Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
SI APPLICA A: Sviluppatore | Premium
Questo riferimento fornisce impostazioni di configurazione di rete dettagliate per un'istanza di Gestione API distribuita (inserita) in una rete virtuale Azure nella modalità external o internal.
Per le opzioni di connettività della rete virtuale, i requisiti e le considerazioni, vedere
Importante
Questo riferimento si applica solo alle istanze di Gestione API nei livelli classici distribuiti in una rete virtuale. Per informazioni sull'inserimento della rete virtuale nei livelli v2, vedere Inject an Gestione API di Azure instance in a private virtual network - Premium v2 tier.
Porte richieste
Controllare il traffico in ingresso e in uscita nella subnet in cui Gestione API viene distribuito usando le regole del gruppo di sicurezza di rete. Se alcune porte non sono disponibili, Gestione API potrebbe non funzionare correttamente e potrebbe diventare inaccessibile.
Quando un'istanza del servizio Gestione API è ospitata in una rete virtuale, vengono usate le porte nella tabella seguente.
Importante
Gli elementi in grassetto nella colonna Scopo indicano le configurazioni delle porte necessarie per la corretta distribuzione e il funzionamento del servizio Gestione API. Le configurazioni con etichetta "facoltativa" abilitano funzionalità specifiche, come indicato. Non sono necessari per l'integrità complessiva del servizio.
È consigliabile usare i tag di servizio indicati anziché gli indirizzi IP nel gruppo di sicurezza di rete e altre regole di rete per specificare origini e destinazioni di rete. I tag di servizio impediscono tempi di inattività quando i miglioramenti dell'infrastruttura richiedono modifiche agli indirizzi IP.
Importante
È necessario assegnare un gruppo di sicurezza di rete alla rete virtuale affinché l'Azure Load Balancer funzioni. Per altre informazioni, vedere la documentazione di Azure Load Balancer.
| Direzione | Tag del servizio di origine | Intervalli porte di origine | Tag del servizio di destinazione | Intervalli porte di destinazione | Protocollo | Azione | Scopo | Tipo di rete virtuale |
|---|---|---|---|---|---|---|---|---|
| In ingresso | Internet | * | VirtualNetwork | [80], 443 | TCP | Consenti | Comunicazione client con Gestione API | Solo esterno |
| In ingresso | Gestione API | * | VirtualNetwork | 3443 | TCP | Consenti | endpoint Management per il portale di Azure e PowerShell | Esterno e interno |
| In uscita | VirtualNetwork | * | Internet | 80 | TCP | Consenti | Validation e gestione di certificati gestiti e gestiti dal cliente Microsoft | Esterno e interno |
| In uscita | VirtualNetwork | * | Immagazzinamento | 443 | TCP | Consenti | Dependency in Archiviazione di Azure | Esterno e interno |
| In uscita | VirtualNetwork | * | Azure Active Directory | 443 | TCP | Consenti | Microsoft Entra ID, Microsoft Graph, e Azure Key Vault dipendenza (facoltativo) | Esterno e interno |
| In uscita | VirtualNetwork | * | AzureConnectors | 443 | TCP | Consenti | Dipendenza dell'endpoint di Gestione credenziali di Gestione API (facoltativo) | Esterno e interno |
| In uscita | VirtualNetwork | * | SQL | 1433 | TCP | Consenti | Access agli endpoint Azure SQL | Esterno e interno |
| In uscita | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Consenti | Access a Azure Key Vault | Esterno e interno |
| In uscita | VirtualNetwork | * | EventHub | 5671, 5672, 443 | TCP | Consenti | Dipendenza da Log ai criteri di Hub eventi di Azure e Monitoraggio di Azure (facoltativo) | Esterno e interno |
| In uscita | VirtualNetwork | * | AzureMonitor | 1886, 443 | TCP | Consenti | Publish Diagnostics Logs and Metrics, Integrità risorse e Application Insights | Esterno e interno |
| In ingresso e in uscita | VirtualNetwork | * | Rete virtuale | 6380 | TCP | Consenti | Accedere al servizio cache di Azure per Redis esterno per caching tra computer (facoltativo) | Esterno e interno |
| In ingresso e in uscita | VirtualNetwork | * | VirtualNetwork | 6381 - 6383 | TCP | Consenti | Accedere al servizio cache di Azure per Redis interno per caching tra computer (facoltativo) | Esterno e interno |
| In ingresso e in uscita | VirtualNetwork | * | VirtualNetwork | 4290 | UDP | Consenti | Contatori di sincronizzazione per i criteri limite di frequenza tra computer (facoltativo) | Esterno e interno |
| In ingresso | AzureLoadBalancer (Bilanciatore di Carico Azure) | * | VirtualNetwork | 6390 | TCP | Consenti | Azure Infrastructure Load Balancer | Esterno e interno |
| In ingresso | AzureTrafficManager | * | VirtualNetwork | 443 | TCP | Consenti | Gestione traffico di Azure routing per la distribuzione in più aree | Esterno |
| In ingresso | AzureLoadBalancer (Bilanciatore di Carico Azure) | * | VirtualNetwork 6391 | TCP | Consenti | Monitoraggio dell'integrità dei singoli computer (facoltativo) | Esterno e interno |
Tag del servizio a livello di area
Le regole del gruppo di sicurezza di rete che consentono la connettività in uscita a Archiviazione, SQL e tag di servizio Hub eventi di Azure possono usare le versioni internazionali di tali tag corrispondenti all'area contenente l'istanza di Gestione API, ad esempio Storage.WestUS per un'istanza di Gestione API nell'area Stati Uniti occidentali. Nelle distribuzioni in più aree, il gruppo di sicurezza di rete in ogni area deve consentire il traffico ai tag del servizio per tale area e l'area primaria.
Funzionalità TLS
Per abilitare la compilazione e la convalida della catena di certificati TLS/SSL, il servizio Gestione API necessita della connettività di rete in uscita sulle porte 80 e 443 su mscrl.microsoft.com, crl.microsoft.comoneocsp.microsoft.com, cacerts.digicert.com, e crl3.digicert.comcsp.digicert.com.
Accesso DNS
L'accesso in uscita sulla porta 53 è necessario per la comunicazione con i server DNS. Se è presente un server DNS personalizzato all'altra estremità di un gateway VPN, il server DNS deve essere raggiungibile dalla subnet che ospita Gestione API.
integrazione di Microsoft Entra
Per funzionare correttamente, il servizio Gestione API richiede la connettività in uscita sulla porta 443 agli endpoint seguenti associati a Microsoft Entra ID: <region>.login.microsoft.com e login.microsoftonline.com.
Metriche e monitoraggio dell'integrità
La connettività di rete in uscita agli endpoint di monitoraggio Azure, che vengono risolti nei domini seguenti, sono rappresentati nel tag del servizio AzureMonitor da usare con i gruppi di sicurezza di rete.
| ambiente Azure | Endpoint |
|---|---|
| Azure pubblico |
|
| Azure per enti pubblici |
|
| Microsoft Azure gestito da 21Vianet |
|
CAPTCHA del portale per sviluppatori
Consentire la connettività di rete in uscita per il CAPTCHA del portale per sviluppatori, che viene risolto negli host client.hip.live.com e partner.hip.live.comin .
Pubblicazione del portale per sviluppatori
Abilitare la pubblicazione del portale developer per un'istanza di Gestione API in una rete virtuale consentendo la connettività in uscita a Archiviazione di Azure. Ad esempio, usare il tag del servizio di archiviazione in una regola del gruppo di sicurezza di rete. Attualmente, è necessaria la connettività a Archiviazione di Azure tramite endpoint di servizio globali o regionali per pubblicare il portale per sviluppatori per qualsiasi istanza di Gestione API.
diagnostica del portale di Azure
Quando si usa l'estensione diagnostica gestione API dall'interno di una rete virtuale, è necessario l'accesso in uscita a dc.services.visualstudio.com sulla porta 443 per abilitare il flusso dei log di diagnostica dal portale di Azure. Questo accesso consente di risolvere i problemi che possono verificarsi quando si usa l'estensione.
Azure servizio di bilanciamento del carico
Non è necessario consentire le richieste in ingresso dal tag AzureLoadBalancer di servizio per lo SKU developer, perché dietro di essa viene distribuita una sola unità di calcolo. Tuttavia, la connettività in ingresso da AzureLoadBalancer diventa fondamentale quando si passa a uno SKU superiore, ad esempio Premium, a causa di un errore del probe di integrità dal servizio di bilanciamento del carico, blocca quindi tutto l'accesso in ingresso al piano di controllo e al piano dati.
Approfondimenti sulle Applicazioni
Se è stato abilitato applicazione Azure Insights il monitoraggio in Gestione API, consentire la connettività in uscita all'endpoint telemetry dalla rete virtuale.
Endpoint del Servizio di gestione delle chiavi
Quando si aggiungono macchine virtuali che eseguono Windows alla rete virtuale, consentire la connettività in uscita sulla porta 1688 all'endpoint KMS nel cloud. Questa configurazione indirizza Windows traffico della macchina virtuale al server Azure Key Management Services (KMS) per completare l'attivazione Windows.
Infrastruttura interna e diagnostica
Per gestire e diagnosticare l'infrastruttura di calcolo interna di Gestione API sono necessarie le impostazioni e i nomi di dominio completi seguenti.
- Consentire l'accesso UDP in uscita sulla porta
123per NTP. - Consentire l'accesso TCP in uscita sulla porta
12000per la diagnostica. - Consentire l'accesso in uscita sulla porta
443agli endpoint seguenti per la diagnostica interna:azurewatsonanalysis-prod.core.windows.net,*.data.microsoft.comazureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.netshavamanifestcdnprod1.azureedge.net. - Consentire l'accesso in uscita sulla porta
443all'endpoint seguente per l'infrastruttura a chiave pubblica interna:issuer.pki.azure.com. - Consentire l'accesso in uscita sulle porte
80e443agli endpoint seguenti per Windows Update:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - Consentire l'accesso in uscita alle porte
80e443all'endpointgo.microsoft.com. - Consentire l'accesso in uscita sulla porta
443agli endpoint seguenti per Windows Defender:wdcp.microsoft.com,wdcpalt.microsoft.com.
Indirizzi IP del piano di controllo
Importante
Gli indirizzi IP del piano di controllo per Gestione API di Azure devono essere configurati per le regole di accesso alla rete solo quando necessario in determinati scenari di rete. È consigliabile usare il tag del servizio ApiManagementanziché gli indirizzi IP del piano di controllo per evitare tempi di inattività quando i miglioramenti dell'infrastruttura richiedono modifiche all'indirizzo IP.
Contenuto correlato
Altre informazioni su:
- Connessione di una rete virtuale al back-end tramite Gateway VPN
- Connessione di una rete virtuale da modelli di distribuzione differenti
- Rete virtuale domande frequenti
- Tag di servizio
Per altre indicazioni sui problemi di configurazione, vedere: