
Über diese Adresse können die Linux-Clusterknoten die erforderlichen Sicherheitspatches und Updates herunterladen. |
snapshot.ubuntu.com |
HTTPS:443 |
Mit dieser Adresse können die Linux-Clusterknoten die erforderlichen Sicherheitspatches und Updates aus dem Ubuntu-Snapshot-Dienst herunterladen. |
Wenn Sie diese FQDNs blockieren/nicht zulassen, erhalten die Knoten nur Betriebssystemupdates, wenn Sie ein Upgrade für Knotenimages oder ein Clusterupgrade durchführen. Beachten Sie, dass Upgrades für Knotenimages auch aktualisierte Pakete enthalten, einschließlich Sicherheitskorrekturen.
GPU-fähige AKS-Cluster, die FQDN-/Anwendungsregeln erforderten
Ziel-FQDN | Port | Zweck |
---|---|---|
nvidia.github.io |
HTTPS:443 |
Diese Adresse wird für die ordnungsgemäße Treiberinstallation und -ausführung für GPU-basierte Knoten verwendet. |
us.download.nvidia.com |
HTTPS:443 |
Diese Adresse wird für die ordnungsgemäße Treiberinstallation und -ausführung für GPU-basierte Knoten verwendet. |
download.docker.com |
HTTPS:443 |
Diese Adresse wird für die ordnungsgemäße Treiberinstallation und -ausführung für GPU-basierte Knoten verwendet. |
Windows Server-basierte Knotenpools erforderten FQDN-/Anwendungsregeln
Ziel-FQDN | Port | Zweck |
---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Zum Installieren Windows-bezogener Binärdateien |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Zum Installieren Windows-bezogener Binärdateien |
Wenn Sie diese FQDNs blockieren/nicht zulassen, erhalten die Knoten nur Betriebssystemupdates, wenn Sie ein Upgrade für Knotenimages oder ein Clusterupgrade durchführen. Beachten Sie, dass Upgrades für Knotenimages auch aktualisierte Pakete enthalten, einschließlich Sicherheitskorrekturen.
AKS-Features, -Add-Ons und -Integrationen
Workloadidentität
Benötigte FQDNs/Anwendungsregeln
Ziel-FQDN | Port | Zweck |
---|---|---|
login.microsoftonline.com oder login.chinacloudapi.cn oder login.microsoftonline.us |
HTTPS:443 |
Erforderlich für die Microsoft Entra-Authentifizierung. |
Microsoft Defender für Container
Benötigte FQDNs/Anwendungsregeln
FQDN | Port | Zweck |
---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure, betrieben von 21Vianet) |
HTTPS:443 |
Erforderlich für die Microsoft Entra-Authentifizierung. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure Government) *.ods.opinsights.azure.cn (Azure, betrieben von 21Vianet) |
HTTPS:443 |
Erforderlich, damit Microsoft Defender sicherheitsrelevante Ereignisse in die Cloud hochlädt |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure Government) *.oms.opinsights.azure.cn (Azure, betrieben von 21Vianet) |
HTTPS:443 |
Erforderlich für die Authentifizierung mit Log Analytics-Arbeitsbereichen |
Azure Key Vault-Anbieter für den Secrets Store CSI-Treiber
Wenn Sie isolierte Netzwerkcluster verwenden, empfiehlt es sich, einen privaten Endpunkt für den Zugriff auf Azure Key Vault einzurichten.
Wenn Ihr Cluster über benutzerdefiniertes Routing vom Typ „Ausgehend” und Azure Firewall verfügt, gelten die folgenden Netzwerkregeln und Anwendungsregeln:
Benötigte FQDNs/Anwendungsregeln
FQDN | Port | Zweck |
---|---|---|
vault.azure.net |
HTTPS:443 |
Erforderlich für Add-On-Pods des CSI-Geheimnisspeichers, um mit dem Azure KeyVault-Server zu kommunizieren. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Erforderlich für Add-On-Pods des CSI-Geheimnisspeichers, um mit dem Azure KeyVault-Server in Azure Government zu kommunizieren. |
Azure Monitor: Prometheus und Container-Erkenntnisse
Bei der Verwendung von netzwerkisolierten Clustern wird empfohlen, eine auf privaten Endpunkten basierte Erfassung einzurichten, die sowohl für Managed Prometheus (Azure Monitor-Arbeitsbereich) als auch für Container-Insights (Log Analytics-Arbeitsbereich) unterstützt wird.
Wenn Ihr Cluster über benutzerdefiniertes Routing vom Typ „Ausgehend” und Azure Firewall verfügt, gelten die folgenden Netzwerkregeln und Anwendungsregeln:
Benötigte Netzwerkregeln
Zielendpunkt | Protokoll | Port | Zweck |
---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Dieser Endpunkt dient zum Senden von Metrikdaten und Protokollen an Azure Monitor und Log Analytics. |
Für öffentliche Azure-Cloud benötigte FQDNs/Anwendungsregeln
Endpunkt | Zweck | Port |
---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
Zugriffssteuerungsdienst | 443 |
*.ingest.monitor.azure.com |
Containereinblicke – Protokollaufnahmeendpunkt (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
Verwalteter Azure Monitor-Dienst für Prometheus – Metrikerfassungsendpunkt (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
Abrufen von Datensammlungsregeln für einen bestimmten Cluster | 443 |
Erforderliche FQDN-/Anwendungsregeln für Microsoft Azure, betrieben von 21Vianet-Cloud
Endpunkt | Zweck | Port |
---|---|---|
*.ods.opinsights.azure.cn |
Datenerfassung | 443 |
*.oms.opinsights.azure.cn |
Onboarding des Azure Monitor-Agents (AMA) | 443 |
dc.services.visualstudio.com |
Für Agent-Telemetrie, die Application Insights in der öffentlichen Azure-Cloud verwendet. | 443 |
global.handler.control.monitor.azure.cn |
Zugriffssteuerungsdienst | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
Abrufen von Datensammlungsregeln für einen bestimmten Cluster | 443 |
*.ingest.monitor.azure.cn |
Containereinblicke – Protokollaufnahmeendpunkt (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
Verwalteter Azure Monitor-Dienst für Prometheus – Metrikerfassungsendpunkt (DCE) | 443 |
Für Azure Government-Cloud benötigte FQDNs/Anwendungsregeln
Endpunkt | Zweck | Port |
---|---|---|
*.ods.opinsights.azure.us |
Datenerfassung | 443 |
*.oms.opinsights.azure.us |
Onboarding des Azure Monitor-Agents (AMA) | 443 |
dc.services.visualstudio.com |
Für Agent-Telemetrie, die Application Insights in der öffentlichen Azure-Cloud verwendet. | 443 |
global.handler.control.monitor.azure.us |
Zugriffssteuerungsdienst | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
Abrufen von Datensammlungsregeln für einen bestimmten Cluster | 443 |
*.ingest.monitor.azure.us |
Containereinblicke – Protokollaufnahmeendpunkt (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
Verwalteter Azure Monitor-Dienst für Prometheus – Metrikerfassungsendpunkt (DCE) | 443 |
Azure Policy
Benötigte FQDNs/Anwendungsregeln
FQDN | Port | Zweck |
---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Diese Adresse wird verwendet, um die Kubernetes-Richtlinien abzurufen und den Konformitätsstatus des Clusters an den Richtliniendienst zu melden. |
store.policy.core.windows.net |
HTTPS:443 |
Diese Adresse wird zum Abrufen der Gatekeeper-Artefakte integrierter Richtlinien verwendet. |
dc.services.visualstudio.com |
HTTPS:443 |
Das Azure Policy-Add-On, das Telemetriedaten an den Application Insights-Endpunkt sendet. |
Erforderliche FQDN-/Anwendungsregeln für Microsoft Azure, betrieben von 21Vianet
FQDN | Port | Zweck |
---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Diese Adresse wird verwendet, um die Kubernetes-Richtlinien abzurufen und den Konformitätsstatus des Clusters an den Richtliniendienst zu melden. |
store.policy.azure.cn |
HTTPS:443 |
Diese Adresse wird zum Abrufen der Gatekeeper-Artefakte integrierter Richtlinien verwendet. |
Für Azure US Government benötigte FQDNs/Anwendungsregeln
FQDN | Port | Zweck |
---|---|---|
data.policy.azure.us |
HTTPS:443 |
Diese Adresse wird verwendet, um die Kubernetes-Richtlinien abzurufen und den Konformitätsstatus des Clusters an den Richtliniendienst zu melden. |
store.policy.azure.us |
HTTPS:443 |
Diese Adresse wird zum Abrufen der Gatekeeper-Artefakte integrierter Richtlinien verwendet. |
Add-On für die AKS-Kostenanalyse
Benötigte FQDNs/Anwendungsregeln
FQDN | Port | Zweck |
---|---|---|
management.azure.com management.usgovcloudapi.net (Azure Government) management.chinacloudapi.cn (Azure, betrieben von 21Vianet) |
