Requisitos de red de Kubernetes habilitado para Azure Arc

  • Artículo

En este tema se describen los requisitos de red para conectar un clúster de Kubernetes a Azure Arc y admitir varios escenarios de Kubernetes habilitados para Arc.

Detalles

Por lo general, los requisitos de conectividad incluyen estos principios:

  • Todas las conexiones son TCP a menos que se especifique lo contrario.
  • Todas las conexiones HTTP usan HTTPS y SSL/TLS con certificados firmados oficialmente y verificables.
  • Todas las conexiones son salientes a menos que se especifique lo contrario.

Para utilizar un proxy, compruebe que los agentes y la máquina que realiza el proceso de incorporación cumplen los requisitos de red indicados en este artículo.

Importante

Los agentes de Azure Arc necesitan las siguientes direcciones URL de salida en https://:443 para funcionar: Para *.servicebus.windows.net, los websockets deben estar habilitados para el acceso saliente en el firewall y el proxy.

Punto de conexión (DNS) Descripción
https://management.azure.com Necesario para que el agente se conecte a Azure y registre el clúster.
https://<region>.dp.kubernetesconfiguration.azure.com Punto de conexión de plano de datos para que el agente inserte información de la configuración de estado y recuperación de cambios.
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net		 Necesario para capturar y actualizar tokens de Azure Resource Manager.
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com		 Necesario para extraer imágenes de contenedor para agentes de Azure Arc.
https://gbl.his.arc.azure.com Necesario para obtener el punto de conexión regional para extraer los certificados de la identidad administrada asignada por el sistema.
https://*.his.arc.azure.com Necesario para extraer certificados de identidad administrados que haya asignado el sistema.
https://k8connecthelm.azureedge.net az connectedk8s connect usa Helm 3 para implementar agentes de Azure Arc en el clúster de Kubernetes. Este punto de conexión es necesario para que el cliente de Helm descargue para facilitar la implementación del gráfico de Helm del agente.
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net		 Para escenarios basados en la conexión de clúster y la ubicación personalizada.
*.servicebus.windows.net Para escenarios basados en la conexión de clúster y la ubicación personalizada.
https://graph.microsoft.com/ Obligatorio cuando se configura el RBAC de Azure.
*.arc.azure.net Obligatorio para administrar clústeres conectados en Azure Portal.
https://<region>.obo.arc.azure.com:8084/ Obligatorio cuando se configura Conexión de clúster.
dl.k8s.io Obligatorio cuando la actualización automática del agente está habilitada.

Para convertir el carácter comodín *.servicebus.windows.net en puntos de conexión específicos, use el comando:

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Para obtener el segmento de región de un punto de conexión regional, quite todos los espacios del nombre de la región de Azure. Por ejemplo, en la región Este de EE. UU. 2, el nombre de la región es eastus2.

Por ejemplo: *.<region>.arcdataservices.com debe ser *.eastus2.arcdataservices.com en la región Este de EE. UU. 2.

Para ver una lista de todas las regiones, ejecute este comando:

az account list-locations -o table

Get-AzLocation | Format-Table

Puntos de conexión adicionales

En función de su escenario, es posible que necesite conectividad con otras direcciones URL, como las que usa Azure Portal, las herramientas de administración u otros servicios de Azure. En concreto, revise estas listas para asegurarse de que permite la conectividad a los puntos de conexión necesarios:

Para obtener una lista completa de los requisitos de red para las características de Azure Arc y los servicios habilitados para Azure Arc, consulte Requisitos de red de Azure Arc.

Pasos siguientes