Referência de configuração de rede virtual: Gerenciamento de API

APLICA-SE A: Desenvolvedor | Premium

Esta referência fornece definições de configuração de rede detalhadas para uma instância de Gerenciamento de API implantada (injetada) em uma rede virtual do Azure no modo externo ou interno .

Para obter os requisitos, as considerações e as opções de conectividade de VNet, consulte Usar uma rede virtual com o Gerenciamento de API Azure.

Portas obrigatórias

Controle o tráfego de entrada e saída na sub-rede na qual o Gerenciamento de API é implantado usando regras de grupos de segurança de rede. Se determinadas portas estiver indisponível, o Gerenciamento de API poderá não funcionar corretamente e poderá se tornar inacessível.

Quando uma instância do serviço Gerenciamento de API está hospedada em uma VNet, as portas na tabela a seguir são usadas. Alguns requisitos são diferentes, dependendo da versão (stv2 ou stv1) da stv2 que hospeda sua instância do Gerenciamento de API.

Importante

• Os itens em negrito na coluna Finalidade indicam as configurações de porta necessárias para a implantação e operação bem-sucedidas do serviço de Gerenciamento de API. As configurações rotuladas como "opcionais" habilitam recursos específicos, conforme observado. Elas não são necessárias para a integridade geral do serviço.

• Recomendamos usar as marcas de serviço indicadas em vez de endereços IP no NSG e em outras regras de rede para especificar origens e destinos de rede. As marcas de serviço impedem o tempo de inatividade quando as melhorias de infraestrutura exigem alterações de endereço IP.

stv2

Importante

Ao usar stv2, é necessário atribuir um Grupo de Segurança de Rede à sua VNet para que o Azure Load Balancer funcione. Saiba mais na documentação do Azure Load Balancer.

Porta(s) de Origem/Destino	Direção	Protocolo de transporte	Marcas de serviço Origem/Destino	Finalidade	Tipo de VNet
* / [80], 443	Entrada	TCP	Internet / VirtualNetwork	Comunicação do cliente com o Gerenciamento de API	Apenas externo
* / 3443	Entrada	TCP	ApiManagement / VirtualNetwork	Ponto de extremidade de gerenciamento para o Portal do Azure e o Powershell	Interno e externo
*/443	Saída	TCP	VirtualNetwork / Armazenamento	Dependência no Armazenamento do Microsoft Azure	Interno e externo
*/443	Saída	TCP	VirtualNetwork / AzureActiveDirectory	Dependência da ID do Microsoft Entra, do Microsoft Graph e do Azure Key Vault (opcional)	Interno e externo
*/443	Saída	TCP	VirtualNetwork / AzureConnectors	Dependência de conexões gerenciadas(opcional)	Interno e externo
* / 1433	Saída	TCP	VirtualNetwork/Sql	Acesso aos pontos de extremidade do SQL do Azure	Interno e externo
*/443	Saída	TCP	VirtualNetwork / AzureKeyVault	Acesso ao Azure Key Vault	Interno e externo
* / 5671, 5672, 443	Saída	TCP	VirtualNetwork / EventHub	Dependência da política Registrar nos Hubs de Eventos do Azure e Azure Monitor (opcional)	Interno e externo
* / 445	Saída	TCP	VirtualNetwork / Armazenamento	Dependência do compartilhamento de arquivo do Azure para GIT (opcional)	Interno e externo
* / 1886, 443	Saída	TCP	VirtualNetwork / AzureMonitor	Publicar logs e métricas de diagnóstico, integridade de recursos e Application Insights	Interno e externo
* / 6380	Entrada e Saída	TCP	VirtualNetwork / VirtualNetwork	Acessar o serviço de Cache do Azure para Redis externo para políticas de cache entre computadores (opcional)	Interno e externo
* / 6381 - 6383	Entrada e Saída	TCP	VirtualNetwork / VirtualNetwork	Acessar o serviço de Cache do Azure para Redis interno para políticas de cache entre computadores (opcional)	Interno e externo
* / 4290	Entrada e Saída	UDP	VirtualNetwork / VirtualNetwork	Sincronizar os contadores para políticas de Limite de Taxa entre computadores (opcional)	Interno e externo
* / 6390	Entrada	TCP	AzureLoadBalancer / VirtualNetwork	Balanceador de carga de infraestrutura do Azure	Interno e externo
*/443	Entrada	TCP	AzureTrafficManager / VirtualNetwork	Roteamento do Gerenciador de Tráfego do Azure para implantação em várias regiões	Externo
* / 6391	Entrada	TCP	AzureLoadBalancer / VirtualNetwork	Monitoramento da integridade individual da máquina (opcional)	Interno e externo

stv1

Porta(s) de Origem/Destino	Direção	Protocolo de transporte	Marcas de Serviço Origem/Destino	Finalidade	Tipo de VNet
* / [80], 443	Entrada	TCP	Internet / VirtualNetwork	Comunicação do cliente com o Gerenciamento de API	Apenas externo
* / 3443	Entrada	TCP	ApiManagement / VirtualNetwork	Ponto de extremidade de gerenciamento para o Portal do Azure e o Powershell	Interno e externo
*/443	Saída	TCP	VirtualNetwork / Armazenamento	Dependência no Armazenamento do Microsoft Azure	Interno e externo
*/443	Saída	TCP	VirtualNetwork / AzureActiveDirectory	Dependência da ID do Microsoft Entra, do Microsoft Graph e do Azure Key Vault (opcional)	Interno e externo
*/443	Saída	TCP	VirtualNetwork / AzureKeyVault	Acesso ao Azure Key Vault para integração de valores nomeados (opcional)	Interno e externo
*/443	Saída	TCP	VirtualNetwork / AzureConnectors	Dependência de conexões gerenciadas(opcional)	Interno e externo
* / 1433	Saída	TCP	VirtualNetwork/Sql	Acesso aos pontos de extremidade do SQL do Azure	Interno e externo
* / 5671, 5672, 443	Saída	TCP	VirtualNetwork / Hubs de Eventos do Azure	Dependência da política Registrar nos Hubs de Eventos do Azure e agente de monitoramento (opcional)	Interno e externo
* / 445	Saída	TCP	VirtualNetwork / Armazenamento	Dependência do compartilhamento de arquivo do Azure para GIT (opcional)	Interno e externo
* / 443, 12000	Saída	TCP	VirtualNetwork / AzureCloud	Extensão de Integridade e Monitoramento e Dependência na Grade de Eventos (se a notificação de eventos estiver ativada) (opcional)	Interno e externo
* / 1886, 443	Saída	TCP	VirtualNetwork / AzureMonitor	Publicar logs e métricas de diagnóstico, integridade de recursos e Application Insights	Interno e externo
* / 6380	Entrada e Saída	TCP	VirtualNetwork / VirtualNetwork	Acessar o serviço de Cache do Azure para Redis externo para políticas de cache entre computadores (opcional)	Interno e externo
* / 6381 - 6383	Entrada e Saída	TCP	VirtualNetwork / VirtualNetwork	Acessar o serviço de Cache do Azure para Redis interno para políticas de cache entre computadores (opcional)	Interno e externo
* / 4290	Entrada e Saída	UDP	VirtualNetwork / VirtualNetwork	Sincronizar os contadores para políticas de Limite de Taxa entre computadores (opcional)	Interno e externo
* / *	Entrada	TCP	AzureLoadBalancer / VirtualNetwork	Infraestrutura do Azure Load Balancer (necessário para SKU Premium, opcional para outros SKUs)	Interno e externo
*/443	Entrada	TCP	AzureTrafficManager / VirtualNetwork	Roteamento do Gerenciador de Tráfego do Azure para implantação em várias regiões	Apenas externo

Marcas de serviço regional

As regras de NSG que permitem a conectividade de saída para as marcas de serviço de armazenamento, SQL e Hubs de Eventos do Azure podem usar as versões regionais dessas marcas correspondentes à região que contém a instância de Gerenciamento de API (por exemplo, Storage.WestUS para uma instância de gerenciamento de API na região Oeste dos EUA). Em implantações de várias regiões, o NSG em cada região deve permitir o tráfego para as marcas de serviço para essa região e a região primária.

Funcionalidade de TLS

Para habilitar a criação e a validação da cadeia de certificados TLS/SSL, o serviço de Gerenciamento de API precisa de conectividade de rede nas portas 80 e 443 para ocsp.msocsp.com, oneocsp.msocsp.com, mscrl.microsoft.com, crl.microsoft.com e csp.digicert.com. Essa dependência não será necessária se um certificado carregado no Gerenciamento de API tiver a cadeia completa para a raiz da CA.

Acesso DNS

O acesso de saída na porta 53 é necessário para a comunicação com servidores DNS. Se houver um servidor DNS personalizado na outra extremidade de um gateway de VPN, o servidor DNS deverá estar acessível pela sub-rede que hospeda o Gerenciamento de API.

Integração do Microsoft Entra

Para operar corretamente, o serviço de Gerenciamento de API precisa de conectividade de saída na porta 443 para os seguintes pontos de extremidade associados ao Microsoft Entra ID: <region>.login.microsoft.com e login.microsoftonline.com.

Métricas e monitoramento de integridade

Conectividade de rede de saída com pontos de extremidade de Monitoramento do Azure, que são resolvidos nos domínios a seguir e são representados na marca de serviço AzureMonitor para uso com Grupos de Segurança de Rede.

Azure Environment	Pontos de extremidade
Público do Azure	gcs.prod.monitoring.core.windows.net global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-black.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.com
Azure Government	fairfax.warmpath.usgovcloudapi.net global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-black.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com prod5.prod.microsoftmetrics.com prod5-black.prod.microsoftmetrics.com prod5-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.us
Microsoft Azure operado pela 21Vianet	mooncake.warmpath.chinacloudapi.cn global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com prod5.prod.microsoftmetrics.com prod5-black.prod.microsoftmetrics.com prod5-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.cn

CAPTCHA do portal do desenvolvedor

Permita conectividade de rede de saída para o CAPTCHA do portal do desenvolvedor, que é resolvido sob os hosts client.hip.live.com e partner.hip.live.com.

Publicar o portal do desenvolvedor

Habilite a publicação do portal de desenvolvedor para uma instância de Gerenciamento de API em uma VNet permitindo a conectividade de saída com o armazenamento de blobs na região Oeste dos EUA. Por exemplo, use a marca de serviço Storage.WestUS em uma regra de NSG. Atualmente, a conectividade com o armazenamento de blobs na região Oeste dos EUA é necessária para publicar o portal do desenvolvedor em qualquer instância de Gerenciamento de API.

Diagnósticos do portal do Azure

Ao usar a extensão de diagnóstico de Gerenciamento de API em uma VNet, é necessário ter o acesso de saída de dc.services.visualstudio.com na porta 443 a fim de habilitar o fluxo de logs de diagnóstico no portal do Azure. Esse acesso ajuda na solução de problemas que podem ocorrer ao usar a extensão.

Azure Load Balancer

Você não precisa permitir solicitações de entrada da marca de serviço AzureLoadBalancer para o SKU Desenvolvedor, uma vez que somente uma unidade de computação é implantada nela. No entanto, a conectividade de entrada de AzureLoadBalancer se torna crítica ao ajuste da escala para um SKU mais alto, como Premium, pois uma falha da investigação de integridade do balanceador de carga bloqueia todo o acesso de entrada ao painel de controle e ao plano de dados.

Application Insights

Se você tiver habilitado o monitoramento do Azure Application Insights no Gerenciamento de API, permita a conectividade de saída com o ponto de extremidade de telemetria da VNet.

Ponto de extremidade KMS

Ao adicionar máquinas virtuais que executam Windows à VNet, permita a conectividade de saída na porta 1688 para o ponto de extremidade de KMS em sua nuvem. Essa configuração roteia o tráfego da VM do Windows para o servidor do KMS (serviços de gerenciamento de chaves) do Azure para concluir a ativação do Windows.

Infraestrutura interna e diagnóstico

As configurações e os FQDNs a seguir são necessários para manter e diagnosticar a infraestrutura de computação interna do Gerenciamento de API.

• Permitir o acesso UDP de saída na porta 123 para NTP.
• Permitir o acesso TCP de saída na porta 12000 para diagnóstico.
• Permitir o acesso de saída na porta 443 aos seguintes pontos de extremidade para diagnóstico interno: azurewatsonanalysis-prod.core.windows.net, *.data.microsoft.com, azureprofiler.trafficmanager.net, shavamanifestazurecdnprod1.azureedge.net, shavamanifestcdnprod1.azureedge.net.
• Permitir o acesso de saída na porta 443 ao seguinte ponto de extremidade para PKI interna: issuer.pki.azure.com.
• Permitir o acesso de saída nas portas 80 e 443 aos seguintes pontos de extremidade do Windows Update: *.update.microsoft.com, *.ctldl.windowsupdate.com, ctldl.windowsupdate.com, download.windowsupdate.com.
• Permitir o acesso de saída nas portas 80 e 443 ao ponto de extremidade go.microsoft.com.
• Permitir o acesso de saída na porta 443 aos seguintes pontos de extremidade do Windows Defender: wdcp.microsoft.com, wdcpalt.microsoft.com .

Controlar endereços IP planos

Importante

Os endereços IP do painel de controle para o Gerenciamento de API do Azure devem ser configurados para regras de acesso à rede somente quando necessário em determinados cenários de rede. Recomendamos usar a marca de serviço ApiManagement em vez de endereços IP do painel de controle para evitar o tempo de inatividade quando as melhorias de infraestrutura exigirem alterações de endereço IP.

Conteúdo relacionado

Saiba mais sobre:

• Conectar uma rede virtual ao back-end usando o Gateway de VPN
• Conectar uma rede virtual de diferentes modelos de implantação
• Perguntas frequentes sobre rede virtual
• Marcas de serviço

Para obter mais diretrizes sobre problemas de configuração, consulte:

• Gerenciamento de API - Perguntas frequentes sobre rede (Desmistificando a série I)
• Gerenciamento de API - Perguntas frequentes sobre rede (Desmistificando a série II)