启用了 Azure Arc 的 Kubernetes 的网络要求
本主题介绍了将 Kubernetes 群集连接到 Azure Arc 并支持各种已启用 Arc 的 Kubernetes 方案的网络要求。
详细信息
通常,连接要求包括以下原则:
- 除非另有说明,否则所有连接都是 TCP 连接。
- 所有 HTTP 连接都使用 HTTPS 和 SSL/TLS,并带有正式签名和可验证的证书。
- 除非另有说明,否则所有连接都是出站连接。
若要使用代理,请验证执行加入流程的代理和电脑满足本文中所述的网络要求。
重要
Azure Arc 代理需要 https://:443 上的以下出站 URL 才能运行。
对于 *.servicebus.chinacloudapi.cn,需要为防火墙和代理上的出站访问启用 websocket。
| 终结点 (DNS) | 说明 |
|---|---|
https://management.chinacloudapi.cn |
代理需要该终结点才能连接到由世纪互联运营的 Azure 并注册群集。 |
https://<region>.dp.kubernetesconfiguration.azure.cn |
代理的数据平面终结点,用于推送状态和提取配置信息。 |
https://login.chinacloudapi.cnhttps://<region>.login.chinacloudapi.cnlogin.partner.microsoftonline.cn |
提取和更新 Azure 资源管理器令牌所需的终结点。 |
mcr.azk8s.cn |
拉取 Azure Arc 代理的容器映像所需的终结点。 |
https://gbl.his.arc.azure.cn |
需要用于获取区域终结点,以便拉取系统分配的托管标识证书。 |
https://*.his.arc.azure.cn |
拉取系统分配的托管标识证书时必需。 |
https://k8connecthelm.azureedge.net |
az connectedk8s connect 使用 Helm 3 在 Kubernetes 群集上部署 Azure Arc 代理。 Helm 客户端下载需要此终结点来帮助部署代理 helm 图表。 |
guestnotificationservice.azure.cn*.guestnotificationservice.azure.cnsts.chinacloudapi.cnhttps://k8sconnectcsp.azureedge.net |
针对基于连接和位置的场景。 |
*.servicebus.chinacloudapi.cn |
针对基于连接和位置的场景。 |
https://graph.chinacloudapi.cn/ |
在配置 Azure RBAC 时是必需的。 |
*.arc.azure.cn |
在 Azure 门户中管理连接的群集时是必需的。 |
https://<region>.obo.arc.azure.cn:8084/ |
在配置群集连接功能时是必需的。 |
dl.k8s.io |
在启用自动代理升级时是必需的。 |
quay.azk8s.cnregistryk8s.azk8s.cnk8sgcr.azk8s.cnusgcr.azk8s.cndockerhub.azk8s.cn/<repo-name>/<image-name>:<version> |
中国区 Azure VM 的容器注册表代理服务器。 |
额外终结点
根据你的方案,可能需要连接到其他 URL,例如 Azure 门户、管理工具或其他 Azure 服务使用的 URL。 具体而言,请查看这些列表,以确保允许连接到任何必要的终结点:
有关 Azure ARC 功能和已启用 Azure ARC 的服务的网络要求的完整列表,请参阅 Azure ARC 网络要求。
后续步骤
- 了解已启用 Arc 的 Kubernetes 的系统要求。
- 按照快速入门中的说明连接到你的群集。
- 查看有关已启用 Arc 的 Kubernetes 的常见问题解答。