مرجع تكوين الشبكة الظاهرية: APIM
ينطبق على: المطور | بريميوم
يوفر هذا المرجع إعدادات تكوين الشبكة التفصيلية لمثيل APIM المنشور (المحقون) في شبكة Azure الظاهرية في الوضع الخارجي أو الداخلي .
للحصول على خيارات اتصال VNet ومتطلباته واعتباراته، راجع استخدام شبكة افتراضية مع إدارة APIM.
المنافذ المطلوبة
التحكم في نسبة استخدام الشبكة الواردة والصادرة في الشبكة الفرعية التي يوزع فيها APIM باستخدام قواعد مجموعة أمان الشبكة. في حالة عدم توفر منافذ معينة، فقد لا تعمل APIM بشكل صحيح وقد يتعذر الوصول إليها.
عند استضافة مثيل خدمة APIM في شبكة ظاهرية، تُستخدم المنافذ الواردة في الجدول الآتي. تختلف بعض المتطلبات وفقاً للإصدار (stv2أوstv1) من النظام الأساسي للحوسبة الذي يستضيف مثيل APIM.
هام
تشير العناصر الغامقة في عمود Purpose إلى تكوينات المنفذ المطلوبة لتوزيع خدمة APIM وتشغيلها بنجاح. تمكن التكوينات المسماة "optional" ميزات محددة، على النحو المدون. ولا تتُطلب من أجل الحماية الكلية للخدمة.
نوصي باستخدام علامات الخدمة المشار إليها بدلا من عناوين IP في NSG وقواعد الشبكة الأخرى لتحديد مصادر الشبكة والوجهات. تمنع علامات الخدمة وقت التعطل عندما تستوجب تحسينات البنية الأساسية تغيير عنوان IP.
هام
عند استخدام stv2، يلزم تعيين مجموعة أمان شبكة إلى VNet لكي يعمل موازن تحميل Azure. تعرف على المزيد في وثائق Azure Load Balancer.
| المصدر / منفذ الوجهة (ق) | الاتجاه | بروتوكول النقل | علامات الخدمة جهة المصدر |
الغرض | نوع الشبكة الظاهرية |
|---|---|---|---|---|---|
| * / [80]، 443 | وارد | TCP | الإنترنت/ شبكة ظاهرية | اتصال العميل بإدارة واجهة برمجة التطبيقات | خارجي فقط |
| * / 3443 | وارد | TCP | ApiManagement / VirtualNetwork | نقطة نهاية الإدارة لمدخل Azure وPowerShell | خارجي وداخلي |
| * / 443 | صادر | TCP | الشبكة الظاهرية / التخزين | التبعية على Azure Storage | خارجي وداخلي |
| * / 443 | صادر | TCP | VirtualNetwork / AzureActiveDirectory | معرف Microsoft Entra وMicrosoft Graph وتبعية Azure Key Vault (اختياري) | خارجي وداخلي |
| * / 443 | صادر | TCP | VirtualNetwork / Azure الاتصال ors | تبعية الاتصالات المدارة (اختياري) | خارجي وداخلي |
| * / 1433 | صادر | TCP | VirtualNetwork / Sql | الوصول إلى نقاط نهاية Azure SQL | خارجي وداخلي |
| * / 443 | صادر | TCP | الشبكة الظاهرية / AzureKeyVault | الوصول إلى Azure Key Vault | خارجي وداخلي |
| * / 5671، 5672، 443 | صادر | TCP | VirtualNetwork / EventHub | التبعية لنهج Log to Azure Event Hubs وAzure Monitor (اختياري) | خارجي وداخلي |
| * / 445 | صادر | TCP | الشبكة الظاهرية / التخزين | التبعية بشأن مشاركة ملف Azure لبرنامج GIT (اختياري) | خارجي وداخلي |
| * / 1886، 443 | صادر | TCP | VirtualNetwork / AzureMonitor | نشر سجلات التشخيص والمقاييس وصحة الموارد وApplication Insights | خارجي وداخلي |
| * / 6380 | الواردة والصادرة | TCP | الشبكة الظاهرية / الشبكة الظاهرية | الوصول إلى خدمة Azure Cache for Redis الخارجية لنهج التخزين المؤقت بين الأجهزة (اختياري) | خارجي وداخلي |
| * / 6381 - 6383 | الواردة والصادرة | TCP | الشبكة الظاهرية / الشبكة الظاهرية | الوصول إلى Azure Cache الداخلي لخدمة Redis لنهج التخزين المؤقت بين الأجهزة (اختياري) | خارجي وداخلي |
| * / 4290 | الواردة والصادرة | بروتوكول مخطط بيانات المستخدم | الشبكة الظاهرية / الشبكة الظاهرية | عدادات المزامنة لسياسات حد السعر بين الأجهزة (اختياري) | خارجي وداخلي |
| * / 6390 | وارد | TCP | AzureLoadBalancer/ شبكة ظاهرية | موازن تحميل البنية الأساسية ل Azure | خارجي وداخلي |
| * / 443 | وارد | TCP | AzureTrafficManager / VirtualNetwork | توجيه Azure Traffic Manager للنشر متعدد المناطق | خارجي |
| * / 6391 | وارد | TCP | AzureLoadBalancer/ شبكة ظاهرية | مراقبة صحة الجهاز الفردية (اختياري) | خارجي وداخلي |
علامات الخدمة الإقليمية
قد تستخدم قواعد مجموعة أمان الشبكة التي تسمح بالاتصال الخارجي من أجل التخزين، ولغة الاستعلامات المركبة، وعلامات خدمة مراكز الأحداث الإصدارات الإقليمية لتلك العلامات المقابلة للمنطقة التي تحتوي على مثيل إدارة واجهة برمجة التطبيقات (على سبيل المثال، Storage.WestUS لمثيل APIM في منطقة غرب الولايات المتحدة). في عمليات النشر متعددة المناطق، يجب أن تسمح مجموعة أمان الشبكة في كل منطقة بالمرور إلى علامات الخدمة لتلك المنطقة والمنطقة الأساسية.
وظائف بروتوكول أمان طبقة النقل
لتمكين إنشاء سلسلة شهادات TLS/SSL والتحقق من صحتها، تحتاج خدمة APIM إلى اتصال الشبكة الصادرة على المنافذ 80 و و oneocsp.msocsp.com443mscrl.microsoft.comocsp.msocsp.comcrl.microsoft.comو و.csp.digicert.com هذه التبعية غير مطلوبة إذا كانت أي شهادة تقوم بتحميلها إلى إدارة واجهة برمجة التطبيقات تحتوي على السلسلة الكاملة لجذر المرجع المصدق.
الوصول إلى نظام أسماء المجالات
يُطلب الوصول إلى الصادر على المنفذ 53 للاتصال بخوادم DNS. في حالة وجود خادم نظام أسماء المجالات مخصص على الطرف الآخر من بوابة شبكة ظاهرية خاصة، يجب أن يكون خادم نظام أسماء المجالات قابلاً للوصول من الشبكة الفرعية التي تستضيف إدارة واجهة برمجة التطبيقات.
تكامل Microsoft Entra
للعمل بشكل صحيح، تحتاج خدمة APIM إلى اتصال صادر على المنفذ 443 بنقاط النهاية التالية المقترنة بمعرف Microsoft Entra: <region>.login.microsoft.com و login.microsoftonline.com.
المقاييس والمراقبة الصحية
يُمثل اتصال الشبكة الصادرة بنقاط نهاية مراقبة Azure التي تُحل أسفل المجالات الآتية أسفل علامة خدمة AzureMonitor للاستخدام مع مجموعات أمان الشبكة.
| بيئة Azure | نقاط النهاية |
|---|---|
| Azure العامة |
|
| Azure Government |
|
| Microsoft Azure مُشغل بواسطة 21Vianet |
|
بوابة المطور CAPTCHA
السماح باتصال الشبكة الصادرة ل CAPTCHA الخاص بمدخل المطور، والذي يحل تحت المضيفين client.hip.live.com و partner.hip.live.com.
نشر مدخل المطور
تمكين نشر بوابة المطورين لمثيل APIM في شبكة ظاهرية بالسماح للاتصال الصادر بتخزين كائن ثنائي كبير الحجم في منطقة غرب الولايات المتحدة. على سبيل المثال، استخدم علامة خدمة Storage.WestUS في قاعدة NSG. حالياً، يلزم الاتصال بتخزين blob في منطقة غرب الولايات المتحدة لنشر بوابة المطور لأي مثيل إدارة واجهة برمجة التطبيقات.
تشخيصات مدخل Azure
عند استخدام ملحق تشخيص APIM من داخل شبكة ظاهرية، يُطلب الوصول إلى الصادر dc.services.visualstudio.com على المنفذ 443 لتمكين تدفق سجلات التشخيص من مدخل Microsoft Azure. مما يساعد في استكشاف الأخطاء وإصلاحها التي قد تواجهها عند استخدام الملحق.
موازنة تحميل Azure
لست مطالباً بسماح الطلبات الواردة من علامة الخدمة AzureLoadBalancer لوحدة حفظ مخزون المطور، نظراً إلى توزيع وحدة حساب واحدة فقط خلفها. ومع ذلك، فإن الاتصال الداخلي من AzureLoadBalancer يصبح حرجاً عند التحجيم إلى وحدة حفظ مخزون أعلى، مثل المتميز لأن فشل فحص الحماية من موازن التحميل في هذه الحالة يحظر كل الوصول الوارد إلى وحدتي التحكم والبيانات.
Application Insights
في حال تمكينك لمراقبة Azure Application Insights في APIM، اسمح بالاتصال الخارجي بنقطة نهاية بيانات تتبع الاستخدام من الشبكة الظاهرية.
نقطة نهاية خدمات الإدارة الرئيسية
عند إضافة أجهزة افتراضية تعمل بنظام Windows إلى شبكة ظاهرية، اسمح بالاتصال الصادر على المنفذ 1688 بـ نقطة نهاية KMS في سحابتك. يقوم هذا التكوين بتوجيه ناقل الجهاز الظاهري لـ Windows إلى الخادم الخاص بخدمات إدارة Azure الرئيسية لإكمال تنشيط Windows.
البنية التحتية الداخلية والتشخيصات
الإعدادات التالية وFQDNs مطلوبة للحفاظ على البنية الأساسية للحوسبة الداخلية لإدارة واجهة برمجة التطبيقات وتشخيصها.
- السماح بالوصول إلى UDP الصادر على المنفذ
123ل NTP. - السماح بالوصول إلى TCP الصادر على المنفذ
12000للتشخيص. - السماح بالوصول الصادر على المنفذ
443إلى نقاط النهاية التالية للتشخيصات الداخلية:azurewatsonanalysis-prod.core.windows.net،*.data.microsoft.com،azureprofiler.trafficmanager.net،shavamanifestazurecdnprod1.azureedge.net،shavamanifestcdnprod1.azureedge.net. - السماح بالوصول الصادر على المنفذ
443إلى نقطة النهاية التالية ل PKI الداخلي:issuer.pki.azure.com. - السماح بالوصول الصادر على المنافذ
80وإلى443نقاط النهاية التالية ل Windows Update:*.update.microsoft.com، ،*.ctldl.windowsupdate.com،ctldl.windowsupdate.com.download.windowsupdate.com - السماح بالوصول الصادر على المنافذ
80وإلى443نقطةgo.microsoft.comالنهاية . - السماح بالوصول الصادر على المنفذ
443إلى نقاط النهاية التالية ل Windows Defender:wdcp.microsoft.com، .wdcpalt.microsoft.com
عناوين بروتوكول الإنترنت لمستوى التحكم
هام
يجب تكوين عناوين IP لمستوى التحكم لإدارة واجهة برمجة تطبيقات Azure لقواعد الوصول إلى الشبكة فقط عند الحاجة في سيناريوهات شبكة معينة. نوصي باستخدام علامة خدمةApiManagement بدلاً من عناوين IP لوحدة التحكم لمنع وقت التعطل عندما تستوجب تحسينات البنية الأساسية تغيير عنوان IP.
المحتوى ذو الصلة
تعلم المزيد عن:
- تعيين الشبكة الظاهرية للخلفية باستخدام بوابة VPN
- تعيين الشبكة الظاهرية من نماذج توزيع مختلفة
- الأسئلة المتداولة حول الشبكة الظاهرية
- علامات الخدمة
لمزيد من الإرشادات حول مشكلات التكوين، راجع: