Referência de configuração de rede virtual: Gerenciamento de API

APLICA-SE A: Desenvolvedor | Premium

Esta referência fornece definições de configuração de rede detalhadas para uma instância de Gerenciamento de API implantada (injetada) em uma rede virtual do Azure no modo externo ou interno .

Para obter as opções de conectividade VNET, os requisitos e as considerações, confira Como usar uma rede virtual com o Gerenciamento de API do Azure.

Importante

Essa referência se aplica somente a instâncias de Gerenciamento de API nas camadas clássicas implantadas em uma rede virtual. Para obter informações sobre a injeção de rede virtual nas camadas v2, consulte Injetar uma instância de Gerenciamento de API do Azure em uma rede virtual privada – camada Premium v2.

Portas obrigatórias

Controle o tráfego de entrada e saída na sub-rede na qual o Gerenciamento de API é implantado usando regras de grupos de segurança de rede. Se determinadas portas estiver indisponível, o Gerenciamento de API poderá não funcionar corretamente e poderá se tornar inacessível.

Quando uma instância do serviço Gerenciamento de API está hospedada em uma VNet, as portas na tabela a seguir são usadas. Alguns requisitos são diferentes, dependendo da versão (stv2 ou stv1) da stv2 que hospeda sua instância do Gerenciamento de API.

Importante

• Os itens em negrito na coluna Finalidade indicam as configurações de porta necessárias para a implantação e operação bem-sucedidas do serviço de Gerenciamento de API. As configurações rotuladas como "opcionais" habilitam recursos específicos, conforme observado. Elas não são necessárias para a integridade geral do serviço.

• Recomendamos usar as marcas de serviço indicadas em vez de endereços IP no NSG e em outras regras de rede para especificar origens e destinos de rede. As marcas de serviço impedem o tempo de inatividade quando as melhorias de infraestrutura exigem alterações de endereço IP.

stv2

Importante

Ao usar stv2, é necessário atribuir um Grupo de Segurança de Rede à sua VNet para que o Azure Load Balancer funcione. Saiba mais na documentação do Azure Load Balancer.

Direção	Marca de serviço de origem	Intervalos de portas de origem	Marca de serviço de destino	Intervalos de portas de destino	Protocolo	Ação	Finalidade	Tipo de VNet
Entrada	Internet	*	VirtualNetwork	[80], 443	TCP	Allow	Comunicação do cliente com o Gerenciamento de API	Apenas externo
Entrada	ApiManagement	*	VirtualNetwork	3443	TCP	Allow	Ponto de extremidade de gerenciamento para o Portal do Azure e o Powershell	Interno e externo
Saída	VirtualNetwork	*	Armazenamento	443	TCP	Allow	Dependência no Armazenamento do Microsoft Azure	Interno e externo
Saída	VirtualNetwork	*	AzureActiveDirectory	443	TCP	Allow	Dependência da ID do Microsoft Entra, do Microsoft Graph e do Azure Key Vault (opcional)	Interno e externo
Saída	VirtualNetwork	*	AzureConnectors	443	TCP	Allow	Dependência de conexões gerenciadas(opcional)	Interno e externo
Saída	VirtualNetwork	*	Sql	1433	TCP	Allow	Acesso aos pontos de extremidade do SQL do Azure	Interno e externo
Saída	VirtualNetwork	*	AzureKeyVault	443	TCP	Allow	Acesso ao Azure Key Vault	Interno e externo
Saída	VirtualNetwork	*	EventHub	5671, 5672, 443	TCP	Allow	Dependência da política Registrar nos Hubs de Eventos do Azure e Azure Monitor (opcional)	Interno e externo
Saída	VirtualNetwork	*	Armazenamento	445	TCP	Allow	Dependência do compartilhamento de arquivo do Azure para GIT (opcional)	Interno e externo
Saída	VirtualNetwork	*	AzureMonitor	1886, 443	TCP	Allow	Publicar logs e métricas de diagnóstico, integridade de recursos e Application Insights	Interno e externo
Entrada e Saída	VirtualNetwork	*	Rede Virtual	6380	TCP	Allow	Acessar o serviço de Cache do Azure para Redis externo para políticas de cache entre computadores (opcional)	Interno e externo
Entrada e Saída	VirtualNetwork	*	VirtualNetwork	6381 - 6383	TCP	Allow	Acessar o serviço de Cache do Azure para Redis interno para políticas de cache entre computadores (opcional)	Interno e externo
Entrada e Saída	VirtualNetwork	*	VirtualNetwork	4290	UDP	Allow	Sincronizar os contadores para políticas de Limite de Taxa entre computadores (opcional)	Interno e externo
Entrada	AzureLoadBalancer	*	VirtualNetwork	6390	TCP	Allow	Balanceador de carga de infraestrutura do Azure	Interno e externo
Entrada	AzureTrafficManager	*	VirtualNetwork	443	TCP	Allow	Roteamento do Gerenciador de Tráfego do Azure para implantação em várias regiões	Externo
Entrada	AzureLoadBalancer	*	Rede Virtual 6391	TCP	Allow	Monitoramento da integridade individual da máquina (opcional)	Interno e externo

stv1

Direção	Marca de serviço de origem	Intervalos de portas de origem	Marca de serviço de destino	Intervalos de portas de destino	Protocolo	Ação	Finalidade	Tipo de VNet
Entrada	Internet	*	VirtualNetwork	[80], 443	TCP	Allow	Comunicação do cliente com o Gerenciamento de API	Apenas externo
Entrada	ApiManagement	*	VirtualNetwork	3443	TCP	Allow	Ponto de extremidade de gerenciamento para o Portal do Azure e o Powershell	Interno e externo
Saída	VirtualNetwork	*	Armazenamento	443	TCP	Allow	Dependência no Armazenamento do Microsoft Azure	Interno e externo
Saída	VirtualNetwork	*	AzureActiveDirectory	443	TCP	Akkiw	Dependência da ID do Microsoft Entra, do Microsoft Graph e do Azure Key Vault (opcional)	Interno e externo
Saída	VirtualNetwork	*	AzureKeyVault	443	TCP	Allow	Acesso ao Azure Key Vault para integração de valores nomeados (opcional)	Interno e externo
Saída	VirtualNetwork	*	AzureConnectors	443	TCP	Allow	Dependência de conexões gerenciadas(opcional)	Interno e externo
Saída	VirtualNetwork	*	Sql	1433	TCP	Allow	Acesso aos pontos de extremidade do SQL do Azure	Interno e externo
Saída	VirtualNetwork	*	EventHub	5671, 5672, 443	TCP	Allow	Dependência da política Registrar nos Hubs de Eventos do Azure e agente de monitoramento (opcional)	Interno e externo
Saída	VirtualNetwork	*	Armazenamento	445	TCP	Allow	Dependência do compartilhamento de arquivo do Azure para GIT (opcional)	Interno e externo
Saída	VirtualNetwork	*	AzureCloud	443, 12000	TCP	Allow	Extensão de Integridade e Monitoramento e Dependência na Grade de Eventos (se a notificação de eventos estiver ativada) (opcional)	Interno e externo
Saída	VirtualNetwork	*	AzureMonitor	1886, 443	TCP	Allow	Publicar logs e métricas de diagnóstico, integridade de recursos e Application Insights	Interno e externo
Entrada e Saída	VirtualNetwork	*	VirtualNetwork	6380	TCP	Allow	Acessar o serviço de Cache do Azure para Redis externo para políticas de cache entre computadores (opcional)	Interno e externo
Entrada e Saída	VirtualNetwork	*	VirtualNetwork	6381 - 6383	TCP	Allow	Acessar o serviço de Cache do Azure para Redis interno para políticas de cache entre computadores (opcional)	Interno e externo
Entrada e Saída	VirtualNetwork	*	VirtualNetwork	4290	UDP	Allow	Sincronizar os contadores para políticas de Limite de Taxa entre computadores (opcional)	Interno e externo
Entrada	AzureLoadBalancer	*	VirtualNetwork	*	TCP	Allow	Infraestrutura do Azure Load Balancer (necessário para SKU Premium, opcional para outros SKUs)	Interno e externo
Entrada	AzureTrafficManager	*	VirtualNetwork	443	TCP	Allow	Roteamento do Gerenciador de Tráfego do Azure para implantação em várias regiões	Apenas externo

Marcas de serviço regional

As regras de NSG que permitem a conectividade de saída para as marcas de serviço de armazenamento, SQL e Hubs de Eventos do Azure podem usar as versões regionais dessas marcas correspondentes à região que contém a instância de Gerenciamento de API (por exemplo, Storage.WestUS para uma instância de gerenciamento de API na região Oeste dos EUA). Em implantações de várias regiões, o NSG em cada região deve permitir o tráfego para as marcas de serviço para essa região e a região primária.

Funcionalidade de TLS

Para habilitar a criação e a validação da cadeia de certificados TLS/SSL, o serviço de Gerenciamento de API precisa de conectividade de rede de saída nas portas e para , , , , , cacerts.digicert.comcrl3.digicert.com e csp.digicert.com. mscrl.microsoft.comcrl.microsoft.comoneocsp.msocsp.comocsp.msocsp.com44380

Acesso DNS

O acesso de saída na porta 53 é necessário para a comunicação com servidores DNS. Se houver um servidor DNS personalizado na outra extremidade de um gateway de VPN, o servidor DNS deverá estar acessível pela sub-rede que hospeda o Gerenciamento de API.

Integração do Microsoft Entra

Para operar corretamente, o serviço de Gerenciamento de API precisa de conectividade de saída na porta 443 para os seguintes pontos de extremidade associados ao Microsoft Entra ID: <region>.login.microsoft.com e login.microsoftonline.com.

Métricas e monitoramento de integridade

Conectividade de rede de saída com pontos de extremidade de Monitoramento do Azure, que são resolvidos nos domínios a seguir e são representados na marca de serviço AzureMonitor para uso com Grupos de Segurança de Rede.

Azure Environment	Pontos de extremidade
Público do Azure	gcs.prod.monitoring.core.windows.net global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-black.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.com
Azure Government	fairfax.warmpath.usgovcloudapi.net global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-black.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com prod5.prod.microsoftmetrics.com prod5-black.prod.microsoftmetrics.com prod5-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.us
Microsoft Azure operado pela 21Vianet	mooncake.warmpath.chinacloudapi.cn global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com prod5.prod.microsoftmetrics.com prod5-black.prod.microsoftmetrics.com prod5-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.cn

CAPTCHA do portal do desenvolvedor

Permita conectividade de rede de saída para o CAPTCHA do portal do desenvolvedor, que é resolvido sob os hosts client.hip.live.com e partner.hip.live.com.

Publicar o portal do desenvolvedor

Habilite a publicação do portal de desenvolvedor para uma instância de Gerenciamento de API em uma VNet permitindo a conectividade de saída com o armazenamento de blobs na região Oeste dos EUA. Por exemplo, use a marca de serviço Storage.WestUS em uma regra de NSG. Atualmente, a conectividade com o armazenamento de blobs na região Oeste dos EUA é necessária para publicar o portal do desenvolvedor em qualquer instância de Gerenciamento de API.

Diagnósticos do portal do Azure

Ao usar a extensão de diagnóstico de Gerenciamento de API em uma VNet, é necessário ter o acesso de saída de dc.services.visualstudio.com na porta 443 a fim de habilitar o fluxo de logs de diagnóstico no portal do Azure. Esse acesso ajuda na solução de problemas que podem ocorrer ao usar a extensão.

Azure Load Balancer

Você não precisa permitir solicitações de entrada da marca de serviço AzureLoadBalancer para o SKU Desenvolvedor, uma vez que somente uma unidade de computação é implantada nela. No entanto, a conectividade de entrada de AzureLoadBalancer se torna crítica ao ajuste da escala para um SKU mais alto, como Premium, pois uma falha da investigação de integridade do balanceador de carga bloqueia todo o acesso de entrada ao painel de controle e ao plano de dados.

Application Insights

Se você tiver habilitado o monitoramento do Azure Application Insights no Gerenciamento de API, permita a conectividade de saída com o ponto de extremidade de telemetria da VNet.

Ponto de extremidade KMS

Ao adicionar máquinas virtuais que executam Windows à VNet, permita a conectividade de saída na porta 1688 para o ponto de extremidade de KMS em sua nuvem. Essa configuração roteia o tráfego da VM do Windows para o servidor do KMS (serviços de gerenciamento de chaves) do Azure para concluir a ativação do Windows.

Infraestrutura interna e diagnóstico

As configurações e os FQDNs a seguir são necessários para manter e diagnosticar a infraestrutura de computação interna do Gerenciamento de API.

• Permitir o acesso UDP de saída na porta 123 para NTP.
• Permitir o acesso TCP de saída na porta 12000 para diagnóstico.
• Permitir o acesso de saída na porta 443 aos seguintes pontos de extremidade para diagnóstico interno: azurewatsonanalysis-prod.core.windows.net, *.data.microsoft.com, azureprofiler.trafficmanager.net, shavamanifestazurecdnprod1.azureedge.net, shavamanifestcdnprod1.azureedge.net.
• Permitir o acesso de saída na porta 443 ao seguinte ponto de extremidade para PKI interna: issuer.pki.azure.com.
• Permitir o acesso de saída nas portas 80 e 443 aos seguintes pontos de extremidade do Windows Update: *.update.microsoft.com, *.ctldl.windowsupdate.com, ctldl.windowsupdate.com, download.windowsupdate.com.
• Permitir o acesso de saída nas portas 80 e 443 ao ponto de extremidade go.microsoft.com.
• Permitir o acesso de saída na porta 443 aos seguintes pontos de extremidade do Windows Defender: wdcp.microsoft.com, wdcpalt.microsoft.com .

Controlar endereços IP planos

Importante

Os endereços IP do painel de controle para o Gerenciamento de API do Azure devem ser configurados para regras de acesso à rede somente quando necessário em determinados cenários de rede. Recomendamos usar a marca de serviço ApiManagementem vez de endereços IP do painel de controle para evitar o tempo de inatividade quando as melhorias de infraestrutura exigirem alterações de endereço IP.

Conteúdo relacionado

Saiba mais sobre:

• Conectar uma rede virtual ao back-end usando o Gateway de VPN
• Conectar uma rede virtual de diferentes modelos de implantação
• Perguntas frequentes sobre rede virtual
• Marcas de serviço

Para obter mais diretrizes sobre problemas de configuração, consulte:

• Gerenciamento de API - Perguntas frequentes sobre rede (Desmistificando a série I)
• Gerenciamento de API - Perguntas frequentes sobre rede (Desmistificando a série II)