Azure Arc 対応 Kubernetes ネットワークの要件

2025-04-21

このトピックでは、Kubernetes クラスターを Azure Arc に接続し、さまざまな Arc 対応 Kubernetes シナリオをサポートするためのネットワーク要件について説明します。

ヒント

Azure パブリッククラウドの場合は、Azure Arc ゲートウェイ (プレビュー) を使用して、必要なエンドポイントの数を減らすことができます。

詳細

一般に、接続要件には次の原則が含まれます。

特に指定がない限り、すべての接続は TCP です。
すべての HTTP 接続では、公式に署名された検証可能な証明書と共に HTTPS と SSL/TLS が使用されます。
特に指定がない限り、すべての接続はアウトバウンドです。

プロキシを使用するには、オンボードプロセスを実行しているエージェントとマシンがこの記事のネットワーク要件を満たしていることを確認します。

重要

Azure Arc エージェントが機能するには、https://:443 に次の送信 URL が必要です。 *.servicebus.windows.net の場合、ファイアウォールとプロキシで送信アクセスに対して Websockets を有効にする必要があります。

エンドポイント (DNS)	説明
`https://management.azure.com`	エージェントが Azure に接続し、クラスターを登録するために必要です。
`https://<region>.dp.kubernetesconfiguration.azure.com`	エージェントが状態をプッシュして構成情報をフェッチするためのデータプレーンエンドポイント。
`https://login.microsoftonline.com` `https://<region>.login.microsoft.com` `login.windows.net`	Azure Resource Manager トークンを取得し、更新するために必要です。
`https://mcr.microsoft.com` `https://*.data.mcr.microsoft.com`	Azure Arc エージェント用のコンテナーイメージをプルするために必要です。
`dl.k8s.io`	Azure CLI connectedk8s 拡張機能による Azure Arc オンボード中に kubectl バイナリをダウンロードするために必要です。
`https://gbl.his.arc.azure.com`	システム割り当ての管理 ID 証明書を取得するために、リージョンエンドポイントを取得する必要があります。
`https://*.his.arc.azure.com`	システム割り当てマネージド ID 証明書をプルするために必須。
`guestnotificationservice.azure.com` `*.guestnotificationservice.azure.com` `sts.windows.net`	クラスター接続ベースシナリオの場合と、カスタムの場所ベースのシナリオの場合。
`*.servicebus.windows.net`	クラスター接続ベースシナリオの場合と、カスタムの場所ベースのシナリオの場合。
`https://graph.microsoft.com/`	Azure RBAC が構成されている場合は必須です。
`*.arc.azure.net`	Azure portal 内の接続されているクラスターを管理する場合は必須です。
`https://<region>.obo.arc.azure.com:8084/`	クラスター接続が構成されている場合は必須です。
`https://linuxgeneva-microsoft.azurecr.io`	Azure Arc 対応 Kubernetes 拡張機能を使っている場合に必要。

*.servicebus.windows.net ワイルドカードを特定のエンドポイントに変換するには、このコマンドを使用します。

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&___location=<region>

リージョンエンドポイントのリージョンセグメントを取得するには、Azure リージョン名からすべてのスペースを削除します。たとえば、米国東部 2 リージョンのリージョン名は eastus2 となります。

たとえば、*.<region>.arcdataservices.com は、米国東部 2 リージョンでは *.eastus2.arcdataservices.com となります。

すべてのリージョンの一覧を表示するには、このコマンドを実行します。

az account list-locations -o table

Get-AzLocation | Format-Table

重要

Azure Arc エージェントが機能するには、https://:443 に次の送信 URL が必要です。 *.servicebus.usgovcloudapi.net の場合、ファイアウォールとプロキシで送信アクセスに対して Websockets を有効にする必要があります。

エンドポイント (DNS)	説明
`https://management.usgovcloudapi.net`	エージェントが Azure に接続し、クラスターを登録するために必要です。
`https://<region>.dp.kubernetesconfiguration.azure.us`	エージェントが状態をプッシュして構成情報をフェッチするためのデータプレーンエンドポイント。
`https://login.microsoftonline.us` `<region>.login.microsoftonline.us`	Azure Resource Manager トークンを取得し、更新するために必要です。
`https://mcr.microsoft.com` `https://*.data.mcr.microsoft.com`	Azure Arc エージェント用のコンテナーイメージをプルするために必要です。
`https://gbl.his.arc.azure.us`	システム割り当ての管理 ID 証明書を取得するために、リージョンエンドポイントを取得する必要があります。
`https://usgv.his.arc.azure.us`	システム割り当てマネージド ID 証明書をプルするために必須。
`guestnotificationservice.azure.us` `*.guestnotificationservice.azure.us` `sts.windows.net`	クラスター接続ベースシナリオの場合と、カスタムの場所ベースのシナリオの場合。
`*.servicebus.usgovcloudapi.net`	クラスター接続ベースシナリオの場合と、カスタムの場所ベースのシナリオの場合。
`https://graph.microsoft.com/`	Azure RBAC が構成されている場合は必須です。
`https://usgovvirginia.obo.arc.azure.us:8084/`	クラスター接続が構成されている場合は必須です。

*.servicebus.usgovcloudapi.net ワイルドカードを特定のエンドポイントに変換するには、このコマンドを使用します。

GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&___location=region

たとえば、*.<region>.arcdataservices.com は、米国東部 2 リージョンでは *.eastus2.arcdataservices.com となります。

すべてのリージョンの一覧を表示するには、このコマンドを実行します。

az account list-locations -o table

Get-AzLocation | Format-Table

重要

Azure Arc エージェントが機能するには、https://:443 に次の送信 URL が必要です。 *.servicebus.chinacloudapi.cn の場合、ファイアウォールとプロキシで送信アクセスに対して Websockets を有効にする必要があります。

エンドポイント (DNS)	説明
`https://management.chinacloudapi.cn`	エージェントが Azure に接続し、クラスターを登録するために必要です。
`https://<region>.dp.kubernetesconfiguration.azure.cn`	エージェントが状態をプッシュして構成情報をフェッチするためのデータプレーンエンドポイント。
`https://login.chinacloudapi.cn` `https://<region>.login.chinacloudapi.cn` `login.partner.microsoftonline.cn`	Azure Resource Manager トークンを取得し、更新するために必要です。
`mcr.azk8s.cn`	Azure Arc エージェント用のコンテナーイメージをプルするために必要です。
`https://gbl.his.arc.azure.cn`	システム割り当ての管理 ID 証明書を取得するために、リージョンエンドポイントを取得する必要があります。
`https://*.his.arc.azure.cn`	システム割り当てマネージド ID 証明書をプルするために必須。
`guestnotificationservice.azure.cn` `*.guestnotificationservice.azure.cn` `sts.chinacloudapi.cn`	クラスター接続ベースシナリオの場合と、カスタムの場所ベースのシナリオの場合。
`*.servicebus.chinacloudapi.cn`	クラスター接続ベースシナリオの場合と、カスタムの場所ベースのシナリオの場合。
`https://graph.chinacloudapi.cn/`	Azure RBAC が構成されている場合は必須です。
`*.arc.azure.cn`	Azure portal 内の接続されているクラスターを管理する場合は必須です。
`https://<region>.obo.arc.azure.cn:8084/`	クラスター接続が構成されている場合は必須です。
`quay.azk8s.cn` `registryk8s.azk8s.cn` `k8sgcr.azk8s.cn` `usgcr.azk8s.cn` `dockerhub.azk8s.cn/<repo-name>/<image-name>:<version>`	Azure China VM 用のコンテナーレジストリプロキシサーバー。

エンドポイントの追加

シナリオによっては、Azure portal、管理ツール、その他の Azure サービスで使用される URL など、その他の URL への接続が必要になる場合があります。特に、次のリストを確認して、必要なエンドポイントへの接続が許可されていることを確認してください。

Azure Arc 機能と Azure Arc 対応サービスのネットワーク要件の完全なリストについては、「Azure Arc ネットワークの要件」を参照してください。

次のステップ

Arc 対応 Kubernetes のシステム要件について理解してください。
クイックスタートを使用してクラスターを接続してください。
Azure Arc 対応 Kubernetes に関してよく寄せられる質問を確認してください。

次の方法で共有

Azure Arc 対応 Kubernetes ネットワークの要件

詳細

エンドポイントの追加

次のステップ

フィードバック

その他のリソース