Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
ОБЛАСТЬ ПРИМЕНЕНИЯ: Разработчик | Премия
Эта ссылка содержит подробные параметры конфигурации сети для экземпляра службы управления API, развернутого (внедренного) в виртуальной сети Azure в режиме external или internal.
Параметры подключения, требования и рекомендации по подключению к виртуальной сети см. в статье Using a virtual network with Azure API Management.
Внимание
Эта ссылка применяется только к Управление API экземплярам в классических уровнях, развернутых в виртуальной сети. Сведения о внедрении виртуальных сетей на уровнях версии 2 см. в разделе Inject экземпляр Azure API Management в частной виртуальной сети уровня Premium версии 2.
Требуемые порты
Входящим и исходящим трафиком в подсети, в которой развернута служба службы "Управление API", можно управлять с помощью правил групп безопасности сети. Если определенные порты недоступны, служба "Управление API" может не работать должным образом и даже стать недоступной.
При размещении экземпляра службы "Управление API" в виртуальной сети используются порты, указанные в следующей таблице.
Внимание
Элементы, выделенные полужирным шрифтом в столбце Назначение указывают на конфигурации портов, необходимых для успешного развертывания и работы службы "Управление API". Конфигурации с меткой "необязательные" позволяют включить определенные функции, как указано. Они не являются обязательными для общей работоспособности службы.
Рекомендуется использовать указанные теги служб вместо IP-адресов в NSG и других правилах сети, чтобы указать источники сети и назначения. Теги служб позволяют предотвратить простой, когда улучшения инфраструктуры требуют изменения IP-адресов.
Внимание
Для работы Azure Load Balancer необходимо назначить группе безопасности сети виртуальную сеть. Дополнительные сведения см. в документации Azure Load Balancer.
| Направление | Тег службы источника | Диапазоны исходных портов | Назначение: тег службы | Диапазоны портов назначения | Протокол | Действие | Назначение | Тип виртуальной сети |
|---|---|---|---|---|---|---|---|---|
| Входящий трафик | Интернет | * | Виртуальная сеть | [80], 443 | Протокол tcp | Разрешить | Взаимодействие клиента с Управление API | Только внешний |
| Входящий трафик | Управление API | * | Виртуальная сеть | 3443 | Протокол tcp | Разрешить | Конечная точка Management для портала Azure и PowerShell | Внешний и внутренний |
| Исходящие | Виртуальная сеть | * | Интернет | 80 | Протокол tcp | Разрешить | Validation и управление управляемыми Microsoft и управляемыми клиентом сертификатами | Внешний и внутренний |
| Исходящие | Виртуальная сеть | * | Память | 443 | Протокол tcp | Разрешить | Dependency в служба хранилища Azure | Внешний и внутренний |
| Исходящие | Виртуальная сеть | * | AzureActiveDirectory | 443 | Протокол tcp | Разрешить | Microsoft Entra ID, Microsoft Graph, и зависимость Azure Key Vault (необязательно) | Внешний и внутренний |
| Исходящие | Виртуальная сеть | * | AzureConnectors | 443 | Протокол tcp | Разрешить | Зависимость конечной точки диспетчера учетных данных диспетчера учетных данных API (необязательно) | Внешний и внутренний |
| Исходящие | Виртуальная сеть | * | SQL | 1433 | Протокол tcp | Разрешить | Access для конечных точек Azure SQL | Внешний и внутренний |
| Исходящие | Виртуальная сеть | * | AzureKeyVault | 443 | Протокол tcp | Разрешить | Access для Azure Key Vault | Внешний и внутренний |
| Исходящие | Виртуальная сеть | * | Концентратор событий | 5671, 5672, 443 | Протокол tcp | Разрешить | Зависимость Log для политики Центры событий Azure и Azure Monitor (необязательно) | Внешний и внутренний |
| Исходящие | Виртуальная сеть | * | AzureMonitor | 1886, 443 | Протокол tcp | Разрешить | Publish Diagnostics Logs и Metrics, Работоспособность ресурсов и Application Insights | Внешний и внутренний |
| Входящий и исходящий | Виртуальная сеть | * | виртуальная сеть | 10000 | Протокол tcp | Разрешить | Доступ к внешней службе Redis Azure для кэширования между компьютерами (необязательно) | Внешний и внутренний |
| Входящий и исходящий | Виртуальная сеть | * | Виртуальная сеть | 6381 - 6383 | Протокол tcp | Разрешить | Доступ к внутреннему кэшу для политик кэширования между компьютерами (необязательно) | Внешний и внутренний |
| Входящий и исходящий | Виртуальная сеть | * | Виртуальная сеть | 4290 | UDP | Разрешить | Счетчики синхронизации для политик ограничения скорости между компьютерами (необязательно) | Внешний и внутренний |
| Входящий трафик | Балансировщик нагрузки Azure | * | Виртуальная сеть | 6390 | Протокол tcp | Разрешить | Azure инфраструктура Load Balancer | Внешний и внутренний |
| Входящий трафик | AzureTrafficManager | * | Виртуальная сеть | 443 | Протокол tcp | Разрешить | Диспетчер трафика Azure маршрутизация для развертывания в нескольких регионах | Внешняя. |
| Входящий трафик | Балансировщик нагрузки Azure | * | VirtualNetwork 6391 | Протокол tcp | Разрешить | Мониторинг работоспособности отдельного компьютера (необязательно) | Внешний и внутренний |
Теги региональной службы
Правила NSG, разрешающие исходящее подключение к хранилищу, SQL и Центры событий Azure теги служб, могут использовать региональные версии этих тегов, соответствующих региону, содержащему экземпляр управления API (например, Storage.WestUS для экземпляра управления API в регионе "Западная часть США"). В развертываниях с несколькими регионами группа безопасности сети должна разрешать трафик в теги службы для этого региона и основного региона.
Функциональность TLS
Чтобы включить сборку и проверку цепочки сертификатов TLS/SSL, служба управления API нуждается в исходящем сетевом подключении к портам 80 и , и , 443mscrl.microsoft.comcrl.microsoft.comoneocsp.microsoft.com и .cacerts.digicert.comcrl3.digicert.comcsp.digicert.com
Доступ к DNS
Исходящий доступ через порт 53 необходим для обмена данными с DNS-серверами. Если на другой стороне VPN-шлюза имеется пользовательский DNS-сервер, этот сервер должен быть доступен из подсети, в которой размещена служба управления API.
интеграция Microsoft Entra
Для правильной работы службы управления API требуется исходящее подключение через порт 443 к следующим конечным точкам, связанным с Microsoft Entra ID: <region>.login.microsoft.com и login.microsoftonline.com.
Наблюдение за работоспособностью системы и метриками
Исходящее сетевое подключение к конечным точкам мониторинга Azure, которые разрешаются в следующих доменах, представлены в AzureMonitor тег службы для использования с группами безопасности сети.
| среда Azure | Конечные точки |
|---|---|
| общедоступная Azure |
|
| Azure для государственных организаций |
|
| Microsoft Azure, управляемый 21Vianet |
|
CAPTCHA на портале разработчика
Допустить исходящее сетевое подключение для CAPTCHA на портале разработчика, которое разрешается в узлах client.hip.live.com и partner.hip.live.com.
Публикация портала разработчика
Включите публикацию портала developer для экземпляра управления API в виртуальной сети путем предоставления исходящего подключения к служба хранилища Azure. Например, используйте тег службы хранилища в правиле NSG. В настоящее время для публикации портала разработчика для любого экземпляра управления API требуется подключение к служба хранилища Azure через глобальные или региональные конечные точки службы.
диагностика портала Azure
При использовании расширения диагностики управления API из виртуальной сети исходящий доступ к dc.services.visualstudio.com на порте 443 требуется для включения потока журналов диагностики с портала Azure. Это помогает в устранении неполадок, которые могут возникнуть при использовании расширения.
подсистема балансировки нагрузки Azure
Разрешение входящего запроса из тега службы AzureLoadBalancer для SKU разработчика не является обязательным, так как за ним развертывается только одна единица вычислений. Однако входящий трафик из AzureLoadBalancer становится критически важным при масштабировании до более высокого SKU, например, "Премиум", поскольку сбой пробы работоспособности из подсистемы балансировки нагрузки после этого блокирует весь входящий доступ к уровню управления и плоскости данных.
Application Insights
Если вы включили приложение Azure Insights мониторинг управления API, разрешите исходящее подключение к конечной точке телеметрии из виртуальной сети.
Конечная точка KMS
При добавлении виртуальных машин, работающих Windows в виртуальную сеть, разрешайте исходящие подключения через порт 1688 к конечной точке KMS в облаке. Эта конфигурация направляет Windows трафик виртуальной машины на сервер служб управления ключами Azure (KMS), чтобы завершить активацию Windows.
Внутренняя инфраструктура и диагностика
Для обслуживания и диагностики внутренней вычислительной инфраструктуры Управление API требуются следующие параметры и полные доменные имена.
- Разрешить исходящий доступ UDP через порт
123для NTP. - Разрешить исходящий доступ через порт
443к следующим конечным точкам для внутренних диагностика:azurewatsonanalysis-prod.core.windows.net, ,*.data.microsoft.comazureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.netshavamanifestcdnprod1.azureedge.net. - Разрешить исходящий доступ через порт
443к следующей конечной точке для внутреннего PKI:issuer.pki.azure.com - Разрешить исходящий доступ к портам
80и443к следующим конечным точкам для клиентский компонент Центра обновления Windows:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - Разрешить исходящий доступ к портам
80и443конечной точкеgo.microsoft.com. - Разрешить исходящий доступ через порт
443к следующим конечным точкам для Windows Defender:wdcp.microsoft.com,wdcpalt.microsoft.com.
IP-адреса уровня управления
Внимание
IP-адреса плоскости управления для Azure API Management должны быть настроены только для правил доступа к сети, только если это необходимо в определенных сетевых сценариях. Мы рекомендуем использовать тег службы ApiManagement вместо IP-адресов плоскости управления, чтобы предотвратить простой, когда улучшения инфраструктуры требуют изменения IP-адресов.
Связанный контент
Дополнительные сведения:
- Подключение виртуальной сети к бэкенду с использованием VPN-шлюза
- Подключение виртуальной сети из различных моделей развертывания
- виртуальная сеть часто задаваемые вопросы
- Теги служб
Дополнительные рекомендации по проблемам конфигурации см. в следующем разделе: