Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo fornece os detalhes necessários que permitem proteger o tráfego de saída do seu Serviço Kubernetes do Azure (AKS). Ele contém os requisitos de cluster para uma implantação base do AKS e requisitos adicionais para complementos e recursos opcionais. Você pode aplicar essas informações a qualquer método ou dispositivo de restrição de saída.
Para ver um exemplo de configuração usando o Firewall do Azure, visite Controlar o tráfego de saída usando o Firewall do Azure no AKS.
Importante
A partir de 30 de novembro de 2025, o Azure Kubernetes Service (AKS) deixou de suportar nem fornecer atualizações de segurança para o Azure Linux 2.0. A imagem da máquina virtual do Azure Linux 2.0 está congelada na versão 202512.06.0. A partir de 31 de março de 2026, as imagens dos nós serão removidas e não poderá ajustar o tamanho dos seus pools de nós. Migre para uma versão Azure Linux suportada atualizando os seus pools de nós para uma versão Kubernetes suportada ou migrando para o osSku AzureLinux3. Para mais informações, consulte a edição do Retirement GitHub e o anúncio de reforma do Azure Updates. Para se manter informado sobre anúncios e atualizações, siga as notas de lançamento do AKS.
Contexto geral
Os clusters AKS são implantados em uma rede virtual. Esta rede pode ser personalizada e pré-configurada por si ou pode ser criada e gerida pela AKS. Em ambos os casos, o cluster tem dependências de saída, ou egressão, em serviços fora da rede virtual.
Para fins operacionais e de gerenciamento, os nós em um cluster AKS precisam acessar determinadas portas e FQDNs (nomes de domínio totalmente qualificados). Esses pontos de extremidade são necessários para que os nós se comuniquem com o servidor de API, ou para baixar e instalar os componentes essenciais do cluster Kubernetes e as atualizações de segurança dos nós. Por exemplo, o cluster precisa extrair imagens de contêiner do Microsoft Artifact Registry (MAR).
As dependências de saída do AKS são quase inteiramente definidas com FQDNs, que não têm endereços estáticos atrás deles. A falta de endereços estáticos significa que você não pode usar grupos de segurança de rede (NSGs) para bloquear o tráfego de saída de um cluster AKS.
Por padrão, os clusters AKS têm acesso irrestrito à Internet de saída. Esse nível de acesso à rede permite que os nós e serviços que gere acedam a recursos externos conforme necessário. Se desejar restringir o tráfego de saída, um número limitado de portas e endereços deve estar acessível para assegurar a execução saudável das tarefas de manutenção do cluster. Para o tráfego de saída da Internet, não é recomendável definir todas as regras de negação em um NSG.
Um cluster AKS isolado de rede fornece a solução mais simples e segura para configurar restrições de saída para um cluster pronto para uso. Um cluster isolado de rede extrai as imagens para componentes de cluster e complementos de uma instância privada do Azure Container Registry (ACR) conectada ao cluster em vez de extrair do MAR. Se as imagens não estiverem presentes, o ACR privado obtém-nas do MAR e fornece-as através do seu ponto de extremidade privado, eliminando a necessidade de permitir a saída do cluster para o ponto de extremidade público do MAR. O operador de cluster pode, então, configurar incrementalmente o tráfego de saída permitido com segurança em uma rede privada para cada cenário que deseja habilitar. Desta forma, os operadores de cluster têm controle total sobre o projeto do tráfego de saída permitido de seus clusters desde o início, permitindo-lhes reduzir o risco de exfiltração de dados.
Outra solução para proteger endereços de saída é usar um dispositivo de firewall que pode controlar o tráfego de saída com base em nomes de domínio. O Firewall do Azure pode restringir o tráfego HTTP e HTTPS de saída com base no FQDN do destino. Você também pode configurar seu firewall preferido e regras de segurança para permitir essas portas e endereços necessários.
Importante
Este documento cobre apenas como bloquear o tráfego que sai da sub-rede AKS. O AKS não tem requisitos de entrada por padrão. Não há suporte para o bloqueio do tráfego interno de sub-rede usando NSGs (grupos de segurança de rede) e firewalls. Para controlar e bloquear o tráfego dentro do cluster, consulte Proteger o tráfego entre pods usando políticas de rede no AKS.
Regras de rede de saída e FQDNs necessários para clusters AKS
As seguintes regras de rede e FQDN/aplicativo são necessárias para um cluster AKS. Você pode usá-los se desejar configurar uma solução diferente do Firewall do Azure.
- As dependências de endereço IP são para tráfego não-HTTP/S (tráfego TCP e UDP).
- Os endpoints FQDN HTTP/HTTPS podem ser configurados no seu firewall.
- Os pontos de extremidade HTTP/HTTPS wildcard são dependências que podem variar com o seu cluster AKS baseados em vários qualificadores.
- O AKS usa um controlador de admissão para injetar o FQDN como uma variável de ambiente em todas as implantações sob "kube-system" e "gatekeeper-system". Isso garante que toda a comunicação do sistema entre nós e o servidor de API use o FQDN do servidor de API e não o IP do servidor de API. Você pode obter o mesmo comportamento em seus próprios pods, em qualquer namespace, anotando a especificação do pod com uma anotação chamada
kubernetes.azure.com/set-kube-service-host-fqdn. Se essa anotação estiver presente, o AKS definirá a variável KUBERNETES_SERVICE_HOST para o nome de domínio do servidor de API em vez do IP do serviço no cluster. Isso é útil nos casos em que a saída do cluster é feita através de um firewall de camada 7. - Se você tiver um aplicativo ou solução que precise comunicar-se com o servidor de API, deve adicionar uma regra de rede adicional para permitir a comunicação TCP na porta 443 do IP do seu servidor de APIOU, se tiver um firewall de camada 7 configurado para permitir o tráfego para o nome de domínio do servidor de API, configure
kubernetes.azure.com/set-kube-service-host-fqdnnas especificações do seu pod. - Em raras ocasiões, se houver uma operação de manutenção, o IP do servidor de API pode mudar. As operações de manutenção planejadas que podem alterar o IP do servidor de API são sempre comunicadas com antecedência.
- Você pode notar tráfego para o endereço de endpoint "md-*.blob.storage.azure.net". Este endpoint é utilizado para elementos internos do Managed Disks do Azure. Bloquear o acesso a este ponto de extremidade a partir do firewall não deve causar problemas.
- Você pode notar tráfego em direção ao ponto final "umsa*.blob.core.windows.net". Este ponto final é usado para armazenar manifestos para o Agente e Extensões de VM do Azure Linux e é regularmente verificado para baixar novas versões. Você pode encontrar mais detalhes sobre VM Extensions.
Regras de rede exigidas do Azure Global
| Endpoint de destino | Protocolo | Porto | Utilização |
|---|---|---|---|
*:1194 Ou ServiceTag - AzureCloud.<Region>:1194 Ou CIDRs regionais - RegionCIDRs:1194 Ou APIServerPublicIP:1194
(only known after cluster creation)
|
UDP | 1194 | Para comunicação segura em túnel entre os nós e o plano de controle. Isso não é necessário para clusters privados ou para clusters com o konnectivity-agent habilitado. |
*:9000 Ou ServiceTag - AzureCloud.<Region>:9000 Ou CIDRs regionais - RegionCIDRs:9000 Ou APIServerPublicIP:9000
(only known after cluster creation)
|
TCP | 9000 | Para comunicação segura em túnel entre os nós e o plano de controle. Isso não é necessário para clusters privados ou para clusters com o konnectivity-agent habilitado. |
*:123 ou ntp.ubuntu.com:123 (se estiver usando regras de rede do Firewall do Azure) |
UDP | 123 | Necessário para a sincronização do tempo NTP (Network Time Protocol) nos nós Linux. Para nodos provisionados após março de 2021, isso não é necessário. |
CustomDNSIP:53
(if using custom DNS servers)
|
UDP | 53 | Se você estiver usando servidores DNS personalizados, deverá garantir que eles estejam acessíveis pelos nós do cluster. |
APIServerPublicIP:443
(if running pods/deployments, like Ingress Controller, that access the API Server)
|
TCP | 443 | Necessário se estiver a executar pods/desdobramentos que acedem ao Servidor de API (como o Ingress Controller), esses pods/desdobramentos usariam o IP da API. Esta porta não é necessária para clusters privados. |
Regras FQDN/aplicação necessárias do Azure Global
| FQDN de destino | Porto | Utilização |
|---|---|---|
*.hcp.<location>.azmk8s.io |
HTTPS:443 |
Necessário para a comunicação do servidor Node <-> API. Substitua <o local> pela região onde o cluster AKS está implantado. Isso é necessário para clusters com konnectivity-agent habilitado. O Konnectivity também usa Application-Layer Protocol Negotiation (ALPN) para se comunicar entre agente e servidor. Bloquear ou reescrever a extensão ALPN causará uma falha. Os clusters privados utilizam o túnel de Konnectivity. No entanto, esta regra não é necessária porque a comunicação entre os nós e o servidor API flui através de redes privadas. |
mcr.microsoft.com |
HTTPS:443 |
Necessário para acessar imagens no Microsoft Container Registry (MCR). Este registo contém imagens/gráficos de primeira parte (tais como coreDNS, etc.). Essas imagens são necessárias para a criação e o funcionamento corretos do cluster, incluindo operações de dimensionamento e atualização. |
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net |
HTTPS:443 |
Necessário para armazenamento MCR apoiado pela CDN (rede de entrega de conteúdo) do Azure. |
management.azure.com |
HTTPS:443 |
Necessário para operações do Kubernetes na API do Azure. |
login.microsoftonline.com |
HTTPS:443 |
Necessário para autenticação do Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Este endereço é o repositório de pacotes da Microsoft usado para operações apt-get armazenadas em cache. Pacotes de exemplo incluem Moby, PowerShell e CLI do Azure. |
acs-mirror.azureedge.net |
HTTPS:443 |
Esse endereço é para o repositório necessário para baixar e instalar binários necessários, como kubenet e Azure CNI. |
packages.aks.azure.com |
HTTPS:443 |
Esse endereço será substituído acs-mirror.azureedge.net no futuro e será usado para baixar e instalar os binários Kubernetes e CNI do Azure necessários. |
Regras de rede necessárias para o Microsoft Azure operado pela 21Vianet
Para informações sobre funcionalidades do Microsoft Defender para a Cloud retiradas, consulte Microsoft Defender for Containers.
| Endpoint de destino | Protocolo | Porto | Utilização |
|---|---|---|---|
*:1194 Ou ServiceTag - AzureCloud.Region:1194 Ou CIDRs regionais - RegionCIDRs:1194 Ou APIServerPublicIP:1194
(only known after cluster creation)
|
UDP | 1194 | Para comunicação segura em túnel entre os nós e o plano de controle. |
*:9000 Ou ServiceTag - AzureCloud.<Region>:9000 Ou CIDRs regionais - RegionCIDRs:9000 Ou APIServerPublicIP:9000
(only known after cluster creation)
|
TCP | 9000 | Para comunicação segura em túnel entre os nós e o plano de controle. |
*:22 Ou ServiceTag - AzureCloud.<Region>:22 Ou CIDRs regionais - RegionCIDRs:22 Ou APIServerPublicIP:22
(only known after cluster creation)
|
TCP | 22 | Para comunicação segura em túnel entre os nós e o plano de controle. |
*:123 ou ntp.ubuntu.com:123 (se estiver usando regras de rede do Firewall do Azure) |
UDP | 123 | Necessário para a sincronização do tempo NTP (Network Time Protocol) nos nós Linux. |
CustomDNSIP:53
(if using custom DNS servers)
|
UDP | 53 | Se você estiver usando servidores DNS personalizados, deverá garantir que eles estejam acessíveis pelos nós do cluster. |
APIServerPublicIP:443
(if running pods/deployments, like Ingress Controller, that access the API Server)
|
TCP | 443 | Necessário se estiver executando pods/implantações que acessam o Servidor de API (como o Ingress Controller), esses pods/implantações usariam o IP da API. |
Microsoft Azure operado pela 21Vianet necessita de FQDN / regras de aplicações
Para informações sobre funcionalidades do Microsoft Defender para a Cloud retiradas, consulte Microsoft Defender for Containers.
| FQDN de destino | Porto | Utilização |
|---|---|---|
*.hcp.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Necessário para a comunicação do servidor Node <-> API. Substitua <o local> pela região onde o cluster AKS está implantado. |
*.tun.<location>.cx.prod.service.azk8s.cn |
HTTPS:443 |
Necessário para a comunicação do servidor Node <-> API. Substitua <o local> pela região onde o cluster AKS está implantado. |
mcr.microsoft.com |
HTTPS:443 |
Necessário para acessar imagens no Microsoft Container Registry (MCR). Este registo contém imagens/gráficos de primeira parte (tais como coreDNS, etc.). Essas imagens são necessárias para a criação e o funcionamento corretos do cluster, incluindo operações de dimensionamento e atualização. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Necessário para armazenamento MCR apoiado pela CDN (Rede de Entrega de Conteúdo) do Azure. |
management.chinacloudapi.cn |
HTTPS:443 |
Necessário para operações do Kubernetes na API do Azure. |
login.chinacloudapi.cn |
HTTPS:443 |
Necessário para autenticação do Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Este endereço é o repositório de pacotes da Microsoft usado para operações apt-get armazenadas em cache. Pacotes de exemplo incluem Moby, PowerShell e CLI do Azure. |
*.azk8s.cn |
HTTPS:443 |
Esse endereço é para o repositório necessário para baixar e instalar binários necessários, como kubenet e Azure CNI. |
mcr.azure.cn, *.data.mcr.azure.cn |
HTTPS:443 |
Necessário para aceder a imagens no Microsoft Container Registry (MCR) na China Cloud (Mooncake). Este registro serve como um cache para mcr.microsoft.com com confiabilidade e desempenho aprimorados. |
Regras de rede exigidas pelo Azure US Government
| Endpoint de destino | Protocolo | Porto | Utilização |
|---|---|---|---|
*:1194 Ou ServiceTag - AzureCloud.<Region>:1194 Ou CIDRs regionais - RegionCIDRs:1194 Ou APIServerPublicIP:1194
(only known after cluster creation)
|
UDP | 1194 | Para comunicação segura em túnel entre os nós e o plano de controle. |
*:9000 Ou ServiceTag - AzureCloud.<Region>:9000 Ou CIDRs regionais - RegionCIDRs:9000 Ou APIServerPublicIP:9000
(only known after cluster creation)
|
TCP | 9000 | Para comunicação segura em túnel entre os nós e o plano de controle. |
*:123 ou ntp.ubuntu.com:123 (se estiver usando regras de rede do Firewall do Azure) |
UDP | 123 | Necessário para a sincronização do tempo NTP (Network Time Protocol) nos nós Linux. |
CustomDNSIP:53
(if using custom DNS servers)
|
UDP | 53 | Se você estiver usando servidores DNS personalizados, deverá garantir que eles estejam acessíveis pelos nós do cluster. |
APIServerPublicIP:443
(if running pods/deployments, like Ingress Controller, that access the API Server)
|
TCP | 443 | Necessário se estiver a executar pods/desdobramentos que acedem ao Servidor de API (como o Ingress Controller), esses pods/desdobramentos usariam o IP da API. |
O Azure US Government exigiu FQDN / regras de aplicativo
| FQDN de destino | Porto | Utilização |
|---|---|---|
*.hcp.<location>.cx.aks.containerservice.azure.us |
HTTPS:443 |
Necessário para a comunicação do servidor Node <-> API. Substitua <o local> pela região onde o cluster AKS está implantado. |
mcr.microsoft.com |
HTTPS:443 |
Necessário para acessar imagens no Microsoft Container Registry (MCR). Este registo contém imagens/gráficos de primeira parte (tais como coreDNS, etc.). Essas imagens são necessárias para a criação e o funcionamento corretos do cluster, incluindo operações de dimensionamento e atualização. |
*.data.mcr.microsoft.com |
HTTPS:443 |
Necessário para armazenamento MCR apoiado pela CDN (rede de entrega de conteúdo) do Azure. |
management.usgovcloudapi.net |
HTTPS:443 |
Necessário para operações do Kubernetes na API do Azure. |
login.microsoftonline.us |
HTTPS:443 |
Necessário para autenticação do Microsoft Entra. |
packages.microsoft.com |
HTTPS:443 |
Este endereço é o repositório de pacotes da Microsoft usado para operações apt-get armazenadas em cache. Pacotes de exemplo incluem Moby, PowerShell e CLI do Azure. |
acs-mirror.azureedge.net |
HTTPS:443 |
Esse endereço é para o repositório necessário para instalar binários necessários, como kubenet e Azure CNI. |
packages.aks.azure.com |
HTTPS:443 |
Esse endereço será substituído acs-mirror.azureedge.net no futuro e será usado para baixar e instalar os binários Kubernetes e CNI do Azure necessários. |
Regras opcionais recomendadas de Nome de Domínio Completo (FQDN) / aplicação para clusters AKS
As seguintes regras de FQDN/aplicativo não são necessárias, mas são recomendadas para clusters AKS:
| FQDN de destino | Porto | Utilização |
|---|---|---|
security.ubuntu.com, azure.archive.ubuntu.com, changelogs.ubuntu.com |
HTTP:80 |
Esse endereço permite que os nós do cluster Linux baixem os patches e atualizações de segurança necessários. |
snapshot.ubuntu.com |
HTTPS:443 |
Esse endereço permite que os nós do cluster Linux baixem os patches de segurança e as atualizações necessárias do serviço de instantâneo do ubuntu. |
Se você optar por bloquear/não permitir esses FQDNs, os nós só receberão atualizações do sistema operacional quando você fizer uma atualização de imagem de nó ou atualização de cluster. Lembre-se de que as atualizações das imagens dos nós também vêm com pacotes atualizados, incluindo atualizações de segurança.
Clusters AKS habilitados para GPU requerem FQDN / regras de aplicação
| FQDN de destino | Porto | Utilização |
|---|---|---|
nvidia.github.io |
HTTPS:443 |
Esse endereço é usado para a instalação e operação corretas do driver em nós baseados em GPU. |
us.download.nvidia.com |
HTTPS:443 |
Esse endereço é usado para a instalação e operação corretas do driver em nós baseados em GPU. |
download.docker.com |
HTTPS:443 |
Esse endereço é usado para a instalação e operação corretas do driver em nós baseados em GPU. |
Pools de nós baseados no Windows Server com FQDN necessário / regras de aplicação
| FQDN de destino | Porto | Utilização |
|---|---|---|
onegetcdn.azureedge.net, go.microsoft.com |
HTTPS:443 |
Para instalar binários relacionados com o Windows |
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com |
HTTP:80 |
Para instalar binários relacionados com o Windows |
Se você optar por bloquear/não permitir esses FQDNs, os nós só receberão atualizações do sistema operacional quando você fizer uma atualização de imagem de nó ou atualização de cluster. Lembre-se de que as Atualizações de Imagem de Nó são acompanhadas por pacotes atualizados, incluindo melhorias de segurança.
Recursos, addons e integrações do AKS
Identidade da carga de trabalho
Regras de FQDN / regras de aplicação necessárias
| FQDN de destino | Porto | Utilização |
|---|---|---|
login.microsoftonline.com ou login.chinacloudapi.cn ou login.microsoftonline.us |
HTTPS:443 |
Necessário para autenticação do Microsoft Entra. |
Microsoft Defender para contentores
Importante
Todos os recursos do Microsoft Defender para a Cloud serão oficialmente desativados na região Azure na China em 18 de agosto de 2026. Devido a esta próxima desativação, os clientes do Azure na China já não podem integrar novas subscrições ao serviço. Uma nova assinatura é qualquer assinatura que ainda não tenha sido integrada ao serviço Microsoft Defender para a Cloud antes de 18 de agosto de 2025, data do anúncio de desativação. Para obter mais informações sobre a desativação, consulte Microsoft Defender para a Cloud Deprecation in Microsoft Azure Operated by 21Vianet Announcement.
Os clientes devem trabalhar com seus representantes de conta para o Microsoft Azure operado pela 21Vianet para avaliar o impacto dessa aposentadoria em suas próprias operações.
Regras de FQDN / regras de aplicação necessárias
| FQDN | Porto | Utilização |
|---|---|---|
login.microsoftonline.com login.microsoftonline.us (Governo Azul) login.microsoftonline.cn (Azure operado pela 21Vianet) |
HTTPS:443 |
Necessário para a autenticação do Microsoft Entra. |
*.ods.opinsights.azure.com *.ods.opinsights.azure.us (Governo Azul) *.ods.opinsights.azure.cn (Azure operado pela 21Vianet) |
HTTPS:443 |
Necessário para o Microsoft Defender carregar eventos de segurança para a nuvem. |
*.oms.opinsights.azure.com *.oms.opinsights.azure.us (Governo Azul) *.oms.opinsights.azure.cn (Azure operado pela 21Vianet) |
HTTPS:443 |
Necessário para autenticar nos espaços de trabalho do Log Analytics. |
*.cloud.defender.microsoft.com |
HTTPS:443 |
NOVO: Necessário para o Microsoft Defender carregar eventos de segurança para a nuvem. |
Provedor Azure Key Vault para o Driver CSI do Secrets Store
Caso esteja a utilizar clusters isolados de rede, é recomendável configurar um ponto de extremidade privado para aceder ao Cofre de Chaves do Azure.
Se o cluster tiver roteamento definido pelo usuário do tipo de saída e o Firewall do Azure, as seguintes regras de rede e de aplicativo serão aplicáveis:
Regras de FQDN / regras de aplicação necessárias
| FQDN | Porto | Utilização |
|---|---|---|
vault.azure.net |
HTTPS:443 |
Obrigatório para os pods do addon CSI Secret Store comunicarem-se com o servidor Azure Key Vault. |
*.vault.usgovcloudapi.net |
HTTPS:443 |
Necessário para que os pods addon do CSI Secret Store possam comunicar com o servidor Azure Key Vault no Azure Government. |
Azure Monitor - Prometheus Gerido, Informações do Contêiner e Autoinstrumentação do Insights do Azure Monitor Application
Se estiver a usar clusters isolados de rede, é recomendável configurar a ingestão baseada em ponto de extremidade privado, que é suportada para o Managed Prometheus (espaço de trabalho do Azure Monitor), Container insights (espaço de trabalho do Log Analytics) e Autoinstrumentação do Azure Monitor Application Insights (recurso do Application Insights).
Se o cluster tiver roteamento definido pelo usuário do tipo de saída e o Firewall do Azure, as seguintes regras de rede e de aplicativo serão aplicáveis:
Regras de rede necessárias
| Endpoint de destino | Protocolo | Porto | Utilização |
|---|---|---|---|
ServiceTag - AzureMonitor:443 |
TCP | 443 | Esse ponto de extremidade é usado para enviar dados e logs de métricas para o Azure Monitor e o Log Analytics. |
Regras de FQDN/aplicação necessárias para a nuvem pública do Azure
| Ponto final | Propósito | Porto |
|---|---|---|
*.ods.opinsights.azure.com |
443 | |
*.oms.opinsights.azure.com |
443 | |
dc.services.visualstudio.com |
443 | |
*.in.applicationinsights.azure.com |
Autoinstrumentação do Application Insights. Para limitar o escopo, pode-se alterar para permitir apenas endpoints nas cadeias de conexão para os recursos de destino | 443 |
*.monitoring.azure.com |
443 | |
login.microsoftonline.com |
443 | |
global.handler.control.monitor.azure.com |
Serviço de Controlo de Acesso | 443 |
*.ingest.monitor.azure.com |
Container Insights - registra o ponto de extremidade de ingestão (DCE) | 443 |
*.metrics.ingest.monitor.azure.com |
Azure monitor serviço gerido para Prometheus - ponto de entrada de ingestão de métricas (DCE) | 443 |
<cluster-region-name>.handler.control.monitor.azure.com |
Buscar regras de coleta de dados para cluster específico | 443 |
Microsoft Azure operado pela 21Vianet Cloud requer FQDN/regras de aplicação.
Para informações sobre funcionalidades do Microsoft Defender para a Cloud retiradas, consulte Microsoft Defender for Containers.
| Ponto final | Propósito | Porto |
|---|---|---|
*.ods.opinsights.azure.cn |
Ingestão de dados | 443 |
*.oms.opinsights.azure.cn |
Integração do agente do Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
Para telemetria de agente que usa o Azure Public Cloud Application Insights | 443 |
*.in.applicationinsights.azure.com |
Autoinstrumentação do Application Insights. Para limitar o escopo, pode-se alterar para permitir apenas endpoints nas cadeias de conexão para os recursos de destino | 443 |
global.handler.control.monitor.azure.cn |
Serviço de Controlo de Acesso | 443 |
<cluster-region-name>.handler.control.monitor.azure.cn |
Buscar regras de coleta de dados para cluster específico | 443 |
*.ingest.monitor.azure.cn |
Container Insights - registra o ponto de extremidade de ingestão (DCE) | 443 |
*.metrics.ingest.monitor.azure.cn |
Azure monitor serviço gerido para Prometheus - ponto de entrada de ingestão de métricas (DCE) | 443 |
Regras de aplicação / FQDN necessárias na nuvem do Azure Government
| Ponto final | Propósito | Porto |
|---|---|---|
*.ods.opinsights.azure.us |
Ingestão de dados | 443 |
*.oms.opinsights.azure.us |
Integração do agente do Azure Monitor (AMA) | 443 |
dc.services.visualstudio.com |
Para telemetria de agente que usa o Azure Public Cloud Application Insights | 443 |
*.in.applicationinsights.azure.com |
Autoinstrumentação do Application Insights. Para limitar o escopo, pode-se alterar para permitir apenas endpoints nas cadeias de conexão para os recursos de destino | 443 |
global.handler.control.monitor.azure.us |
Serviço de Controlo de Acesso | 443 |
<cluster-region-name>.handler.control.monitor.azure.us |
Buscar regras de coleta de dados para cluster específico | 443 |
*.ingest.monitor.azure.us |
Container Insights - registra o ponto de extremidade de ingestão (DCE) | 443 |
*.metrics.ingest.monitor.azure.us |
Azure monitor serviço gerido para Prometheus - ponto de entrada de ingestão de métricas (DCE) | 443 |
Azure Policy
Regras de FQDN / regras de aplicação necessárias
| FQDN | Porto | Utilização |
|---|---|---|
data.policy.core.windows.net |
HTTPS:443 |
Esse endereço é usado para extrair as políticas do Kubernetes e relatar o status de conformidade do cluster para o serviço de políticas. |
store.policy.core.windows.net |
HTTPS:443 |
Esse endereço é usado para extrair os artefatos do Gatekeeper de políticas incorporadas. |
dc.services.visualstudio.com |
HTTPS:443 |
Complemento de Política do Azure que envia dados de telemetria para o ponto de extremidade do Azure Application Insights. |
Microsoft Azure operado pela 21Vianet necessita de FQDN / regras de aplicações
Para informações sobre funcionalidades do Microsoft Defender para a Cloud retiradas, consulte Microsoft Defender for Containers.
| FQDN | Porto | Utilização |
|---|---|---|
data.policy.azure.cn |
HTTPS:443 |
Esse endereço é usado para extrair as políticas do Kubernetes e relatar o status de conformidade do cluster para o serviço de políticas. |
store.policy.azure.cn |
HTTPS:443 |
Esse endereço é usado para extrair os artefatos do Gatekeeper de políticas incorporadas. |
O Azure US Government exigiu FQDN / regras de aplicativo
| FQDN | Porto | Utilização |
|---|---|---|
data.policy.azure.us |
HTTPS:443 |
Esse endereço é usado para extrair as políticas do Kubernetes e relatar o status de conformidade do cluster para o serviço de políticas. |
store.policy.azure.us |
HTTPS:443 |
Esse endereço é usado para extrair os artefatos do Gatekeeper de políticas incorporadas. |
Complemento de análise de custos AKS
Regras de FQDN / regras de aplicação necessárias
| FQDN | Porto | Utilização |
|---|---|---|
management.azure.com management.usgovcloudapi.net (Governo Azul) management.chinacloudapi.cn (Azure operado pela 21Vianet) |
HTTPS:443 |
Necessário para operações do Kubernetes na API do Azure. |
login.microsoftonline.com login.microsoftonline.us (Governo Azul) login.microsoftonline.cn (Azure operado pela 21Vianet) |
HTTPS:443 |
Necessário para autenticação do Microsoft Entra. |
Extensões de cluster
Regras de FQDN / regras de aplicação necessárias
| FQDN | Porto | Utilização |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.com |
HTTPS:443 |
Esse endereço é usado para buscar informações de configuração do serviço Extensões de Cluster e relatar o status da extensão para o serviço. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Esse endereço é necessário para extrair imagens de contêiner para instalar agentes de extensão de cluster no cluster AKS. |
arcmktplaceprod.azurecr.io |
HTTPS:443 |
Este endereço é necessário para extrair imagens de contentores necessárias para a instalação de extensões do marketplace no cluster AKS. |
arcmktplaceprod.centralindia.data.azurecr.io |
HTTPS:443 |
Este endereço é para o ponto de extremidade de dados regional da Índia Central e é necessário para extrair imagens de container para instalar extensões do marketplace no cluster AKS. |
arcmktplaceprod.japaneast.data.azurecr.io |
HTTPS:443 |
Este endereço é para o ponto de extremidade de dados regional do Leste do Japão e é necessário para extrair imagens de contêiner para instalar extensões de mercado no cluster AKS. |
arcmktplaceprod.westus2.data.azurecr.io |
HTTPS:443 |
Este endereço é para o ponto de extremidade de dados regional West US2 e é necessário para extrair imagens de contêiner para instalar extensões de mercado no cluster AKS. |
arcmktplaceprod.westeurope.data.azurecr.io |
HTTPS:443 |
Este endereço é para o ponto de extremidade de dados da região da Europa Ocidental e é necessário para extrair imagens de contentores para a instalação de extensões do marketplace no cluster AKS. |
arcmktplaceprod.eastus.data.azurecr.io |
HTTPS:443 |
Este endereço é para o ponto de extremidade de dados regional dos Estados Unidos Leste e é necessário para obter imagens de contentor para instalar extensões do Marketplace no cluster AKS. |
*.ingestion.msftcloudes.com, *.microsoftmetrics.com |
HTTPS:443 |
Esse endereço é usado para enviar dados de métricas de agentes para o Azure. |
marketplaceapi.microsoft.com |
HTTPS:443 |
Este endereço é usado para enviar contagem baseada em consumos personalizados para a API de medição comercial. |
O Azure US Government exigiu FQDN / regras de aplicativo
| FQDN | Porto | Utilização |
|---|---|---|
<region>.dp.kubernetesconfiguration.azure.us |
HTTPS:443 |
Esse endereço é usado para buscar informações de configuração do serviço Extensões de Cluster e relatar o status da extensão para o serviço. |
mcr.microsoft.com, *.data.mcr.microsoft.com |
HTTPS:443 |
Esse endereço é necessário para extrair imagens de contêiner para instalar agentes de extensão de cluster no cluster AKS. |
Observação
Para quaisquer addons que não estejam explicitamente declarados aqui, os requisitos principais cobrem-no.
Complemento de malha de serviços com base no Istio
Se estiver a usar o complemento de malha de serviços baseado no Istio e a configurar o Istio com uma autoridade de certificação plug-in (CA) ou gateways de entrada seguros, o fornecedor do Azure Key Vault para o CSI Driver do Secrets Store é necessário para estas funcionalidades. Os requisitos de rede de saída para o provedor do Azure Key Vault for Secrets Store CSI Driver podem ser encontrados aqui.
Complemento de roteamento de aplicações
O complemento de roteamento de aplicativos dá suporte à terminação SSL na entrada com certificados armazenados no Cofre de Chaves do Azure. Os requisitos de rede de saída para o provedor do Azure Key Vault for Secrets Store CSI Driver podem ser encontrados aqui.
Próximos passos
Neste artigo, você aprendeu quais portas e endereços permitir se quiser restringir o tráfego de saída para o cluster.
Se pretender restringir a forma como os pods comunicam entre si e as restrições de tráfego East-West dentro do cluster, ver Proteger o tráfego entre pods usando políticas de rede no AKS.