Referência de configuração de rede virtual: Gerenciamento de API
APLICA-SE A: Developer | Prémio
Esta referência fornece definições detalhadas de configuração de rede para uma instância de Gerenciamento de API implantada (injetada) em uma rede virtual do Azure no modo externo ou interno .
Para opções, requisitos e considerações de conectividade de rede virtual, consulte Usando uma rede virtual com o Gerenciamento de API do Azure.
Portas necessárias
Controle o tráfego de entrada e saída para a sub-rede na qual o Gerenciamento de API é implantado usando regras de grupo de segurança de rede. Se determinadas portas não estiverem disponíveis, o Gerenciamento de API pode não funcionar corretamente e pode ficar inacessível.
Quando uma instância de serviço de Gerenciamento de API é hospedada em uma rede virtual, as portas na tabela a seguir são usadas. Alguns requisitos diferem dependendo da versão (stv2 ou stv1) da plataforma de computação que hospeda sua instância de Gerenciamento de API.
Importante
Os itens em negrito na coluna Finalidade indicam as configurações de porta necessárias para a implantação e operação bem-sucedidas do serviço de Gerenciamento de API. As configurações rotuladas como "opcionais" permitem recursos específicos, conforme observado. Eles não são necessários para a saúde geral do serviço.
Recomendamos usar as tags de serviço indicadas em vez de endereços IP no NSG e outras regras de rede para especificar fontes e destinos de rede. As etiquetas de serviço evitam o tempo de inatividade quando melhorias na infraestrutura exigem alterações no endereço IP.
Importante
Ao usar stv2o , é necessário atribuir um Grupo de Segurança de Rede à sua rede virtual para que o Balanceador de Carga do Azure funcione. Saiba mais na documentação do Balanceador de Carga do Azure.
| Porta(s) de Origem/Destino | Direção | Protocolo de transporte | Etiquetas de serviço Origem / Destino |
Propósito | Tipo de VNet |
|---|---|---|---|---|---|
| * / [80], 443 | Interna | TCP | Internet / VirtualNetwork | Comunicação do cliente com o Gerenciamento de API | Apenas externo |
| * / 3443 | Interna | TCP | ApiManagement / Rede Virtual | Ponto de extremidade de gerenciamento para o portal do Azure e o PowerShell | Externo e Interno |
| */443 | Saída | TCP | VirtualNetwork/Armazenamento | Dependência do Armazenamento do Azure | Externo e Interno |
| */443 | Saída | TCP | VirtualNetwork / AzureActiveDirectory | Dependência do Microsoft Entra ID, Microsoft Graph e Azure Key Vault (opcional) | Externo e Interno |
| */443 | Saída | TCP | VirtualNetwork / AzureConnectors | dependência de conexões gerenciadas (opcional) | Externo e Interno |
| */1433 | Saída | TCP | VirtualNetwork / Sql | Acesso aos pontos de extremidade SQL do Azure | Externo e Interno |
| */443 | Saída | TCP | VirtualNetwork / AzureKeyVault | Acesso ao Azure Key Vault | Externo e Interno |
| * / 5671, 5672, 443 | Saída | TCP | VirtualNetwork / EventHub | Dependência para a política de Log to Azure Event Hubs e Azure Monitor (opcional) | Externo e Interno |
| * / 445 | Saída | TCP | VirtualNetwork/Armazenamento | Dependência do Compartilhamento de Arquivos do Azure para GIT (opcional) | Externo e Interno |
| * / 1886, 443 | Saída | TCP | VirtualNetwork / AzureMonitor | Publique logs e métricas de diagnóstico, integridade de recursos e insights de aplicativos | Externo e Interno |
| * / 6380 | Entrada e Saída | TCP | VirtualNetwork/VirtualNetwork | Acessar o serviço externo do Cache do Azure para Redis para armazenar políticas de cache entre máquinas (opcional) | Externo e Interno |
| * / 6381 - 6383 | Entrada e Saída | TCP | VirtualNetwork/VirtualNetwork | Acessar o serviço interno do Cache do Azure para Redis para políticas de cache entre máquinas (opcional) | Externo e Interno |
| * / 4290 | Entrada e Saída | UDP | VirtualNetwork/VirtualNetwork | Contadores de sincronização para políticas de limite de taxa entre máquinas (opcional) | Externo e Interno |
| */6390 | Entrada | TCP | AzureLoadBalancer/VirtualNetwork | Azure Infrastructure Load Balancer | Externo e Interno |
| */443 | Interna | TCP | AzureTrafficManager / VirtualNetwork | Roteamento do Azure Traffic Manager para implantação em várias regiões | Externa |
| * / 6391 | Interna | TCP | AzureLoadBalancer/VirtualNetwork | Monitorização do estado de funcionamento de cada máquina (Opcional) | Externo e Interno |
Tags de serviço regional
As regras NSG que permitem a conectividade de saída com as tags de serviço Armazenamento, SQL e Hubs de Eventos do Azure podem usar as versões regionais dessas tags correspondentes à região que contém a instância de Gerenciamento de API (por exemplo, Storage.WestUS para uma instância de Gerenciamento de API na região Oeste dos EUA). Em implantações de várias regiões, o NSG em cada região deve permitir o tráfego para as tags de serviço dessa região e da região primária.
Funcionalidade TLS
Para habilitar a criação e a validação da cadeia de certificados TLS/SSL, o serviço de Gerenciamento de API precisa de conectividade de rede de saída em portas 80 e 443 para ocsp.msocsp.com, oneocsp.msocsp.com, mscrl.microsoft.com, crl.microsoft.come csp.digicert.com. Essa dependência não será necessária se qualquer certificado carregado no Gerenciamento de API contiver a cadeia completa para a raiz da autoridade de certificação.
Acesso DNS
O acesso de saída na porta 53 é necessário para a comunicação com servidores DNS. Se existir um servidor DNS personalizado na outra extremidade de um gateway VPN, o servidor DNS deve ser acessível a partir da sub-rede que hospeda o Gerenciamento de API.
Integração com o Microsoft Entra
Para funcionar corretamente, o serviço de Gerenciamento de API precisa de conectividade de saída na porta 443 para os seguintes pontos de extremidade associados ao Microsoft Entra ID: <region>.login.microsoft.com e login.microsoftonline.com.
Métricas e monitoramento de integridade
A conectividade de rede de saída para os pontos de extremidade do Azure Monitoring, que são resolvidos nos domínios a seguir, são representados na marca de serviço AzureMonitor para uso com Grupos de Segurança de Rede.
| Ambiente do Azure | Pontos finais |
|---|---|
| Azure Público |
|
| Azure Government |
|
| Microsoft Azure operado pela 21Vianet |
|
Portal do desenvolvedor CAPTCHA
Permita a conectividade de rede de saída para o CAPTCHA do portal do desenvolvedor, que é resolvido sob os hosts client.hip.live.com e partner.hip.live.com.
Publicando o portal do desenvolvedor
Habilite a publicação do portal do desenvolvedor para uma instância de Gerenciamento de API em uma VNet permitindo a conectividade de saída para o armazenamento de blob na região Oeste dos EUA. Por exemplo, use a tag de serviço Storage.WestUS em uma regra NSG. Atualmente, a conectividade com o armazenamento de blob na região Oeste dos EUA é necessária para publicar o portal do desenvolvedor para qualquer instância de Gerenciamento de API.
Diagnóstico do portal do Azure
Ao usar a extensão de diagnóstico do Gerenciamento de API de dentro de uma VNet, o acesso de saída à dc.services.visualstudio.com porta 443 é necessário para habilitar o fluxo de logs de diagnóstico do portal do Azure. Esse acesso ajuda na solução de problemas que você pode enfrentar ao usar a extensão.
Balanceador de carga do Azure
Não é necessário permitir solicitações de entrada da tag AzureLoadBalancer de serviço para a SKU do desenvolvedor, pois apenas uma unidade de computação é implantada por trás dela. No entanto, a conectividade de entrada torna-se AzureLoadBalancer crítica ao dimensionar para uma SKU mais alta, como Premium, porque a falha da sonda de integridade do balanceador de carga bloqueia todo o acesso de entrada ao plano de controle e ao plano de dados.
Application Insights
Se você habilitou o monitoramento do Azure Application Insights no Gerenciamento de API, permita a conectividade de saída para o ponto de extremidade de telemetria a partir da VNet.
Ponto de extremidade KMS
Ao adicionar máquinas virtuais que executam o Windows à rede virtual, permita a conectividade de saída na porta 1688 para o ponto de extremidade KMS em sua nuvem. Essa configuração roteia o tráfego de VM do Windows para o servidor KMS (Serviços de Gerenciamento de Chaves) do Azure para concluir a ativação do Windows.
Infraestrutura interna e diagnóstico
As configurações e FQDNs a seguir são necessários para manter e diagnosticar a infraestrutura de computação interna do Gerenciamento de API.
- Permitir acesso UDP de saída na porta
123para NTP. - Permitir acesso TCP de saída na porta
12000para diagnóstico. - Permita o acesso de saída na porta
443aos seguintes pontos de extremidade para diagnóstico interno:azurewatsonanalysis-prod.core.windows.net,*.data.microsoft.com,azureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net,shavamanifestcdnprod1.azureedge.net. - Permita o acesso de saída na porta
443ao seguinte ponto de extremidade para PKI interna:issuer.pki.azure.com. - Permita acesso de saída em portas
80e443aos seguintes pontos de extremidade para o Windows Update:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - Permitir acesso de saída em portas
80e443para o ponto de extremidadego.microsoft.com. - Permita o acesso de saída na porta
443aos seguintes pontos de extremidade para o Windows Defender:wdcp.microsoft.com,wdcpalt.microsoft.com.
Endereços IP do plano de controlo
Importante
Os endereços IP do plano de controle para o Gerenciamento de API do Azure devem ser configurados para regras de acesso à rede somente quando necessário em determinados cenários de rede. Recomendamos usar a tag de serviço ApiManagement em vez de endereços IP do plano de controle para evitar tempo de inatividade quando melhorias na infraestrutura exigirem alterações no endereço IP.
Conteúdos relacionados
Saiba mais sobre:
- Conectando uma rede virtual ao back-end usando o Gateway VPN
- Conectando uma rede virtual a partir de diferentes modelos de implantação
- Perguntas frequentes sobre a Rede Virtual
- Etiquetas de serviço
Para obter mais orientações sobre problemas de configuração, consulte: