مرجع تكوين الشبكة الظاهرية: APIM

ينطبق على: المطور | قسط

يوفر هذا المرجع إعدادات تكوين الشبكة التفصيلية لمثيل APIM المنشور (المحقون) في شبكة Azure الظاهرية في الوضع الخارجي أو الداخلي .

للحصول على خيارات اتصال VNet ومتطلباته واعتباراته، راجع استخدام شبكة افتراضية مع إدارة APIM.

هام

ينطبق هذا المرجع فقط على مثيلات APIM في المستويات الكلاسيكية المنشورة في شبكة ظاهرية. للحصول على معلومات حول حقن الشبكة الظاهرية في مستويات v2، راجع إدخال مثيل Azure API Management في شبكة ظاهرية خاصة - الطبقة Premium v2.

المنافذ المطلوبة

التحكم في نسبة استخدام الشبكة الواردة والصادرة في الشبكة الفرعية التي يوزع فيها APIM باستخدام قواعد مجموعة أمان الشبكة. في حالة عدم توفر منافذ معينة، فقد لا تعمل APIM بشكل صحيح وقد يتعذر الوصول إليها.

عند استضافة مثيل خدمة APIM في شبكة ظاهرية، تُستخدم المنافذ الواردة في الجدول الآتي.

هام

• تشير العناصر الغامقة في عمود Purpose إلى تكوينات المنفذ المطلوبة لتوزيع خدمة APIM وتشغيلها بنجاح. تمكن التكوينات المسماة "optional" ميزات محددة، على النحو المدون. ولا تتُطلب من أجل الحماية الكلية للخدمة.

• نوصي باستخدام علامات الخدمة المشار إليها بدلا من عناوين IP في NSG وقواعد الشبكة الأخرى لتحديد مصادر الشبكة والوجهات. تمنع علامات الخدمة وقت التعطل عندما تستوجب تحسينات البنية الأساسية تغيير عنوان IP.

هام

مطلوب تعيين مجموعة أمان شبكة إلى الشبكة الظاهرية الخاصة بك حتى يعمل موازن تحميل Azure. تعرف على المزيد في وثائق Azure Load Balancer.

الاتجاه	علامة خدمة المصدر	نطاقات منافذ المصادر	علامة خدمة الوجهة	نطاقات المنفذ الوجهات	البروتوكول	الإجراء	الغرض	نوع الشبكة الظاهرية
وارد	الإنترنت	*	الشبكة الظاهرية	[80], 443	TCP	السماح	اتصال العميل بإدارة واجهة برمجة التطبيقات	خارجي فقط
وارد	إدارة واجهة برمجة التطبيقات	*	الشبكة الظاهرية	3443	TCP	السماح	نقطة نهاية الإدارة لمدخل Azure وPowerShell	خارجي وداخلي
صادر	الشبكة الظاهرية	*	الإنترنت	80	TCP	السماح	التحقق من صحة وإدارة الشهادات المدارة من قبل Microsoft والمدارة من قبل العملاء	خارجي وداخلي
صادر	الشبكة الظاهرية	*	التخزين	443	TCP	السماح	التبعية على Azure Storage	خارجي وداخلي
صادر	الشبكة الظاهرية	*	دليل AzureActive	443	TCP	السماح	معرف Microsoft Entra وMicrosoft Graph وتبعية Azure Key Vault (اختياري)	خارجي وداخلي
صادر	الشبكة الظاهرية	*	موصلات Azure	443	TCP	السماح	تبعية الاتصالات المدارة (اختياري)	خارجي وداخلي
صادر	الشبكة الظاهرية	*	Sql	1433	TCP	السماح	الوصول إلى نقاط نهاية Azure SQL	خارجي وداخلي
صادر	الشبكة الظاهرية	*	AzureKeyVault	443	TCP	السماح	الوصول إلى Azure Key Vault	خارجي وداخلي
صادر	الشبكة الظاهرية	*	EventHub	5671, 5672, 443	TCP	السماح	التبعية لنهج Log to Azure Event Hubs وAzure Monitor (اختياري)	خارجي وداخلي
صادر	الشبكة الظاهرية	*	AzureMonitor	1886, 443	TCP	السماح	نشر سجلات التشخيص والمقاييس وصحة الموارد وApplication Insights	خارجي وداخلي
الواردة والصادرة	الشبكة الظاهرية	*	شبكة ظاهرية	6380	TCP	السماح	الوصول إلى خدمة Azure Cache for Redis الخارجية لنهج التخزين المؤقت بين الأجهزة (اختياري)	خارجي وداخلي
الواردة والصادرة	الشبكة الظاهرية	*	الشبكة الظاهرية	6381 - 6383	TCP	السماح	الوصول إلى Azure Cache الداخلي لخدمة Redis لنهج التخزين المؤقت بين الأجهزة (اختياري)	خارجي وداخلي
الواردة والصادرة	الشبكة الظاهرية	*	الشبكة الظاهرية	4290	بروتوكول مخطط بيانات المستخدم	السماح	عدادات المزامنة لسياسات حد السعر بين الأجهزة (اختياري)	خارجي وداخلي
وارد	AzureLoadBalancer	*	الشبكة الظاهرية	6390	TCP	السماح	موازن تحميل البنية الأساسية ل Azure	خارجي وداخلي
وارد	AzureTrafficManager	*	الشبكة الظاهرية	443	TCP	السماح	توجيه Azure Traffic Manager للنشر متعدد المناطق	خارجي
وارد	AzureLoadBalancer	*	VirtualNetwork 6391	TCP	السماح	مراقبة صحة الجهاز الفردية (اختياري)	خارجي وداخلي

علامات الخدمة الإقليمية

قد تستخدم قواعد مجموعة أمان الشبكة التي تسمح بالاتصال الخارجي من أجل التخزين، ولغة الاستعلامات المركبة، وعلامات خدمة مراكز الأحداث الإصدارات الإقليمية لتلك العلامات المقابلة للمنطقة التي تحتوي على مثيل إدارة واجهة برمجة التطبيقات (على سبيل المثال، Storage.WestUS لمثيل APIM في منطقة غرب الولايات المتحدة). في عمليات النشر متعددة المناطق، يجب أن تسمح مجموعة أمان الشبكة في كل منطقة بالمرور إلى علامات الخدمة لتلك المنطقة والمنطقة الأساسية.

وظائف بروتوكول أمان طبقة النقل

لتمكين إنشاء سلسلة شهادات TLS/SSL والتحقق من صحتها، تحتاج خدمة APIM إلى اتصال الشبكة الصادرة على المنافذ 80 و و crl.microsoft.comoneocsp.microsoft.commscrl.microsoft.comcacerts.digicert.com443crl3.digicert.com و و.csp.digicert.com

الوصول إلى نظام أسماء المجالات

يُطلب الوصول إلى الصادر على المنفذ 53 للاتصال بخوادم DNS. في حالة وجود خادم نظام أسماء المجالات مخصص على الطرف الآخر من بوابة شبكة ظاهرية خاصة، يجب أن يكون خادم نظام أسماء المجالات قابلاً للوصول من الشبكة الفرعية التي تستضيف إدارة واجهة برمجة التطبيقات.

تكامل Microsoft Entra

للعمل بشكل صحيح، تحتاج خدمة APIM إلى اتصال صادر على المنفذ 443 بنقاط النهاية التالية المقترنة بمعرف Microsoft Entra: <region>.login.microsoft.com و login.microsoftonline.com.

المقاييس والمراقبة الصحية

يُمثل اتصال الشبكة الصادرة بنقاط نهاية مراقبة Azure التي تُحل أسفل المجالات الآتية أسفل علامة خدمة AzureMonitor للاستخدام مع مجموعات أمان الشبكة.

بيئة Azure	نقاط النهاية
Azure العامة	gcs.prod.monitoring.core.windows.net global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-black.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.com
Azure Government	fairfax.warmpath.usgovcloudapi.net global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-black.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com prod5.prod.microsoftmetrics.com prod5-black.prod.microsoftmetrics.com prod5-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.us
Microsoft Azure مُشغل بواسطة 21Vianet	mooncake.warmpath.chinacloudapi.cn global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com prod5.prod.microsoftmetrics.com prod5-black.prod.microsoftmetrics.com prod5-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.cn

بوابة المطور CAPTCHA

السماح باتصال الشبكة الصادرة ل CAPTCHA الخاص بمدخل المطور، والذي يحل تحت المضيفين client.hip.live.com و partner.hip.live.com.

نشر مدخل المطور

قم بتمكين نشر مدخل المطور لمثيل APIM في VNet عن طريق السماح بالاتصال الصادر ب Azure Storage. على سبيل المثال، استخدم علامة خدمة التخزين في قاعدة NSG. حاليا، يلزم الاتصال ب Azure Storage عبر نقاط نهاية الخدمة العالمية أو الإقليمية لنشر مدخل المطور لأي مثيل APIM.

تشخيصات مدخل Azure

عند استخدام ملحق تشخيص APIM من داخل شبكة ظاهرية، يُطلب الوصول إلى الصادر dc.services.visualstudio.com على المنفذ 443 لتمكين تدفق سجلات التشخيص من مدخل Microsoft Azure. مما يساعد في استكشاف الأخطاء وإصلاحها التي قد تواجهها عند استخدام الملحق.

موازنة تحميل Azure

لست مطالباً بسماح الطلبات الواردة من علامة الخدمة AzureLoadBalancer لوحدة حفظ مخزون المطور، نظراً إلى توزيع وحدة حساب واحدة فقط خلفها. ومع ذلك، فإن الاتصال الداخلي من AzureLoadBalancer يصبح حرجاً عند التحجيم إلى وحدة حفظ مخزون أعلى، مثل المتميز لأن فشل فحص الحماية من موازن التحميل في هذه الحالة يحظر كل الوصول الوارد إلى وحدتي التحكم والبيانات.

Application Insights

في حال تمكينك لمراقبة Azure Application Insights في APIM، اسمح بالاتصال الخارجي بنقطة نهاية بيانات تتبع الاستخدام من الشبكة الظاهرية.

نقطة نهاية خدمات الإدارة الرئيسية

عند إضافة أجهزة افتراضية تعمل بنظام Windows إلى شبكة ظاهرية، اسمح بالاتصال الصادر على المنفذ 1688 بـ نقطة نهاية KMS في سحابتك. يقوم هذا التكوين بتوجيه ناقل الجهاز الظاهري لـ Windows إلى الخادم الخاص بخدمات إدارة Azure الرئيسية لإكمال تنشيط Windows.

البنية التحتية الداخلية والتشخيصات

الإعدادات التالية وFQDNs مطلوبة للحفاظ على البنية الأساسية للحوسبة الداخلية لإدارة واجهة برمجة التطبيقات وتشخيصها.

• السماح بالوصول إلى UDP الصادر على المنفذ 123 ل NTP.
• السماح بالوصول إلى TCP الصادر على المنفذ 12000 للتشخيص.
• السماح بالوصول الصادر على المنفذ 443 إلى نقاط النهاية التالية للتشخيصات الداخلية: azurewatsonanalysis-prod.core.windows.net، *.data.microsoft.com، azureprofiler.trafficmanager.net، shavamanifestazurecdnprod1.azureedge.net، shavamanifestcdnprod1.azureedge.net.
• السماح بالوصول الصادر على المنفذ 443 إلى نقطة النهاية التالية ل PKI الداخلي: issuer.pki.azure.com.
• السماح بالوصول الصادر على المنافذ 80 وإلى 443 نقاط النهاية التالية ل Windows Update: *.update.microsoft.com، ، *.ctldl.windowsupdate.com، ctldl.windowsupdate.com. download.windowsupdate.com
• السماح بالوصول الصادر على المنافذ 80 وإلى 443 نقطة go.microsoft.comالنهاية .
• السماح بالوصول الصادر على المنفذ 443 إلى نقاط النهاية التالية ل Windows Defender: wdcp.microsoft.com، . wdcpalt.microsoft.com

عناوين بروتوكول الإنترنت لمستوى التحكم

هام

يجب تكوين عناوين IP لمستوى التحكم لإدارة واجهة برمجة تطبيقات Azure لقواعد الوصول إلى الشبكة فقط عند الحاجة في سيناريوهات شبكة معينة. نوصي باستخدام علامة خدمة ApiManagementبدلا من عناوين IP لمستوى التحكم لمنع التوقف عن العمل عندما تتطلب تحسينات البنية الأساسية تغييرات عنوان IP.

المحتوى ذو الصلة

تعلم المزيد عن:

• تعيين الشبكة الظاهرية للخلفية باستخدام بوابة VPN
• تعيين الشبكة الظاهرية من نماذج توزيع مختلفة
• الأسئلة المتداولة حول الشبكة الظاهرية
• علامات الخدمة

لمزيد من الإرشادات حول مشكلات التكوين، راجع:

• إدارة واجهة برمجة التطبيقات - الأسئلة المتداولة حول الشبكات (سلسلة إزالة الغموض I)
• إدارة واجهة برمجة التطبيقات - الأسئلة المتداولة حول الشبكات (إزالة الغموض عن السلسلة الثانية)