Referencia de configuración de redes virtuales: API Management

SE APLICA A: Desarrollador | Premium

Esta referencia proporciona opciones de configuración de red detalladas para una instancia de API Management implementada (insertada) en una red virtual de Azure en el modo externo o interno .

Para ver las opciones, los requisitos y las consideraciones de conectividad de red virtual, consulte Uso de una red virtual con Azure API Management.

Puertos necesarios

Control del tráfico entrante y saliente en la subred en la que se implementa API Management mediante las reglas de grupos de seguridad de red. Si determinados puertos no están disponible, es posible que API Management no funcione correctamente y sea inaccesible.

Cuando la instancia del servicio API Management se hospeda en una red virtual, se usan los puertos de la tabla siguiente. Algunos requisitos varían en función de la versión (stv2 o stv1) de la plataforma de proceso que hospeda la instancia de API Management.

Importante

• Los elementos en negrita de la columna Propósito indican las configuraciones de puerto necesarias para la implementación y el funcionamiento correctos del servicio de API Management. Las configuraciones etiquetadas como "opcionales" habilitan características específicas, como se indicó. No son necesarias para el estado general del servicio.

• Se recomienda usar las etiquetas de servicio indicadas en lugar de direcciones IP en NSG y otras reglas de red para especificar orígenes y destinos de red. Las etiquetas de servicio evitan tiempos de inactividad cuando las mejoras de infraestructura requieren cambios en la dirección IP.

stv2

Importante

Cuando se usa stv2, es necesario asignar un grupo de seguridad de red a la red virtual para que Azure Load Balancer funcione. Puede consultar más información en la documentación de Azure Load Balancer.

Puertos de origen/destino	Dirección	Protocolo de transporte	Etiquetas de servicio Origen/destino	Propósito	Tipo de red virtual
* / [80], 443	Entrada	TCP	Internet / VirtualNetwork	Comunicación de cliente con Administración de API	Solo externo
* / 3443	Entrada	TCP	ApiManagement / VirtualNetwork	Punto de conexión de administración para Azure Portal y PowerShell	Externa e interna
* / 443	Salida	TCP	VirtualNetwork / Storage	Dependencia de Azure Storage	Externa e interna
* / 443	Salida	TCP	VirtualNetwork / AzureActiveDirectory	Identificador de Entra de Microsoft, Microsoft Graph y dependencia de Azure Key Vault (opcional)	Externa e interna
* / 443	Salida	TCP	VirtualNetwork / AzureConnectors	Dependencia de conexiones administradas (opcional)	Externa e interna
* / 1433	Salida	TCP	VirtualNetwork / SQL	Acceso a los puntos de conexión de Azure SQL	Externa e interna
* / 443	Salida	TCP	VirtualNetwork / AzureKeyVault	Acceso a Azure Key Vault	Externa e interna
* / 5671, 5672, 443	Salida	TCP	VirtualNetwork / EventHub	Dependencia de la directiva de registro en Azure Event Hubs y Azure Monitor (opcional)	Externa e interna
* / 445	Salida	TCP	VirtualNetwork / Storage	Dependencia del recurso compartido de archivos de Azure para GIT (opcional)	Externa e interna
* / 1886, 443	Salida	TCP	VirtualNetwork / AzureMonitor	Publicar registros y métricas de diagnóstico, Resource Health y Application Ideas	Externa e interna
* / 6380	Entrada y salida	TCP	VirtualNetwork / VirtualNetwork	Acceso al servicio de Azure Cache for Redis externo para almacenar en caché directivas entre máquinas (opcional)	Externa e interna
* / 6381 - 6383	Entrada y salida	TCP	VirtualNetwork / VirtualNetwork	Acceso al servicio de Azure Cache for Redis interno para almacenar en caché directivas entre máquinas (opcional)	Externa e interna
* / 4290	Entrada y salida	UDP	VirtualNetwork / VirtualNetwork	Sincronización de contadores para las directivas de límite de velocidad entre máquinas (opcional)	Externa e interna
* / 6390	Entrada	TCP	AzureLoadBalancer / VirtualNetwork	Equilibrador de carga de la infraestructura de Azure	Externa e interna
* / 443	Entrada	TCP	AzureTrafficManager/VirtualNetwork	Enrutamiento de Azure Traffic Manager para la implementación en varias regiones	Externo
* / 6391	Entrada	TCP	AzureLoadBalancer / VirtualNetwork	Supervisión del estado de la máquina individual (opcional)	Externa e interna

stv1

Puertos de origen/destino	Dirección	Protocolo de transporte	Etiquetas de servicio Origen/destino	Propósito	Tipo de red virtual
* / [80], 443	Entrada	TCP	Internet / VirtualNetwork	Comunicación de cliente con Administración de API	Solo externo
* / 3443	Entrada	TCP	ApiManagement / VirtualNetwork	Punto de conexión de administración para Azure Portal y PowerShell	Externa e interna
* / 443	Salida	TCP	VirtualNetwork / Storage	Dependencia de Azure Storage	Externa e interna
* / 443	Salida	TCP	VirtualNetwork / AzureActiveDirectory	Identificador de Entra de Microsoft, Microsoft Graph y dependencia de Azure Key Vault (opcional)	Externa e interna
* / 443	Salida	TCP	VirtualNetwork / AzureKeyVault	Acceso a Azure Key Vault para la integración de valores con nombre (opcional)	Externa e interna
* / 443	Salida	TCP	VirtualNetwork / AzureConnectors	Dependencia de conexiones administradas (opcional)	Externa e interna
* / 1433	Salida	TCP	VirtualNetwork / SQL	Acceso a los puntos de conexión de Azure SQL	Externa e interna
* / 5671, 5672, 443	Salida	TCP	VirtualNetwork / Azure Event Hubs	Dependencia de la directiva de registro en Azure Event Hubs y el agente de supervisión (opcional)	Externa e interna
* / 445	Salida	TCP	VirtualNetwork / Storage	Dependencia del recurso compartido de archivos de Azure para GIT (opcional)	Externa e interna
* / 443, 12 000	Salida	TCP	VirtualNetwork / AzureCloud	Extensión de mantenimiento y supervisión y dependencia en Event Grid (si se activa la notificación de eventos) (opcional)	Externa e interna
* / 1886, 443	Salida	TCP	VirtualNetwork / AzureMonitor	Publicar registros y métricas de diagnóstico, Resource Health y Application Ideas	Externa e interna
* / 6380	Entrada y salida	TCP	VirtualNetwork / VirtualNetwork	Acceso al servicio de Azure Cache for Redis externo para almacenar en caché directivas entre máquinas (opcional)	Externa e interna
* / 6381 - 6383	Entrada y salida	TCP	VirtualNetwork / VirtualNetwork	Acceso al servicio de Azure Cache for Redis interno para almacenar en caché directivas entre máquinas (opcional)	Externa e interna
* / 4290	Entrada y salida	UDP	VirtualNetwork / VirtualNetwork	Sincronización de contadores para las directivas de límite de velocidad entre máquinas (opcional)	Externa e interna
* / *	Entrada	TCP	AzureLoadBalancer / VirtualNetwork	Azure Infrastructure Load Balancer (necesario para las SKU premium, opcionales y las demás SKU)	Externa e interna
* / 443	Entrada	TCP	AzureTrafficManager/VirtualNetwork	Enrutamiento de Azure Traffic Manager para la implementación en varias regiones	Solo externo

Etiquetas de servicio regionales

Las reglas de NSG que permiten la conectividad saliente a las etiquetas de servicio de Storage, SQL y Azure Event Hubs pueden usar las versiones regionales correspondientes de las etiquetas de la región que contiene la instancia de API Management (por ejemplo, Storage.WestUS para una instancia de API Management en la región Oeste de EE. UU.). En las implementaciones para varias regiones, el NSG de cada región debe permitir el tráfico a las etiquetas de servicio de esa región y de la región primaria.

Funcionalidad de TLS

Para habilitar la creación y validación de la cadena de certificados TLS/SSL, el servicio API Management necesita conectividad de red saliente en los puertos 80 y 443 hacia ocsp.msocsp.com, oneocsp.msocsp.com, mscrl.microsoft.com, crl.microsoft.com y csp.digicert.com. Esta dependencia no es obligatoria si los certificados que cargue en API Management contienen la cadena completa de la raíz de la entidad de certificación.

Acceso DNS

Se requiere acceso saliente en el puerto 53 para establecer la comunicación con los servidores DNS. Si existe un servidor DNS personalizado en el otro punto de conexión de una puerta de enlace de VPN, el servidor DNS debe estar accesible desde la subred que alberga la API Management.

Integración de Microsoft Entra

Para que funcione correctamente, el servicio API Management necesita conectividad en el puerto 443 con los siguientes puntos de conexión asociados a Microsoft Entra ID: <region>.login.microsoft.com y login.microsoftonline.com.

Supervisión de métricas y estado

La conectividad de red saliente a los puntos de conexión de supervisión de Azure, que se resuelven en los siguientes dominios, se representa en la etiqueta de servicio AzureMonitor para su uso con grupos de seguridad de red.

Entorno de Azure	Puntos de conexión
Azure Public	gcs.prod.monitoring.core.windows.net global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-black.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.com
Azure Government	fairfax.warmpath.usgovcloudapi.net global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-black.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com prod5.prod.microsoftmetrics.com prod5-black.prod.microsoftmetrics.com prod5-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.us
Microsoft Azure operado por 21Vianet	mooncake.warmpath.chinacloudapi.cn global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com prod5.prod.microsoftmetrics.com prod5-black.prod.microsoftmetrics.com prod5-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.cn

CAPTCHA del portal para desarrolladores

Permita la conectividad de red saliente para el CAPTCHA del portal para desarrolladores, que se resuelve en los host client.hip.live.com y partner.hip.live.com.

Publicación del portal para desarrolladores

Para habilitar la publicación del portal para desarrolladores para una instancia de API Management en una red virtual, permita la conectividad saliente a Blob Storage en la región Oeste de EE. UU. Por ejemplo, use la etiqueta de servicio Storage.WestUS en una regla de NSG. Actualmente, la conectividad con Blob Storage en la región Oeste de EE. UU. es necesaria para publicar el portal para desarrolladores para cualquier instancia de API Management.

Diagnósticos de Azure Portal

Al usar la extensión de diagnóstico de API Management desde dentro de una red virtual, se requiere el acceso saliente a dc.services.visualstudio.com en el puerto 443 para habilitar el flujo de registros de diagnóstico desde Azure Portal. Este acceso ayuda a solucionar los problemas que pueden surgir al usar la extensión.

Azure Load Balancer

No es necesario permitir las solicitudes entrantes desde la etiqueta de servicio AzureLoadBalancer para la SKU para desarrolladores, ya que solo se implementa una unidad de proceso detrás de ella. Sin embargo, la conectividad entrante desde AzureLoadBalancer se convierte en crítica al escalar a una SKU superior, como una Premium, ya que un error en el sondeo de estado del equilibrador de carga bloquea todo el acceso de entrada al plano de control y al plano de datos.

Application Insights

Si ha habilitado la supervisión de Azure Application Insights en API Management, permita la conectividad de salida hacia el punto de conexión de telemetría desde la red virtual.

Punto de conexión de KMS

Al agregar máquinas virtuales que ejecutan Windows en la red virtual, permita la conectividad saliente en el puerto 1688 al punto de conexión de KMS en la nube. Esta configuración enruta tráfico de máquina virtual Windows al servidor de Azure Key Management Services (KMS) para completar la activación de Windows.

Infraestructura interna y diagnósticos

Se requieren los siguientes valores de configuración y FQDN para mantener y diagnosticar la infraestructura de proceso interna de API Management.

• Permitir el acceso UDP saliente en el puerto 123 para NTP.
• Permitir el acceso TCP saliente en el puerto 12000 para diagnósticos.
• Permitir el acceso saliente en el puerto 443 a los siguientes puntos de conexión para diagnósticos internos: azurewatsonanalysis-prod.core.windows.net, *.data.microsoft.com, azureprofiler.trafficmanager.net, shavamanifestazurecdnprod1.azureedge.net, shavamanifestcdnprod1.azureedge.net.
• Permitir el acceso saliente en el puerto 443 a los siguientes puntos de conexión para PKI internos: issuer.pki.azure.com.
• Permita el acceso saliente en los puertos 80 y 443 a los siguientes puntos de conexión para Windows Update: *.update.microsoft.com, *.ctldl.windowsupdate.com, ctldl.windowsupdate.com, download.windowsupdate.com.
• Permita el acceso saliente en los puertos 80 y 443 al punto de conexión go.microsoft.com.
• Permita el acceso saliente en los puertos 443 y wdcp.microsoft.com a los siguientes puntos de conexión para Windows Defender: wdcpalt.microsoft.com .

Direcciones IP del plano de control

Importante

Las direcciones IP del plano de control para Azure API Management deben configurarse para las reglas de acceso a la red solo cuando sea necesario en determinados escenarios de red. Se recomienda usar la etiqueta de servicioApiManagement en lugar de las direcciones IP del plano de control para evitar tiempos de inactividad cuando las mejoras de infraestructura requieran cambios en las direcciones IP.

Contenido relacionado

Más información sobre:

• Conexión de una red virtual al back-end mediante VPN Gateway
• Conexión de redes virtuales a partir de diferentes modelos de implementación con PowerShell
• Preguntas más frecuentes (P+F) acerca de Azure Virtual Network
• Etiquetas de servicio

Para obtener más instrucciones sobre los problemas de configuración, consulte:

• API Management: preguntas más frecuentes sobre redes (I demystifying series I)
• API Management: preguntas más frecuentes sobre redes (Demystifying series II)