Справочник по конфигурации виртуальной сети: служба "Управление API"
ОБЛАСТЬ ПРИМЕНЕНИЯ: Разработчик | Премия
Эта ссылка содержит подробные параметры конфигурации сети для экземпляра Управление API, развернутого (внедренного) в виртуальной сети Azure во внешнем или внутреннем режиме.
Дополнительные сведения о вариантах подключения к виртуальной сети, требованиях и рекомендациях см. в статье Использование виртуальной сети с помощью Управления API Azure.
Требуемые порты
Входящим и исходящим трафиком в подсети, в которой развернута служба службы "Управление API", можно управлять с помощью правил групп безопасности сети. Если определенные порты недоступны, служба "Управление API" может не работать должным образом и даже стать недоступной.
При размещении экземпляра службы "Управление API" в виртуальной сети используются порты, указанные в следующей таблице. Некоторые требования отличаются в зависимости от версии (stv2 или stv1) вычислительной платформы, на которой размещен экземпляр службы "Управление API".
Внимание
Элементы, выделенные полужирным шрифтом в столбце Назначение указывают на конфигурации портов, необходимых для успешного развертывания и работы службы "Управление API". Конфигурации с меткой "необязательные" позволяют включить определенные функции, как указано. Они не являются обязательными для общей работоспособности службы.
Рекомендуется использовать указанные теги служб вместо IP-адресов в NSG и других правилах сети, чтобы указать источники сети и назначения. Теги служб позволяют предотвратить простой, когда улучшения инфраструктуры требуют изменения IP-адресов.
Внимание
При использовании stv2необходимо назначить группе безопасности сети виртуальную сеть, чтобы azure Load Balancer работал. Дополнительные сведения см. в документации по Azure Load Balancer.
| Исходные и конечные порты | Направление | Транспортный протокол | Теги служб Ресурс и назначение |
Характер использования | Тип виртуальной сети |
|---|---|---|---|---|---|
| * / [80], 443 | Входящий трафик | TCP | Internet / VirtualNetwork | Взаимодействие клиента с Управление API | Только внешний |
| * / 3443 | Входящий трафик | TCP | ApiManagement/VirtualNetwork | Конечная точка управления для портал Azure и PowerShell | Внешний и внутренний |
| * / 443 | Исходящие | TCP | VirtualNetwork/Storage | Зависимость от службы хранилища Azure | Внешний и внутренний |
| * / 443 | Исходящие | TCP | VirtualNetwork/AzureActiveDirectory | Идентификатор Microsoft Entra, Microsoft Graph и зависимость Azure Key Vault (необязательно) | Внешний и внутренний |
| * / 443 | Исходящие | TCP | VirtualNetwork / AzureConnectors | зависимость управляемых подключений (необязательно) | Внешний и внутренний |
| * / 1433 | Исходящие | TCP | VirtualNetwork / Sql | Доступ к конечным точкам службы SQL Azure | Внешний и внутренний |
| * / 443 | Исходящие | TCP | VirtualNetwork / AzureKeyVault | Доступ к Azure Key Vault | Внешний и внутренний |
| * / 5671, 5672, 443 | Исходящие | TCP | VirtualNetwork/EventHub | Зависимость для входа в политику Центры событий Azure и Azure Monitor (необязательно) | Внешний и внутренний |
| * / 445 | Исходящие | TCP | VirtualNetwork/Storage | Зависимость от общей папки Azure для GIT (необязательно) | Внешний и внутренний |
| * / 1886, 443 | Исходящие | TCP | VirtualNetwork/AzureMonitor | Публикация журналов диагностики и метрик, Работоспособность ресурсов и Application Insights | Внешний и внутренний |
| * / 6380 | Входящий и исходящий | TCP | VirtualNetwork/VirtualNetwork | Доступ к внешней службе Кэша Azure для Redis для кэширования политик между компьютерами (необязательно) | Внешний и внутренний |
| * / 6381 - 6383 | Входящий и исходящий | TCP | VirtualNetwork/VirtualNetwork | Доступ к внутренней службе Кэша Azure для Redis для кэширования политик между компьютерами (необязательно) | Внешний и внутренний |
| * / 4290 | Входящий и исходящий | UDP | VirtualNetwork/VirtualNetwork | Счетчики синхронизации для политик ограничения скорости между компьютерами (необязательно) | Внешний и внутренний |
| */6390 | Входящий трафик | TCP | AzureLoadBalancer/VirtualNetwork | Подсистема балансировки нагрузки инфраструктуры Azure | Внешний и внутренний |
| * / 443 | Входящий трафик | TCP | AzureTrafficManager / VirtualNetwork | маршрутизация Диспетчер трафика Azure для развертывания в нескольких регионах | Внешняя. |
| * / 6391 | Входящий трафик | TCP | AzureLoadBalancer/VirtualNetwork | Мониторинг работоспособности отдельного компьютера (необязательно) | Внешний и внутренний |
Теги региональной службы
Правила групп безопасности сети, разрешающие исходящие подключения к тегам служб хранилища, SQL и Центров событий Azure, могут использовать региональные версии этих тегов, соответствующие региону, где находится экземпляр службы "Управление API" (например, Storage.WestUS для экземпляра службе "Управление API" в регионе "Западная часть США"). В развертываниях с несколькими регионами группа безопасности сети должна разрешать трафик в теги службы для этого региона и основного региона.
Функциональность TLS
Чтобы включить сборку и проверку цепочки сертификатов TLS/SSL, служба Управление API требует исходящего сетевого подключения к портам 80 и , oneocsp.msocsp.comа также , mscrl.microsoft.comcrl.microsoft.comи 443 ocsp.msocsp.comcsp.digicert.com. Эта зависимость не является обязательной, если любой сертификат, передаваемый в службу "Управление API", содержит полную цепочку до корневого ЦС.
Доступ к DNS
Исходящий доступ через порт 53 необходим для обмена данными с DNS-серверами. Если на другой стороне VPN-шлюза имеется пользовательский DNS-сервер, этот сервер должен быть доступен из подсети, в которой размещена служба управления API.
Интеграция с Microsoft Entra
Для правильной работы службы Управление API требуется исходящее подключение через порт 443 к следующим конечным точкам, связанным с идентификатором Microsoft Entra: <region>.login.microsoft.com и login.microsoftonline.com.
Наблюдение за работоспособностью системы и метриками
Исходящее сетевое подключение к конечным точкам мониторинга Azure, которые разрешаются в следующих доменах, представленных в теге службы AzureMonitor для использования с группами безопасности сети.
| Среда Azure | Конечные точки |
|---|---|
| Azure Public |
|
| Azure для государственных организаций |
|
| Microsoft Azure под управлением 21Vianet |
|
CAPTCHA на портале разработчика
Допустить исходящее сетевое подключение для CAPTCHA на портале разработчика, которое разрешается в узлах client.hip.live.com и partner.hip.live.com.
Публикация портала разработчика
Чтобы включить публикацию портала разработчика для экземпляра службы "Управление API" в виртуальной сети, необходимо разрешить исходящие подключения к хранилищу BLOB-объектов в регионе "Западная часть США". Например, используйте тег службы Storage.WestUS в правиле NSG. Подключение к хранилищу BLOB-объектов в регионе "Западная часть США" в настоящее время требуется для публикации портала разработчика для любого экземпляра службы "Управление API".
Диагностика на портале Azure
При использовании расширения диагностики службы "Управление API" из виртуальной сети требуется исходящий доступ к dc.services.visualstudio.com через порт 443, чтобы обеспечить поток журналов диагностики с портала Azure. Это помогает в устранении неполадок, которые могут возникнуть при использовании расширения.
Azure Load Balancer
Разрешение входящего запроса из тега службы AzureLoadBalancer для SKU разработчика не является обязательным, так как за ним развертывается только одна единица вычислений. Однако входящий трафик из AzureLoadBalancer становится критически важным при масштабировании до более высокого SKU, например, "Премиум", поскольку сбой пробы работоспособности из подсистемы балансировки нагрузки после этого блокирует весь входящий доступ к уровню управления и плоскости данных.
Application Insights
Если в службе "Управление API" включена функция мониторинга Azure Application Insights, необходимо разрешить исходящее подключение к конечной точке телеметрии из виртуальной сети.
Конечная точка KMS
При добавлении виртуальных машин, работающих на Windows, к виртуальной сети, разрешите исходящее подключение через порт 1688 к конечной точке KMS в облаке. Эта конфигурация направляет трафик виртуальной машины Windows на сервер служб управления ключами Azure (KMS) для завершения активации Windows.
Внутренняя инфраструктура и диагностика
Для обслуживания и диагностики внутренней вычислительной инфраструктуры Управление API требуются следующие параметры и полные доменные имена.
- Разрешить исходящий доступ UDP через порт
123для NTP. - Разрешить исходящий TCP-доступ через порт
12000для диагностика. - Разрешить исходящий доступ через порт
443к следующим конечным точкам для внутренних диагностика:azurewatsonanalysis-prod.core.windows.net, ,*.data.microsoft.comazureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.netshavamanifestcdnprod1.azureedge.net. - Разрешить исходящий доступ через порт
443к следующей конечной точке для внутреннего PKI:issuer.pki.azure.com - Разрешить исходящий доступ к портам
80и443следующим конечным точкам для Обновл. Windows:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com.download.windowsupdate.com - Разрешить исходящий доступ к портам
80и443конечной точкеgo.microsoft.com. - Разрешить исходящий доступ через порт
443к следующим конечным точкам в Защитнике Windows:wdcp.microsoft.com,wdcpalt.microsoft.com.
IP-адреса уровня управления
Внимание
IP-адреса плоскости управления для Azure Управление API должны быть настроены только в тех случаях, когда это необходимо в определенных сетевых сценариях. Мы рекомендуем использовать тег службы ApiManagement вместо IP-адресов плоскости управления, чтобы предотвратить простой, когда улучшения инфраструктуры требуют изменения IP-адресов.
Связанный контент
Дополнительные сведения:
- Подключение виртуальной сети к серверу с помощью VPN-шлюза
- Подключение виртуальной сети из различных моделей развертывания
- Виртуальная сеть: часто задаваемые вопросы
- Теги служб
Дополнительные рекомендации по проблемам конфигурации см. в следующем разделе: