Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A KÖVETKEZŐKRE VONATKOZIK: Fejlesztő | Prémium
Ez a hivatkozás részletes hálózati konfigurációs beállításokat tartalmaz egy Azure virtuális hálózaton üzembe helyezett (injektált) API Management-példányhoz a external vagy internal módban.
A virtuális hálózatok csatlakozási lehetőségeiről, követelményeiről és szempontjairól lásd: A virtuális hálózat Azure API Management használatával történő igénybe vétele.
Fontos
Ez a hivatkozás csak a virtuális hálózaton üzembe helyezett klasszikus szinteken lévő API Management-példányokra vonatkozik. A virtuális hálózatok v2-szinteken történő injektálásával kapcsolatos információkért lásd: Az Azure API Management példány létrehozása privát virtuális hálózatban – Prémium v2 szint.
Szükséges portok
A hálózati biztonsági csoport szabályaival szabályozhatja az alhálózatra irányuló bejövő és kimenő forgalmat, amelyben az API Management üzembe van helyezve. Ha bizonyos portok nem érhetők el, előfordulhat, hogy az API Management nem működik megfelelően, és elérhetetlenné válhat.
Ha egy API Management szolgáltatáspéldányt egy virtuális hálózaton üzemeltet, a rendszer az alábbi táblázatban szereplő portokat használja.
Fontos
A Cél oszlop félkövér elemei jelzik az API Management szolgáltatás sikeres üzembe helyezéséhez és működéséhez szükséges portkonfigurációkat. A "nem kötelező" címkével ellátott konfigurációk adott funkciókat tesznek lehetővé, amint azt már említettük. Ezek nem szükségesek a szolgáltatás általános állapotához.
Javasoljuk, hogy az NSG-ben és más hálózati szabályokban szereplő IP-címek helyett használja a jelzett szolgáltatáscímkéket a hálózati források és a célhelyek megadásához. A szolgáltatáscímkék megakadályozzák az állásidőt, ha az infrastruktúra fejlesztése szükségessé teszi az IP-címek módosítását.
Fontos
Ahhoz, hogy a Azure Load Balancer működjenek, hálózati biztonsági csoportot kell hozzárendelni a virtuális hálózathoz. További információ a Azure Load Balancer dokumentációjában.
| Irány | Forrás szolgáltatáscímke | Forrásporttartományok | Cél szolgáltatáscímkéje | Célporttartományok | Protokoll | Művelet | Cél | Virtuális hálózat típusa |
|---|---|---|---|---|---|---|---|---|
| Bejövő | internet | * | VirtualNetwork | [80], 443 | TCP | Engedélyezés | Ügyfélkommunikáció az API Managementtel | Csak külső |
| Bejövő | ApiManagement | * | VirtualNetwork | 3443 | TCP | Engedélyezés | Management végpont Azure portálhoz és PowerShellhez | Külső és belső |
| Kimenő | VirtualNetwork | * | internet | 80 | TCP | Engedélyezés | A Microsoft által felügyelt és ügyfél által felügyelt tanúsítványok értékének és kezelésének | Külső és belső |
| Kimenő | VirtualNetwork | * | Storage | 443 | TCP | Engedélyezés | Dependency on Azure Storage | Külső és belső |
| Kimenő | VirtualNetwork | * | AzureActiveDirectory | 443 | TCP | Engedélyezés | Microsoft Entra ID, Microsoft Graph, és Azure Key Vault függőség (nem kötelező) | Külső és belső |
| Kimenő | VirtualNetwork | * | AzureConnectors | 443 | TCP | Engedélyezés | API Management hitelesítőadat-kezelő végpontfüggősége (nem kötelező) | Külső és belső |
| Kimenő | VirtualNetwork | * | SQL | 1433 | TCP | Engedélyezés | Access Azure SQL végpontokhoz | Külső és belső |
| Kimenő | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Engedélyezés | Access to Azure Key Vault | Külső és belső |
