Regole di rete e FQDN in uscita per i cluster del servizio Azure Kubernetes
Questo articolo fornisce i dettagli necessari per proteggere il traffico in uscita dal servizio Azure Kubernetes. Contiene i requisiti del cluster per una distribuzione del servizio Azure Kubernetes di base e requisiti aggiuntivi per componenti aggiuntivi e funzionalità facoltativi. È possibile applicare queste informazioni a qualsiasi metodo di restrizione in uscita o appliance.
Per visualizzare una configurazione di esempio con Firewall di Azure, vedere Controllare il traffico in uscita usando Firewall di Azure nel servizio Azure Kubernetes.
Background
I cluster del servizio Azure Kubernetes vengono distribuiti in una rete virtuale. Questa rete può essere personalizzata e preconfigurata dall'utente oppure può essere creata e gestita dal servizio Azure Kubernetes. In entrambi i casi, il cluster ha dipendenze in uscita da servizi esterni alla rete virtuale.
A scopi di gestione e operativi, i nodi in un cluster del servizio Azure Kubernetes devono poter accedere a porte e nomi di dominio completi (FQDN) specifici. Questi endpoint sono necessari per consentire ai nodi di comunicare con il server API o di scaricare e installare i componenti del cluster Kubernetes di base e gli aggiornamenti della sicurezza dei nodi. Ad esempio, il cluster deve eseguire il pull delle immagini del contenitore da Registro artefatti Microsoft (MAR).
Le dipendenze in uscita del servizio Azure Kubernetes sono quasi interamente definite con nomi di dominio completo, senza indirizzi statici sottostanti. La mancanza di indirizzi statici significa che non è possibile usare gruppi di sicurezza di rete per bloccare il traffico in uscita da un cluster del servizio Azure Kubernetes.
Per impostazione predefinita, i cluster del servizio Azure Kubernetes hanno accesso a Internet in uscita senza restrizioni. Questo livello di accesso alla rete consente a nodi e servizi in esecuzione di accedere alle risorse esterne in base alle esigenze. Se si vuole limitare il traffico in uscita, è necessario rendere accessibile un numero limitato di porte e indirizzi per mantenere l'integrità delle attività di manutenzione del cluster.
Un cluster del servizio Azure Kubernetes isolato in rete offre la soluzione più semplice e sicura per configurare le restrizioni in uscita per un cluster non in modo leggero. Un cluster isolato di rete esegue il pull delle immagini per i componenti del cluster e i componenti aggiuntivi da un'istanza privata di Registro Azure Container (ACR) connessa al cluster invece di eseguire il pull da MAR. Se le immagini non sono presenti, il Registro Azure Container privato li estrae da MAR e li gestisce tramite l'endpoint privato, eliminando la necessità di abilitare l'uscita dal cluster all'endpoint mar pubblico. L'operatore cluster può quindi configurare in modo incrementale il traffico in uscita consentito in modo sicuro su una rete privata per ogni scenario che vuole abilitare. In questo modo gli operatori del cluster hanno il controllo completo sulla progettazione del traffico in uscita consentito dai cluster fin dall'inizio, consentendo così di ridurre il rischio di esfiltrazione dei dati.
Un'altra soluzione per proteggere gli indirizzi in uscita consiste nell'usare un dispositivo firewall in grado di controllare il traffico in uscita in base ai nomi di dominio. Firewall di Azure può limitare il traffico HTTP e HTTPS in uscita in base all'FQDN della destinazione. È anche possibile configurare le regole di sicurezza e del firewall preferite per consentire le porte e gli indirizzi necessari.
Importante
Questo documento illustra solo come bloccare il traffico in uscita dalla subnet del servizio Azure Kubernetes. Il servizio Azure Kubernetes non prevede requisiti per il traffico in ingresso per impostazione predefinita. Il blocco del traffico interno della subnet usando gruppi di sicurezza di rete e firewall non è supportato. Per controllare e bloccare il traffico all'interno del cluster, vedere Proteggere il traffico tra i pod usando i criteri di rete nel servizio Azure Kubernetes.
Regole di rete e FQDN in uscita necessarie per i cluster del servizio Azure Kubernetes
Per un cluster del servizio Azure Kubernetes sono necessarie le regole di rete e FQDN/applicazioni seguenti. È possibile usarle se si vuole configurare una soluzione diversa da Firewall di Azure.
- Le dipendenze degli indirizzi IP sono per il traffico non HTTP/S (traffico sia TCP che UDP).
- Gli endpoint HTTP/HTTPS con nome di dominio completo possono essere posizionati nel dispositivo firewall.
- Gli endpoint HTTP/HTTPS con caratteri jolly sono dipendenze che possono variare con l'ambiente del servizio Azure Kubernetes in base a diversi qualificatori.
- Il servizio Azure Kubernetes usa un controller di ammissione per inserire il nome di dominio completo come variabile di ambiente a tutte le distribuzioni in kube-system e gatekeeper-system. In questo modo, tutte le comunicazioni di sistema tra nodi e server API usano il nome di dominio completo del server API e non l'indirizzo IP del server API. È possibile ottenere lo stesso comportamento nei pod personalizzati, in qualsiasi spazio dei nomi, annotando la specifica del pod con un'annotazione denominata
kubernetes.azure.com/set-kube-service-host-fqdn. Se questa annotazione è presente, il servizio Azure Kubernetes imposta la variabile KUBERNETES_SERVICE_HOST sul nome di dominio del server API anziché sull'indirizzo IP del servizio nel cluster. Questo approccio è utile nei casi in cui il traffico del cluster transita tramite un firewall di livello 7. - Se si dispone di un'applicazione o di una soluzione che deve comunicare con il server API, è necessario aggiungere una regola di rete supplementare per consentire la comunicazione TCP alla porta 443 dell'IP del server API, OPPURE, se si dispone di un firewall di livello 7 configurato per consentire il traffico verso il nome di dominio del server API, impostare
kubernetes.azure.com/set-kube-service-host-fqdnnelle specifiche del pod. - In rari casi, ad esempio durante un'operazione di manutenzione, l'indirizzo IP del server API potrebbe cambiare. Le operazioni di manutenzione pianificata che possono modificare l'indirizzo IP del server API vengono sempre comunicate in anticipo.
- È possibile notare il traffico verso l'endpoint "md-*.blob.storage.azure.net". Questo endpoint viene usato per i componenti interni di Azure Managed Disks. Il blocco dell'accesso a questo endpoint dal firewall non dovrebbe causare problemi.
- È possibile notare il traffico verso l'endpoint "umsa*.blob.core.windows.net". Questo endpoint viene usato per archiviare i manifesti per l'agente e le estensioni di macchine virtuali Linux di Azure ed è regolarmente controllato per scaricare le nuove versioni. Per altre informazioni, vedere Estensioni macchina virtuale.
Regole di rete necessarie per Azure a livello globale
| Endpoint di destinazione | Protocollo | Port | Utilizzo |
|---|---|---|---|
*:1194 Or Tag del servizio - AzureCloud.<Region>:1194 Or CIDR regionali - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo. Non è necessaria per i cluster privati o per i cluster in cui è abilitato konnectivity-agent. |
*:9000 Or Tag del servizio - AzureCloud.<Region>:9000 Or CIDR regionali - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo. Non è necessaria per i cluster privati o per i cluster in cui è abilitato konnectivity-agent. |
*:123 o ntp.ubuntu.com:123 (se si usano le regole di rete di Firewall di Azure) |
UDP | 123 | Necessaria per la sincronizzazione dell'ora del protocollo NTP (Network Time Protocol) nei nodi Linux. Non è necessaria per i nodi di cui è stato effettuato il provisioning dopo marzo 2021. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Se si usano server DNS personalizzati, è necessario assicurarsi che siano accessibili dai nodi del cluster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Necessaria se si eseguono pod/distribuzioni che accedono al server API. In tal caso, i pod/distribuzioni useranno l'indirizzo IP dell'API. Questa porta non è necessaria per i cluster privati. |
Regole FQDN/applicazione necessarie per Azure a livello globale
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Necessaria per la comunicazione Nodo <-> Server API. Sostituire <località> con l'area in cui è distribuito il cluster del servizio Azure Kubernetes. Questa operazione è necessaria per i cluster in cui è abilitato konnectivity-agent. Konnectivity usa anche ALPN (Application-Layer Protocol Negotiation) per la comunicazione tra agente e server. Il blocco o la riscrittura dell'estensione ALPN genera un errore. Non è necessaria per i cluster privati. |
mcr.microsoft.com |
HTTPS:443 |
Necessaria per accedere alle immagini in Microsoft Container Registry. Questo registro contiene immagini/grafici proprietari, ad esempio coreDNS e così via. Queste immagini sono necessarie per la creazione e il funzionamento corretti del cluster, incluse le operazioni di scalabilità e aggiornamento. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Necessaria per l'archiviazione di Microsoft Container Registry basata sul servizio Rete di distribuzione dei contenuti di Azure. |
management.azure.com |
HTTPS:443 |
Necessaria per le operazioni Kubernetes sull'API di Azure. |
login.microsoftonline.com |
HTTPS:443 |
Necessaria per l'autenticazione di Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Questo indirizzo è il repository di pacchetti Microsoft usato per le operazioni apt-get memorizzate nella cache. I pacchetti di esempio includono Moby, PowerShell e l'interfaccia della riga di comando di Azure. |
acs-mirror.azureedge.net |
HTTPS:443 |
Questo indirizzo è per il repository necessario per installare i file binari necessari, come kubenet e Azure CNI. |
Regole di rete necessarie per Microsoft Azure gestito da 21Vianet
| Endpoint di destinazione | Protocollo | Port | Utilizzo |
|---|---|---|---|
*:1194 Or Tag del servizio - AzureCloud.Region:1194 Or CIDR regionali - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo. |
*:9000 Or Tag del servizio - AzureCloud.<Region>:9000 Or CIDR regionali - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo. |
*:22 Or Tag del servizio - AzureCloud.<Region>:22 Or CIDR regionali - RegionCIDRs:22 Or APIServerPublicIP:22 (only known after cluster creation) |
TCP | 22 | Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo. |
*:123 o ntp.ubuntu.com:123 (se si usano le regole di rete di Firewall di Azure) |
UDP | 123 | Necessaria per la sincronizzazione dell'ora del protocollo NTP (Network Time Protocol) nei nodi Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Se si usano server DNS personalizzati, è necessario assicurarsi che siano accessibili dai nodi del cluster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Necessaria se si eseguono pod/distribuzioni che accedono al server API, tali pod/distribuzioni userebbero l'IP dell'API. |
Regole FQDN/applicazione necessarie per Microsoft Azure gestito da 21 Vianet
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Necessaria per la comunicazione Nodo <-> Server API. Sostituire <località> con l'area in cui è distribuito il cluster del servizio Azure Kubernetes. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Necessaria per la comunicazione Nodo <-> Server API. Sostituire <località> con l'area in cui è distribuito il cluster del servizio Azure Kubernetes. |
mcr.microsoft.com |
HTTPS:443 |
Necessaria per accedere alle immagini in Microsoft Container Registry. Questo registro contiene immagini/grafici proprietari, ad esempio coreDNS e così via. Queste immagini sono necessarie per la creazione e il funzionamento corretti del cluster, incluse le operazioni di scalabilità e aggiornamento. |
.data.mcr.microsoft.com |
HTTPS:443 |
Necessaria per l'archiviazione di Microsoft Container Registry basata sul servizio Rete di distribuzione dei contenuti di Azure. |
management.chinacloudapi.cn |
HTTPS:443 |
Necessaria per le operazioni Kubernetes sull'API di Azure. |
login.chinacloudapi.cn |
HTTPS:443 |
Necessaria per l'autenticazione di Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Questo indirizzo è il repository di pacchetti Microsoft usato per le operazioni apt-get memorizzate nella cache. I pacchetti di esempio includono Moby, PowerShell e l'interfaccia della riga di comando di Azure. |
*.azk8s.cn |
HTTPS:443 |
Questo indirizzo è per il repository necessario per installare i file binari necessari, come kubenet e Azure CNI. |
Regole di rete necessarie per Azure US Government
| Endpoint di destinazione | Protocollo | Port | Utilizzo |
|---|---|---|---|
*:1194 Or Tag del servizio - AzureCloud.<Region>:1194 Or CIDR regionali - RegionCIDRs:1194 Or APIServerPublicIP:1194 (only known after cluster creation) |
UDP | 1194 | Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo. |
*:9000 Or Tag del servizio - AzureCloud.<Region>:9000 Or CIDR regionali - RegionCIDRs:9000 Or APIServerPublicIP:9000 (only known after cluster creation) |
TCP | 9000 | Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo. |
*:123 o ntp.ubuntu.com:123 (se si usano le regole di rete di Firewall di Azure) |
UDP | 123 | Necessaria per la sincronizzazione dell'ora del protocollo NTP (Network Time Protocol) nei nodi Linux. |
CustomDNSIP:53 (if using custom DNS servers) |
UDP | 53 | Se si usano server DNS personalizzati, è necessario assicurarsi che siano accessibili dai nodi del cluster. |
APIServerPublicIP:443 (if running pods/deployments that access the API Server) |
TCP | 443 | Necessaria se si eseguono pod/distribuzioni che accedono al server API. In tal caso, i pod/distribuzioni useranno l'indirizzo IP dell'API. |
Regole FQDN/applicazione necessarie per Azure US Government
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Necessaria per la comunicazione Nodo <-> Server API. Sostituire <località> con l'area in cui è distribuito il cluster del servizio Azure Kubernetes. |
mcr.microsoft.com |
HTTPS:443 |
Necessaria per accedere alle immagini in Microsoft Container Registry. Questo registro contiene immagini/grafici proprietari, ad esempio coreDNS e così via. Queste immagini sono necessarie per la creazione e il funzionamento corretti del cluster, incluse le operazioni di scalabilità e aggiornamento. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Necessaria per l'archiviazione di Microsoft Container Registry basata sul servizio Rete di distribuzione dei contenuti di Azure. |
management.usgovcloudapi.net |
HTTPS:443 |
Necessaria per le operazioni Kubernetes sull'API di Azure. |
login.microsoftonline.us |
HTTPS:443 |
Necessaria per l'autenticazione di Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Questo indirizzo è il repository di pacchetti Microsoft usato per le operazioni apt-get memorizzate nella cache. I pacchetti di esempio includono Moby, PowerShell e l'interfaccia della riga di comando di Azure. |
acs-mirror.azureedge.net |
HTTPS:443 |
Questo indirizzo è per il repository necessario per installare i file binari richiesti, come Kubenet e Azure CNI. |
Regole FQDN/applicazione facoltative raccomandate per i cluster del servizio Azure Kubernetes
Le regole FQDN/applicazione seguenti non sono obbligatorie ma sono consigliate per il corretto funzionamento dei cluster del servizio Azure Kubernetes:
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
security.ubuntu.com, azure.archive.ubuntu.com, changelogs.ubuntu.com |
HTTP:80 |
Questo indirizzo consente ai nodi del cluster Linux di scaricare le patch di sicurezza e gli aggiornamenti necessari. |
snapshot.ubuntu.com |
HTTPS:443 |
Questo indirizzo consente ai nodi del cluster Linux di scaricare le patch di sicurezza e gli aggiornamenti necessari dal servizio snapshot ubuntu. |
Se si sceglie di bloccare o non consentire questi nomi FQDN, i nodi riceveranno gli aggiornamenti del sistema operativo solo quando si esegue un aggiornamento dell'immagine del nodo o un aggiornamento del cluster. Tenere presente che gli aggiornamenti delle immagini del nodo comprendono anche pacchetti aggiornati, incluse le correzioni di sicurezza.
Cluster del servizio Azure Kubernetes abilitati per GPU: regole FQDN/applicazione necessarie
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Questo indirizzo viene usato per l'installazione e il funzionamento corretti dei driver nei nodi basati su GPU. |
us.download.nvidia.com |
HTTPS:443 |
Questo indirizzo viene usato per l'installazione e il funzionamento corretti dei driver nei nodi basati su GPU. |
download.docker.com |
HTTPS:443 |
Questo indirizzo viene usato per l'installazione e il funzionamento corretti dei driver nei nodi basati su GPU. |
Regole FQDN/applicazione necessarie per i pool di nodi basati su Windows Server
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Per installare file binari correlati a Windows |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Per installare file binari correlati a Windows |
Se si sceglie di bloccare o non consentire questi nomi FQDN, i nodi riceveranno gli aggiornamenti del sistema operativo solo quando si esegue un aggiornamento dell'immagine del nodo o un aggiornamento del cluster. Tenere presente che gli aggiornamenti delle immagini del nodo comprendono anche pacchetti aggiornati, incluse le correzioni di sicurezza.
Funzionalità, componenti aggiuntivi e integrazioni del servizio Azure Kubernetes
Identità del carico di lavoro
Regole FQDN/applicazione necessarie
| FQDN di destinazione | Porta | Utilizzo |
|---|---|---|
login.microsoftonline.com o login.chinacloudapi.cn o login.microsoftonline.us |
HTTPS:443 |
Necessaria per l'autenticazione di Microsoft Entra. |
Microsoft Defender per contenitori
Regole FQDN/applicazione necessarie
| FQDN | Porta | Utilizzo |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Azure per enti pubblici) login.microsoftonline.cn (Azure gestito da 21Vianet) |
HTTPS:443 |
Obbligatorio per l'autenticazione di Microsoft Entra. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Azure per enti pubblici) *.ods.opinsights.azure.cn (Azure gestito da 21Vianet) |
HTTPS:443 |
Necessaria per consentire a Microsoft Defender di caricare gli eventi di sicurezza nel cloud. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Azure per enti pubblici) *.oms.opinsights.azure.cn (Azure gestito da 21Vianet) |
HTTPS:443 |
Obbligatorio per l'autenticazione con le aree di lavoro Log Analytics. |
Provider di Azure Key Vault per il driver CSI dell'archivio segreti
Se si usano cluster isolati di rete, è consigliabile configurare l'endpoint privato per accedere ad Azure Key Vault.
Se il cluster dispone di routing e Firewall di Azure definiti dall'utente in uscita, sono applicabili le regole di rete e le regole dell'applicazione seguenti:
Regole FQDN/applicazione necessarie
| FQDN | Porta | Utilizzo |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Necessaria per i pod del componente aggiuntivo Archivio di segreti CSI per comunicare con il server Azure KeyVault. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Obbligatorio per i pod di addon dell'archivio segreti CSI per comunicare con il server Azure KeyVault in Azure per enti pubblici. |
Monitoraggio di Azure - Prometheus gestito e Informazioni dettagliate sui contenitori
Se si usano cluster isolati di rete, è consigliabile configurare l'inserimento basato su endpoint privato, supportato sia per Managed Prometheus (area di lavoro Monitoraggio di Azure) che per Informazioni dettagliate sui contenitori (area di lavoro Log Analytics).
Se il cluster dispone di routing e Firewall di Azure definiti dall'utente in uscita, sono applicabili le regole di rete e le regole dell'applicazione seguenti:
Regole di rete necessarie
| Endpoint di destinazione | Protocollo | Port | Utilizzo |
|---|---|---|---|
Tag del servizio - AzureMonitor:443 |
TCP | 443 | Questo endpoint viene usato per inviare dati e log delle metriche a Monitoraggio di Azure e Log Analytics. |
Il cloud pubblico di Azure richiede FQDN/regole dell'applicazione
| Endpoint | Scopo | Porta |
|---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
Servizio di controllo di accesso | 443 |
*.ingest.monitor.azure.com |
Informazioni dettagliate sui contenitori : registra l'endpoint di inserimento (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
Servizio gestito di Monitoraggio di Azure per Prometheus - Endpoint di inserimento delle metriche (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
Recuperare le regole di raccolta dati per un computer specifico | 443 |
Microsoft Azure gestito dal cloud 21Vianet richiede FQDN/regole dell'applicazione
| Endpoint | Scopo | Porta |
|---|---|---|
*.ods.opinsights.azure.cn |
Inserimento dati | 443 |
*.oms.opinsights.azure.cn |
Onboarding dell'agente di Monitoraggio di Azure (AMA) | 443 |
dc.services.visualstudio.com |
Per telemetria dell'agente che usa Application Insights per il cloud pubblico di Azure | 443 |
global.handler.control.monitor.azure.cn |
Servizio di controllo di accesso | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
Recuperare le regole di raccolta dati per un computer specifico | 443 |
*.ingest.monitor.azure.cn |
Informazioni dettagliate sui contenitori : registra l'endpoint di inserimento (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
Servizio gestito di Monitoraggio di Azure per Prometheus - Endpoint di inserimento delle metriche (DCE) | 443 |
Azure per enti pubblici regole FQDN/applicazione necessarie per il cloud
| Endpoint | Scopo | Porta |
|---|---|---|
*.ods.opinsights.azure.us |
Inserimento dati | 443 |
*.oms.opinsights.azure.us |
Onboarding dell'agente di Monitoraggio di Azure (AMA) | 443 |
dc.services.visualstudio.com |
Per telemetria dell'agente che usa Application Insights per il cloud pubblico di Azure | 443 |
global.handler.control.monitor.azure.us |
Servizio di controllo di accesso | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
Recuperare le regole di raccolta dati per un computer specifico | 443 |
*.ingest.monitor.azure.us |
Informazioni dettagliate sui contenitori : registra l'endpoint di inserimento (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
Servizio gestito di Monitoraggio di Azure per Prometheus - Endpoint di inserimento delle metriche (DCE) | 443 |
Criteri di Azure
Regole FQDN/applicazione necessarie
| FQDN | Porta | Utilizzo |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Questo indirizzo viene usato per eseguire il pull dei criteri Kubernetes e per segnalare lo stato di conformità del cluster al servizio dei criteri. |
store.policy.core.windows.net |
HTTPS:443 |
Questo indirizzo viene usato per eseguire il pull degli artefatti di Gatekeeper dei criteri predefiniti. |
dc.services.visualstudio.com |
HTTPS:443 |
Componente aggiuntivo di Criteri di Azure che invia i dati di telemetria all'endpoint di Application Insights. |
Regole FQDN/applicazione necessarie per Microsoft Azure gestito da 21Vianet
| FQDN | Porta | Utilizzo |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Questo indirizzo viene usato per eseguire il pull dei criteri Kubernetes e per segnalare lo stato di conformità del cluster al servizio dei criteri. |
store.policy.azure.cn |
HTTPS:443 |
Questo indirizzo viene usato per eseguire il pull degli artefatti di Gatekeeper dei criteri predefiniti. |
Regole FQDN/applicazione necessarie per Azure US Government
| FQDN | Porta | Utilizzo |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Questo indirizzo viene usato per eseguire il pull dei criteri Kubernetes e per segnalare lo stato di conformità del cluster al servizio dei criteri. |
store.policy.azure.us |
HTTPS:443 |
Questo indirizzo viene usato per eseguire il pull degli artefatti di Gatekeeper dei criteri predefiniti. |
Componente aggiuntivo di analisi dei costi del servizio Azure Kubernetes
Regole FQDN/applicazione necessarie
| FQDN | Porta | Utilizzo |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Azure per enti pubblici) management.chinacloudapi.cn (Azure gestito da 21Vianet) |
HTTPS:443 |
Necessaria per le operazioni Kubernetes sull'API di Azure. |
login.microsoftonline.com login.microsoftonline.us (Azure per enti pubblici) login.microsoftonline.cn (Azure gestito da 21Vianet) |
HTTPS:443 |
Necessario per l'autenticazione di Microsoft Entra ID. |
Estensioni dei cluster
Regole FQDN/applicazione necessarie
| FQDN | Porta | Utilizzo |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Questo indirizzo viene usato per recuperare le informazioni di configurazione dal servizio Estensioni cluster e segnalare lo stato dell'estensione al servizio. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Questo indirizzo è necessario per eseguire il pull delle immagini del contenitore per l'installazione degli agenti di estensione del cluster nel cluster del servizio Azure Kubernetes. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Questo indirizzo è necessario per eseguire il pull delle immagini del contenitore per l'installazione delle estensioni del marketplace nel cluster del servizio Azure Kubernetes. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Questo indirizzo è destinato all'endpoint dati per l'area India centrale ed è necessario per eseguire il pull delle immagini del contenitore per l'installazione delle estensioni del marketplace nel cluster del servizio Azure Kubernetes. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Questo indirizzo è destinato all'endpoint dati per l'area Giappone orientale ed è necessario per eseguire il pull delle immagini del contenitore per l'installazione delle estensioni del marketplace nel cluster del servizio Azure Kubernetes. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Questo indirizzo è destinato all'endpoint dati per l'area Stati Uniti occidentali 2 ed è necessario per eseguire il pull delle immagini del contenitore per l'installazione delle estensioni del marketplace nel cluster del servizio Azure Kubernetes. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Questo indirizzo è destinato all'endpoint dati per l'area Europa occidentale ed è necessario per eseguire il pull delle immagini del contenitore per l'installazione delle estensioni del marketplace nel cluster del servizio Azure Kubernetes. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Questo indirizzo è destinato all'endpoint dati per l'area Stati Uniti orientali ed è necessario per eseguire il pull delle immagini del contenitore per l'installazione delle estensioni del marketplace nel cluster del servizio Azure Kubernetes. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Questo indirizzo viene usato per inviare i dati delle metriche degli agenti ad Azure. |
marketplaceapi.microsoft.com |
HTTPS: 443 |
Questo indirizzo viene usato per inviare l'utilizzo basato su contatori personalizzati all'API di misurazione commerciale. |
Regole FQDN/applicazione necessarie per Azure US Government
| FQDN | Porta | Utilizzo |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Questo indirizzo viene usato per recuperare le informazioni di configurazione dal servizio Estensioni cluster e segnalare lo stato dell'estensione al servizio. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Questo indirizzo è necessario per eseguire il pull delle immagini del contenitore per l'installazione degli agenti di estensione del cluster nel cluster del servizio Azure Kubernetes. |
Nota
Per tutti i componenti aggiuntivi che non sono indicati in modo esplicito qui, è prevista la copertura dei requisiti di base.
Componente aggiuntivo mesh di servizi basato su Istio
In Istio=based service mesh add-on, se si configura istiod con un'autorità di certificazione del plug-in (CA) o se si configura un gateway di ingresso sicuro, per queste funzionalità è necessario il provider di Azure Key Vault per il driver CSI dell'archivio segreti. I requisiti di rete in uscita per il provider di Azure Key Vault per il driver CSI dell'archivio segreti sono disponibili qui.
Componente aggiuntivo Instradamento dell'applicazione
Il componente aggiuntivo routing delle applicazioni supporta la terminazione SSL in ingresso con certificati archiviati in Azure Key Vault. I requisiti di rete in uscita per il provider di Azure Key Vault per il driver CSI dell'archivio segreti sono disponibili qui.
Passaggi successivi
In questo articolo sono state fornite informazioni sulle porte e sugli indirizzi da consentire se si vuole limitare il traffico in uscita per il cluster.
Se si vuole limitare il modo in cui i pod comunicano tra loro e le restrizioni del traffico orizzontale destra-sinistra all'interno del cluster, vedere Proteggere il traffico tra i pod usando i criteri di rete nel servizio Azure Kubernetes.
Azure Kubernetes Service