HTTPS:443 |
Erforderlich für Kubernetes-Vorgänge für die Azure-API. |
login.microsoftonline.com login.microsoftonline.us (Azure Government) login.microsoftonline.cn (Azure, betrieben von 21Vianet) |
HTTPS:443 |
Erforderlich für die Authentifizierung von Microsoft Entra ID |
Clustererweiterungen
Benötigte FQDNs/Anwendungsregeln
FQDN | Port | Verwendung |
---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Diese Adresse wird verwendet, um Konfigurationsinformationen aus dem Clustererweiterungsdienst abzurufen und den Erweiterungsstatus an den Dienst zu melden. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Diese Adresse ist erforderlich, um Containerimages für die Installation von Clustererweiterungs-Agents aus dem AKS-Cluster zu pullen. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Diese Adresse ist erforderlich, um Containerimages für die Installation von Marketplace-Erweiterungen aus dem AKS-Cluster zu pullen. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Diese Adresse ist für den regionalen Datenendpunkt in Zentralindien und wird benötigt, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster zu beziehen. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Diese Adresse ist für den regionalen Datenendpunkt Ostjapan und wird benötigt, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster zu beziehen. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Diese Adresse gilt für den regionalen US2-Datenendpunkt „Westen“ und ist erforderlich, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster abzurufen. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Diese Adresse gilt für den regionalen Endpunkt für westeuropäische Daten und ist erforderlich, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster abzurufen. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Diese Adresse gilt für den regionalen Ost-US-Datenendpunkt und ist erforderlich, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster abzurufen. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Diese Adresse wird verwendet, um Agent-Metrikdaten an Azure zu senden. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Diese Adresse wird verwendet, um eine benutzerdefinierte meterbasierte Nutzung an die E-Commerce-Verbrauchs-API zu senden. |
Für Azure US Government benötigte FQDNs/Anwendungsregeln
FQDN | Port | Zweck |
---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Diese Adresse wird verwendet, um Konfigurationsinformationen aus dem Clustererweiterungsdienst abzurufen und den Erweiterungsstatus an den Dienst zu melden. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Diese Adresse ist erforderlich, um Containerimages für die Installation von Clustererweiterungs-Agents aus dem AKS-Cluster zu pullen. |
Hinweis
Für alle Add-Ons, die hier nicht explizit angegeben sind, decken die Kernanforderungen dies ab.
Istio-basiertes Dienstnetz-Add-On
Wenn Sie Istiod im Istio=based Service Mesh Add-on mit einer Plugin-Zertifizierungsstelle (CA) einrichten oder ein sicheres Eingangsgateway einrichten, ist für diese Funktionen der Azure Key Vault-Anbieter für den Secrets Store CSI-Treiber erforderlich. Anforderungen an ausgehende Netzwerke für den Azure Key Vault-Anbieter für den Secrets Store CSI-Treiber finden Sie hier.
Anwendungsrouting-Add-On
Das Anwendungsrouting-Add-On unterstützt die SSL-Beendigung am Eingang mit Zertifikaten, die in Azure Key Vault gespeichert sind. Anforderungen an ausgehende Netzwerke für den Azure Key Vault-Anbieter für den Secrets Store CSI-Treiber finden Sie hier.
Nächste Schritte
In diesem Artikel haben Sie gelernt, welche Ports und Adressen zugelassen werden müssen, wenn Sie den ausgehenden Datenverkehr für den Cluster einschränken möchten.
Informationen zur Einschränkung der Kommunikation zwischen Pods sowie zu Ost-West-Datenverkehrseinschränkungen innerhalb des Clusters finden Sie unter Sicherer Datenverkehr zwischen Pods durch Netzwerkrichtlinien in Azure Kubernetes Service (AKS).
Azure Kubernetes Service