적용 대상: 개발자 | 프리미엄
이 참조는
VNet 연결 옵션, 요구 사항 및 고려 사항은
중요합니다
이 참조는 가상 네트워크에 배포된 클래식 계층의 API Management 인스턴스에만 적용됩니다. v2 계층의 가상 네트워크 주입에 대한 자세한 내용은 프라이빗 가상 네트워크의 Azure API Management 인스턴스 인젝트 - 프리미엄 v2 계층 참조하세요.
필요한 포트
네트워크 보안 그룹을 사용하여 API Management가 배포된 서브넷에 대한 인바운드 및 아웃바운드 트래픽을 제어합니다. 특정 포트를 사용할 수 없는 경우 API Management가 정상적으로 작동하지 않고 액세스하지 못하게 될 수 있습니다.
API Management 서비스 인스턴스가 VNet에 호스트된 경우 다음 표의 포트가 사용됩니다.
중요합니다
목적 열의 굵은 항목은 API Management 서비스의 성공적인 배포 및 작업에 필요한 포트 구성을 나타냅니다. “선택 사항”이라는 레이블이 지정된 구성은 명시된 대로 특정 기능을 사용하도록 설정합니다. 서비스의 전반적인 상태에는 필요하지 않습니다.
NSG 및 기타 네트워크 규칙의 IP 주소 대신 표시된 서비스 태그 를 사용하여 네트워크 원본 및 대상을 지정하는 것이 좋습니다. 서비스 태그는 인프라 개선으로 인해 IP 주소 변경이 필요한 경우 가동 중지 시간을 방지합니다.
중요합니다
Azure Load Balancer 작동하려면 VNet에 네트워크 보안 그룹을 할당해야 합니다. Azure Load Balancer 설명서 자세히 알아보세요.
| 방향 | 원본 서비스 태그 | 원본 포트 범위 | 대상 서비스 태그 | 대상 포트 범위 | 프로토콜 | 작업 | 목적 | VNet 유형 |
|---|---|---|---|---|---|---|---|---|
| 인바운드 | 인터넷 | * | VirtualNetwork | [80], 443 | TCP | 허용 | API Management에 대한 클라이언트 통신 | 외부만 |
| 인바운드 | ApiManagement | * | VirtualNetwork | 3443 | TCP | 허용 | Azure 포털 및 PowerShell용 엔드포인트 관리 | 외부 및 내부 |
| 아웃바운드 | VirtualNetwork | * | 인터넷 | 80 | TCP | 허용 | Microsoft 관리형 및 고객 관리형 인증서의 유효성 검사 및 관리 | 외부 및 내부 |
| 아웃바운드 | VirtualNetwork | * | 스토리지 | 443 | TCP | 허용 | 외부 및 내부 | |
| 아웃바운드 | VirtualNetwork | * | Azure액티브디렉토리 | 443 | TCP | 허용 | Microsoft Entra ID, Microsoft Graph, 및 Azure Key Vault 종속성(선택 사항) | 외부 및 내부 |
| 아웃바운드 | VirtualNetwork | * | AzureConnectors | 443 | TCP | 허용 | API Management 자격 증명 관리자 엔드포인트 종속성(선택 사항) | 외부 및 내부 |
| 아웃바운드 | VirtualNetwork | * | Sql (에스큐엘) | 1433 | TCP | 허용 | 엔드포인트를 Azure SQL 액세스 | 외부 및 내부 |
| 아웃바운드 | VirtualNetwork | * | AzureKeyVault | 443 | TCP | 허용 | 외부 및 내부 | |
| 아웃바운드 | VirtualNetwork | * | EventHub | 5671, 5672, 443 | TCP | 허용 | Azure Event Hubs 정책 및 Azure Monitor에 대한 종속성(선택 사항) | 외부 및 내부 |
| 아웃바운드 | VirtualNetwork | * | AzureMonitor | 1886, 443 | TCP | 허용 | 진단 로그 및 메트릭, Resource Health 및 Application Insights | 외부 및 내부 |
| 인바운드 및 아웃바운드 | VirtualNetwork | * | Virtual Network | 10000 | TCP | 허용 | 머신 간의 caching 정책에 대한 외부 Azure Managed Redis 서비스에 액세스(선택 사항) | 외부 및 내부 |
| 인바운드 및 아웃바운드 | VirtualNetwork | * | VirtualNetwork | 6381 - 6383 | TCP | 허용 | 컴퓨터 간의 캐싱 정책에 대한 내부 캐시 액세스(선택 사항) | 외부 및 내부 |
| 인바운드 및 아웃바운드 | VirtualNetwork | * | VirtualNetwork | 4290 | UDP | 허용 | 머신 간 속도 제한 정책에 대한 동기화 카운터(선택 사항) | 외부 및 내부 |
| 인바운드 | AzureLoadBalancer (로드 밸런서) | * | VirtualNetwork | 6390 | TCP | 허용 | Azure 인프라 Load Balancer | 외부 및 내부 |
| 인바운드 | AzureTrafficManager | * | VirtualNetwork | 443 | TCP | 허용 | 다중 지역 배포에 대한 Azure Traffic Manager 라우팅 | 외부 |
| 인바운드 | AzureLoadBalancer (로드 밸런서) | * | VirtualNetwork 6391 | TCP | 허용 | 개별 컴퓨터 상태 모니터링(선택 사항) | 외부 및 내부 |
지역 서비스 태그
스토리지, SQL 및 Azure Event Hubs 서비스 태그에 대한 아웃바운드 연결을 허용하는 NSG 규칙은 API Management 인스턴스가 포함된 지역에 해당하는 지역 버전(예: 미국 서부 지역의 API Management 인스턴스에 대해 Storage.WestUS)을 사용할 수 있습니다. 다중 지역 배포에서 각 지역의 NSG는 해당 지역 및 주 지역의 서비스 태그에 대한 트래픽을 허용해야 합니다.
TLS 기능
TLS/SSL 인증서 체인 빌드 및 유효성 검사를 사용하도록 설정하려면 API Management 서비스는 포트 및 80443 포트mscrl.microsoft.com, , crl.microsoft.comoneocsp.microsoft.comcacerts.digicert.comcrl3.digicert.com및 csp.digicert.com.에 대한 아웃바운드 네트워크 연결이 필요합니다.
DNS 액세스
DNS 서버와의 통신을 위해서는 포트 53에서 아웃바운드 액세스가 필요합니다. 사용자 지정 DNS 서버가 VPN Gateway의 다른 쪽 끝에 있는 경우 API Management를 호스팅하는 서브넷에서 DNS 서버에 연결할 수 있어야 합니다.
Microsoft Entra 통합
제대로 작동하려면 API Management 서비스가 포트 443에서 Microsoft Entra ID 연결된 엔드포인트인 <region>.login.microsoft.com 및 login.microsoftonline.com 대한 아웃바운드 연결이 필요합니다.
메트릭 및 상태 모니터링
다음 도메인에서 확인되는 Azure 모니터링 엔드포인트에 대한 아웃바운드 네트워크 연결은 네트워크 보안 그룹에 사용할 AzureMonitor 서비스 태그 아래에 표시됩니다.
| Azure 환경 | 엔드포인트 |
|---|---|
| Azure 공용 |
|
| Azure Government |
|
| 21Vianet에서 운영하는 Microsoft Azure |
|
개발자 포털 CAPTCHA
호스트 client.hip.live.com 및 partner.hip.live.com에서 확인되는 개발자 포털 CAPTCHA에 대한 아웃바운드 네트워크 연결을 허용합니다.
개발자 포털 게시
Azure Storage 아웃바운드 연결을 허용하여 VNet의 API Management 인스턴스에 대한 developer Portal 게시를 사용하도록 설정합니다. 예를 들어 NSG 규칙에서 Storage 서비스 태그를 사용합니다. 현재 모든 API Management 인스턴스에 대한 개발자 포털을 게시하려면 전역 또는 지역 서비스 엔드포인트를 통해 Azure Storage 연결해야 합니다.
Azure 포털 진단
VNet 내에서 API Management 진단 확장을 사용하는 경우 Azure Portal에서 진단 로그 흐름을 사용하도록 설정하려면 포트 dc.services.visualstudio.com443 대한 아웃바운드 액세스가 필요합니다. 이 액세스는 확장을 사용할 때 발생할 수 있는 문제 해결에 도움이 됩니다.
Azure 부하 분산 장치
하나의 컴퓨팅 단위만 뒤에 배포되므로 개발자 SKU에 대한 서비스 태그 AzureLoadBalancer의 인바운드 요청을 허용할 필요가 없습니다. 그러나 부하 분산 장치에서 상태 프로브가 실패하면 컨트롤 플레인 및 데이터 평면에 대한 모든 인바운드 액세스를 차단하므로 Premium 같은 더 높은 SKU로 스케일링할 때 AzureLoadBalancer의 인바운드 연결이 중요해집니다.
Application Insights (애플리케이션 인사이트)
API Management에서 Azure 애플리케이션 Insights 모니터링을 사용하도록 설정한 경우 VNet에서 telemetry 엔드포인트 아웃바운드 연결을 허용합니다.
KMS 엔드포인트
VNet에 Windows 실행하는 가상 머신을 추가할 때 포트 1688 클라우드의 KMS 엔드포인트 아웃바운드 연결을 허용합니다. 이 구성은 Windows VM 트래픽을 Azure KMS(키 관리 서비스) 서버로 라우팅하여 Windows 정품 인증을 완료합니다.
내부 인프라 및 진단
API Management의 내부 컴퓨팅 인프라를 유지 관리하고 진단하려면 다음 설정 및 FQDN이 필요합니다.
- NTP에 대한 포트
123에서 아웃바운드 UDP 액세스를 허용합니다. - 내부 진단을 위해 포트
443에서 다음 엔드포인트에 대한 아웃바운드 액세스를 허용합니다.azurewatsonanalysis-prod.core.windows.net,*.data.microsoft.com,azureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.netshavamanifestcdnprod1.azureedge.net. - 내부 PKI
443에 대해 다음 엔드포인트에 대한 포트issuer.pki.azure.com에서 아웃바운드 액세스를 허용합니다. - 포트
80및443Windows 업데이트 대한 엔드포인트에 대한 아웃바운드 액세스를 허용합니다.*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - 포트
80및443엔드포인트에 대한 아웃바운드 액세스를 허용합니다go.microsoft.com. - 포트
443Windows Defender 대한 다음 엔드포인트에 대한 아웃바운드 액세스를 허용합니다.wdcp.microsoft.com,wdcpalt.microsoft.com.
제어 평면 IP 주소
중요합니다
Azure API Management 대한 제어 평면 IP 주소는 특정 네트워킹 시나리오에서 필요한 경우에만 네트워크 액세스 규칙에 대해 구성해야 합니다. 인프라 개선에 IP 주소 변경이 필요한 경우 가동 중지 시간을 방지하려면 컨트롤 플레인 IP 주소 대신 ApiManagement서비스 태그 를 사용하는 것이 좋습니다.
관련 콘텐츠
자세히 알아보기:
VPN Gateway - 다양한 배포 모델에서 가상 네트워크 연결
- Virtual Network 질문과 대답
- 서비스 태그
구성 문제에 대한 자세한 지침은 다음을 참조하세요.