مرجع تكوين الشبكة الظاهرية: APIM

ينطبق على: المطور | قسط

يوفر هذا المرجع إعدادات تكوين شبكة الاتصال التفصيلية لمثيل APIM الذي تم نشره (إدخاله) في شبكة ظاهرية Azure في وضع external أو internal.

للحصول على خيارات اتصال الشبكة الظاهرية ومتطلباتها واعتباراتها، راجع استخدم شبكة ظاهرية مع إدارة Azure API.

هام

ينطبق هذا المرجع فقط على مثيلات APIM في المستويات الكلاسيكية المنشورة في شبكة ظاهرية. للحصول على معلومات حول إدخال الشبكة الظاهرية في مستويات v2، راجع اخراج مثيل إدارة Azure API في شبكة ظاهرية خاصة - المستوى Premium v2.

المنافذ المطلوبة

التحكم في نسبة استخدام الشبكة الواردة والصادرة في الشبكة الفرعية التي يوزع فيها APIM باستخدام قواعد مجموعة أمان الشبكة. في حالة عدم توفر منافذ معينة، فقد لا تعمل APIM بشكل صحيح وقد يتعذر الوصول إليها.

عند استضافة مثيل خدمة APIM في شبكة ظاهرية، تُستخدم المنافذ الواردة في الجدول الآتي.

هام

• تشير العناصر الغامقة في عمود Purpose إلى تكوينات المنفذ المطلوبة لتوزيع خدمة APIM وتشغيلها بنجاح. تمكن التكوينات المسماة "optional" ميزات محددة، على النحو المدون. ولا تتُطلب من أجل الحماية الكلية للخدمة.

• نوصي باستخدام علامات الخدمة المشار إليها بدلا من عناوين IP في NSG وقواعد الشبكة الأخرى لتحديد مصادر الشبكة والوجهات. تمنع علامات الخدمة وقت التعطل عندما تستوجب تحسينات البنية الأساسية تغيير عنوان IP.

هام

مطلوب تعيين مجموعة أمان شبكة إلى الشبكة الظاهرية الخاصة بك حتى يعمل موازن تحميل Azure. تعرف على المزيد في وثائق موازن تحميل Azure.

الاتجاه	علامة خدمة المصدر	نطاقات منافذ المصادر	علامة خدمة الوجهة	نطاقات المنفذ الوجهات	البروتوكول	الإجراء	الغرض	نوع الشبكة الظاهرية
وارد	الإنترنت	*	الشبكة الظاهرية	[80], 443	TCP	السماح	اتصال العميل بإدارة واجهة برمجة التطبيقات	خارجي فقط
وارد	إدارة واجهة برمجة التطبيقات	*	الشبكة الظاهرية	3443	TCP	السماح	نقطة نهاية إدارة لمدخل Azure وPowerShell	خارجي وداخلي
صادر	الشبكة الظاهرية	*	الإنترنت	80	TCP	السماح	المصادقة وإدارة الشهادات المدارة بواسطة Microsoft والمدارة من قبل العملاء	خارجي وداخلي
صادر	الشبكة الظاهرية	*	التخزين	443	TCP	السماح	Dependency على تخزين Azure	خارجي وداخلي
صادر	الشبكة الظاهرية	*	دليل AzureActive	443	TCP	السماح	Microsoft Entra ID، Microsoft Graph، وتبعية Azure Key Vault (اختياري)	خارجي وداخلي
صادر	الشبكة الظاهرية	*	موصلات Azure	443	TCP	السماح	تبعية نقطة نهاية إدارة بيانات اعتماد API Management (اختياري)	خارجي وداخلي
صادر	الشبكة الظاهرية	*	Sql	1433	TCP	السماح	Access إلى نقاط النهاية Azure SQL	خارجي وداخلي
صادر	الشبكة الظاهرية	*	AzureKeyVault	443	TCP	السماح	Access إلى Azure Key Vault	خارجي وداخلي
صادر	الشبكة الظاهرية	*	EventHub	5671, 5672, 443	TCP	السماح	تبعية سجل نهج مراكز أحداث AzureAzure Monitor (اختياري)	خارجي وداخلي
صادر	الشبكة الظاهرية	*	AzureMonitor	1886, 443	TCP	السماح	Publish Diagnostics Logs and Metrics و Resource Health و Application Insights	خارجي وداخلي
الواردة والصادرة	الشبكة الظاهرية	*	Virtual Network	10000	TCP	السماح	الوصول إلى خدمة Redis المدارة Azure الخارجية لنهج caching بين الأجهزة (اختياري)	خارجي وداخلي
الواردة والصادرة	الشبكة الظاهرية	*	الشبكة الظاهرية	6381 - 6383	TCP	السماح	الوصول إلى ذاكرة التخزين المؤقت الداخلية لنهج التخزين المؤقت بين الأجهزة (اختياري)	خارجي وداخلي
الواردة والصادرة	الشبكة الظاهرية	*	الشبكة الظاهرية	4290	بروتوكول مخطط بيانات المستخدم	السماح	عدادات المزامنة لسياسات حد السعر بين الأجهزة (اختياري)	خارجي وداخلي
وارد	AzureLoadBalancer	*	الشبكة الظاهرية	6390	TCP	السماح	Azure Infrastructure Load Balancer	خارجي وداخلي
وارد	AzureTrafficManager	*	الشبكة الظاهرية	443	TCP	السماح	توجيه مدير حركة بيانات Azure للتوزيع متعدد المناطق	خارجي
وارد	AzureLoadBalancer	*	VirtualNetwork 6391	TCP	السماح	مراقبة صحة الجهاز الفردية (اختياري)	خارجي وداخلي

علامات الخدمة الإقليمية

قد تستخدم قواعد NSG التي تسمح بالاتصال الصادر بعلامات خدمة التخزين وSQL مراكز أحداث Azure الإصدارات الإقليمية لتلك العلامات المقابلة للمنطقة التي تحتوي على مثيل APIM (على سبيل المثال، Storage.WestUS لمثيل APIM في منطقة غرب الولايات المتحدة). في عمليات النشر متعددة المناطق، يجب أن تسمح مجموعة أمان الشبكة في كل منطقة بالمرور إلى علامات الخدمة لتلك المنطقة والمنطقة الأساسية.

وظائف بروتوكول أمان طبقة النقل

لتمكين إنشاء سلسلة شهادات TLS/SSL والتحقق من صحتها، تحتاج خدمة APIM إلى اتصال الشبكة الصادرة على المنافذ 80 و و 443mscrl.microsoft.comcrl.microsoft.comoneocsp.microsoft.comcacerts.digicert.comcrl3.digicert.com و و.csp.digicert.com

الوصول إلى نظام أسماء المجالات

يُطلب الوصول إلى الصادر على المنفذ 53 للاتصال بخوادم DNS. في حالة وجود خادم نظام أسماء المجالات مخصص على الطرف الآخر من بوابة شبكة ظاهرية خاصة، يجب أن يكون خادم نظام أسماء المجالات قابلاً للوصول من الشبكة الفرعية التي تستضيف إدارة واجهة برمجة التطبيقات.

تكامل Microsoft Entra

للعمل بشكل صحيح، تحتاج خدمة APIM إلى اتصال صادر على المنفذ 443 بنقاط النهاية التالية المقترنة Microsoft Entra ID: <region>.login.microsoft.com و login.microsoftonline.com.

المقاييس والمراقبة الصحية

يتم تمثيل اتصال الشبكة الصادرة بنقاط نهاية مراقبة Azure، والتي يتم حلها ضمن المجالات التالية، ضمن علامة الخدمة AzureMonitor للاستخدام مع مجموعات أمان الشبكة.

بيئة Azure	نقاط النهاية
Azure عام	gcs.prod.monitoring.core.windows.net global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-black.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.com
Azure Government	fairfax.warmpath.usgovcloudapi.net global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-black.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com prod5.prod.microsoftmetrics.com prod5-black.prod.microsoftmetrics.com prod5-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.us
Microsoft Azure تعمل بواسطة 21Vianet	mooncake.warmpath.chinacloudapi.cn global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com prod5.prod.microsoftmetrics.com prod5-black.prod.microsoftmetrics.com prod5-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.cn

بوابة المطور CAPTCHA

السماح باتصال الشبكة الصادرة ل CAPTCHA الخاص بمدخل المطور، والذي يحل تحت المضيفين client.hip.live.com و partner.hip.live.com.

نشر مدخل المطور

قم بتمكين نشر مدخل developer لمثيل APIM في VNet عن طريق السماح بالاتصال الصادر تخزين Azure. على سبيل المثال، استخدم علامة خدمة التخزين في قاعدة NSG. حاليا، يلزم الاتصال تخزين Azure عبر نقاط نهاية الخدمة العالمية أو الإقليمية لنشر مدخل المطور لأي مثيل APIM.

تشخيصات مدخل Azure

عند استخدام ملحق تشخيص APIM من داخل VNet، يلزم الوصول الصادر إلى dc.services.visualstudio.com على المنفذ 443 لتمكين تدفق سجلات التشخيص من مدخل Azure. مما يساعد في استكشاف الأخطاء وإصلاحها التي قد تواجهها عند استخدام الملحق.

موازن تحميل Azure

لست مطالباً بسماح الطلبات الواردة من علامة الخدمة AzureLoadBalancer لوحدة حفظ مخزون المطور، نظراً إلى توزيع وحدة حساب واحدة فقط خلفها. ومع ذلك، فإن الاتصال الداخلي من AzureLoadBalancer يصبح حرجاً عند التحجيم إلى وحدة حفظ مخزون أعلى، مثل المتميز لأن فشل فحص الحماية من موازن التحميل في هذه الحالة يحظر كل الوصول الوارد إلى وحدتي التحكم والبيانات.

Application Insights

إذا قمت بتمكين مراقبة Azure Application Insights على APIM، فاسمح بالاتصال الصادر بنقطة نهاية telemetry من VNet.

نقطة نهاية خدمات الإدارة الرئيسية

عند إضافة الأجهزة الظاهرية التي تعمل Windows إلى VNet، اسمح بالاتصال الصادر على المنفذ 1688 إلى نقطة نهاية KMS في السحابة. يوجه هذا التكوين حركة مرور الجهاز الظاهري Windows إلى خادم Azure Key Management Services (KMS) لإكمال تنشيط Windows.

البنية التحتية الداخلية والتشخيصات

الإعدادات التالية وFQDNs مطلوبة للحفاظ على البنية الأساسية للحوسبة الداخلية لإدارة واجهة برمجة التطبيقات وتشخيصها.

• السماح بالوصول إلى UDP الصادر على المنفذ 123 ل NTP.
• السماح بالوصول الصادر على المنفذ 443 إلى نقاط النهاية التالية للتشخيصات الداخلية: azurewatsonanalysis-prod.core.windows.net، *.data.microsoft.com، azureprofiler.trafficmanager.net، shavamanifestazurecdnprod1.azureedge.net، shavamanifestcdnprod1.azureedge.net.
• السماح بالوصول الصادر على المنفذ 443 إلى نقطة النهاية التالية ل PKI الداخلي: issuer.pki.azure.com.
• السماح بالوصول الصادر على المنافذ 80443 إلى نقاط النهاية التالية Windows Update: *.update.microsoft.com، *.ctldl.windowsupdate.com، ctldl.windowsupdate.com، download.windowsupdate.com.
• السماح بالوصول الصادر على المنافذ 80 وإلى 443 نقطة go.microsoft.comالنهاية .
• السماح بالوصول الصادر على المنفذ 443 إلى نقاط النهاية التالية Windows Defender: wdcp.microsoft.com، wdcpalt.microsoft.com .

عناوين بروتوكول الإنترنت لمستوى التحكم

هام

يجب تكوين عناوين IP لمستوى التحكم إدارة Azure API لقواعد الوصول إلى الشبكة فقط عند الحاجة في سيناريوهات شبكة معينة. نوصي باستخدام علامة خدمة ApiManagementبدلا من عناوين IP لمستوى التحكم لمنع التوقف عن العمل عندما تتطلب تحسينات البنية الأساسية تغييرات عنوان IP.

المحتوى ذو الصلة

تعلم المزيد عن:

• توصيل شبكة ظاهرية بالخلفية باستخدام VPN Gateway
• تعيين الشبكة الظاهرية من نماذج توزيع مختلفة
• Virtual Network الأسئلة المتداولة
• علامات الخدمة

لمزيد من الإرشادات حول مشكلات التكوين، راجع:

• إدارة واجهة برمجة التطبيقات - الأسئلة المتداولة حول الشبكات (سلسلة إزالة الغموض I)
• إدارة واجهة برمجة التطبيقات - الأسئلة المتداولة حول الشبكات (إزالة الغموض عن السلسلة الثانية)