| Kimenő | VirtualNetwork | * | EventHub | 5671, 5672, 443 | TCP | Engedélyezés | A Napló függősége Azure Event Hubs házirendhez és Azure Monitor (nem kötelező) | Külső és belső |
| Kimenő | VirtualNetwork | * | AzureMonitor | 1886, 443 | TCP | Engedélyezés | Publish Diagnostics naplók és metrikák, Resource Health és Application Insights | Külső és belső |
| Bejövő és kimenő | VirtualNetwork | * | Virtual Network | 10000 | TCP | Engedélyezés | Külső Azure Felügyelt Redis szolgáltatás elérése caching házirendek gépek között (nem kötelező) | Külső és belső |
| Bejövő és kimenő | VirtualNetwork | * | VirtualNetwork | 6381 - 6383 | TCP | Engedélyezés | Belső gyorsítótár elérése a gépek közötti gyorsítótárazási szabályzatokhoz (nem kötelező) | Külső és belső |
| Bejövő és kimenő | VirtualNetwork | * | VirtualNetwork | 4290 | Felhasználói Datagram Protokoll (UDP) | Engedélyezés | Szinkronizálási számlálók sebességkorlát-szabályzatokhoz gépek között (nem kötelező) | Külső és belső |
| Bejövő | Azure Terheléselosztó | * | VirtualNetwork | 6390 | TCP | Engedélyezés | Azure infrastruktúra Load Balancer | Külső és belső |
| Bejövő | AzureTrafficManager | * | VirtualNetwork | 443 | TCP | Engedélyezés | Azure Traffic Manager útválasztás többrégiós üzembe helyezéshez | Külső |
| Bejövő | Azure Terheléselosztó | * | VirtualNetwork 6391 | TCP | Engedélyezés | Az egyes gépek állapotának monitorozása (nem kötelező) | Külső és belső |
Regionális szolgáltatáscímkék
A Storage, SQL és Azure Event Hubs szolgáltatáscímkékhez kimenő kapcsolatot engedélyező NSG-szabályok az API Management-példányt tartalmazó régiónak megfelelő címkék regionális verzióit használhatják (például Storage.WestUS az USA nyugati régiójában található API Management-példányokhoz). Többrégiós üzemelő példányokban az egyes régiók NSG-jének engedélyeznie kell az adott régió és az elsődleges régió szolgáltatáscímkék felé irányuló forgalmat.
TLS-funkciók
A TLS/SSL tanúsítványlánc létrehozásának és érvényesítésének engedélyezéséhez az API Management szolgáltatásnak kimenő hálózati kapcsolatra van szüksége a portokon80, valamint 443mscrl.microsoft.coma , crl.microsoft.com, oneocsp.microsoft.com, cacerts.digicert.comcrl3.digicert.com és csp.digicert.com.
DNS-hozzáférés
A DNS-kiszolgálókkal való kommunikációhoz kimenő hozzáférés szükséges a porton 53 . Ha egyéni DNS-kiszolgáló létezik egy VPN-átjáró másik végén, a DNS-kiszolgálónak elérhetőnek kell lennie az API Managementet üzemeltető alhálózatról.
Microsoft Entra integráció
A megfelelő működéshez az API Management szolgáltatásnak kimenő kapcsolatot kell létesítenie a 443-as porton a következő, Microsoft Entra ID társított végpontokkal: <region>.login.microsoft.com és login.microsoftonline.com.
Metrikák és állapotfigyelés
A következő tartományokban feloldott Azure monitorozási végpontokhoz való kimenő hálózati kapcsolat az AzureMonitor szolgáltatáscímke alatt jelenik meg a hálózati biztonsági csoportokkal való használatra.
| Azure környezet | Végpontok |
|---|---|
| Azure nyilvános |
|
| Azure Government |
|
| Microsoft Azure által üzemeltetett 21Vianet |
|
Fejlesztői portál – CAPTCHA
Kimenő hálózati kapcsolat engedélyezése a fejlesztői portál CAPTCHA-jának számára, amely a gazdagépek client.hip.live.com és partner.hip.live.coma .
A fejlesztői portál közzététele
Engedélyezze a developer portál közzétételét egy API Management-példány számára egy virtuális hálózatban azáltal, hogy engedélyezi a kimenő kapcsolatot Azure Storage. Használja például a Storage szolgáltatás címkéjét egy NSG-szabályban. Jelenleg a Azure Storage globális vagy regionális szolgáltatásvégpontokon keresztüli kapcsolódásra van szükség a fejlesztői portál bármely API Management-példányhoz való közzétételéhez.
Azure portál diagnosztikái
Ha egy virtuális hálózaton belülről használja az API Management diagnosztikai bővítményt, a dc.services.visualstudio.com porton 443 kimenő hozzáférésre van szükség a diagnosztikai naplók Azure portálról történő átvitelének engedélyezéséhez. Ez a hozzáférés segít elháríteni a bővítmény használatakor felmerülő problémákat.
Azure terheléselosztó
A fejlesztői termékváltozat szolgáltatáscímkéiből AzureLoadBalancer érkező bejövő kéréseket nem kell engedélyeznie, mivel mögötte csak egy számítási egység van üzembe helyezve. A bejövő kapcsolatok AzureLoadBalancer azonban kritikus fontosságúak lesznek egy magasabb termékváltozatra( például a Premiumra) való skálázáskor, mivel a terheléselosztó állapotadat-mintavételének hibája blokkolja a vezérlősíkhoz és az adatsíkhoz való minden bejövő hozzáférést.
Application Insights
Ha engedélyezte a Azure-alkalmazás Insights api Managementen való monitorozást, engedélyezze a kimenő kapcsolatot a telemetriavégponttal a virtuális hálózatról.
KMS-végpont
Ha Windows futó virtuális gépeket ad hozzá a virtuális hálózathoz, engedélyezze a kimenő kapcsolatot a 1688 porton a KMS-végponthoz a felhőben. Ez a konfiguráció Windows virtuálisgép-forgalmat a Azure Key Management Services (KMS) kiszolgálóra irányítja Windows aktiválás befejezéséhez.
Belső infrastruktúra és diagnosztika
Az API Management belső számítási infrastruktúrájának fenntartásához és diagnosztizálásához a következő beállításokra és teljes tartománynevekre van szükség.
- Kimenő UDP-hozzáférés engedélyezése az NTP-porton
123. - Külső hozzáférés engedélyezése a porton
443a következő végpontokhoz a belső diagnosztikához:azurewatsonanalysis-prod.core.windows.net,*.data.microsoft.com,azureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net.shavamanifestcdnprod1.azureedge.net - Kimenő hozzáférés engedélyezése a porton
443a belső PKI következő végpontjához:issuer.pki.azure.com. - Kimenő hozzáférés engedélyezése
80és443portokon a következő végpontokhoz Windows Update:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - Kimenő hozzáférés engedélyezése a portokon
80és443a végpontongo.microsoft.com. - Kimenő hozzáférés engedélyezése a porton
443a következő végpontokhoz Windows Defender:wdcp.microsoft.com,wdcpalt.microsoft.com.
Vezérlősík IP-címei
Fontos
A Azure API Management vezérlősíkJÁNAK IP-címeit csak bizonyos hálózati forgatókönyvekben szükséges hálózati hozzáférési szabályokhoz kell konfigurálni. Javasoljuk, hogy az ApiManagement szolgáltatás címkéjét használja a vezérlősík IP-címei helyett, hogy megakadályozza az állásidőt, ha az infrastruktúra fejlesztése szükségessé teszi az IP-címek módosítását.
Kapcsolódó tartalom
További információk:
Virtuális hálózat csatlakoztatása háttérrendszerhez VPN Gateway - Virtuális hálózat csatlakoztatása különböző üzemi modellekből
- Virtual Network gyakori kérdések
- Szolgáltatáscímkék
További útmutatás a konfigurációs problémákhoz: