Azure Kubernetes Service (AKS) でクラスター ノードに対するエグレス トラフィックを制御するControl egress traffic for cluster nodes in Azure Kubernetes Service (AKS)

既定で、AKS クラスターは、送信 (エグレス) インターネット アクセスが無制限です。By default, AKS clusters have unrestricted outbound (egress) internet access. このレベルのネットワーク アクセスでは、実行しているノードやサービスから必要に応じて外部リソースにアクセスできます。This level of network access allows nodes and services you run to access external resources as needed. エグレス トラフィックを制限する場合は、正常なクラスター メンテナンス タスクを維持するために、アクセスできるポートとアドレスの数を制限する必要があります。If you wish to restrict egress traffic, a limited number of ports and addresses must be accessible to maintain healthy cluster maintenance tasks. 既定では、クラスターは、Microsoft Container Registry (MCR) または Azure Container Registry (ACR) のベース システム コンテナー イメージのみを使用するように構成されます。Your cluster is configured by default to only use base system container images from Microsoft Container Registry (MCR) or Azure Container Registry (ACR). これらの必要なポートとアドレスを許可するように、適切なファイアウォール規則とセキュリティ規則を構成します。Configure your preferred firewall and security rules to allow these required ports and addresses.

この記事では、AKS クラスターでエグレス トラフィックを制限する場合に必要なネットワーク ポートと完全修飾ドメイン名 (FQDN) について説明します。This article details what network ports and fully qualified domain names (FQDNs) are required and optional if you restrict egress traffic in an AKS cluster.

重要

このドキュメントでは、AKS サブネットから出て行くトラフィックをロックダウンする方法についてのみ説明します。This document covers only how to lock down the traffic leaving the AKS subnet. AKS にはイングレス要件はありません。AKS has no ingress requirements. ネットワーク セキュリティ グループ (NSGs) とファイアウォールを使用して内部サブネット トラフィックをブロックすることは、サポートされていません。Blocking internal subnet traffic using network security groups (NSGs) and firewalls is not supported. クラスター内のトラフィックを制御およびブロックするには、ネットワーク ポリシーを使用します。To control and block the traffic within the cluster, use Network Policies.

開始する前にBefore you begin

Azure CLI バージョン 2.0.66 以降がインストールされて構成されている必要があります。You need the Azure CLI version 2.0.66 or later installed and configured. バージョンを確認するには、az --version を実行します。Run az --version to find the version. インストールまたはアップグレードする必要がある場合は、Azure CLI のインストールに関するページを参照してください。If you need to install or upgrade, see Install Azure CLI.

エグレス トラフィックの概要Egress traffic overview

管理と運用上の目的から、AKS クラスター内のノードは特定のポートと完全修飾ドメイン名 (FQDN) にアクセスする必要があります。For management and operational purposes, nodes in an AKS cluster need to access certain ports and fully qualified domain names (FQDNs). このようなアクションには、API サーバーと通信することや、コア Kubernetes クラスター コンポーネントとノード セキュリティの更新プログラムをダウンロードしてからインストールすることがあります。These actions could be to communicate with the API server, or to download and then install core Kubernetes cluster components and node security updates. 既定では、エグレス (送信) インターネット トラフィックは AKS クラスター内のノードに制限されていません。By default, egress (outbound) internet traffic is not restricted for nodes in an AKS cluster. クラスターでは、外部リポジトリからベース システム コンテナー イメージをプルすることがあります。The cluster may pull base system container images from external repositories.

AKS クラスターのセキュリティを強化するために、エグレス トラフィックを制限する場合があります。To increase the security of your AKS cluster, you may wish to restrict egress traffic. クラスターは、MCR または ACR からベース システム コンテナー イメージをプルするように構成されています。The cluster is configured to pull base system container images from MCR or ACR. この方法でエグレス トラフィックをロック ダウンする場合は、AKS ノードが必要な外部サービスと正しく通信できるように、特定のポートと FQDN を定義します。If you lock down the egress traffic in this manner, define specific ports and FQDNs to allow the AKS nodes to correctly communicate with required external services. このような承認済みのポートと FQDN がない場合、AKS ノードは API サーバーと通信できず、コア コンポーネントをインストールできません。Without these authorized ports and FQDNs, your AKS nodes can't communicate with the API server or install core components.

Azure Firewall またはサードパーティ製ファイアウォール アプライアンスを使用して、エグレス トラフィックをセキュリティで保護し、これらの必要なポートとアドレスを定義することができます。You can use Azure Firewall or a 3rd-party firewall appliance to secure your egress traffic and define these required ports and addresses. AKS では、これらの規則は自動的に作成されません。AKS does not automatically create these rules for you. 次のポートとアドレスは参照用であり、お使いのネットワーク ファイアウォールで適切な規則を作成する必要があります。The following ports and addresses are for reference as you create the appropriate rules in your network firewall.

重要

Azure Firewall を使用してエグレス トラフィックを制限し、すべてのエグレス トラフィックを強制するユーザー定義ルート (UDR) を作成するときは、イグレス トラフィックを正しく許可するために、ファイアウォールで適切な DNAT 規則を作成する必要があります。When you use Azure Firewall to restrict egress traffic and create a user-defined route (UDR) to force all egress traffic, make sure you create an appropriate DNAT rule in Firewall to correctly allow ingress traffic. UDR で Azure Firewall を使用すると、非対称ルーティングによってイングレス設定が機能しなくなりますUsing Azure Firewall with a UDR breaks the ingress setup due to asymmetric routing. (AKS サブネットにファイアウォールのプライベート IP アドレスに送信される既定のルートがあるのに、種類が LoadBalancer であるイングレスまたは Kubernetes サービスのパブリック ロード バランサーを使用している場合、この問題が発生します)。(The issue occurs if the AKS subnet has a default route that goes to the firewall's private IP address, but you're using a public load balancer - ingress or Kubernetes service of type: LoadBalancer). この場合、ロード バランサーの受信トラフィックはパブリック IP アドレス経由で受信されますが、復路のパスはファイアウォールのプライベート IP アドレスを通過します。In this case, the incoming load balancer traffic is received via its public IP address, but the return path goes through the firewall's private IP address. ファイアウォールはステートフルであり、確立済みのセッションを認識しないため、返されるパケットは破棄されます。Because the firewall is stateful, it drops the returning packet because the firewall isn't aware of an established session. Azure Firewall をイングレスまたはサービスのロード バランサーと統合する方法については、「Azure Firewall と Azure Standard Load Balancer を統合する」を参照してください。To learn how to integrate Azure Firewall with your ingress or service load balancer, see Integrate Azure Firewall with Azure Standard Load Balancer. エグレス ワーカー ノード IP と API サーバーの IP の間のネットワーク規則を使用して、TCP ポート9000 と TCP ポート 22 のトラフィックをロックダウンすることができます。You can lock down the traffic for TCP port 9000 and TCP port 22 using a network rule between the egress worker node IP(s) and the IP for the API server.

AKS には、2 組のポートとアドレスがあります。In AKS, there are two sets of ports and addresses:

注意

エグレス トラフィックの制限は、新しい AKS クラスターでのみ機能します。Limiting egress traffic only works on new AKS clusters. 既存のクラスターの場合は、エグレス トラフィックを制限する前に、az aks upgrade コマンドを使用してクラスターのアップグレード操作を実行します。For existing clusters, perform a cluster upgrade operation using the az aks upgrade command before you limit the egress traffic.

AKS クラスターの必要なポートとアドレスRequired ports and addresses for AKS clusters

AKS クラスターには、次の送信ポート/ネットワーク規則が必要です。The following outbound ports / network rules are required for an AKS cluster:

  • TCP ポート 443TCP port 443
  • API サーバーと通信する必要があるアプリがある場合は、TCP [IPAddrOfYourAPIServer]:443 が必要です。TCP [IPAddrOfYourAPIServer]:443 is required if you have an app that needs to talk to the API server. この変更は、クラスターの作成後に設定できます。This change can be set after the cluster is created.
  • トンネル フロント ポッドが API サーバー上のトンネルの終端と通信するための TCP ポート 9000 と TCP ポート 22TCP port 9000 and TCP port 22 for the tunnel front pod to communicate with the tunnel end on the API server.
    • より具体的な情報を得るには、次の表の * .hcp.<location>.azmk8s.io アドレスと * .tun.<location>.azmk8s.io アドレスを参照してください。To get more specific, see the *.hcp.<location>.azmk8s.io and *.tun.<location>.azmk8s.io addresses in the following table.
  • API サーバーに直接アクセスするポッドがある場合は、DNS に対する UDP ポート 53 も必要です。UDP port 53 for DNS is also required if you have pods directly accessing the API server.

次の FQDN/アプリケーション規則が必要です。The following FQDN / application rules are required:

  • Azure GlobalAzure Global
FQDNFQDN PortPort 用途Use
*.hcp.<location>.azmk8s.io*.hcp.<location>.azmk8s.io HTTPS: 443、TCP: 22、TCP: 9000HTTPS:443, TCP:22, TCP:9000 このアドレスは API サーバー エンドポイントです。This address is the API server endpoint. <location> は、AKS クラスターがデプロイされているリージョンに置き換えてください。Replace <location> with the region where your AKS cluster is deployed.
*.tun.<location>.azmk8s.io*.tun.<location>.azmk8s.io HTTPS: 443、TCP: 22、TCP: 9000HTTPS:443, TCP:22, TCP:9000 このアドレスは API サーバー エンドポイントです。This address is the API server endpoint. <location> は、AKS クラスターがデプロイされているリージョンに置き換えてください。Replace <location> with the region where your AKS cluster is deployed.
aksrepos.azurecr.ioaksrepos.azurecr.io HTTPS: 443HTTPS:443 このアドレスは、Azure Container Registry (ACR) 内のイメージにアクセスするために必要です。This address is required to access images in Azure Container Registry (ACR). このレジストリには、クラスターのアップグレード時およびスケール時にクラスターの機能に必要なサードパーティのイメージ/グラフ (メトリックサーバー、コア DNS など) が含まれています。This registry contains third-party images/charts (for example, metrics server, core dns, etc.) required for the functioning of the cluster during upgrade and scale of the cluster
*.blob.core.windows.net*.blob.core.windows.net HTTPS: 443HTTPS:443 このアドレスは ACR に保存されているイメージのバックエンド ストアです。This address is the backend store for images stored in ACR.
mcr.microsoft.commcr.microsoft.com HTTPS: 443HTTPS:443 このアドレスは、Microsoft Container Registry (MCR) のイメージにアクセスするために必要です。This address is required to access images in Microsoft Container Registry (MCR). このレジストリには、クラスターのアップグレード時およびスケール時にクラスターの機能に必要なファーストパーティのイメージ/グラフ (moby など) が含まれています。This registry contains first-party images/charts(for example, moby, etc.) required for the functioning of the cluster during upgrade and scale of the cluster
*.cdn.mscr.io*.cdn.mscr.io HTTPS: 443HTTPS:443 このアドレスは、Azure Content Delivery Network (CDN) によってサポートされる MCR ストレージに必要です。This address is required for MCR storage backed by the Azure content delivery network (CDN).
management.azure.commanagement.azure.com HTTPS: 443HTTPS:443 このアドレスは、Kubernetes の GET/PUT 操作に必要です。This address is required for Kubernetes GET/PUT operations.
login.microsoftonline.comlogin.microsoftonline.com HTTPS: 443HTTPS:443 このアドレスは Azure Active Directory 認証に必要です。This address is required for Azure Active Directory authentication.
ntp.ubuntu.comntp.ubuntu.com UDP: 123UDP:123 このアドレスは、Linux ノード上での NTP 時刻同期に必要です。This address is required for NTP time synchronization on Linux nodes.
packages.microsoft.compackages.microsoft.com HTTPS: 443HTTPS:443 このアドレスは、キャッシュされた apt-get 操作に使用される Microsoft パッケージ リポジトリです。This address is the Microsoft packages repository used for cached apt-get operations. パッケージの例としては、Moby、PowerShell、Azure CLI などがあります。Example packages include Moby, PowerShell, and Azure CLI.
acs-mirror.azureedge.netacs-mirror.azureedge.net HTTPS: 443HTTPS:443 このアドレスは、kubernet や Azure CNI などの必要なバイナリをインストールするために必要なリポジトリ用です。This address is for the repository required to install required binaries like kubenet and Azure CNI.
  • Azure ChinaAzure China
FQDNFQDN PortPort 用途Use
*.hcp.<location>.cx.prod.service.azk8s.cn*.hcp.<location>.cx.prod.service.azk8s.cn HTTPS: 443、TCP: 22、TCP: 9000HTTPS:443, TCP:22, TCP:9000 このアドレスは API サーバー エンドポイントです。This address is the API server endpoint. <location> は、AKS クラスターがデプロイされているリージョンに置き換えてください。Replace <location> with the region where your AKS cluster is deployed.
*.tun.<location>.cx.prod.service.azk8s.cn*.tun.<location>.cx.prod.service.azk8s.cn HTTPS: 443、TCP: 22、TCP: 9000HTTPS:443, TCP:22, TCP:9000 このアドレスは API サーバー エンドポイントです。This address is the API server endpoint. <location> は、AKS クラスターがデプロイされているリージョンに置き換えてください。Replace <location> with the region where your AKS cluster is deployed.
*.azk8s.cn*.azk8s.cn HTTPS: 443HTTPS:443 このアドレスは、必要なバイナリと画像をダウンロードするために必要ですThis address is required to download required binaries and images
mcr.microsoft.commcr.microsoft.com HTTPS: 443HTTPS:443 このアドレスは、Microsoft Container Registry (MCR) のイメージにアクセスするために必要です。This address is required to access images in Microsoft Container Registry (MCR). このレジストリには、クラスターのアップグレード時およびスケール時にクラスターの機能に必要なファーストパーティのイメージ/グラフ (moby など) が含まれています。This registry contains first-party images/charts(for example, moby, etc.) required for the functioning of the cluster during upgrade and scale of the cluster
*.cdn.mscr.io*.cdn.mscr.io HTTPS: 443HTTPS:443 このアドレスは、Azure Content Delivery Network (CDN) によってサポートされる MCR ストレージに必要です。This address is required for MCR storage backed by the Azure content delivery network (CDN).
management.chinacloudapi.cnmanagement.chinacloudapi.cn HTTPS: 443HTTPS:443 このアドレスは、Kubernetes の GET/PUT 操作に必要です。This address is required for Kubernetes GET/PUT operations.
login.chinacloudapi.cnlogin.chinacloudapi.cn HTTPS: 443HTTPS:443 このアドレスは Azure Active Directory 認証に必要です。This address is required for Azure Active Directory authentication.
ntp.ubuntu.comntp.ubuntu.com UDP: 123UDP:123 このアドレスは、Linux ノード上での NTP 時刻同期に必要です。This address is required for NTP time synchronization on Linux nodes.
packages.microsoft.compackages.microsoft.com HTTPS: 443HTTPS:443 このアドレスは、キャッシュされた apt-get 操作に使用される Microsoft パッケージ リポジトリです。This address is the Microsoft packages repository used for cached apt-get operations. パッケージの例としては、Moby、PowerShell、Azure CLI などがあります。Example packages include Moby, PowerShell, and Azure CLI.
  • Azure GovernmentAzure Government
FQDNFQDN PortPort 用途Use
*.hcp.<location>.cx.aks.containerservice.azure.us*.hcp.<location>.cx.aks.containerservice.azure.us HTTPS: 443、TCP: 22、TCP: 9000HTTPS:443, TCP:22, TCP:9000 このアドレスは API サーバー エンドポイントです。This address is the API server endpoint. <location> は、AKS クラスターがデプロイされているリージョンに置き換えてください。Replace <location> with the region where your AKS cluster is deployed.
*.tun.<location>.cx.aks.containerservice.azure.us*.tun.<location>.cx.aks.containerservice.azure.us HTTPS: 443、TCP: 22、TCP: 9000HTTPS:443, TCP:22, TCP:9000 このアドレスは API サーバー エンドポイントです。This address is the API server endpoint. <location> は、AKS クラスターがデプロイされているリージョンに置き換えてください。Replace <location> with the region where your AKS cluster is deployed.
aksrepos.azurecr.ioaksrepos.azurecr.io HTTPS: 443HTTPS:443 このアドレスは、Azure Container Registry (ACR) 内のイメージにアクセスするために必要です。This address is required to access images in Azure Container Registry (ACR). このレジストリには、クラスターのアップグレード時およびスケール時にクラスターの機能に必要なサードパーティのイメージ/グラフ (メトリックサーバー、コア DNS など) が含まれています。This registry contains third-party images/charts (for example, metrics server, core dns, etc.) required for the functioning of the cluster during upgrade and scale of the cluster
*.blob.core.windows.net*.blob.core.windows.net HTTPS: 443HTTPS:443 このアドレスは ACR に保存されているイメージのバックエンド ストアです。This address is the backend store for images stored in ACR.
mcr.microsoft.commcr.microsoft.com HTTPS: 443HTTPS:443 このアドレスは、Microsoft Container Registry (MCR) のイメージにアクセスするために必要です。This address is required to access images in Microsoft Container Registry (MCR). このレジストリには、クラスターのアップグレード時およびスケール時にクラスターの機能に必要なファーストパーティのイメージ/グラフ (moby など) が含まれています。This registry contains first-party images/charts(for example, moby, etc.) required for the functioning of the cluster during upgrade and scale of the cluster
*.cdn.mscr.io*.cdn.mscr.io HTTPS: 443HTTPS:443 このアドレスは、Azure Content Delivery Network (CDN) によってサポートされる MCR ストレージに必要です。This address is required for MCR storage backed by the Azure content delivery network (CDN).
management.usgovcloudapi.netmanagement.usgovcloudapi.net HTTPS: 443HTTPS:443 このアドレスは、Kubernetes の GET/PUT 操作に必要です。This address is required for Kubernetes GET/PUT operations.
login.microsoftonline.uslogin.microsoftonline.us HTTPS: 443HTTPS:443 このアドレスは Azure Active Directory 認証に必要です。This address is required for Azure Active Directory authentication.
ntp.ubuntu.comntp.ubuntu.com UDP: 123UDP:123 このアドレスは、Linux ノード上での NTP 時刻同期に必要です。This address is required for NTP time synchronization on Linux nodes.
packages.microsoft.compackages.microsoft.com HTTPS: 443HTTPS:443 このアドレスは、キャッシュされた apt-get 操作に使用される Microsoft パッケージ リポジトリです。This address is the Microsoft packages repository used for cached apt-get operations. パッケージの例としては、Moby、PowerShell、Azure CLI などがあります。Example packages include Moby, PowerShell, and Azure CLI.
acs-mirror.azureedge.netacs-mirror.azureedge.net HTTPS: 443HTTPS:443 このアドレスは、kubernet や Azure CNI などの必要なバイナリをインストールするために必要なリポジトリ用です。This address is for the repository required to install required binaries like kubenet and Azure CNI.

AKS クラスターの場合、次の送信ポート/ネットワーク規則は任意です。The following outbound ports / network rules are optional for an AKS cluster:

AKS クラスターが正常に機能するためには、以下の FQDN/アプリケーション規則が推奨されます。The following FQDN / application rules are recommended for AKS clusters to function correctly:

FQDNFQDN PortPort 用途Use
security.ubuntu.com、azure.archive.ubuntu.com、changelogs.ubuntu.comsecurity.ubuntu.com, azure.archive.ubuntu.com, changelogs.ubuntu.com HTTP: 80HTTP:80 このアドレスを使用すると、Linux クラスター ノードから必要なセキュリティ パッチと更新プログラムをダウンロードできます。This address lets the Linux cluster nodes download the required security patches and updates.

GPU が有効な AKS クラスターに必要なアドレスとポートRequired addresses and ports for GPU enabled AKS clusters

GPU が有効になっている AKS クラスターの場合、次の FQDN/アプリケーション規則が必要です。The following FQDN / application rules are required for AKS clusters that have GPU enabled:

FQDNFQDN PortPort 用途Use
nvidia.github.ionvidia.github.io HTTPS: 443HTTPS:443 このアドレスは、GPU ベースのノード上のドライバーの適切なインストールと操作に使用されます。This address is used for correct driver installation and operation on GPU-based nodes.
us.download.nvidia.comus.download.nvidia.com HTTPS: 443HTTPS:443 このアドレスは、GPU ベースのノード上のドライバーの適切なインストールと操作に使用されます。This address is used for correct driver installation and operation on GPU-based nodes.
apt.dockerproject.orgapt.dockerproject.org HTTPS: 443HTTPS:443 このアドレスは、GPU ベースのノード上のドライバーの適切なインストールと操作に使用されます。This address is used for correct driver installation and operation on GPU-based nodes.

Azure Monitor for containers が有効になっている場合に必要なアドレスとポートRequired addresses and ports with Azure Monitor for containers enabled

Azure Monitor for containers 有効になっている AKS クラスターの場合、次の FQDN/アプリケーション規則が必要です。The following FQDN / application rules are required for AKS clusters that have the Azure Monitor for containers enabled:

FQDNFQDN PortPort 用途Use
dc.services.visualstudio.comdc.services.visualstudio.com HTTPS: 443HTTPS:443 これは、Azure Monitor を使用する適切なメトリックと監視テレメトリ用です。This is for correct metrics and monitoring telemetry using Azure Monitor.
*.ods.opinsights.azure.com*.ods.opinsights.azure.com HTTPS: 443HTTPS:443 これは、ログ分析データを取り込むために Azure Monitor によって使用されます。This is used by Azure Monitor for ingesting log analytics data.
*.oms.opinsights.azure.com*.oms.opinsights.azure.com HTTPS: 443HTTPS:443 このアドレスは、ログ分析サービスの認証に使用される omsagent によって使用されます。This address is used by omsagent, which is used to authenticate the log analytics service.
*.microsoftonline.com*.microsoftonline.com HTTPS: 443HTTPS:443 これは、Azure Monitor に対する認証とメトリックの送信に使用されます。This is used for authenticating and sending metrics to Azure Monitor.
*.monitoring.azure.com*.monitoring.azure.com HTTPS: 443HTTPS:443 これは、メトリック データを Azure Monitor に送信するために使用されます。This is used to send metrics data to Azure Monitor.

Azure Dev Spaces が有効になっている場合に必要なアドレスとポートRequired addresses and ports with Azure Dev Spaces enabled

Azure Dev Spaces が有効になっている AKS クラスターの場合、次の FQDN/アプリケーション規則が必要です。The following FQDN / application rules are required for AKS clusters that have the Azure Dev Spaces enabled:

FQDNFQDN PortPort 用途Use
cloudflare.docker.comcloudflare.docker.com HTTPS: 443HTTPS:443 このアドレスは、linux alpine やその他の Azure Dev Spaces イメージをプルするために使用されます。This address is used to pull linux alpine and other Azure Dev Spaces images
gcr.iogcr.io HTTP:443HTTP:443 このアドレスは、helm/tiller イメージをプルするために使用されます。This address is used to pull helm/tiller images
storage.googleapis.comstorage.googleapis.com HTTP:443HTTP:443 このアドレスは、helm/tiller イメージをプルするために使用されます。This address is used to pull helm/tiller images
azds-..azds.ioazds-..azds.io HTTPS: 443HTTPS:443 コントローラーの Azure Dev Spaces バックエンド サービスと通信するためのもの。To communicate with Azure Dev Spaces backend services for your controller. 正確な FQDN は %USERPROFILE%.azds\settings.json の "dataplaneFqdn" で確認できますThe exact FQDN can be found in the "dataplaneFqdn" in %USERPROFILE%.azds\settings.json

Azure Policy (パブリック プレビュー) が有効な AKS クラスターに必要なアドレスとポートRequired addresses and ports for AKS clusters with Azure Policy (in public preview) enabled

注意事項

以下の一部の機能はプレビュー段階です。Some of the features below are in preview. この記事の推奨事項は、機能がパブリック プレビューおよび将来のリリース段階に移行するときに、変更される可能性があります。The suggestions in this article are subject to change as the feature moves to public preview and future release stages.

Azure Policy が有効になっている AKS クラスターの場合、次の FQDN/アプリケーション規則が必要です。The following FQDN / application rules are required for AKS clusters that have the Azure Policy enabled.

FQDNFQDN PortPort 用途Use
gov-prod-policy-data.trafficmanager.netgov-prod-policy-data.trafficmanager.net HTTPS: 443HTTPS:443 このアドレスは、Azure Policy の適切な操作のために使用されます。This address is used for correct operation of Azure Policy. (現在 AKS でプレビュー段階)(currently in preview in AKS)
raw.githubusercontent.comraw.githubusercontent.com HTTPS: 443HTTPS:443 このアドレスは、Azure Policy の正しい動作のために組み込みポリシーを GitHub から取得するために使用されます。This address is used to pull the built-in policies from GitHub to ensure correct operation of Azure Policy. (現在 AKS でプレビュー段階)(currently in preview in AKS)
*.gk..azmk8s.io*.gk..azmk8s.io HTTPS: 443HTTPS:443 Azure Policy アドオンは、マスター サーバーで実行されている Gatekeeper 監査エンドポイントと通信して、監査結果を取得します。Azure policy add-on talks to Gatekeeper audit endpoint running in master server to get the audit results.
dc.services.visualstudio.comdc.services.visualstudio.com HTTPS: 443HTTPS:443 Azure Policy アドオンは、テレメトリ データを Application Insights エンドポイントに送信します。Azure policy add-on sends telemetry data to applications insights endpoint.

Windows Server ベースのノード (パブリック プレビュー) が有効な場合に必要Required by Windows Server based nodes (in public preview) enabled

注意事項

以下の一部の機能はプレビュー段階です。Some of the features below are in preview. この記事の推奨事項は、機能がパブリック プレビューおよび将来のリリース段階に移行するときに、変更される可能性があります。The suggestions in this article are subject to change as the feature moves to public preview and future release stages.

次の FQDN/アプリケーション規則は Windows Server ベースの AKS クラスターの場合に必要です。The following FQDN / application rules are required for Windows server based AKS clusters:

FQDNFQDN PortPort 用途Use
onegetcdn.azureedge.net、winlayers.blob.core.windows.net、winlayers.cdn.mscr.io、go.microsoft.comonegetcdn.azureedge.net, winlayers.blob.core.windows.net, winlayers.cdn.mscr.io, go.microsoft.com HTTPS: 443HTTPS:443 Windows 関連のバイナリをインストールするためTo install windows-related binaries
mp.microsoft.com、www.msftconnecttest.com、ctldl.windowsupdate.commp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com HTTP: 80HTTP:80 Windows 関連のバイナリをインストールするためTo install windows-related binaries
kms.core.windows.netkms.core.windows.net TCP: 1688TCP:1688 Windows 関連のバイナリをインストールするためTo install windows-related binaries

次の手順Next steps

この記事では、クラスターのエグレス トラフィックを制限する場合に許可するポートとアドレスについて学習しました。In this article, you learned what ports and addresses to allow if you restrict egress traffic for the cluster. また、ポッド自体が通信する方法と、それらのクラスター内の制限を定義することもできます。You can also define how the pods themselves can communicate and what restrictions they have within the cluster. 詳細については、AKS のネットワーク ポリシーを使用したポッド間のトラフィックの保護に関する記事を参照してください。For more information, see Secure traffic between pods using network policies in AKS.