Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
DOTYCZY: Developer | Premia
Ta dokumentacja zawiera szczegółowe ustawienia konfiguracji sieci dla wystąpienia usługi API Management wdrożonego (wprowadzonego) w sieci wirtualnej platformy Azure w trybie zewnętrznym lub wewnętrznym .
Aby zapoznać się z opcjami, wymaganiami i zagadnieniami dotyczącymi łączności z siecią wirtualną, zobacz Using a virtual network with Azure API Management (Używanie sieci wirtualnej z usługą Azure API Management).
Ważne
Ta dokumentacja dotyczy tylko wystąpień usługi API Management w warstwach klasycznych wdrożonych w sieci wirtualnej. Aby uzyskać informacje o iniekcji sieci wirtualnej w warstwach v2, zobacz Wstrzykiwanie wystąpienia usługi Azure API Management w prywatnej sieci wirtualnej — Premium v2.
Wymagane porty
Kontrolowanie ruchu przychodzącego i wychodzącego do podsieci, w której usługa API Management jest wdrażana przy użyciu reguł sieciowej grupy zabezpieczeń. Jeśli niektóre porty są niedostępne, usługa API Management może nie działać prawidłowo i może stać się niedostępna.
Gdy wystąpienie usługi API Management jest hostowane w sieci wirtualnej, używane są porty w poniższej tabeli.
Ważne
Pogrubione elementy w kolumnie Cel wskazują konfiguracje portów wymagane do pomyślnego wdrożenia i działania usługi API Management. Konfiguracje oznaczone jako "opcjonalne" umożliwiają określone funkcje, jak wspomniano. Nie są one wymagane do ogólnej kondycji usługi.
Zalecamy używanie wskazanych tagów usługi zamiast adresów IP w sieciowej grupie zabezpieczeń i innych reguł sieciowych w celu określenia źródeł sieci i miejsc docelowych. Tagi usługi uniemożliwiają przestój, gdy ulepszenia infrastruktury wymagają zmian adresów IP.
Ważne
Aby usługa Azure Load Balancer działała, należy przypisać sieciową grupę zabezpieczeń do sieci wirtualnej. Dowiedz się więcej w dokumentacji usługi Azure Load Balancer.
| Kierunek | Tag usługi źródłowej | Zakresy portów źródłowych | Docelowy tag usługi | Zakresy portów docelowych | Protokół | Akcja | Przeznaczenie | Typ sieci wirtualnej |
|---|---|---|---|---|---|---|---|---|
| Przychodzący | Internet | * | Sieć wirtualna | [80], 443 | TCP | Zezwalaj | Komunikacja klienta z usługą API Management | Tylko zewnętrzne |
| Przychodzący | ApiManagement | * | Sieć wirtualna | 3443 | TCP | Zezwalaj | Punkt końcowy zarządzania dla witryny Azure Portal i programu PowerShell | Zewnętrzne i wewnętrzne |
| Wychodzący | Sieć wirtualna | * | Internet | 80 | TCP | Zezwalaj | Walidacja i zarządzanie certyfikatami zarządzanymi przez firmę Microsoft i zarządzanymi przez klienta | Zewnętrzne i wewnętrzne |
| Wychodzący | Sieć wirtualna | * | Przechowywanie danych | 443 | TCP | Zezwalaj | Zależność od usługi Azure Storage | Zewnętrzne i wewnętrzne |
| Wychodzący | Sieć wirtualna | * | AzureActiveDirectory (usługa AzureActiveDirectory) | 443 | TCP | Zezwalaj | Zależności microsoft Entra ID, Microsoft Graph i Azure Key Vault (opcjonalnie) | Zewnętrzne i wewnętrzne |
| Wychodzący | Sieć wirtualna | * | AzureConnectors | 443 | TCP | Zezwalaj | zależność połączeń zarządzanych (opcjonalnie) | Zewnętrzne i wewnętrzne |
| Wychodzący | Sieć wirtualna | * | SQL | 1433 | TCP | Zezwalaj | Dostęp do punktów końcowych usługi Azure SQL | Zewnętrzne i wewnętrzne |
| Wychodzący | Sieć wirtualna | * | AzureKeyVault | 443 | TCP | Zezwalaj | Dostęp do usługi Azure Key Vault | Zewnętrzne i wewnętrzne |
| Wychodzący | Sieć wirtualna | * | EventHub | 5671, 5672, 443 | TCP | Zezwalaj | Zależność dla zasad usługi Azure Event Hubs i usługi Azure Monitor (opcjonalnie) | Zewnętrzne i wewnętrzne |
| Wychodzący | Sieć wirtualna | * | Przechowywanie danych | 445 | TCP | Zezwalaj | Zależność od udziału plików platformy Azure dla usługi GIT (opcjonalnie) | Zewnętrzne i wewnętrzne |
| Wychodzący | Sieć wirtualna | * | AzureMonitor | 1886, 443 | TCP | Zezwalaj | Publikowanie dzienników i metryk diagnostycznych, kondycji zasobów i usługi Application Insights | Zewnętrzne i wewnętrzne |
| Ruch przychodzący i wychodzący | Sieć wirtualna | * | Sieć wirtualna | 6380 | TCP | Zezwalaj | Uzyskiwanie dostępu do zewnętrznej usługi Azure Cache for Redis w celu buforowania zasad między maszynami (opcjonalnie) | Zewnętrzne i wewnętrzne |
| Ruch przychodzący i wychodzący | Sieć wirtualna | * | Sieć wirtualna | 6381 - 6383 | TCP | Zezwalaj | Uzyskiwanie dostępu do wewnętrznej usługi Azure Cache for Redis w celu buforowania zasad między maszynami (opcjonalnie) | Zewnętrzne i wewnętrzne |
| Ruch przychodzący i wychodzący | Sieć wirtualna | * | Sieć wirtualna | 4290 | protokół UDP | Zezwalaj | Liczniki synchronizacji dla zasad limitu szybkości między maszynami (opcjonalnie) | Zewnętrzne i wewnętrzne |
| Przychodzący | AzureLoadBalancer (równoważnik obciążenia) | * | Sieć wirtualna | 6390 | TCP | Zezwalaj | Moduł równoważenia obciążenia infrastruktury platformy Azure | Zewnętrzne i wewnętrzne |
| Przychodzący | AzureTrafficManager | * | Sieć wirtualna | 443 | TCP | Zezwalaj | Routing usługi Azure Traffic Manager dla wdrożenia w wielu regionach | Zewnętrzne |
| Przychodzący | AzureLoadBalancer (równoważnik obciążenia) | * | VirtualNetwork 6391 | TCP | Zezwalaj | Monitorowanie kondycji poszczególnych maszyn (opcjonalnie) | Zewnętrzne i wewnętrzne |
Tagi usługi regionalnej
Reguły sieciowej grupy zabezpieczeń zezwalające na łączność wychodzącą z tagami usługi Storage, SQL i Azure Event Hubs mogą używać regionalnych wersji tych tagów odpowiadających regionowi zawierającemu wystąpienie usługi API Management (na przykład Storage.WestUS dla wystąpienia usługi API Management w regionie Zachodnie stany USA). W przypadku wdrożeń obejmujących wiele regionów sieciowa grupa zabezpieczeń w każdym regionie powinna zezwalać na ruch do tagów usług dla tego regionu i regionu podstawowego.
Funkcje protokołu TLS
Aby włączyć tworzenie i walidację łańcucha certyfikatów TLS/SSL, usługa API Management wymaga wychodzącej łączności sieciowej na portach 80 i 443 do ocsp.msocsp.com, , oneocsp.msocsp.com, mscrl.microsoft.comcrl.microsoft.com, , , cacerts.digicert.comcrl3.digicert.com i csp.digicert.com.
Dostęp DNS
Dostęp wychodzący na porcie 53 jest wymagany do komunikacji z serwerami DNS. Jeśli niestandardowy serwer DNS istnieje na drugim końcu bramy sieci VPN, serwer DNS musi być dostępny z podsieci hostowania usługi API Management.
Integracja z usługą Microsoft Entra
Aby działać prawidłowo, usługa API Management wymaga łączności wychodzącej na porcie 443 do następujących punktów końcowych skojarzonych z identyfikatorem Entra firmy Microsoft: <region>.login.microsoft.com i login.microsoftonline.com.
Monitorowanie metryk i kondycji
Wychodząca łączność sieciowa z punktami końcowymi monitorowania platformy Azure, które są rozpoznawane w następujących domenach, są reprezentowane w tagu usługi AzureMonitor do użycia z sieciowymi grupami zabezpieczeń.
| Środowisko platformy Azure | Punkty końcowe |
|---|---|
| Publiczna platforma Azure |
|
| Azure Government (usługi chmury dla administracji publicznej) |
|
| Platforma Microsoft Azure obsługiwana przez firmę 21Vianet |
|
CapTCHA portalu dla deweloperów
Zezwalaj na wychodzącą łączność sieciową dla capTCHA portalu deweloperów, która jest rozpoznawana na hostach client.hip.live.com i partner.hip.live.com.
