Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
PLATÍ PRO: Vývojář | Prémie
Tato referenční informace obsahuje podrobná nastavení konfigurace sítě pro instanci služby API Management nasazenou (vloženou) ve virtuální síti Azure v režimu external nebo internal.
Informace o možnostech připojení k virtuální síti, požadavcích a důležitých informacích najdete v tématu Usování virtuální sítě s Azure API Management.
Důležité
Tento odkaz se vztahuje pouze na instance služby API Management v klasických úrovních nasazených ve virtuální síti. Informace o injektáži virtuální sítě ve vrstvách v2 najdete v tématu Inject instance Azure API Management v privátní virtuální síti – úroveň Premium v2.
Požadované porty
Řízení příchozího a odchozího provozu do podsítě, ve které je služba API Management nasazená, pomocí pravidel skupiny zabezpečení sítě. Pokud některé porty nejsou dostupné, nemusí služba API Management správně fungovat a může být nepřístupná.
Když je instance služby API Management hostovaná ve virtuální síti, použijí se porty v následující tabulce.
Důležité
Tučné položky ve sloupci Účel označují konfigurace portů potřebné k úspěšnému nasazení a provozu služby API Management. Konfigurace označené jako volitelné umožňují konkrétní funkce, jak je uvedeno. Nejsou vyžadovány pro celkový stav služby.
K určení zdrojů a cílů sítě doporučujeme místo IP adres v NSG a dalších pravidlech sítě použít uvedené značky služeb. Značky služeb zabraňují výpadkům, když vylepšení infrastruktury vyžadují změny IP adres.
Důležité
Aby Azure Load Balancer fungovala, je potřeba přiřadit k virtuální síti skupinu zabezpečení sítě. Další informace najdete v dokumentaci k Azure Load Balancer.
| Směr | Značka zdrojové služby | Rozsahy zdrojových portů | Značka cílové služby | Rozsahy cílových portů | Protokol | Akce | Účel | Typ virtuální sítě |
|---|---|---|---|---|---|---|---|---|
| Příchozí | internet | * | Virtuální síť | [80], 443 | protokol TCP | Povolit | Komunikace klientů se službou API Management | Pouze externí |
| Příchozí | ApiManagement | * | Virtuální síť | 3443 | protokol TCP | Povolit | koncový bod Management pro portál Azure a PowerShell | Externí a interní |
| Odchozí | Virtuální síť | * | internet | 80 | protokol TCP | Povolit | Validation a správa certifikátů spravovaných Microsoft a spravovaných zákazníkem | Externí a interní |
| Odchozí | Virtuální síť | * | Storage | 443 | protokol TCP | Povolit | Dependency na Azure Storage | Externí a interní |
| Odchozí | Virtuální síť | * | AzureActiveDirectory | 443 | protokol TCP | Povolit | Microsoft Entra ID, Microsoft Graph, a závislost Azure Key Vault (volitelné) | Externí a interní |
| Odchozí | Virtuální síť | * | AzureConnectors | 443 | protokol TCP | Povolit | Závislost koncového bodu správce přihlašovacích údajů služby API Management (volitelné) | Externí a interní |
| Odchozí | Virtuální síť | * | SQL | 1433 | protokol TCP | Povolit | Access k koncovým bodům Azure SQL | Externí a interní |
| Odchozí | Virtuální síť | * | Trezor klíčů Azure. | 443 | protokol TCP | Povolit | Access to Azure Key Vault | Externí a interní |
| Odchozí | Virtuální síť | * | Centrum událostí | 5671, 5672, 443 | protokol TCP | Povolit | Závislost pro Log na zásady Azure Event Hubs a Azure Monitor (volitelné) | Externí a interní |
| Odchozí | Virtuální síť | * | AzureMonitor | 1886, 443 | protokol TCP | Povolit | Publish Diagnostics Logs and Metrics, Resource Health a Application Insights | Externí a interní |
| Příchozí a odchozí | Virtuální síť | * | Virtual Network | 10000 | protokol TCP | Povolit | Přístup k externí službě Azure Managed Redis pro caching zásady mezi počítači (volitelné) | Externí a interní |
| Příchozí a odchozí | Virtuální síť | * | Virtuální síť | 6381 - 6383 | protokol TCP | Povolit | Přístup k interní mezipaměti pro zásady ukládání do mezipaměti mezi počítači (volitelné) | Externí a interní |
| Příchozí a odchozí | Virtuální síť | * | Virtuální síť | 4290 | Protokol udp | Povolit | Čítače synchronizace pro zásady omezení rychlosti mezi počítači (volitelné) | Externí a interní |
| Příchozí | Vyvažovač zatížení Azure | * | Virtuální síť | 6390 | protokol TCP | Povolit | Azure Infrastruktura Load Balancer | Externí a interní |
| Příchozí | AzureTrafficManager | * | Virtuální síť | 443 | protokol TCP | Povolit | směrování Azure Traffic Manager pro nasazení ve více oblastech | Externí |
| Příchozí | Vyvažovač zatížení Azure | * | VirtualNetwork 6391 | protokol TCP | Povolit | Monitorování stavu jednotlivých počítačů (volitelné) | Externí a interní |
Značky regionálních služeb
Pravidla skupiny zabezpečení sítě umožňující odchozí připojení ke značkám služby Storage, SQL a Azure Event Hubs můžou používat regionální verze těchto značek odpovídající oblasti obsahující instanci služby API Management (například Storage.WestUS pro instanci služby API Management v oblasti USA – západ). V nasazeních ve více oblastech by skupina zabezpečení sítě v každé oblasti měla umožňovat provoz na značky služeb pro danou oblast a primární oblast.
Funkce protokolu TLS
Aby bylo možné povolit vytváření a ověřování řetězu certifikátů TLS/SSL, potřebuje služba API Management odchozí síťové připojení na portech a do , , 80443mscrl.microsoft.comcrl.microsoft.com , a .oneocsp.microsoft.comcacerts.digicert.comcrl3.digicert.comcsp.digicert.com
Přístup k DNS
Pro komunikaci se servery DNS se vyžaduje odchozí přístup na portu 53 . Pokud na druhém konci brány VPN existuje vlastní server DNS, musí být server DNS dostupný z podsítě hostující službu API Management.
integrace Microsoft Entra
Aby služba API Management fungovala správně, potřebuje odchozí připojení na portu 443 k následujícím koncovým bodům přidruženým k Microsoft Entra ID: <region>.login.microsoft.com a login.microsoftonline.com.
Monitorování metrik a stavu
Odchozí síťové připojení ke koncovým bodům monitorování Azure, které se překládají v následujících doménách, jsou reprezentovány ve značce služby AzureMonitor pro použití se skupinami zabezpečení sítě.
| prostředí Azure | Koncové body |
|---|---|
| veřejné Azure |
|
| Azure Government |
|
| Microsoft Azure provozovaný společností 21Vianet |
|
Portál pro vývojáře CAPTCHA
Povolte odchozí síťové připojení pro CAPTCHA vývojářského portálu, který se překládá v rámci hostitelů client.hip.live.com a partner.hip.live.com.
Publikování portálu pro vývojáře
Povolte publikování portálu developer pro instanci služby API Management ve virtuální síti povolením odchozího připojení k Azure Storage. Použijte například značku služby Storage v pravidle NSG. Připojení k Azure Storage prostřednictvím globálních nebo regionálních koncových bodů služby se v současné době vyžaduje k publikování portálu pro vývojáře pro libovolnou instanci služby API Management.
Diagnostika portálu Azure
Pokud používáte diagnostické rozšíření služby API Management z virtuální sítě, vyžaduje se odchozí přístup k dc.services.visualstudio.com na portu 443, aby se povolil tok diagnostických protokolů z portálu Azure. Tento přístup pomáhá při řešení potíží, se kterým se můžete setkat při používání rozšíření.
nástroj pro vyrovnávání zatížení Azure
Pro skladovou položku Pro vývojáře nemusíte povolovat příchozí požadavky ze značky AzureLoadBalancer služby, protože za ní je nasazená jenom jedna výpočetní jednotka. Při škálování na vyšší skladovou položku, jako je například Premium, ale příchozí připojení z AzureLoadBalancer nástroje pro vyrovnávání zatížení stává kritickým , protože sonda stavu z nástroje pro vyrovnávání zatížení pak zablokuje veškerý příchozí přístup k rovině řízení a rovině dat.
Application Insights
Pokud jste povolili monitorování Aplikace Azure Insights ve službě API Management, povolte odchozí připojení ke koncovému bodu telemetry z virtuální sítě.
Koncový bod Služby správy klíčů
Při přidávání virtuálních počítačů se spuštěnými Windows do virtuální sítě povolte odchozí připojení na portu 1688 do koncového bodu KMS ve vašem cloudu. Tato konfigurace směruje provoz Windows virtuálních počítačů na server služby správy klíčů Azure (KMS), aby se dokončila aktivace Windows.
Interní infrastruktura a diagnostika
K údržbě a diagnostice interní výpočetní infrastruktury služby API Management se vyžadují následující nastavení a plně kvalifikované názvy domén.
- Povolte odchozí přístup UDP na portu
123pro PROTOKOL NTP. - Povolte odchozí přístup na portu
443k následujícím koncovým bodům pro interní diagnostiku:azurewatsonanalysis-prod.core.windows.net,*.data.microsoft.com,azureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net,shavamanifestcdnprod1.azureedge.net. - Povolte odchozí přístup na portu
443k následujícímu koncovému bodu pro interní PKI:issuer.pki.azure.com. - Povolte odchozí přístup na portech
80a443k následujícím koncovým bodům pro služba Windows Update:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - Povolit odchozí přístup na portech
80a443koncovém bodugo.microsoft.com. - Povolte odchozí přístup na portu
443k následujícím koncovým bodům pro Windows Defender:wdcp.microsoft.com,wdcpalt.microsoft.com.
IP adresy řídicí roviny
Důležité
IP adresy řídicí roviny pro Azure API Management by měly být nakonfigurované pro pravidla síťového přístupu pouze v případě potřeby v určitých síťových scénářích. Místo IP adres řídicí roviny doporučujeme místo IP adres řídicí roviny použít značku služby ApiManagement, aby se zabránilo výpadkům, když vylepšení infrastruktury vyžadují změny IP adres.
Související obsah
Přečtěte si další informace:
- Pojení virtuální sítě k back-endu pomocí VPN Gateway
- Připojení virtuální sítě z různých modelů nasazení
- Virtual Network nejčastější dotazy
- Značky služeb
Další pokyny k problémům s konfigurací najdete tady: