Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
PLATÍ PRO: Vývojář | Prémie
Tato referenční příručka obsahuje podrobná nastavení konfigurace sítě pro instanci služby API Management nasazenou (vloženou) ve virtuální síti Azure v externím nebo interním režimu.
Informace o možnostech připojení k virtuální síti, požadavcích a důležitých informacích najdete v tématu Použití virtuální sítě se službou Azure API Management.
Důležité
Tento odkaz se vztahuje pouze na instance služby API Management v klasických úrovních nasazených ve virtuální síti. Informace o injektáži virtuální sítě ve vrstvách v2 najdete v tématu Vložení instance služby Azure API Management do privátní virtuální sítě – úroveň Premium v2.
Požadované porty
Řízení příchozího a odchozího provozu do podsítě, ve které je služba API Management nasazená, pomocí pravidel skupiny zabezpečení sítě. Pokud některé porty nejsou dostupné, nemusí služba API Management správně fungovat a může být nepřístupná.
Když je instance služby API Management hostovaná ve virtuální síti, použijí se porty v následující tabulce.
Důležité
Tučné položky ve sloupci Účel označují konfigurace portů potřebné k úspěšnému nasazení a provozu služby API Management. Konfigurace označené jako volitelné umožňují konkrétní funkce, jak je uvedeno. Nejsou vyžadovány pro celkový stav služby.
K určení zdrojů a cílů sítě doporučujeme místo IP adres v NSG a dalších pravidlech sítě použít uvedené značky služeb. Značky služeb zabraňují výpadkům, když vylepšení infrastruktury vyžadují změny IP adres.
Důležité
Aby služba Azure Load Balancer fungovala, musíte k virtuální síti přiřadit skupinu zabezpečení sítě. Další informace najdete v dokumentaci k Azure Load Balanceru.
| Směr | Značka zdrojové služby | Rozsahy zdrojových portů | Značka cílové služby | Rozsahy cílových portů | Protokol | Akce | Účel | Typ virtuální sítě |
|---|---|---|---|---|---|---|---|---|
| Příchozí | internet | * | Virtuální síť | [80], 443 | protokol TCP | Povolit | Komunikace klientů se službou API Management | Pouze externí |
| Příchozí | ApiManagement | * | Virtuální síť | 3443 | protokol TCP | Povolit | Koncový bod správy pro Azure Portal a PowerShell | Externí a interní |
| Odchozí | Virtuální síť | * | internet | 80 | protokol TCP | Povolit | Ověřování a správa certifikátů spravovaných Microsoftem a certifikátů spravovaných zákazníkem | Externí a interní |
| Odchozí | Virtuální síť | * | Storage | 443 | protokol TCP | Povolit | Závislost na azure Storage | Externí a interní |
| Odchozí | Virtuální síť | * | AzureActiveDirectory | 443 | protokol TCP | Povolit | Id Microsoft Entra, Microsoft Graph a závislost služby Azure Key Vault (volitelné) | Externí a interní |
| Odchozí | Virtuální síť | * | AzureConnectors | 443 | protokol TCP | Povolit | závislost spravovaných připojení (volitelné) | Externí a interní |
| Odchozí | Virtuální síť | * | SQL | 1433 | protokol TCP | Povolit | Přístup ke koncovým bodům Azure SQL | Externí a interní |
| Odchozí | Virtuální síť | * | Trezor klíčů Azure. | 443 | protokol TCP | Povolit | Přístup ke službě Azure Key Vault | Externí a interní |
| Odchozí | Virtuální síť | * | Centrum událostí | 5671, 5672, 443 | protokol TCP | Povolit | Závislost pro protokolování do zásad služby Azure Event Hubs a Azure Monitor (volitelné) | Externí a interní |
| Odchozí | Virtuální síť | * | AzureMonitor | 1886, 443 | protokol TCP | Povolit | Publikování diagnostických protokolů a metrik, stavu prostředků a Application Insights | Externí a interní |
| Příchozí a odchozí | Virtuální síť | * | Virtual Network | 6380 | protokol TCP | Povolit | Přístup k externí službě Azure Cache for Redis pro zásady ukládání do mezipaměti mezi počítači (volitelné) | Externí a interní |
| Příchozí a odchozí | Virtuální síť | * | Virtuální síť | 6381 - 6383 | protokol TCP | Povolit | Přístup k interní službě Azure Cache for Redis pro zásady ukládání do mezipaměti mezi počítači (volitelné) | Externí a interní |
| Příchozí a odchozí | Virtuální síť | * | Virtuální síť | 4290 | Protokol udp | Povolit | Čítače synchronizace pro zásady omezení rychlosti mezi počítači (volitelné) | Externí a interní |
| Příchozí | Vyvažovač zatížení Azure | * | Virtuální síť | 6390 | protokol TCP | Povolit | Azure Infrastructure Load Balancer | Externí a interní |
| Příchozí | AzureTrafficManager | * | Virtuální síť | 443 | protokol TCP | Povolit | Směrování Azure Traffic Manageru pro nasazení ve více oblastech | Externí |
| Příchozí | Vyvažovač zatížení Azure | * | VirtualNetwork 6391 | protokol TCP | Povolit | Monitorování stavu jednotlivých počítačů (volitelné) | Externí a interní |
Značky regionálních služeb
Pravidla NSG umožňující odchozí připojení ke značkám služby Storage, SQL a Azure Event Hubs můžou používat regionální verze těchto značek odpovídající oblasti obsahující instanci služby API Management (například Storage.WestUS pro instanci služby API Management v oblasti USA – západ). V nasazeních ve více oblastech by skupina zabezpečení sítě v každé oblasti měla umožňovat provoz na značky služeb pro danou oblast a primární oblast.
Funkce protokolu TLS
Aby bylo možné povolit vytváření a ověřování řetězu certifikátů TLS/SSL, potřebuje služba API Management odchozí síťové připojení na portech a na , , 80443, ocsp.msocsp.com, oneocsp.msocsp.commscrl.microsoft.com, a .crl.microsoft.comcacerts.digicert.comcrl3.digicert.comcsp.digicert.com
Přístup k DNS
Pro komunikaci se servery DNS se vyžaduje odchozí přístup na portu 53 . Pokud na druhém konci brány VPN existuje vlastní server DNS, musí být server DNS dostupný z podsítě hostující službu API Management.
Integrace Microsoft Entra
Aby služba API Management fungovala správně, potřebuje odchozí připojení na portu 443 k následujícím koncovým bodům přidruženým k ID Microsoft Entra: <region>.login.microsoft.com a login.microsoftonline.com.
Monitorování metrik a stavu
Odchozí síťové připojení ke koncovým bodům monitorování Azure, které se překládají v následujících doménách, jsou reprezentované značkou služby AzureMonitor pro použití se skupinami zabezpečení sítě.
| Prostředí Azure | Koncové body |
|---|---|
| Azure veřejný |
|
| Azure Government |
|
| Platforma Microsoft Azure provozovaná společností 21Vianet |
|
Portál pro vývojáře CAPTCHA
Povolte odchozí síťové připojení pro CAPTCHA vývojářského portálu, který se překládá v rámci hostitelů client.hip.live.com a partner.hip.live.com.
Publikování portálu pro vývojáře
Povolte publikování portálu pro vývojáře pro instanci služby API Management ve virtuální síti povolením odchozího připojení ke službě Azure Storage. Použijte například značku služby Storage v pravidle NSG. Připojení ke službě Azure Storage prostřednictvím globálních nebo regionálních koncových bodů služeb se v současné době vyžaduje k publikování portálu pro vývojáře pro libovolnou instanci služby API Management.
Diagnostika webu Azure Portal
Pokud používáte diagnostické rozšíření služby API Management z virtuální sítě, vyžaduje se odchozí přístup k dc.services.visualstudio.com portu 443 , aby se povolil tok diagnostických protokolů z webu Azure Portal. Tento přístup pomáhá při řešení potíží, se kterým se můžete setkat při používání rozšíření.
Nástroj pro vyrovnávání zatížení Azure
Pro skladovou položku Pro vývojáře nemusíte povolovat příchozí požadavky ze značky AzureLoadBalancer služby, protože za ní je nasazená jenom jedna výpočetní jednotka. Při škálování na vyšší skladovou položku, jako je například Premium, ale příchozí připojení z AzureLoadBalancer nástroje pro vyrovnávání zatížení stává kritickým , protože sonda stavu z nástroje pro vyrovnávání zatížení pak zablokuje veškerý příchozí přístup k rovině řízení a rovině dat.
Application Insights
Pokud jste povolili monitorování Aplikace Azure lication Insights ve službě API Management, povolte odchozí připojení ke koncovému bodu telemetrie z virtuální sítě.
Koncový bod Služby správy klíčů
Při přidávání virtuálních počítačů s Windows do virtuální sítě povolte odchozí připojení na portu 1688 ke koncovému bodu Služby správy klíčů ve vašem cloudu. Tato konfigurace směruje provoz virtuálních počítačů s Windows na server Azure Služba správy klíčů s (KMS) a dokončí aktivaci Windows.
Interní infrastruktura a diagnostika
K údržbě a diagnostice interní výpočetní infrastruktury služby API Management se vyžadují následující nastavení a plně kvalifikované názvy domén.
- Povolte odchozí přístup UDP na portu
123pro PROTOKOL NTP. - Povolte odchozí přístup TCP na portu
12000pro diagnostiku. - Povolte odchozí přístup na portu
443k následujícím koncovým bodům pro interní diagnostiku:azurewatsonanalysis-prod.core.windows.net,*.data.microsoft.com,azureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net,shavamanifestcdnprod1.azureedge.net. - Povolte odchozí přístup na portu
443k následujícímu koncovému bodu pro interní PKI:issuer.pki.azure.com. - Povolit odchozí přístup na portech
80a443k následujícím koncovým bodům pro služba Windows Update:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - Povolit odchozí přístup na portech
80a443koncovém bodugo.microsoft.com. - Povolte odchozí přístup na portu
443k následujícím koncovým bodům pro Windows Defender:wdcp.microsoft.com,wdcpalt.microsoft.com.
IP adresy řídicí roviny
Důležité
IP adresy řídicí roviny pro Azure API Management by se měly nakonfigurovat pro pravidla síťového přístupu jenom v případě potřeby v určitých síťových scénářích. Místo IP adres řídicí roviny doporučujeme místo IP adres řídicí roviny použít značku služby ApiManagement, aby se zabránilo výpadkům, když vylepšení infrastruktury vyžadují změny IP adres.
Související obsah
Přečtěte si další informace:
- Připojení virtuální sítě k back-endu pomocí služby VPN Gateway
- Připojení virtuální sítě z různých modelů nasazení
- Nejčastější dotazy k virtuální síti
- Značky služeb
Další pokyny k problémům s konfigurací najdete tady: