启用了 Azure Arc 的 Kubernetes 的网络要求

本主题介绍了将 Kubernetes 群集连接到 Azure Arc 并支持各种已启用 Arc 的 Kubernetes 方案的网络要求。

详细信息

通常,连接要求包括以下原则:

  • 除非另有说明,否则所有连接都是 TCP 连接。
  • 所有 HTTP 连接都使用 HTTPS 和 SSL/TLS,并带有正式签名和可验证的证书。
  • 除非另有说明,否则所有连接都是出站连接。

若要使用代理,请验证执行加入流程的代理和电脑满足本文中所述的网络要求。

重要

Azure Arc 代理需要 https://:443 上的以下出站 URL 才能运行。 对于 *.servicebus.chinacloudapi.cn,需要为防火墙和代理上的出站访问启用 websocket。

终结点 (DNS) 说明
https://management.chinacloudapi.cn 代理需要该终结点才能连接到由世纪互联运营的 Azure 并注册群集。
https://<region>.dp.kubernetesconfiguration.azure.cn 代理的数据平面终结点,用于推送状态和提取配置信息。
https://login.chinacloudapi.cn
https://<region>.login.chinacloudapi.cn
login.partner.microsoftonline.cn
提取和更新 Azure 资源管理器令牌所需的终结点。
mcr.azk8s.cn 拉取 Azure Arc 代理的容器映像所需的终结点。
https://gbl.his.arc.azure.cn 需要用于获取区域终结点,以便拉取系统分配的托管标识证书。
https://*.his.arc.azure.cn 拉取系统分配的托管标识证书时必需。
https://k8connecthelm.azureedge.net az connectedk8s connect 使用 Helm 3 在 Kubernetes 群集上部署 Azure Arc 代理。 Helm 客户端下载需要此终结点来帮助部署代理 helm 图表。
guestnotificationservice.azure.cn
*.guestnotificationservice.azure.cn
sts.chinacloudapi.cn
https://k8sconnectcsp.azureedge.net
针对基于连接位置的场景。
*.servicebus.chinacloudapi.cn 针对基于连接位置的场景。
https://graph.chinacloudapi.cn/ 在配置 Azure RBAC 时是必需的。
*.arc.azure.cn 在 Azure 门户中管理连接的群集时是必需的。
https://<region>.obo.arc.azure.cn:8084/ 在配置群集连接功能时是必需的。
quay.azk8s.cn
registryk8s.azk8s.cn
k8sgcr.azk8s.cn
usgcr.azk8s.cn
dockerhub.azk8s.cn/<repo-name>/<image-name>:<version>
由 21Vianet VM 运营的 Azure 容器注册表代理服务器。

额外终结点

根据你的方案,可能需要连接到其他 URL,例如 Azure 门户、管理工具或其他 Azure 服务使用的 URL。 具体而言,请查看这些列表,以确保允许连接到任何必要的终结点:

有关 Azure ARC 功能和已启用 Azure ARC 的服务的网络要求的完整列表,请参阅 Azure ARC 网络要求

后续步骤