Dokumentacja konfiguracji sieci wirtualnej: API Management

Ta dokumentacja zawiera szczegółowe ustawienia konfiguracji sieci dla wystąpienia usługi API Management wdrożonego w sieci wirtualnej platformy Azure w trybie zewnętrznym lub wewnętrznym .

Aby zapoznać się z opcjami, wymaganiami i zagadnieniami dotyczącymi łączności z siecią wirtualną, zobacz Using a virtual network with Azure API Management (Używanie sieci wirtualnej z usługą Azure API Management).

Wymagane porty

Kontrolowanie ruchu przychodzącego i wychodzącego do podsieci, w której usługa API Management jest wdrażana przy użyciu reguł sieciowej grupy zabezpieczeń. Jeśli niektóre porty są niedostępne, usługa API Management może nie działać prawidłowo i może stać się niedostępna.

Gdy wystąpienie usługi API Management jest hostowane w sieci wirtualnej, używane są porty w poniższej tabeli. Niektóre wymagania różnią się w zależności od wersji (stv2lub stv1) platformy obliczeniowej obsługującej wystąpienie usługi API Management.

Ważne

  • Pogrubione elementy w kolumnie Cel wskazują konfiguracje portów wymagane do pomyślnego wdrożenia i działania usługi API Management. Konfiguracje oznaczone jako "opcjonalne" umożliwiają określone funkcje, jak wspomniano. Nie są one wymagane do ogólnej kondycji usługi.

  • Zalecamy używanie wskazanych tagów usługi zamiast adresów IP w sieciowej grupie zabezpieczeń i innych reguł sieciowych w celu określenia źródeł sieci i miejsc docelowych. Tagi usługi uniemożliwiają przestój, gdy ulepszenia infrastruktury wymagają zmian adresów IP.

Ważne

W przypadku korzystania z programu stv2wymagane jest przypisanie sieciowej grupy zabezpieczeń do sieci wirtualnej, aby usługa Azure Load Balancer działała. Dowiedz się więcej w dokumentacji usługi Azure Load Balancer.

Porty źródłowe/docelowe Kierunek Protokół transportowy Tagi usługi
Źródło/miejsce docelowe
Przeznaczenie Typ sieci wirtualnej
* / [80], 443 Przychodzący TCP Internet/Sieć wirtualna Komunikacja klienta z usługą API Management Tylko zewnętrzne
* / 3443 Przychodzący TCP ApiManagement/VirtualNetwork Punkt końcowy zarządzania dla witryny Azure Portal i programu PowerShell Zewnętrzne i wewnętrzne
* / 443 Wychodzący TCP Sieć wirtualna/magazyn Zależność od usługi Azure Storage Zewnętrzne i wewnętrzne
* / 443 Wychodzący TCP VirtualNetwork/AzureActiveDirectory Zależności microsoft Entra ID, Microsoft Graph i Azure Key Vault (opcjonalnie) Zewnętrzne i wewnętrzne
* / 443 Wychodzący TCP VirtualNetwork/Azure Połączenie ors zależność połączeń zarządzanych (opcjonalnie) Zewnętrzne i wewnętrzne
* / 1433 Wychodzący TCP VirtualNetwork/Sql Dostęp do punktów końcowych usługi Azure SQL Zewnętrzne i wewnętrzne
* / 443 Wychodzący TCP VirtualNetwork/ AzureKeyVault Dostęp do usługi Azure Key Vault Zewnętrzne i wewnętrzne
* / 5671, 5672, 443 Wychodzący TCP VirtualNetwork/EventHub Zależność dla zasad usługi Azure Event Hubs i usługi Azure Monitor (opcjonalnie) Zewnętrzne i wewnętrzne
* / 445 Wychodzący TCP Sieć wirtualna/magazyn Zależność od udziału plików platformy Azure dla usługi GIT (opcjonalnie) Zewnętrzne i wewnętrzne
* / 1886, 443 Wychodzący TCP VirtualNetwork/ AzureMonitor Publikowanie dzienników diagnostycznych i metryk, kondycji zasobów i Szczegółowe informacje aplikacji Zewnętrzne i wewnętrzne
* / 6380 Ruch przychodzący i wychodzący TCP Sieć wirtualna / Sieć wirtualna Uzyskiwanie dostępu do zewnętrznej usługi Azure Cache for Redis w celu buforowania zasad między maszynami (opcjonalnie) Zewnętrzne i wewnętrzne
* / 6381 – 6383 Ruch przychodzący i wychodzący TCP Sieć wirtualna / Sieć wirtualna Uzyskiwanie dostępu do wewnętrznej usługi Azure Cache for Redis w celu buforowania zasad między maszynami (opcjonalnie) Zewnętrzne i wewnętrzne
* / 4290 Ruch przychodzący i wychodzący UDP Sieć wirtualna / Sieć wirtualna Liczniki synchronizacji dla zasad limitu szybkości między maszynami (opcjonalnie) Zewnętrzne i wewnętrzne
* / 6390 Przychodzący TCP AzureLoadBalancer/VirtualNetwork Moduł równoważenia obciążenia infrastruktury platformy Azure Zewnętrzne i wewnętrzne
* / 443 Przychodzący TCP AzureTrafficManager/ VirtualNetwork Routing usługi Azure Traffic Manager dla wdrożenia w wielu regionach Zewnętrzne

Tagi usługi regionalnej

Reguły sieciowej grupy zabezpieczeń zezwalające na łączność wychodzącą z tagami usługi Storage, SQL i Azure Event Hubs mogą używać regionalnych wersji tych tagów odpowiadających regionowi zawierającemu wystąpienie usługi API Management (na przykład Storage.WestUS dla wystąpienia usługi API Management w regionie Zachodnie stany USA). W przypadku wdrożeń obejmujących wiele regionów sieciowa grupa zabezpieczeń w każdym regionie powinna zezwalać na ruch do tagów usług dla tego regionu i regionu podstawowego.

Funkcje protokołu TLS

Aby włączyć tworzenie i walidację łańcucha certyfikatów TLS/SSL, usługa API Management wymaga wychodzącej łączności sieciowej na portach i do , , oneocsp.msocsp.com, mscrl.microsoft.com, crl.microsoft.comi csp.digicert.com.ocsp.msocsp.com44380 Ta zależność nie jest wymagana, jeśli jakikolwiek certyfikat przekazany do usługi API Management zawiera pełny łańcuch do katalogu głównego urzędu certyfikacji.

Dostęp DNS

Dostęp wychodzący na porcie 53 jest wymagany do komunikacji z serwerami DNS. Jeśli niestandardowy serwer DNS istnieje na drugim końcu bramy sieci VPN, serwer DNS musi być dostępny z podsieci hostowania usługi API Management.

Integracja z usługą Microsoft Entra

Aby działać prawidłowo, usługa API Management wymaga łączności wychodzącej na porcie 443 do następujących punktów końcowych skojarzonych z identyfikatorem Entra firmy Microsoft: <region>.login.microsoft.com i login.microsoftonline.com.

Monitorowanie metryk i kondycji

Wychodząca łączność sieciowa z punktami końcowymi monitorowania platformy Azure, które są rozpoznawane w następujących domenach, są reprezentowane w tagu usługi AzureMonitor do użycia z sieciowymi grupami zabezpieczeń.

Środowisko platformy Azure Punkty końcowe
Publiczna platforma Azure
  • gcs.prod.monitoring.core.windows.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.com
Azure Government
  • fairfax.warmpath.usgovcloudapi.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.us
Platforma Microsoft Azure obsługiwana przez firmę 21Vianet
  • mooncake.warmpath.chinacloudapi.cn
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.cn

CapTCHA portalu dla deweloperów

Zezwalaj na wychodzącą łączność sieciową dla capTCHA portalu deweloperów, która jest rozpoznawana na hostach client.hip.live.com i partner.hip.live.com.

Publikowanie portalu dla deweloperów

Włącz publikowanie portalu dla deweloperów dla wystąpienia usługi API Management w sieci wirtualnej, zezwalając na łączność wychodzącą z magazynem obiektów blob w regionie Zachodnie stany USA. Na przykład użyj tagu usługi Storage.WestUS w regule sieciowej grupy zabezpieczeń. Obecnie łączność z magazynem obiektów blob w regionie Zachodnie stany USA jest wymagana do opublikowania portalu deweloperów dla dowolnego wystąpienia usługi API Management.

Diagnostyka witryny Azure Portal

W przypadku korzystania z rozszerzenia diagnostycznego usługi API Management z poziomu sieci wirtualnej wymagany jest dostęp wychodzący do dc.services.visualstudio.com portu 443 w celu włączenia przepływu dzienników diagnostycznych z witryny Azure Portal. Ten dostęp pomaga w rozwiązywaniu problemów, które mogą wystąpić podczas korzystania z rozszerzenia.

Moduł równoważenia obciążenia platformy Azure

Nie musisz zezwalać na żądania przychodzące z tagu AzureLoadBalancer usługi dla jednostki SKU dewelopera, ponieważ jest wdrażana tylko jedna jednostka obliczeniowa. Jednak łączność przychodząca z AzureLoadBalancer staje się krytyczna podczas skalowania do wyższej jednostki SKU, takiej jak Premium, ponieważ awaria sondy kondycji z modułu równoważenia obciążenia blokuje cały dostęp przychodzący do płaszczyzny sterowania i płaszczyzny danych.

Szczegółowe dane dotyczące aplikacji

Jeśli włączono monitorowanie aplikacja systemu Azure Szczegółowe informacje w usłudze API Management, zezwól na łączność wychodzącą z punktu końcowegotelemetrii z sieci wirtualnej.

Punkt końcowy usługi KMS

Podczas dodawania maszyn wirtualnych z systemem Windows do sieci wirtualnej zezwól na łączność wychodzącą na porcie 1688 do punktu końcowego usługi KMS w chmurze. Ta konfiguracja kieruje ruch maszyn wirtualnych z systemem Windows do serwera usługi Azure usługa zarządzania kluczami s (KMS), aby ukończyć aktywację systemu Windows.

Wewnętrzna infrastruktura i diagnostyka

Następujące ustawienia i nazwy FQDN są wymagane do obsługi i diagnozowania wewnętrznej infrastruktury obliczeniowej usługi API Management.

  • Zezwalaj na wychodzący dostęp UDP na porcie 123 dla protokołu NTP.
  • Zezwalaj na wychodzący dostęp TCP na porcie 12000 na potrzeby diagnostyki.
  • Zezwalaj na dostęp wychodzący na porcie 443 do następujących punktów końcowych na potrzeby diagnostyki wewnętrznej: azurewatsonanalysis-prod.core.windows.net, , *.data.microsoft.comazureprofiler.trafficmanager.net, shavamanifestazurecdnprod1.azureedge.net, shavamanifestcdnprod1.azureedge.net.
  • Zezwalaj na dostęp wychodzący na porcie 443 do następującego punktu końcowego dla wewnętrznej infrastruktury kluczy publicznych: issuer.pki.azure.com.
  • Zezwalaj na dostęp wychodzący na portach 80 i 443 do następujących punktów końcowych dla usługi Windows Update: *.update.microsoft.com, *.ctldl.windowsupdate.com, ctldl.windowsupdate.com, download.windowsupdate.com.
  • Zezwalaj na dostęp wychodzący na portach 80 i 443 do punktu końcowego go.microsoft.com.
  • Zezwalaj na dostęp wychodzący na porcie 443 do następujących punktów końcowych dla usługi Windows Defender: wdcp.microsoft.com, wdcpalt.microsoft.com .

Adresy IP płaszczyzny sterowania

Ważne

Adresy IP płaszczyzny sterowania dla usługi Azure API Management powinny być skonfigurowane dla reguł dostępu do sieci tylko wtedy, gdy jest to konieczne w niektórych scenariuszach sieciowych. Zalecamy użycie tagu usługi ApiManagementzamiast adresów IP płaszczyzny sterowania, aby zapobiec przestojom, gdy ulepszenia infrastruktury wymagają zmian adresów IP.

Dowiedz się więcej na następujące tematy:

Aby uzyskać więcej wskazówek dotyczących problemów z konfiguracją, zobacz: