Konfigurationsreferenz für virtuelle Netzwerke
GILT FÜR: Developer | Premium
Diese Referenz enthält detaillierte Netzwerkkonfigurationseinstellungen für eine API-Verwaltungsinstanz, die in einem virtuellen Azure-Netzwerk im externen oder internen Modus bereitgestellt (eingefügt) wird.
Informationen zu VNet-Konnektivitätsoptionen, Anforderungen und Hinweise finden Sie unter Verwenden eines virtuellen Netzwerks mit Azure API Management.
Erforderliche Ports
Sie kontrollieren den ein- und ausgehenden Datenverkehr in das Subnetz, in dem API Management bereitgestellt wird, indem Sie Netzwerksicherheitsgruppen verwenden. Wenn diese Ports nicht verfügbar sind, funktioniert API Management möglicherweise nicht ordnungsgemäß und kann möglicherweise nicht mehr aufgerufen werden.
Beim Hosten einer API Management-Dienstinstanz in einem VNET werden die in der folgenden Tabelle angegebenen Ports verwendet. Einige Anforderungen unterscheiden sich je nach Version (stv2 oder stv1) der stv2, die Ihre API Management-Instanz hostet.
Wichtig
Fett formatierte Elemente in der Spalte Zweck geben Portkonfigurationen an, die für die erfolgreiche Bereitstellung und den Betrieb des API Management-Diensts erforderlich sind. Konfigurationen mit der Bezeichnung "optional" ermöglichen bestimmte Features, wie bereits erwähnt. Sie sind für die allgemeine Integrität des Diensts nicht erforderlich.
Es wird empfohlen, die angegebenen Diensttags anstelle von IP-Adressen in NSG und anderen Netzwerkregeln zu verwenden, um Netzwerkquellen und Ziele anzugeben. Diensttags verhindern Ausfallzeiten, wenn Infrastrukturverbesserungen IP-Adressänderungen erfordern.
Wichtig
Wenn Sie stv2 verwenden, muss Ihrem VNet eine Netzwerksicherheitsgruppe zugewiesen werden, damit der Azure Load Balancer-Dienst funktioniert. Weitere Informationen finden Sie in der Dokumentation zu Azure Load Balancer.
| Quell-/Zielport(s) | Direction | Transportprotokoll | Diensttags Quelle/Ziel |
Zweck | VNet-Typ |
|---|---|---|---|---|---|
| * / [80], 443 | Eingehend | TCP | Internet / VirtuellesNetzwerk | Kommunikation zwischen Clients und API Management | Nur extern |
| */3443 | Eingehend | TCP | ApiManagement / VirtuellesNetzwerk | Verwaltungsendpunkt für Azure-Portal und PowerShell | Extern & Intern |
| * / 443 | Ausgehend | TCP | VirtuellesNetzwerk/Speicher | Abhängigkeit von Azure Storage | Extern & Intern |
| * / 443 | Ausgehend | TCP | VirtuellesNetzwerk / AzureActiveDirectory | Microsoft Entra-ID, Microsoft Graph und Azure Key Vault-Abhängigkeit (optional) | Extern & Intern |
| * / 443 | Ausgehend | TCP | VirtualNetwork/AzureConnectors | verwaltete Verbindungen Abhängigkeit (optional) | Extern & Intern |
| * / 1433 | Ausgehend | TCP | VirtualNetwork/Sql | Zugriff auf Azure SQL-Endpunkte | Extern & Intern |
| * / 443 | Ausgehend | TCP | VirtuellesNetzwerk / AzureKeyVault | Zugriff auf Azure Key Vault | Extern & Intern |
| * / 5671, 5672, 443 | Ausgehend | TCP | VirtualNetwork/EventHub | Abhängigkeit für die Richtlinie Protokollieren zu Azure Event Hubs und Azure Monitor (optional) | Extern & Intern |
| */445 | Ausgehend | TCP | VirtuellesNetzwerk/Speicher | Abhängigkeit von Azure-Dateifreigabe für GIT | Extern & Intern |
| * / 1886, 443 | Ausgehend | TCP | VirtuellesNetzwerk / AzureMonitor | Veröffentlichen von Diagnoseprotokollen und Metriken, Ressourcenintegrität und Anwendungserkenntnissen | Extern & Intern |
| * / 6380 | Ein- und ausgehend | TCP | VirtuellesNetzwerk / VirtuellesNetzwerk | Zugriff auf externen Azure Cache for Redis-Dienst für Zwischenspeicherungsrichtlinien zwischen Computern (optional) | Extern & Intern |
| * / 6381 - 6383 | Ein- und ausgehend | TCP | VirtuellesNetzwerk / VirtuellesNetzwerk | Zugriff auf internen Azure Cache for Redis-Dienst für Zwischenspeicherungsrichtlinien zwischen Computern (optional) | Extern & Intern |
| * / 4290 | Ein- und ausgehend | UDP | VirtuellesNetzwerk / VirtuellesNetzwerk | Synchronisationszähler für Rate Limit Richtlinien zwischen Rechnern (optional) | Extern & Intern |
| * / 6390 | Eingehend | TCP | AzureLoadBalancer / VirtuellesNetzwerk | Lastenausgleich von Azure-Infrastruktur | Extern & Intern |
| * / 443 | Eingehend | TCP | AzureTrafficManager / VirtualNetwork | Azure Traffic Manager Routing für die Bereitstellung mit mehreren Regionen | Extern |
| * / 6391 | Eingehend | TCP | AzureLoadBalancer / VirtuellesNetzwerk | Überwachung einzelner Computerintegrität (optional) | Extern & Intern |
Regionale Diensttags
NSG-Regeln, die eine ausgehende Konnektivität zu Storage-, SQL- und Azure Event Hubs-Dienst-Tags erlauben, können die regionalen Versionen dieser Tags verwenden, die der Region entsprechen, in der sich die API Management-Instanz befindet (z. B. Storage.WestUS für eine API Management-Instanz in der Region West US). In Bereitstellungen mit mehreren Regionen sollte die NSG in den einzelnen Regionen Datenverkehr zu den Diensttags für diese Region und die primäre Region zulassen.
TLS-Funktionalität
Um die Erstellung und Überprüfung der TLS/SSL-Zertifikatkette zu ermöglichen, benötigt der API Management-Dienst ausgehende Netzwerkkonnektivität auf den Ports 80 und 443 zu ocsp.msocsp.com, oneocsp.msocsp.com, mscrl.microsoft.com, crl.microsoft.com und csp.digicert.com. Diese Abhängigkeit ist nicht erforderlich, wenn Zertifikate, die Sie in API Management hochladen, die vollständige Kette zum Stamm der Zertifizierungsstelle enthalten.
DNS-Zugriff
Ausgehender Zugriff über53 Port 53 wird für die Kommunikation mit DNS-Servern benötigt. Wenn ein benutzerdefinierter DNS-Server am anderen Ende eines VPN-Gateways vorhanden ist, muss der DNS-Server über das Subnetz, in der sich API Management befindet, erreichbar sein.
Microsoft Entra-Integration
Für den ordnungsgemäßen Betrieb benötigt der API Management-Dienst ausgehende Konnektivität am Port 443 zu den folgenden Endpunkten, die mit Microsoft Entra ID verknüpft sind: <region>.login.microsoft.com und login.microsoftonline.com.
Metriken und Systemüberwachung
Ausgehende Netzwerkkonnektivität mit Azure Monitoring-Endpunkten, die unter den folgenden Domänen aufgelöst werden, werden unter dem AzureMonitor-Diensttag für die Verwendung mit Netzwerksicherheitsgruppen dargestellt.
| Azure-Umgebung | Endpunkte |
|---|---|
| Azure – Öffentlich |
|
| Azure Government |
|
| Microsoft Azure von 21Vianet |
|
CAPTCHA des Entwicklerportals
Ausgehende Netzwerkverbindungen für das CAPTCHA des Entwicklerportals erlauben. Die Auflösung erfolgt unter den Hosts client.hip.live.com und partner.hip.live.com.
Entwicklerportal veröffentlichen
Ermöglichen Sie die Veröffentlichung des Entwicklerportals für eine API Management-Instanz in einem VNet, indem Sie ausgehende Verbindungen mit Blobspeicher in der Region „USA, Westen“ zulassen. Verwenden Sie beispielsweise das Diensttag Storage.WestUS in einer Netzwerksicherheitsgruppen-Regel. Die Verbindung mit Blobspeicher in der Region „USA, Westen“ ist zurzeit erforderlich, um das Entwicklerportal für eine beliebige API Management-Instanz zu veröffentlichen.
Diagnose im Azure-Portal
Wenn Sie die API Management-Erweiterung in einem VNet verwenden, wird ausgehender Zugriff auf dc.services.visualstudio.com an 443 benötigt, um die Übermittlung von Diagnoseprotokollen aus dem Azure-Portal zu ermöglichen. Dieser Zugriff ermöglicht die Behandlung von Problemen, die bei der Verwendung von Erweiterungen auftreten können.
Azure Load Balancer
Sie müssen keine eingehenden Anforderungen vom Diensttag AzureLoadBalancer für die SKU zulassen, da hinter ihr nur eine Compute-Einheit bereitgestellt wird. Der Eingang von AzureLoadBalancer wird jedoch kritisch, wenn die Skalierung auf eine höhere SKU wie erfolgt, da ein Ausfall der Zustandsüberprüfung vom Load Balancer den gesamten eingehenden Zugriff auf die Steuerungsebene und die Datenebene blockiert.
Application Insights
Wenn Sie Azure Application Insights für die Überwachung von API Management aktiviert haben, lassen Sie ausgehende Verbindungen mit dem Telemetrieendpunkt des VNet zu.
KMS-Endpunkt
Wenn Sie dem VNET virtuelle Maschinen unter Windows hinzufügen, erlauben Sie die ausgehende Konnektivität auf Port 1688 zum 1688KMS-Endpunkt in Ihrer Cloud. Diese Konfiguration leitet den Windows-VM-Datenverkehr an den Azure Key Management Services (KMS)-Server weiter, um die Windows-Aktivierung abzuschließen.
Interne Infrastruktur und Diagnose
Die folgenden Einstellungen und FQDNs sind erforderlich, um die interne Computeinfrastruktur von API Management zu verwalten und zu diagnostizieren.
- Lassen Sie den ausgehenden UDP-Zugriff am Port
123für NTP zu. - Lassen Sie den ausgehenden TCP-Zugriff am Port
12000für Diagnosen zu. - Lassen Sie ausgehenden Zugriff am Port
443auf die folgenden Endpunkte für interne Diagnose zu:azurewatsonanalysis-prod.core.windows.net,*.data.microsoft.com,azureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net,shavamanifestcdnprod1.azureedge.net. - Lassen Sie ausgehenden Zugriff am Port
443auf die folgenden Endpunkte für interne PKI zu:issuer.pki.azure.com. - Lassen Sie ausgehenden Zugriff an den Ports
80und443auf die folgenden Endpunkte für Windows Update zu:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - Lassen Sie ausgehenden Zugriff an den Ports
80und443auf den Endpunktgo.microsoft.comzu. - Lassen Sie ausgehenden Zugriff am Port
443auf die folgenden Endpunkte für Windows Defender zu:wdcp.microsoft.com,wdcpalt.microsoft.com.
IP-Adressen der Steuerungsebene
Wichtig
Ip-Adressen für die Steuerungsebene für azure API Management sollten nur bei Bedarf in bestimmten Netzwerkszenarien für Netzwerkzugriffsregeln konfiguriert werden. Es wird empfohlen, anstelle von IP-Adressen der Steuerungsebene das ApiManagement-Diensttag zu verwenden, um Ausfallzeiten zu vermeiden, wenn Infrastrukturverbesserungen IP-Adressänderungen erfordern.
Zugehöriger Inhalt
Weitere Informationen zu:
- Verbindung eines virtuellen Netzes mit dem Backend über VPN Gateway
- Herstellen einer Verbindung mit einem virtuellen Netzwerk in verschiedenen Bereitstellungsmodellen
- Virtual Network – häufig gestellte Fragen
- Diensttags
Weitere Anleitungen zu Konfigurationsproblemen finden Sie unter: