Referensi konfigurasi jaringan virtual: API Management
BERLAKU UNTUK: Pengembang | Premi
Referensi ini menyediakan pengaturan konfigurasi jaringan terperinci untuk instans API Management yang disebarkan (disuntikkan) di jaringan virtual Azure dalam mode eksternal atau internal .
Untuk opsi, persyaratan, dan pertimbangan konektivitas VNet, lihat Menggunakan jaringan virtual dengan Azure API Management.
Port yang diperlukan
Kontrol lalu lintas masuk dan keluar ke subnet tempat API Management disebarkan menggunakan aturan kelompok keamanan jaringan. Jika port tertentu tidak tersedia, API Management mungkin tidak beroperasi dengan benar dan menjadi tidak dapat diakses.
Saat instans layanan API Management dihost di VNet, port dalam tabel berikut digunakan. Beberapa persyaratan dibedakan berdasarkan pada versi (stv2 atau stv1) platform komputasi yang menghosting instans API Management Anda.
Penting
Item tebal di kolom Tujuan menunjukkan konfigurasi port yang diperlukan demi keberhasilan penyebaran dan pengoperasian layanan API Management. Konfigurasi berlabel "opsional" mengaktifkan fitur tertentu, seperti yang disebutkan. Mereka tidak diperlukan demi kesehatan layanan secara keseluruhan.
Sebaiknya gunakan tag layanan yang ditunjukkan alih-alih alamat IP di NSG dan aturan jaringan lainnya untuk menentukan sumber dan tujuan jaringan. Tag layanan mencegah waktu henti ketika peningkatan infrastruktur mengharuskan adanya perubahan alamat IP.
Penting
Saat menggunakan stv2, diperlukan untuk menetapkan Grup Keamanan Jaringan ke VNet Anda agar Azure Load Balancer berfungsi. Pelajari selengkapnya dalam dokumentasi Azure Load Balancer.
| Port Sumber / Tujuan | Petunjuk | Protokol transportasi | Tag layanan Sumber / Tujuan |
Tujuan | Jenis VNet |
|---|---|---|---|---|---|
| * / [80], 443 | Masuk | TCP | Internet / VirtualNetwork | Komunikasi klien ke API Management | Hanya eksternal |
| * / 3443 | Masuk | TCP | ApiManagement / VirtualNetwork | Titik akhir manajemen untuk portal Azure dan PowerShell | Eksternal & Internal |
| * / 443 | Keluar | TCP | VirtualNetwork / Storage | Dependensi pada Azure Storage | Eksternal & Internal |
| * / 443 | Keluar | TCP | VirtualNetwork / AzureActiveDirectory | ID Microsoft Entra, Microsoft Graph, dan dependensi Azure Key Vault (opsional) | Eksternal & Internal |
| * / 443 | Keluar | TCP | VirtualNetwork / AzureConnectors | dependensi koneksi terkelola (opsional) | Eksternal & Internal |
| * / 1433 | Keluar | TCP | VirtualNetwork / Sql | Akses ke titik akhir Azure SQL | Eksternal & Internal |
| * / 443 | Keluar | TCP | VirtualNetwork / AzureKeyVault | Akses ke Azure Key Vault | Eksternal & Internal |
| * / 5671, 5672, 443 | Keluar | TCP | VirtualNetwork / EventHub | Dependensi untuk kebijakan Log ke Azure Event Hubs dan Azure Monitor (opsional) | Eksternal & Internal |
| * / 445 | Keluar | TCP | VirtualNetwork / Storage | Dependensi pada Berbagi File Azure untuk GIT (opsional) | Eksternal & Internal |
| * / 1886, 443 | Keluar | TCP | VirtualNetwork / AzureMonitor | Menerbitkan Log dan Metrik Diagnostik, Kesehatan Sumber Daya, dan Application Insights | Eksternal & Internal |
| * / 6380 | Masuk & Keluar | TCP | VirtualNetwork / VirtualNetwork | Mengakses layanan Azure Cache for Redis eksternal untuk kebijakan penembolokan antar mesin (opsional) | Eksternal & Internal |
| * / 6381 - 6383 | Masuk & Keluar | TCP | VirtualNetwork / VirtualNetwork | Mengakses layanan Azure Cache for Redis internal untuk kebijakan penembolokan antar mesin (opsional) | Eksternal & Internal |
| * / 4290 | Masuk & Keluar | UDP | VirtualNetwork / VirtualNetwork | Penghitung Sinkronisasi untuk kebijakan Batas Tarif antar mesin (opsional) | Eksternal & Internal |
| * / 6390 | Masuk | TCP | AzureLoadBalancer / VirtualNetwork | Azure Infrastructure Load Balancer | Eksternal & Internal |
| * / 443 | Masuk | TCP | AzureTrafficManager / VirtualNetwork | Perutean Azure Traffic Manager untuk penyebaran multi-wilayah | Eksternal |
| * / 6391 | Masuk | TCP | AzureLoadBalancer / VirtualNetwork | Pemantauan kesehatan mesin individu (Opsional) | Eksternal & Internal |
Tag layanan regional
Aturan NSG yang mengizinkan konektivitas keluar ke tag layanan Storage, SQL, dan Azure Event Hubs dapat menggunakan versi regional dari tag tersebut yang sesuai dengan wilayah yang berisi instans API Management (misalnya, Storage.WestUS untuk instans API Management di wilayah US Barat). Dalam penyebaran multi-wilayah, NSG di setiap wilayah harus mengizinkan lalu lintas ke tag layanan untuk wilayah tersebut dan wilayah utama.
Fungsionalitas TLS
Untuk mengaktifkan pembuatan dan validasi rantai sertifikat TLS/SSL, layanan API Management memerlukan konektivitas jaringan keluar pada port 80 dan 443 ke ocsp.msocsp.com, oneocsp.msocsp.com, mscrl.microsoft.com, crl.microsoft.com, dan csp.digicert.com. Dependensi ini tidak diperlukan, jika sertifikat apa pun yang Anda unggah ke API Management berisi rantai lengkap ke root CA.
Akses DNS
Akses keluar pada port 53 diperlukan untuk komunikasi dengan server DNS. Jika server DNS kustom ada di ujung lain gateway VPN, server DNS harus dapat dijangkau dari API Management hosting subnet.
Integrasi Microsoft Entra
Untuk beroperasi dengan benar, layanan API Management memerlukan konektivitas keluar pada port 443 ke titik akhir berikut yang terkait dengan ID Microsoft Entra: <region>.login.microsoft.com dan login.microsoftonline.com.
Metrik dan Pemantauan Kesehatan
Konektivitas jaringan keluar ke titik akhir Azure Monitoring, yang diselesaikan pada domain berikut, diwakili dengan tag layanan AzureMonitor untuk digunakan dengan Kelompok Keamanan Jaringan.
| Lingkungan Azure | Titik akhir |
|---|---|
| Azure Public |
|
| Azure Government |
|
| Microsoft Azure dioperasikan oleh 21Vianet |
|
CAPTCHA Portal pengembang
Memungkinkan konektivitas jaringan keluar untuk CAPTCHA portal pengembang, yang diselesaikan di host client.hip.live.com dan partner.hip.live.com.
Menerbitkan portal pengembang
Aktifkan penerbitan portal pengembang untuk instans API Management di VNet dengan mengizinkan konektivitas keluar ke penyimpanan blob di wilayah US Barat. Misalnya, gunakan tag layanan Storage.WestUS dalam aturan NSG. Untuk saat ini, konektivitas ke penyimpanan blob di wilayah AS Barat diperlukan untuk menerbitkan portal pengembang untuk instans API Management mana pun.
Diagnostik portal Microsoft Azure
Saat menggunakan ekstensi diagnostik API Management dari dalam VNet, akses keluar ke dc.services.visualstudio.com pada port 443 diperlukan untuk mengaktifkan alur log diagnostik dari portal Microsoft Azure. Akses ini membantu dalam memecahkan masalah yang mungkin Anda hadapi saat menggunakan ekstensi tersebut.
Penyeimbang beban Azure
Anda tidak diharuskan untuk mengizinkan permintaan masuk dari tag layanan AzureLoadBalancer untuk SKU Pengembang, karena hanya satu unit komputasi yang disebarkan di baliknya. Namun, konektivitas masuk dari AzureLoadBalancer menjadi penting saat menskalakan ke SKU yang lebih tinggi, seperti Premium, karena kegagalan pemeriksaan kesehatan dari penyeimbang beban kemudian memblokir semua akses masuk ke sarana kontrol dan data plane.
Application Insights
Jika Anda telah mengaktifkan pemantauan Azure Application Insights pada API Management, izinkan konektivitas keluar ke titik akhir telemetri dari VNet.
Titik akhir KMS
Saat menambahkan mesin virtual yang menjalankan Windows ke VNet, izinkan konektivitas keluar di port 1688 ke titik akhir KMS di cloud Anda. Konfigurasi ini mengarahkan lalu lintas Windows VM ke server Azure Key Management Services (KMS) untuk menyelesaikan aktivasi Windows.
Infrastruktur dan diagnostik internal
Pengaturan dan FQDN berikut diperlukan untuk memelihara dan mendiagnosis infrastruktur komputasi internal API Management.
- Izinkan akses UDP keluar pada port
123untuk NTP. - Izinkan akses TCP keluar pada port
12000untuk diagnostik. - Izinkan akses keluar pada port
443ke titik akhir berikut untuk diagnostik internal:azurewatsonanalysis-prod.core.windows.net, ,*.data.microsoft.com,azureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net.shavamanifestcdnprod1.azureedge.net - Izinkan akses keluar pada port
443ke titik akhir berikut untuk PKI internal:issuer.pki.azure.com. - Izinkan akses keluar pada port
80dan443ke titik akhir berikut untuk Windows Update:*.update.microsoft.com, ,*.ctldl.windowsupdate.comctldl.windowsupdate.com,download.windowsupdate.com. - Izinkan akses keluar pada port
80dan443ke titikgo.microsoft.comakhir . - Izinkan akses keluar pada port
443ke titik akhir berikut untuk Windows Defender:wdcp.microsoft.com,wdcpalt.microsoft.com.
Alamat IP sarana kontrol
Penting
Alamat IP sarana kontrol untuk Azure API Management harus dikonfigurasi untuk aturan akses jaringan hanya jika diperlukan dalam skenario jaringan tertentu. Sebaiknya gunakan tag layanan ApiManagement alih-alih alamat IP sarana kontrol untuk mencegah waktu henti saat peningkatan infrastruktur mengharuskan alamat IP berubah.
Konten terkait
Pelajari lebih lanjut tentang:
- Menyambungkan jaringan virtual ke backend menggunakan VPN Gateway
- Menghubungkan jaringan virtual dari model penyebaran yang berbeda
- Tanya jawab umum Microsoft Azure Virtual Network
- Tag layanan
Untuk panduan selengkapnya tentang masalah konfigurasi, lihat: