Requisiti di rete Kubernetes abilitati per Azure Arc

  • Articolo

Questo argomento descrive i requisiti di rete per la connessione di un cluster Kubernetes ad Azure Arc e il supporto di vari scenari Kubernetes abilitati per Arc.

Dettagli

In genere, i requisiti di connettività includono questi principi:

  • Tutte le connessioni sono TCP, se non diversamente specificato.
  • Tutte le connessioni HTTP usano HTTPS e SSL/TLS con certificati ufficialmente firmati e verificabili.
  • Tutte le connessioni sono in uscita, se non diversamente specificato.

Per usare un proxy, verificare che gli agenti e il computer che eseguono il processo di onboarding soddisfino i requisiti di rete in questo articolo.

Importante

Per il funzionamento degli agenti di Azure Arc sono necessari gli URL https://:443 in uscita seguenti. Per *.servicebus.windows.net, i websocket devono essere abilitati per l'accesso in uscita nel firewall e nel proxy.

Endpoint (DNS) Descrizione
https://management.azure.com Obbligatorio per consentire all'agente di connettersi ad Azure e registrare il cluster.
https://<region>.dp.kubernetesconfiguration.azure.com Endpoint del piano dati che consente all'agente di eseguire il push dello stato e recuperare le informazioni di configurazione.
https://login.microsoftonline.com
https://<region>.login.microsoft.com
login.windows.net		 Obbligatorio per recuperare e aggiornare i token di Azure Resource Manager.
https://mcr.microsoft.com
https://*.data.mcr.microsoft.com		 Necessario per eseguire il pull delle immagini del contenitore per gli agenti Di Azure Arc.
https://gbl.his.arc.azure.com Obbligatorio per ottenere l'endpoint a livello di area per il pull dei certificati di identità gestita assegnati dal sistema.
https://*.his.arc.azure.com Necessario per eseguire il pull dei certificati di identità gestita assegnati dal sistema.
https://k8connecthelm.azureedge.net az connectedk8s connect usa Helm 3 per distribuire gli agenti Di Azure Arc nel cluster Kubernetes. Questo endpoint è necessario per il download del client Helm per facilitare la distribuzione del grafico helm dell'agente.
guestnotificationservice.azure.com
*.guestnotificationservice.azure.com
sts.windows.net
https://k8sconnectcsp.azureedge.net		 Per cluster Connessione e per scenari basati sulla posizione personalizzata.
*.servicebus.windows.net Per cluster Connessione e per scenari basati sulla posizione personalizzata.
https://graph.microsoft.com/ Obbligatorio quando è configurato il controllo degli accessi in base al ruolo di Azure.
*.arc.azure.net Necessario per gestire i cluster connessi in portale di Azure.
https://<region>.obo.arc.azure.com:8084/ Obbligatorio quando è configurato Connessione cluster.
dl.k8s.io Obbligatorio quando l'aggiornamento automatico dell'agente è abilitato.

Per convertire il *.servicebus.windows.net carattere jolly in endpoint specifici, usare il comando :

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Per ottenere il segmento di area di un endpoint a livello di area, rimuovere tutti gli spazi dal nome dell'area di Azure. Ad esempio, area Stati Uniti orientali 2 , il nome dell'area è eastus2.

Ad esempio: *.<region>.arcdataservices.com deve trovarsi *.eastus2.arcdataservices.com nell'area Stati Uniti orientali 2.

Per visualizzare un elenco di tutte le aree, eseguire questo comando:

az account list-locations -o table

Get-AzLocation | Format-Table

Altri endpoint

A seconda dello scenario, potrebbe essere necessaria la connettività ad altri URL, ad esempio quelli usati dalla portale di Azure, dagli strumenti di gestione o da altri servizi di Azure. In particolare, esaminare questi elenchi per assicurarsi di consentire la connettività a tutti gli endpoint necessari:

Per un elenco completo dei requisiti di rete per le funzionalità di Azure Arc e i servizi abilitati per Azure Arc, vedere Requisiti di rete di Azure Arc.

Passaggi successivi