Eventos
Compilación de Intelligent Apps
17 mar, 21 - 21 mar, 10
Únase a la serie de reuniones para crear soluciones de inteligencia artificial escalables basadas en casos de uso reales con compañeros desarrolladores y expertos.
Regístrese ahoraReferencia de configuración de redes virtuales: API Management
SE APLICA A: Desarrollador | Premium
Esta referencia proporciona opciones de configuración de red detalladas para una instancia de API Management implementada (insertada) en una red virtual de Azure en el modo externo o interno .
Para ver las opciones de conectividad de VNET, los requisitos y las consideraciones de conectividad de red virtual, consulte Uso de una red virtual con Azure API Management.
Importante
Esta referencia solo se aplica a las instancias de API Management en los niveles clásicos implementados en una red virtual. Para obtener información sobre la inyección de red virtual en los niveles v2, consulte Inserción de una instancia de Azure API Management en una red virtual privada: nivel Premium v2.
Control del tráfico entrante y saliente en la subred en la que se implementa API Management mediante las reglas de grupos de seguridad de red. Si determinados puertos no están disponible, es posible que API Management no funcione correctamente y sea inaccesible.
Cuando la instancia del servicio API Management se hospeda en una red virtual, se usan los puertos de la tabla siguiente. Algunos requisitos varían en función de la versión (stv2 o stv1) de la plataforma de proceso que hospeda la instancia de API Management.
Importante
Los elementos en negrita de la columna Propósito indican las configuraciones de puerto necesarias para la implementación y el funcionamiento correctos del servicio de API Management. Las configuraciones etiquetadas como "opcionales" habilitan características específicas, como se indicó. No son necesarias para el estado general del servicio.
Se recomienda usar las etiquetas de servicio indicadas en lugar de direcciones IP en NSG y otras reglas de red para especificar orígenes y destinos de red. Las etiquetas de servicio evitan tiempos de inactividad cuando las mejoras de infraestructura requieren cambios en la dirección IP.
Importante
Cuando se usa stv2, es necesario asignar un grupo de seguridad de red a la red virtual para que Azure Load Balancer funcione. Puede consultar más información en la documentación de Azure Load Balancer.
| Dirección | Etiqueta de servicio de origen | Intervalos de puertos de origen | Etiqueta de servicio de destino | Intervalos de puertos de destino | Protocolo | Action | Fin | Tipo de red virtual |
|---|---|---|---|---|---|---|---|---|
| Entrada | Internet | * | VirtualNetwork | [80], 443 | TCP | Permitir | Comunicación de cliente con Administración de API | Solo externo |
| Entrada | ApiManagement | * | VirtualNetwork | 3443 | TCP | Permitir | Punto de conexión de administración para Azure Portal y PowerShell | Externa e interna |
| Salida | VirtualNetwork | * | Storage | 443 | TCP | Allow | Dependencia de Azure Storage | Externa e interna |
| Salida | VirtualNetwork | * | AzureActiveDirectory | 443 | TCP | Allow | Identificador de Entra de Microsoft, Microsoft Graph y dependencia de Azure Key Vault (opcional) | Externa e interna |
| Salida | VirtualNetwork | * | AzureConnectors | 443 | TCP | Allow | Dependencia de conexiones administradas (opcional) | Externa e interna |
| Salida | VirtualNetwork | * | Sql | 1433 | TCP | Allow | Acceso a los puntos de conexión de Azure SQL | Externa e interna |
| Salida | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Allow | Acceso a Azure Key Vault | Externa e interna |
| Salida | VirtualNetwork | * | EventHub | 5671, 5672, 443 | TCP | Allow | Dependencia de la directiva de registro en Azure Event Hubs y Azure Monitor (opcional) | Externa e interna |
| Salida | VirtualNetwork | * | Storage | 445 | TCP | Allow | Dependencia del recurso compartido de archivos de Azure para GIT (opcional) | Externa e interna |
| Salida | VirtualNetwork | * | AzureMonitor | 1886, 443 | TCP | Permitir | Publicación de registros y métricas de diagnóstico, Resource Health y Application Insights | Externa e interna |
| Entrada y salida | VirtualNetwork | * | Virtual Network | 6380 | TCP | Allow | Acceso al servicio de Azure Cache for Redis externo para almacenar en caché directivas entre máquinas (opcional) | Externa e interna |
| Entrada y salida | VirtualNetwork | * | VirtualNetwork | 6381 - 6383 | TCP | Allow | Acceso al servicio de Azure Cache for Redis interno para almacenar en caché directivas entre máquinas (opcional) | Externa e interna |
| Entrada y salida | VirtualNetwork | * | VirtualNetwork | 4290 | UDP | Allow | Sincronización de contadores para las directivas de límite de velocidad entre máquinas (opcional) | Externa e interna |
| Entrada | AzureLoadBalancer | * | VirtualNetwork | 6390 | TCP | Permitir | Equilibrador de carga de la infraestructura de Azure | Externa e interna |
| Entrada | AzureTrafficManager | * | VirtualNetwork | 443 | TCP | Permitir | Enrutamiento de Azure Traffic Manager para la implementación en varias regiones | Externo |
| Entrada | AzureLoadBalancer | * | VirtualNetwork 6391 | TCP | Allow | Supervisión del estado de la máquina individual (opcional) | Externa e interna |
Las reglas de NSG que permiten la conectividad saliente a las etiquetas de servicio de Storage, SQL y Azure Event Hubs pueden usar las versiones regionales correspondientes de las etiquetas de la región que contiene la instancia de API Management (por ejemplo, Storage.WestUS para una instancia de API Management en la región Oeste de EE. UU.). En las implementaciones para varias regiones, el NSG de cada región debe permitir el tráfico a las etiquetas de servicio de esa región y de la región primaria.
Para habilitar la compilación y validación de la cadena de certificados TLS/SSL, el servicio API Management necesita conectividad de red saliente en los puertos 80 y 443 en ocsp.msocsp.com, , oneocsp.msocsp.commscrl.microsoft.com, crl.microsoft.com, , cacerts.digicert.comcrl3.digicert.com y csp.digicert.com.
Se requiere acceso saliente en el puerto 53 para establecer la comunicación con los servidores DNS. Si existe un servidor DNS personalizado en el otro punto de conexión de una puerta de enlace de VPN, el servidor DNS debe estar accesible desde la subred que alberga la API Management.
Para que funcione correctamente, el servicio API Management necesita conectividad en el puerto 443 con los siguientes puntos de conexión asociados a Microsoft Entra ID: <region>.login.microsoft.com y login.microsoftonline.com.
La conectividad de red saliente a los puntos de conexión de supervisión de Azure, que se resuelven en los siguientes dominios, se representa en la etiqueta de servicio AzureMonitor para su uso con grupos de seguridad de red.
| Entorno de Azure | Puntos de conexión |
|---|---|
| Azure Public |
|
| Azure Government |
|
| Microsoft Azure operado por 21Vianet |
|
Permita la conectividad de red saliente para el CAPTCHA del portal para desarrolladores, que se resuelve en los host client.hip.live.com y partner.hip.live.com.
Para habilitar la publicación del portal para desarrolladores para una instancia de API Management en una red virtual, permita la conectividad saliente a Blob Storage en la región Oeste de EE. UU. Por ejemplo, use la etiqueta de servicio Storage.WestUS en una regla de NSG. Actualmente, la conectividad con Blob Storage en la región Oeste de EE. UU. es necesaria para publicar el portal para desarrolladores para cualquier instancia de API Management.
Al usar la extensión de diagnóstico de API Management desde dentro de una red virtual, se requiere el acceso saliente a dc.services.visualstudio.com en el puerto 443 para habilitar el flujo de registros de diagnóstico desde Azure Portal. Este acceso ayuda a solucionar los problemas que pueden surgir al usar la extensión.
No es necesario permitir las solicitudes entrantes desde la etiqueta de servicio AzureLoadBalancer para la SKU para desarrolladores, ya que solo se implementa una unidad de proceso detrás de ella. Sin embargo, la conectividad entrante desde AzureLoadBalancer se convierte en crítica al escalar a una SKU superior, como una Premium, ya que un error en el sondeo de estado del equilibrador de carga bloquea todo el acceso de entrada al plano de control y al plano de datos.
Si ha habilitado la supervisión de Azure Application Insights en API Management, permita la conectividad de salida hacia el punto de conexión de telemetría desde la red virtual.
Al agregar máquinas virtuales que ejecutan Windows en la red virtual, permita la conectividad saliente en el puerto 1688 al punto de conexión de KMS en la nube. Esta configuración enruta tráfico de máquina virtual Windows al servidor de Azure Key Management Services (KMS) para completar la activación de Windows.
Se requieren los siguientes valores de configuración y FQDN para mantener y diagnosticar la infraestructura de proceso interna de API Management.
- Permitir el acceso UDP saliente en el puerto
123para NTP. - Permitir el acceso TCP saliente en el puerto
12000para diagnósticos. - Permitir el acceso saliente en el puerto
443a los siguientes puntos de conexión para diagnósticos internos:azurewatsonanalysis-prod.core.windows.net,*.data.microsoft.com,azureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net,shavamanifestcdnprod1.azureedge.net. - Permitir el acceso saliente en el puerto
443a los siguientes puntos de conexión para PKI internos:issuer.pki.azure.com. - Permita el acceso saliente en los puertos
80y443a los siguientes puntos de conexión para Windows Update:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - Permita el acceso saliente en los puertos
80y443al punto de conexióngo.microsoft.com. - Permita el acceso saliente en los puertos
443ywdcp.microsoft.coma los siguientes puntos de conexión para Windows Defender:wdcpalt.microsoft.com.
Importante
Las direcciones IP del plano de control para Azure API Management deben configurarse para las reglas de acceso a la red solo cuando sea necesario en determinados escenarios de red. Se recomienda usar la etiqueta de servicio ApiManagementen lugar de las direcciones IP del plano de control para evitar el tiempo de inactividad cuando las mejoras en la infraestructura requieren cambios en la dirección IP.
Más información sobre:
- Conexión de una red virtual al back-end mediante VPN Gateway
- Conexión de redes virtuales a partir de diferentes modelos de implementación con PowerShell
- Preguntas más frecuentes (P+F) acerca de Azure Virtual Network
- Etiquetas de servicio
Para obtener más instrucciones sobre los problemas de configuración, consulte: