Informations de référence sur la configuration de réseau virtuel : Gestion des API

  • Article

S’APPLIQUE À : Développeur | Premium

Cette référence fournit des paramètres de configuration réseau détaillés pour une instance de Gestion des API déployée (injectée) dans un réseau virtuel Azure en mode externe ou interne.

Pour connaître les options de connectivité, les conditions requises et les considérations liées aux réseaux virtuels, consultez Utilisation d’un réseau virtuel avec Gestion des API Azure.

Ports nécessaires

Contrôlez le trafic entrant et sortant dans le sous-réseau dans lequel Gestion des API est déployée à l’aide de règles de groupe de sécurité réseau. Si certains ports ne sont pas disponibles, Gestion des API risque de ne pas fonctionner correctement et d’être inaccessible.

Quand une instance de service Gestion des API est hébergée dans un réseau virtuel, les ports du tableau suivant sont utilisés. Certaines conditions varient en fonction de la version (stv2 ou stv1) de la stv2 qui héberge votre instance Gestion des API.

Important

  • Les éléments en gras dans la colonne Objectif indiquent les configurations de port requises pour que le déploiement et l’exécution du service Gestion des API réussissent. Les configurations étiquetées « facultatif » activent des fonctionnalités spécifiques, comme indiqué. Elles ne sont pas requises pour l’intégrité globale du service.

  • Nous vous recommandons d’utiliser les balises de service indiquées au lieu d’adresses IP dans le groupe de sécurité réseau et d’autres règles réseau pour spécifier des sources et des destinations réseau. Les étiquettes de service évitent les temps d’arrêt lorsque des améliorations de l’infrastructure nécessitent des modifications d’adresses IP.

Important

Lorsque vous utilisez stv2, il est nécessaire d’affecter un groupe de sécurité réseau à votre commutateur virtuel (VNet) pour que Azure Load Balancer fonctionne. Pour plus d’informations, consultez la documentation Azure Load Balancer.

Port(s) source / de destination Sens Protocole de transfert Balises de service
Source / Destination		 Objectif Type de réseau virtuel
* / [80], 443 Trafic entrant TCP Internet / Réseau virtuel Communication client avec Gestion des API Externe uniquement
* / 3443 Trafic entrant TCP ApiManagement / VirtualNetwork Point de terminaison de gestion pour le Portail Azure et PowerShell Externe et interne
* / 443 Règle de trafic sortant TCP VirtualNetwork / Stockage Dépendance sur le Stockage Azure Externe et interne
* / 443 Règle de trafic sortant TCP VirtualNetwork / AzureActiveDirectory Dépendance Microsoft Entra ID, Microsoft Graph et Azure Key Vault (facultatif) Externe et interne
* / 443 Règle de trafic sortant TCP VirtualNetwork / AzureConnectors Dépendance de connexions managées (facultatif) Externe et interne
* / 1433 Règle de trafic sortant TCP VirtualNetwork / Sql Accès aux points de terminaison de SQL Azure Externe et interne
* / 443 Règle de trafic sortant TCP VirtualNetwork / AzureKeyVault Accès à Azure Key Vault Externe et interne
* / 5671, 5672, 443 Règle de trafic sortant TCP VirtualNetwork / EventHub Dépendance pour la stratégie Journaliser dans Azure Event Hubs et Azure Monitor (facultatif) Externe et interne
* / 445 Règle de trafic sortant TCP VirtualNetwork / Stockage Dépendance envers Partage de fichiers Azure pour GIT (facultatif) Externe et interne
* / 1886, 443 Règle de trafic sortant TCP VirtualNetwork / AzureMonitor Publier des journaux de diagnostic et des métriques, Resource Health et application Recommandations Externe et interne
* / 6380 Trafic entrant et sortant TCP VirtualNetwork / VirtualNetwork Accéder au service Azure Cache pour Redis externe pour la mise en cache des stratégies entre machines (facultatif) Externe et interne
* / 6381 - 6383 Trafic entrant et sortant TCP VirtualNetwork / VirtualNetwork Accéder au service Azure Cache pour Redis interne pour la mise en cache des stratégies entre machines (facultatif) Externe et interne
* / 4290 Trafic entrant et sortant UDP VirtualNetwork / VirtualNetwork Compteurs de synchronisation pour les stratégies de limite de débit entre machines (facultatif) Externe et interne
* / 6390 Trafic entrant TCP AzureLoadBalancer / VirtualNetwork Équilibrage de charge de l’infrastructure Azure Externe et interne
* / 443 Trafic entrant TCP AzureTrafficManager / VirtualNetwork Routage Azure Traffic Manager pour le déploiement multirégional Externe
* / 6391 Trafic entrant TCP AzureLoadBalancer / VirtualNetwork Surveillance de l’intégrité de l’ordinateur individuel (facultatif) Externe et interne

Étiquettes de service régional

Les règles NSG autorisant une connectivité sortante aux étiquettes de service Stockage, SQL et Azure Event Hubs peuvent utiliser les versions régionales de ces étiquettes correspondant à la région contenant l’instance de Gestion des API (par exemple Storage.WestUS pour une instance de Gestion des API dans la région USA Ouest). Dans les déploiements dans plusieurs régions, le groupe de sécurité réseau de chaque région doit autoriser le trafic vers les balises de service pour cette région ainsi que pour la région primaire.

Fonctionnalités TLS

Pour activer la génération et la validation de la chaîne de certificats TLS/SSL, le service Gestion des API a besoin d’une connectivité réseau sortante sur les ports 80 et 443 vers ocsp.msocsp.com, oneocsp.msocsp.com, mscrl.microsoft.com, crl.microsoft.com et csp.digicert.com. Cette dépendance n’est pas obligatoire si l’un des certificats que vous chargez dans Gestion des API contient la totalité de la chaîne permettant d’accéder à la racine de l’autorité de certification.

Accès DNS

L’accès sortant sur le port 53 est nécessaire pour la communication avec des serveurs DNS. S'il existe un serveur DNS personnalisé à l'autre extrémité d'une passerelle VPN, le serveur DNS doit être accessible depuis le sous-réseau hébergeant la gestion de l’API.

Intégration de Microsoft Entra

Pour fonctionner correctement, le service API Management a besoin d’une connectivité sortante sur le port 443 vers les points de terminaison suivants associés à Microsoft Entra ID : <region>.login.microsoft.com et login.microsoftonline.com.

Métriques et supervision de l’intégrité

La connectivité réseau sortante aux points de terminaison de monitoring Azure, qui sont résolus sous les domaines suivants, est représentée sous l’étiquette de service AzureMonitor pour une utilisation avec des groupes de sécurité réseau.

Environnement Azure Points de terminaison
Azure (public)
  • gcs.prod.monitoring.core.windows.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.com
Azure Government
  • fairfax.warmpath.usgovcloudapi.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.us
Microsoft Azure géré par 21Vianet
  • mooncake.warmpath.chinacloudapi.cn
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.cn

CAPTCHA du portail des développeurs

Autorisez la connectivité réseau sortante pour le CAPTCHA du portail des développeurs, qui se résout sous les hôtes client.hip.live.com et partner.hip.live.com.

Publication du portail des développeurs

Pour activer la publication du portail des développeurs pour une instance de Gestion des API dans un réseau virtuel, autorisez la connectivité sortante vers le stockage d’objets blob dans la région USA Ouest. Par exemple, utilisez la balise de service Storage.WestUS dans une règle NSG. La connectivité au Stockage Blob dans la région USA Ouest est actuellement obligatoire pour publier le portail des développeurs pour toutes les instances de Gestion des API.

Diagnostics du portail Azure

Lors de l’utilisation de l’extension de diagnostics Gestion des API à partir d’un réseau virtuel, un accès sortant vers dc.services.visualstudio.com sur le port 443 est obligatoire pour activer le flux des journaux de diagnostic à partir du portail Azure. Cet accès contribue à la résolution des problèmes que vous pouvez rencontrer lors de l’utilisation de l’extension.

Équilibrage de charge Azure

Vous n’êtes pas obligé d’autoriser les requêtes entrantes de l’étiquette de service AzureLoadBalancer pour la référence SKU Développeur, car une seule unité Compute est déployée derrière elle. Toutefois, la connectivité entrante à partir de AzureLoadBalancer devient critique lors de la mise à l’échelle vers une référence SKU supérieure, par exemple Premium, car en cas de défaillance de la sonde d’intégrité de l’équilibreur de charge, tout accès entrant au plan de contrôle et au plan de données est bloqué.

Application Insights

Si vous avez activé le monitoring Azure Application Insights sur Gestion des API, autorisez la connectivité sortante vers le point de terminaison de télémétrie à partir du réseau virtuel.

Point de terminaison KMS

Quand vous ajoutez des machines virtuelles exécutant Windows au réseau virtuel, autorisez la connectivité sortante sur le port 1688 vers le point de terminaison KMS dans votre cloud. Cette configuration route le trafic des machines virtuelles Windows vers le serveur du service de gestion de clés (KMS, Key Management Services) Azure pour effectuer l’activation de Windows.

Infrastructure interne et diagnostics

Les paramètres et noms de domaine complets suivants sont requis pour gérer et diagnostiquer l’infrastructure de calcul interne de Gestion des API.

  • Autoriser l’accès UDP sortant sur le port 123 pour NTP.
  • Autoriser l’accès TCP sortant sur le port 12000 pour les diagnostics.
  • Autoriser l’accès sortant sur le port 443 vers les points de terminaison suivants pour les diagnostics internes : azurewatsonanalysis-prod.core.windows.net, *.data.microsoft.com, azureprofiler.trafficmanager.net, shavamanifestazurecdnprod1.azureedge.net, shavamanifestcdnprod1.azureedge.net.
  • Autoriser l’accès sortant sur le port 443 vers le point de terminaison suivant pour l’infrastructure à clé publique (PKI) interne : issuer.pki.azure.com.
  • Autoriser l’accès sortant sur les ports 80 et 443 vers les points de terminaison suivants pour Windows Update : *.update.microsoft.com, *.ctldl.windowsupdate.com, ctldl.windowsupdate.com, download.windowsupdate.com.
  • Autorisez l’accès sortant sur les ports 80 et 443 vers le point de terminaison go.microsoft.com.
  • Autoriser l’accès sortant sur le port 443 vers les points de terminaison suivants pour Windows Defender : wdcp.microsoft.com, wdcpalt.microsoft.com .

Adresses IP du plan de contrôle

Important

Les adresses IP du plan de contrôle pour Azure Gestion des API doivent être configurées pour les règles d’accès réseau uniquement si nécessaire dans certains scénarios de mise en réseau. Nous vous recommandons d’utiliser l’étiquette de serviceApiManagement plutôt que des adresses IP du plan de contrôle pour éviter les temps d’arrêt lorsque des améliorations de l’infrastructure nécessitent des modifications d’adresses IP.

Contenu connexe

Pour en savoir plus :

Pour plus d’informations sur les problèmes de configuration, consultez :