(AKS) AKS クラスターからインターネットへの出力制御

既定では、AKS クラスターからインターネットへのアクセスは制限されていない。 

Azure Kubernetes Service (AKS) でエグレス トラフィックを制限する - Azure Kubernetes Service | Microsoft Docs

<抜枠>

既定で、AKS クラスターは、送信 (エグレス) インターネット アクセスが無制限です。

 

AKS 単体の機能では、インターネットへの出力を制御する機能は無い。

NSG 自体は存在しているが、既定のマネージドサブネットを変更するのはサポート外である。カスタムサブネットでは対応している様子。

Azure Kubernetes Service (AKS) のサポート ポリシー - Azure Kubernetes Service | Microsoft Docs

※マネージドサブネットはMC_ResourcegroupMC_Resourcegroup_*の事と思われる

<抜枠>

NSG のカスタマイズは、カスタム サブネット上でのみ行うことができます。 マネージド サブネット上またはエージェント ノードの NIC レベルで NSG をカスタマイズすることはできません。 

 

Azure の機能でインターネットへ特定の URL に対して出力経路を制限するには、Azure Firewall などの利用を検討する。

Azure Kubernetes Service (AKS) でエグレス トラフィックを制限する - Azure Kubernetes Service | Microsoft Docs

<抜枠>

Azure Firewall では、送信先FQDN に基づいて HTTP と HTTPS の送信トラフィックを制限できます。 また、適切なファイアウォール規則とセキュリティ規則を構成し、これらの必要なポートとアドレスを許可することができます。