Naslaginformatie over configuratie van virtuele netwerken: API Management

Deze naslaginformatie bevat gedetailleerde netwerkconfiguratie-instellingen voor een API Management-exemplaar dat is geïmplementeerd in een virtueel Azure-netwerk in de externe of interne modus.

Zie Een virtueel netwerk gebruiken met Azure API Management voor opties, vereisten en overwegingen voor VNet-connectiviteitsopties.

Vereiste poorten

Beheer inkomend en uitgaand verkeer naar het subnet waarin API Management wordt geïmplementeerd met behulp van regels voor netwerkbeveiligingsgroepen . Als bepaalde poorten niet beschikbaar zijn, werkt API Management mogelijk niet goed en is het mogelijk niet toegankelijk.

Wanneer een API Management-service-exemplaar wordt gehost in een VNet, worden de poorten in de volgende tabel gebruikt. Sommige vereisten verschillen, afhankelijk van de versie (stv2 of stv1) van het rekenplatform dat als host fungeert voor uw API Management-exemplaar.

Belangrijk

  • Vetgedrukte items in de kolom Doel geven poortconfiguraties aan die vereist zijn voor een geslaagde implementatie en werking van de API Management-service. Configuraties met het label 'optioneel' schakelen specifieke functies in, zoals vermeld. Ze zijn niet vereist voor de algehele status van de service.

  • We raden u aan de aangegeven servicetags te gebruiken in plaats van IP-adressen in NSG en andere netwerkregels om netwerkbronnen en bestemmingen op te geven. Servicetags voorkomen uitvaltijd wanneer infrastructuurverbeteringen wijzigingen van IP-adressen vereisen.

Belangrijk

Wanneer u dit gebruikt stv2, moet u een netwerkbeveiligingsgroep toewijzen aan uw VNet om ervoor te zorgen dat de Azure Load Balancer werkt. Meer informatie vindt u in de documentatie van Azure Load Balancer.

Bron-/doelpoort(en) Richting Transportprotocol Servicetags
Bron/doel
Doel VNet-type
* / [80], 443 Inkomend TCP Internet/VirtualNetwork Clientcommunicatie met API Management Alleen extern
* / 3443 Inkomend TCP ApiManagement /VirtualNetwork Beheereindpunt voor Azure Portal en PowerShell Extern en intern
* / 443 Uitgaand TCP VirtualNetwork / Storage Afhankelijkheid van Azure Storage Extern en intern
* / 443 Uitgaand TCP VirtualNetwork/AzureActiveDirectory Afhankelijkheid van Microsoft Entra ID, Microsoft Graph en Azure Key Vault (optioneel) Extern en intern
* / 443 Uitgaand TCP VirtualNetwork/Azure Verbinding maken ors Afhankelijkheid van beheerde verbindingen (optioneel) Extern en intern
* / 1433 Uitgaand TCP VirtualNetwork/Sql Toegang tot Azure SQL-eindpunten Extern en intern
* / 443 Uitgaand TCP VirtualNetwork/AzureKeyVault Toegang tot Azure Key Vault Extern en intern
* / 5671, 5672, 443 Uitgaand TCP VirtualNetwork/EventHub Afhankelijkheid voor logboekregistratie bij Azure Event Hubs-beleid en Azure Monitor (optioneel) Extern en intern
* / 445 Uitgaand TCP VirtualNetwork / Storage Afhankelijkheid van Azure-bestandsshare voor GIT (optioneel) Extern en intern
* / 1886, 443 Uitgaand TCP VirtualNetwork/AzureMonitor Diagnostische logboeken en metrische gegevens, Resource Health en Application Insights publiceren Extern en intern
* / 6380 Inkomend en uitgaand TCP VirtualNetwork / VirtualNetwork Toegang tot externe Azure Cache voor Redis-service voor cachebeleid tussen computers (optioneel) Extern en intern
* / 6381 - 6383 Inkomend en uitgaand TCP VirtualNetwork / VirtualNetwork Toegang tot interne Azure Cache voor Redis-service voor cachebeleid tussen computers (optioneel) Extern en intern
* / 4290 Inkomend en uitgaand UDP VirtualNetwork / VirtualNetwork Synchronisatiemeteritems voor beleid voor frequentielimiet tussen computers (optioneel) Extern en intern
* / 6390 Inkomend TCP AzureLoadBalancer/VirtualNetwork Load balancer voor Azure-infrastructuur Extern en intern
* / 443 Inkomend TCP AzureTrafficManager/VirtualNetwork Azure Traffic Manager-routering voor implementatie met meerdere regio's External

Regionale servicetags

NSG-regels voor uitgaande connectiviteit met storage-, SQL- en Azure Event Hubs-servicetags kunnen gebruikmaken van de regionale versies van deze tags die overeenkomen met de regio met het API Management-exemplaar (bijvoorbeeld Storage.WestUS voor een API Management-exemplaar in de regio VS - west). Bij implementaties met meerdere regio's moet de NSG in elke regio verkeer naar de servicetags voor die regio en de primaire regio toestaan.

TLS-functionaliteit

Om het bouwen en valideren van TLS/SSL-certificaatketens in te schakelen, heeft de API Management-service uitgaande netwerkconnectiviteit nodig op poorten 80 en 443 naar ocsp.msocsp.com, oneocsp.msocsp.com, mscrl.microsoft.com, crl.microsoft.comen .csp.digicert.com Deze afhankelijkheid is niet vereist als een certificaat dat u uploadt naar API Management de volledige keten naar de CA-basis bevat.

DNS-toegang

Uitgaande toegang op poort 53 is vereist voor communicatie met DNS-servers. Als er een aangepaste DNS-server aan het andere uiteinde van een VPN-gateway bestaat, moet de DNS-server bereikbaar zijn vanuit het subnet dat API Management host.

Microsoft Entra-integratie

Om goed te kunnen werken, heeft de API Management-service uitgaande connectiviteit op poort 443 nodig voor de volgende eindpunten die zijn gekoppeld aan Microsoft Entra-id: <region>.login.microsoft.com en login.microsoftonline.com.

Metrische gegevens en statuscontrole

Uitgaande netwerkconnectiviteit met Azure Monitoring-eindpunten, die worden omgezet onder de volgende domeinen, worden weergegeven onder de AzureMonitor-servicetag voor gebruik met netwerkbeveiligingsgroepen.

Azure-omgeving Eindpunten
Azure openbaar
  • gcs.prod.monitoring.core.windows.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.com
Azure Government
  • fairfax.warmpath.usgovcloudapi.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.us
Microsoft Azure beheerd door 21Vianet
  • mooncake.warmpath.chinacloudapi.cn
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.cn

CAPTCHA voor ontwikkelaarsportal

Uitgaande netwerkconnectiviteit toestaan voor de CAPTCHA van de ontwikkelaarsportal, die wordt omgezet onder de hosts client.hip.live.com en partner.hip.live.com.

De ontwikkelaarsportal publiceren

Het publiceren van de ontwikkelaarsportal voor een API Management-exemplaar in een VNet inschakelen door uitgaande connectiviteit met blobopslag in de regio VS - west toe te staan. Gebruik bijvoorbeeld de servicetag Storage.WestUS in een NSG-regel. Momenteel is connectiviteit met blobopslag in de regio VS - west vereist voor het publiceren van de ontwikkelaarsportal voor elk API Management-exemplaar.

Diagnostische gegevens van Azure Portal

Wanneer u de diagnostische API Management-extensie vanuit een VNet gebruikt, is uitgaande toegang tot dc.services.visualstudio.com de poort 443 vereist om de stroom van diagnostische logboeken vanuit Azure Portal in te schakelen. Deze toegang helpt bij het oplossen van problemen die u mogelijk ondervindt bij het gebruik van de extensie.

Azure load balancer

U hoeft binnenkomende aanvragen van de servicetag AzureLoadBalancer voor de ontwikkelaars-SKU niet toe te staan, omdat er slechts één rekeneenheid achter wordt geïmplementeerd. Binnenkomende connectiviteit van AzureLoadBalancer essentieel belang bij het schalen naar een hogere SKU, zoals Premium, omdat het mislukken van de statustest van de load balancer vervolgens alle binnenkomende toegang tot het besturingsvlak en het gegevensvlak blokkeert.

Analyses van toepassingen

Als u Azure-toepassing Insights-bewaking op API Management hebt ingeschakeld, staat u uitgaande connectiviteit met het telemetrie-eindpunt vanuit het VNet toe.

KMS-eindpunt

Wanneer u virtuele machines met Windows toevoegt aan het VNet, moet u uitgaande connectiviteit op poort 1688 naar het KMS-eindpunt in uw cloud toestaan. Met deze configuratie wordt verkeer van Windows-VM's naar de KMS-server (Azure Key Management Services) gerouteerd om windows-activering te voltooien.

Interne infrastructuur en diagnostische gegevens

De volgende instellingen en FQDN's zijn vereist voor het onderhouden en diagnosticeren van de interne rekeninfrastructuur van API Management.

  • Uitgaande UDP-toegang toestaan op poort 123 voor NTP.
  • Uitgaande TCP-toegang toestaan op poort 12000 voor diagnostische gegevens.
  • Uitgaande toegang op poort 443 naar de volgende eindpunten toestaan voor interne diagnostische gegevens: azurewatsonanalysis-prod.core.windows.net, *.data.microsoft.com, azureprofiler.trafficmanager.net, shavamanifestazurecdnprod1.azureedge.net, . shavamanifestcdnprod1.azureedge.net
  • Uitgaande toegang op poort 443 naar het volgende eindpunt toestaan voor interne PKI: issuer.pki.azure.com.
  • Uitgaande toegang toestaan op poorten 80 en 443 de volgende eindpunten voor Windows Update: *.update.microsoft.com, *.ctldl.windowsupdate.com, ctldl.windowsupdate.com, download.windowsupdate.com.
  • Uitgaande toegang op poorten 80 en 443 het eindpunt go.microsoft.comtoestaan.
  • Uitgaande toegang op poort 443 naar de volgende eindpunten voor Windows Defender toestaan: wdcp.microsoft.com, wdcpalt.microsoft.com .

IP-adressen van besturingsvlak

Belangrijk

IP-adressen van besturingsvlak voor Azure API Management moeten alleen worden geconfigureerd voor netwerktoegangsregels wanneer dat nodig is in bepaalde netwerkscenario's. We raden u aan de ApiManagement-servicetag te gebruiken in plaats van IP-adressen van het besturingsvlak om downtime te voorkomen wanneer verbeteringen van het IP-adres noodzakelijk zijn voor infrastructuurverbeteringen.

Meer informatie over:

Zie voor meer informatie over configuratieproblemen: