Informazioni di riferimento sulla configurazione della rete virtuale: Gestione API

SI APPLICA A: Sviluppatore | Premium

Questo riferimento fornisce impostazioni di configurazione di rete dettagliate per un'istanza di Gestione API distribuita (inserita) in una rete virtuale di Azure in modalità esterna o interna.

Per le opzioni di connettività della rete virtuale, i requisiti e le considerazioni, vedere Uso di una rete virtuale con Gestione API di Azure.

Porte richieste

Controllare il traffico in ingresso e in uscita nella subnet in cui Gestione API viene distribuito usando le regole del gruppo di sicurezza di rete. Se alcune porte non sono disponibili, Gestione API potrebbe non funzionare correttamente e potrebbe diventare inaccessibile.

Quando un'istanza del servizio Gestione API è ospitata in una rete virtuale, vengono usate le porte nella tabella seguente. Alcuni requisiti variano a seconda della versione (stv2 o stv1) della piattaforma di calcolo che ospita l'istanza di Gestione API.

Importante

• Gli elementi in grassetto nella colonna Scopo indicano le configurazioni delle porte necessarie per la corretta distribuzione e il funzionamento del servizio Gestione API. Le configurazioni con etichetta "facoltativa" abilitano funzionalità specifiche, come indicato. Non sono necessari per l'integrità complessiva del servizio.

• È consigliabile usare i tag di servizio indicati anziché gli indirizzi IP nel gruppo di sicurezza di rete e altre regole di rete per specificare origini e destinazioni di rete. I tag di servizio impediscono tempi di inattività quando i miglioramenti dell'infrastruttura richiedono modifiche agli indirizzi IP.

stv2

Importante

Quando si usa stv2, è necessario assegnare un gruppo di sicurezza di rete alla rete virtuale per consentire il funzionamento di Azure Load Balancer. Altre informazioni sono disponibili nella documentazione di Azure Load Balancer.

Porte di origine/destinazione	Direction	Protocollo di trasporto	Tag di servizio Origine/Destinazione	Scopo	Tipo di rete virtuale
* / [80], 443	In entrata	TCP	Internet / VirtualNetwork	Comunicazione client con Gestione API	Solo esterno
*/3443	In entrata	TCP	ApiManagement / VirtualNetwork	Endpoint di gestione per portale di Azure e PowerShell	Esterno e interno
* / 443	In uscita	TCP	VirtualNetwork / Archiviazione	Dipendenza da Archiviazione di Azure	Esterno e interno
* / 443	In uscita	TCP	VirtualNetwork/AzureActiveDirectory	Dipendenza di Microsoft Entra ID, Microsoft Graph e Azure Key Vault (facoltativo)	Esterno e interno
* / 443	In uscita	TCP	VirtualNetwork/AzureConnectors	dipendenza delle connessioni gestite (facoltativo)	Esterno e interno
* / 1433	In uscita	TCP	VirtualNetwork/Sql	Accesso agli endpoint SQL di Azure	Esterno e interno
* / 443	In uscita	TCP	VirtualNetwork / AzureKeyVault	Accesso ad Azure Key Vault	Esterno e interno
* / 5671, 5672, 443	In uscita	TCP	VirtualNetwork/EventHub	Dipendenza da log a Hub eventi di Azure criteri e Monitoraggio di Azure (facoltativo)	Esterno e interno
* / 445	In uscita	TCP	VirtualNetwork / Archiviazione	Dipendenza da Condivisione file di Azure per GIT (facoltativo)	Esterno e interno
* / 1886, 443	In uscita	TCP	VirtualNetwork / AzureMonitor	Pubblicare log e metriche di diagnostica, Integrità risorse e Application Insights	Esterno e interno
* / 6380	In ingresso e in uscita	TCP	Rete virtuale/Rete virtuale	Accedere al servizio cache di Azure per Redis esterno per la memorizzazione nella cache dei criteri tra computer (facoltativo)	Esterno e interno
* / 6381 - 6383	In ingresso e in uscita	TCP	Rete virtuale/Rete virtuale	Accedere al servizio cache di Azure per Redis interno per la memorizzazione nella cache dei criteri tra computer (facoltativo)	Esterno e interno
* / 4290	In ingresso e in uscita	UDP	Rete virtuale/Rete virtuale	Contatori di sincronizzazione per i criteri limite di frequenza tra computer (facoltativo)	Esterno e interno
* / 6390	In ingresso	TCP	AzureLoadBalancer / VirtualNetwork	Bilanciamento del carico dell'infrastruttura di Azure	Esterno e interno
* / 443	In entrata	TCP	AzureTrafficManager / VirtualNetwork	Gestione traffico di Azure routing per la distribuzione in più aree	Esterno
* / 6391	In entrata	TCP	AzureLoadBalancer / VirtualNetwork	Monitoraggio dell'integrità dei singoli computer (facoltativo)	Esterno e interno

stv1

Porte di origine/destinazione	Direction	Protocollo di trasporto	Tag di servizio Origine/Destinazione	Scopo	Tipo di rete virtuale
* / [80], 443	In entrata	TCP	Internet / VirtualNetwork	Comunicazione client con Gestione API	Solo esterno
*/3443	In entrata	TCP	ApiManagement / VirtualNetwork	Endpoint di gestione per portale di Azure e PowerShell	Esterno e interno
* / 443	In uscita	TCP	VirtualNetwork / Archiviazione	Dipendenza da Archiviazione di Azure	Esterno e interno
* / 443	In uscita	TCP	VirtualNetwork/AzureActiveDirectory	Dipendenza di Microsoft Entra ID, Microsoft Graph e Azure Key Vault (facoltativo)	Esterno e interno
* / 443	In uscita	TCP	VirtualNetwork / AzureKeyVault	Accesso ad Azure Key Vault per l'integrazione dei valori denominati (facoltativo)	Esterno e interno
* / 443	In uscita	TCP	VirtualNetwork/AzureConnectors	dipendenza delle connessioni gestite (facoltativo)	Esterno e interno
* / 1433	In uscita	TCP	VirtualNetwork/Sql	Accesso agli endpoint SQL di Azure	Esterno e interno
* / 5671, 5672, 443	In uscita	TCP	VirtualNetwork/Hub eventi di Azure	Dipendenza da Log a Hub eventi di Azure criterio e agente di monitoraggio (facoltativo)	Esterno e interno
* / 445	In uscita	TCP	VirtualNetwork / Archiviazione	Dipendenza da Condivisione file di Azure per GIT (facoltativo)	Esterno e interno
* / 443, 12000	In uscita	TCP	VirtualNetwork/AzureCloud	Estensione integrità e monitoraggio e dipendenza da Griglia di eventi (se la notifica degli eventi è attivata) (facoltativa)	Esterno e interno
* / 1886, 443	In uscita	TCP	VirtualNetwork / AzureMonitor	Pubblicare log e metriche di diagnostica, Integrità risorse e Application Insights	Esterno e interno
* / 6380	In ingresso e in uscita	TCP	Rete virtuale/Rete virtuale	Accedere al servizio cache di Azure per Redis esterno per la memorizzazione nella cache dei criteri tra computer (facoltativo)	Esterno e interno
* / 6381 - 6383	In ingresso e in uscita	TCP	Rete virtuale/Rete virtuale	Accedere al servizio cache di Azure per Redis interno per la memorizzazione nella cache dei criteri tra computer (facoltativo)	Esterno e interno
* / 4290	In ingresso e in uscita	UDP	Rete virtuale/Rete virtuale	Contatori di sincronizzazione per i criteri limite di frequenza tra computer (facoltativo)	Esterno e interno
* / *	In entrata	TCP	AzureLoadBalancer / VirtualNetwork	Servizio di bilanciamento del carico dell'infrastruttura di Azure (obbligatorio per lo SKU Premium, facoltativo per altri SKU)	Esterno e interno
* / 443	In entrata	TCP	AzureTrafficManager / VirtualNetwork	Gestione traffico di Azure routing per la distribuzione in più aree	Solo esterno

Tag del servizio a livello di area

Le regole del gruppo di sicurezza di rete che consentono la connettività in uscita a Archiviazione, SQL e tag di servizio Hub eventi di Azure possono usare le versioni internazionali di tali tag corrispondenti all'area contenente l'istanza di Gestione API, ad esempio Storage.WestUS per un'istanza Gestione API nell'area Stati Uniti occidentali. Nelle distribuzioni in più aree, il gruppo di sicurezza di rete in ogni area deve consentire il traffico ai tag del servizio per tale area e l'area primaria.

Funzionalità TLS

Per abilitare la compilazione e la convalida della catena di certificati TLS/SSL, il servizio Gestione API necessita della connettività di rete in uscita sulle porte 80 e 443 su ocsp.msocsp.com, oneocsp.msocsp.com, mscrl.microsoft.com, crl.microsoft.com, e csp.digicert.com. Questa dipendenza non è necessaria se un certificato caricato in Gestione API contiene la catena completa nella radice della CA.

Accesso DNS

L'accesso in uscita sulla porta 53 è necessario per la comunicazione con i server DNS. Se è presente un server DNS personalizzato all'altra estremità di un gateway VPN, il server DNS deve essere raggiungibile dalla subnet che ospita Gestione API.

Integrazione di Microsoft Entra

Per funzionare correttamente, il servizio Gestione API richiede la connettività in uscita sulla porta 443 agli endpoint seguenti associati all'ID Microsoft Entra: <region>.login.microsoft.com e login.microsoftonline.com.

Metriche e monitoraggio dell'integrità

La connettività di rete in uscita agli endpoint di monitoraggio di Azure, che vengono risolti nei domini seguenti, sono rappresentati sotto il tag del servizio AzureMonitor da usare con i gruppi di sicurezza di rete.

Ambiente di Azure	Endpoint
Pubblico di Azure	gcs.prod.monitoring.core.windows.net global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-black.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.com
Azure Government	fairfax.warmpath.usgovcloudapi.net global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-black.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com prod5.prod.microsoftmetrics.com prod5-black.prod.microsoftmetrics.com prod5-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.us
Microsoft Azure gestito da 21Vianet	mooncake.warmpath.chinacloudapi.cn global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com prod5.prod.microsoftmetrics.com prod5-black.prod.microsoftmetrics.com prod5-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.cn

CAPTCHA del portale per sviluppatori

Consentire la connettività di rete in uscita per il CAPTCHA del portale per sviluppatori, che viene risolto negli host client.hip.live.com e partner.hip.live.comin .

Pubblicazione del portale per sviluppatori

Abilitare la pubblicazione del portale per sviluppatori per un'istanza di Gestione API in una rete virtuale consentendo la connettività in uscita all'archiviazione BLOB nell'area Stati Uniti occidentali. Ad esempio, usare il tag del servizio Storage.WestUS in una regola del gruppo di sicurezza di rete. Attualmente, la connettività all'archiviazione BLOB nell'area Stati Uniti occidentali è necessaria per pubblicare il portale per sviluppatori per qualsiasi istanza di Gestione API.

Diagnostica del portale di Azure

Quando si usa l'estensione di diagnostica Gestione API dall'interno di una rete virtuale, è necessario l'accesso in uscita a dc.services.visualstudio.com sulla porta 443 per abilitare il flusso dei log di diagnostica da portale di Azure. Questo accesso consente di risolvere i problemi che possono verificarsi quando si usa l'estensione.

Azure Load Balancer

Non è necessario consentire le richieste in ingresso dal tag AzureLoadBalancer di servizio per lo SKU developer, perché dietro di essa viene distribuita una sola unità di calcolo. Tuttavia, la connettività in ingresso da AzureLoadBalancer diventa fondamentale quando si passa a uno SKU superiore, ad esempio Premium, a causa di un errore del probe di integrità dal servizio di bilanciamento del carico, blocca quindi tutto l'accesso in ingresso al piano di controllo e al piano dati.

Application Insights

Se è stato abilitato il monitoraggio di app Azure lication Insights in Gestione API, consentire la connettività in uscita all'endpoint di telemetria dalla rete virtuale.

Endpoint del Servizio di gestione delle chiavi

Quando si aggiungono macchine virtuali che eseguono Windows alla rete virtuale, consentire la connettività in uscita sulla porta 1688 all'endpoint del Servizio di gestione delle chiavi nel cloud. Questa configurazione indirizza il traffico delle macchine virtuali Windows al server Servizio di gestione delle chiavi di Azure (KMS) per completare l'attivazione di Windows.

Infrastruttura interna e diagnostica

Per gestire e diagnosticare l'infrastruttura di calcolo interna di Gestione API sono necessarie le impostazioni e i nomi di dominio completi seguenti.

• Consentire l'accesso UDP in uscita sulla porta 123 per NTP.
• Consentire l'accesso TCP in uscita sulla porta 12000 per la diagnostica.
• Consentire l'accesso in uscita sulla porta 443 agli endpoint seguenti per la diagnostica interna: azurewatsonanalysis-prod.core.windows.net, *.data.microsoft.comazureprofiler.trafficmanager.net, shavamanifestazurecdnprod1.azureedge.netshavamanifestcdnprod1.azureedge.net.
• Consentire l'accesso in uscita sulla porta 443 all'endpoint seguente per l'infrastruttura a chiave pubblica interna: issuer.pki.azure.com.
• Consentire l'accesso in uscita alle porte 80 e agli endpoint seguenti per Windows Update: *.update.microsoft.com, *.ctldl.windowsupdate.comctldl.windowsupdate.com, , download.windowsupdate.com443 .
• Consentire l'accesso in uscita alle porte 80 e 443 all'endpoint go.microsoft.com.
• Consentire l'accesso in uscita sulla porta 443 agli endpoint seguenti per Windows Defender: wdcp.microsoft.com, wdcpalt.microsoft.com .

Indirizzi IP del piano di controllo

Importante

Gli indirizzi IP del piano di controllo per Azure Gestione API devono essere configurati per le regole di accesso alla rete solo quando necessario in determinati scenari di rete. È consigliabile usare il tag del servizio ApiManagement anziché gli indirizzi IP del piano di controllo per evitare tempi di inattività quando i miglioramenti dell'infrastruttura richiedono modifiche all'indirizzo IP.

Contenuto correlato

Altre informazioni su:

• Connessione di una rete virtuale back-end tramite Gateway VPN
• Connessione di una rete virtuale da modelli di distribuzione differenti
• Domande frequenti sulla rete virtuale
• Tag di servizio

Per altre indicazioni sui problemi di configurazione, vedere:

• Gestione API - Domande frequenti sulla rete (serie demystifying I)
• Gestione API - Domande frequenti sulla rete (serie demystifying II)