Azure Arc 지원 Kubernetes 네트워크 요구 사항
이 문서의 내용
이 항목에서는 Kubernetes 클러스터를 Azure Arc에 연결하고 다양한 Arc 지원 Kubernetes 시나리오를 지원하기 위한 네트워킹 요구 사항에 대해 설명합니다.
팁
Azure 퍼블릭 클라우드의 경우 Azure Arc 게이트웨이(미리 보기)를 사용하여 필요한 엔드포인트 수를 줄일 수 있습니다.
세부 정보
일반적으로 연결 요구 사항에는 다음 원칙이 포함됩니다.
달리 지정하지 않는 한 모든 연결은 TCP입니다.
모든 HTTP 연결은 공식적으로 서명되고 확인 가능한 인증서와 함께 HTTPS 및 SSL/TLS를 사용합니다.
달리 지정하지 않는 한 모든 연결은 아웃바운드입니다.
프록시를 사용하려면 온보딩 프로세스를 수행하는 에이전트와 컴퓨터가 이 문서의 네트워크 요구 사항을 충족하는지 확인합니다.
Important
Azure Arc 에이전트가 작동하려면 함수에 대한 https://:443에서 다음 아웃바운드 URL이 필요합니다.
*.servicebus.windows.net의 경우 방화벽 및 프록시에 대한 아웃바운드 액세스에 대해 websocket을 사용하도록 설정해야 합니다.
엔드포인트(DNS)
설명
https://management.azure.com에이전트가 Azure에 연결하고 클러스터를 등록하는 데 필요합니다.
https://<region>.dp.kubernetesconfiguration.azure.com에이전트가 상태를 푸시하고 구성 정보를 가져오기 위한 데이터 평면 엔드포인트.
https://login.microsoftonline.comhttps://<region>.login.microsoft.comlogin.windows.netAzure Resource Manager 토큰을 가져오고 업데이트하는 데 필요합니다.
https://mcr.microsoft.comhttps://*.data.mcr.microsoft.comAzure Arc 에이전트의 컨테이너 이미지를 끌어오는 데 필요합니다.
https://gbl.his.arc.azure.com시스템 할당 MSI(Managed Identity 증명서) 인증서를 끌어오기 위한 지역 엔드포인트를 가져오는 데 필요합니다.
https://*.his.arc.azure.com시스템이 할당한 관리 ID 인증서를 가져오는 데 필요합니다.
https://k8connecthelm.azureedge.netaz connectedk8s connect는 Helm 3를 사용하여 Kubernetes 클러스터에 Azure Arc 에이전트를 배포합니다. 이 엔드포인트는 에이전트 Helm 차트의 배포를 용이하게 하기 위해 Helm 클라이언트 다운로드에 필요합니다.
guestnotificationservice.azure.com*.guestnotificationservice.azure.comsts.windows.nethttps://k8sconnectcsp.azureedge.net클러스터 연결 및 사용자 지정 위치 기반 시나리오의 경우.
*.servicebus.windows.net클러스터 연결 및 사용자 지정 위치 기반 시나리오의 경우.
https://graph.microsoft.com/Azure RBAC 가 구성될 때 필요합니다.
*.arc.azure.netAzure Portal에서 연결된 클러스터를 관리하는 데 필요합니다.
https://<region>.obo.arc.azure.com:8084/클러스터 연결 을 구성할 때 필요합니다.
https://linuxgeneva-microsoft.azurecr.ioAzure Arc 지원 Kubernetes 확장 을 사용하는 경우 필요합니다.
*.servicebus.windows.net 와일드카드를 특정 엔드포인트로 변환하려면 다음 명령을 사용합니다.
GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>
지역 엔드포인트의 지역 세그먼트를 가져오려면 Azure 지역 이름에서 모든 공백을 제거합니다. 예를 들어, 미국 동부 2 지역의 경우 지역 이름은 eastus2입니다.
예: *.<region>.arcdataservices.com은 미국 동부 2 지역에서 *.eastus2.arcdataservices.com여야 합니다.
모든 지역 목록을 보려면 다음 명령을 실행합니다.
az account list-locations -o table
Get-AzLocation | Format-Table
Important
Azure Arc 에이전트가 작동하려면 함수에 대한 https://:443에서 다음 아웃바운드 URL이 필요합니다.
*.servicebus.usgovcloudapi.net의 경우 방화벽 및 프록시에 대한 아웃바운드 액세스에 대해 websocket을 사용하도록 설정해야 합니다.
엔드포인트(DNS)
설명
https://management.usgovcloudapi.net에이전트가 Azure에 연결하고 클러스터를 등록하는 데 필요합니다.
https://<region>.dp.kubernetesconfiguration.azure.us에이전트가 상태를 푸시하고 구성 정보를 가져오기 위한 데이터 평면 엔드포인트.
https://login.microsoftonline.us<region>.login.microsoftonline.usAzure Resource Manager 토큰을 가져오고 업데이트하는 데 필요합니다.
https://mcr.microsoft.comhttps://*.data.mcr.microsoft.comAzure Arc 에이전트의 컨테이너 이미지를 끌어오는 데 필요합니다.
https://gbl.his.arc.azure.us시스템 할당 MSI(Managed Identity 증명서) 인증서를 끌어오기 위한 지역 엔드포인트를 가져오는 데 필요합니다.
https://usgv.his.arc.azure.us시스템이 할당한 관리 ID 인증서를 가져오는 데 필요합니다.
https://k8connecthelm.azureedge.netaz connectedk8s connect는 Helm 3를 사용하여 Kubernetes 클러스터에 Azure Arc 에이전트를 배포합니다. 이 엔드포인트는 에이전트 Helm 차트의 배포를 용이하게 하기 위해 Helm 클라이언트 다운로드에 필요합니다.
guestnotificationservice.azure.us*.guestnotificationservice.azure.ussts.windows.nethttps://k8sconnectcsp.azureedge.net클러스터 연결 및 사용자 지정 위치 기반 시나리오의 경우.
*.servicebus.usgovcloudapi.net클러스터 연결 및 사용자 지정 위치 기반 시나리오의 경우.
https://graph.microsoft.com/Azure RBAC 가 구성될 때 필요합니다.
https://usgovvirginia.obo.arc.azure.us:8084/클러스터 연결 을 구성할 때 필요합니다.
*.servicebus.usgovcloudapi.net 와일드카드를 특정 엔드포인트로 변환하려면 다음 명령을 사용합니다.
GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&location=region
지역 엔드포인트의 지역 세그먼트를 가져오려면 Azure 지역 이름에서 모든 공백을 제거합니다. 예를 들어, 미국 동부 2 지역의 경우 지역 이름은 eastus2입니다.
예: *.<region>.arcdataservices.com은 미국 동부 2 지역에서 *.eastus2.arcdataservices.com여야 합니다.
모든 지역 목록을 보려면 다음 명령을 실행합니다.
az account list-locations -o table
Get-AzLocation | Format-Table
Important
Azure Arc 에이전트가 작동하려면 함수에 대한 https://:443에서 다음 아웃바운드 URL이 필요합니다.
*.servicebus.chinacloudapi.cn의 경우 방화벽 및 프록시에 대한 아웃바운드 액세스에 대해 websocket을 사용하도록 설정해야 합니다.
엔드포인트(DNS)
설명
https://management.chinacloudapi.cn에이전트가 Azure에 연결하고 클러스터를 등록하는 데 필요합니다.
https://<region>.dp.kubernetesconfiguration.azure.cn에이전트가 상태를 푸시하고 구성 정보를 가져오기 위한 데이터 평면 엔드포인트.
https://login.chinacloudapi.cnhttps://<region>.login.chinacloudapi.cnlogin.partner.microsoftonline.cnAzure Resource Manager 토큰을 가져오고 업데이트하는 데 필요합니다.
mcr.azk8s.cnAzure Arc 에이전트의 컨테이너 이미지를 끌어오는 데 필요합니다.
https://gbl.his.arc.azure.cn시스템 할당 MSI(Managed Identity 증명서) 인증서를 끌어오기 위한 지역 엔드포인트를 가져오는 데 필요합니다.
https://*.his.arc.azure.cn시스템이 할당한 관리 ID 인증서를 가져오는 데 필요합니다.
https://k8connecthelm.azureedge.netaz connectedk8s connect는 Helm 3를 사용하여 Kubernetes 클러스터에 Azure Arc 에이전트를 배포합니다. 이 엔드포인트는 에이전트 Helm 차트의 배포를 용이하게 하기 위해 Helm 클라이언트 다운로드에 필요합니다.
guestnotificationservice.azure.cn*.guestnotificationservice.azure.cnsts.chinacloudapi.cnhttps://k8sconnectcsp.azureedge.net클러스터 연결 및 사용자 지정 위치 기반 시나리오의 경우.
*.servicebus.chinacloudapi.cn클러스터 연결 및 사용자 지정 위치 기반 시나리오의 경우.
https://graph.chinacloudapi.cn/Azure RBAC 가 구성될 때 필요합니다.
*.arc.azure.cnAzure Portal에서 연결된 클러스터를 관리하는 데 필요합니다.
https://<region>.obo.arc.azure.cn:8084/클러스터 연결 을 구성할 때 필요합니다.
quay.azk8s.cnregistryk8s.azk8s.cnk8sgcr.azk8s.cnusgcr.azk8s.cndockerhub.azk8s.cn/<repo-name>/<image-name>:<version>Azure 중국 VM용 컨테이너 레지스트리 프록시 서버.
추가 엔드포인트
시나리오에 따라 Azure Portal, 관리 도구 또는 기타 Azure 서비스에서 사용하는 것과 같은 다른 URL에 대한 연결이 필요할 수 있습니다. 특히 다음 목록을 검토하여 필요한 모든 엔드포인트에 대한 연결을 허용하는지 확인합니다.
Azure Arc 기능 및 Azure Arc 지원 서비스에 대한 네트워크 요구 사항 전체 목록은 Azure Arc 네트워크 요구 사항 을 참조하세요.
다음 단계