Publikowanie portalu dla deweloperów
Włącz publikowanie portalu dla deweloperów dla wystąpienia usługi API Management w sieci wirtualnej, zezwalając na łączność wychodzącą z usługą Azure Storage. Na przykład użyj tagu usługi Storage w regule sieciowej grupy zabezpieczeń. Obecnie łączność z usługą Azure Storage za pośrednictwem globalnych lub regionalnych punktów końcowych usługi jest wymagana do opublikowania portalu deweloperów dla dowolnego wystąpienia usługi API Management.
Diagnostyka witryny Azure Portal
W przypadku korzystania z rozszerzenia diagnostycznego usługi API Management z poziomu sieci wirtualnej wymagany jest dostęp wychodzący do dc.services.visualstudio.com portu 443 w celu włączenia przepływu dzienników diagnostycznych z witryny Azure Portal. Ten dostęp pomaga w rozwiązywaniu problemów, które mogą wystąpić podczas korzystania z rozszerzenia.
Moduł równoważenia obciążenia platformy Azure
Nie musisz zezwalać na żądania przychodzące z tagu AzureLoadBalancer usługi dla jednostki SKU dewelopera, ponieważ jest wdrażana tylko jedna jednostka obliczeniowa. Jednak łączność przychodząca z AzureLoadBalancer staje się krytyczna podczas skalowania do wyższej jednostki SKU, takiej jak Premium, ponieważ awaria sondy kondycji z modułu równoważenia obciążenia blokuje cały dostęp przychodzący do płaszczyzny sterowania i płaszczyzny danych.
Szczegółowe dane dotyczące aplikacji
Jeśli włączono monitorowanie usługi aplikacja systemu Azure Insights w usłudze API Management, zezwól na łączność wychodzącą z punktu końcowego telemetrii z sieci wirtualnej.
Punkt końcowy usługi KMS
Podczas dodawania maszyn wirtualnych z systemem Windows do sieci wirtualnej zezwól na łączność wychodzącą na porcie 1688 do punktu końcowego usługi KMS w chmurze. Ta konfiguracja kieruje ruch maszyn wirtualnych z systemem Windows do serwera usługi Azure usługa zarządzania kluczami s (KMS), aby ukończyć aktywację systemu Windows.
Wewnętrzna infrastruktura i diagnostyka
Następujące ustawienia i nazwy FQDN są wymagane do obsługi i diagnozowania wewnętrznej infrastruktury obliczeniowej usługi API Management.
- Zezwalaj na wychodzący dostęp UDP na porcie
123dla protokołu NTP. - Zezwalaj na wychodzący dostęp TCP na porcie
12000na potrzeby diagnostyki. - Zezwalaj na dostęp wychodzący na porcie
443do następujących punktów końcowych na potrzeby diagnostyki wewnętrznej:azurewatsonanalysis-prod.core.windows.net, ,*.data.microsoft.comazureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net,shavamanifestcdnprod1.azureedge.net. - Zezwalaj na dostęp wychodzący na porcie
443do następującego punktu końcowego dla wewnętrznej infrastruktury kluczy publicznych:issuer.pki.azure.com. - Zezwalaj na dostęp wychodzący na portach
80i443do następujących punktów końcowych dla usługi Windows Update:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - Zezwalaj na dostęp wychodzący na portach
80i443do punktu końcowegogo.microsoft.com. - Zezwalaj na dostęp wychodzący na porcie
443do następujących punktów końcowych dla usługi Windows Defender:wdcp.microsoft.com,wdcpalt.microsoft.com.
Adresy IP płaszczyzny sterowania
Ważne
Adresy IP płaszczyzny sterowania dla usługi Azure API Management powinny być skonfigurowane dla reguł dostępu do sieci tylko wtedy, gdy jest to konieczne w niektórych scenariuszach sieciowych. Zalecamy użycie tagu usługi ApiManagementzamiast adresów IP płaszczyzny sterowania, aby zapobiec przestojom, gdy ulepszenia infrastruktury wymagają zmian adresów IP.
Powiązana zawartość
Dowiedz się więcej na następujące tematy:
- Łączenie sieci wirtualnej z zapleczem przy użyciu usługi VPN Gateway
- Łączenie sieci wirtualnej z różnych modeli wdrażania
- Sieć wirtualna — często zadawane pytania
- Tagi usługi
Aby uzyskać więcej wskazówek dotyczących problemów z konfiguracją, zobacz: