Konfigurationsreferens för virtuellt nätverk: API Management

  • Artikel

GÄLLER FÖR: Utvecklare | Premium

Den här referensen innehåller detaljerade inställningar för nätverkskonfiguration för en API Management-instans som distribueras (matas in) i ett virtuellt Azure-nätverk i externt eller internt läge.

Alternativ, krav och överväganden för VNet-anslutning finns i Använda ett virtuellt nätverk med Azure API Management.

Portar som krävs

Kontrollera inkommande och utgående trafik till undernätet där API Management distribueras med hjälp av regler för nätverkssäkerhetsgrupp . Om vissa portar inte är tillgängliga kanske API Management inte fungerar korrekt och kan bli otillgängligt.

När en API Management-tjänstinstans finns i ett virtuellt nätverk används portarna i följande tabell. Vissa krav varierar beroende på vilken version (stv2 eller stv1) av beräkningsplattformen som är värd för din API Management-instans.

Viktigt!

  • Fetstilade objekt i kolumnen Syfte anger portkonfigurationer som krävs för lyckad distribution och drift av API Management-tjänsten. Konfigurationer med etiketten "valfritt" aktiverar specifika funktioner, enligt vad som anges. De krävs inte för tjänstens allmänna hälsa.

  • Vi rekommenderar att du använder de angivna tjänsttaggar i stället för IP-adresser i NSG och andra nätverksregler för att ange nätverkskällor och mål. Tjänsttaggar förhindrar stilleståndstid när infrastrukturförbättringar kräver ändringar av IP-adresser.

Viktigt!

När du använder stv2måste du tilldela en nätverkssäkerhetsgrupp till ditt virtuella nätverk för att Azure Load Balancer ska fungera. Läs mer i Dokumentationen om Azure Load Balancer.

Käll-/målportar Riktning Transportprotokoll Tjänsttaggar
Källa/mål		 Syfte VNet-typ
* / [80], 443 Inkommande TCP Internet/VirtualNetwork Klientkommunikation till API Management Endast externt
* / 3443 Inkommande TCP ApiManagement/VirtualNetwork Hanteringsslutpunkt för Azure-portalen och PowerShell Extern och intern
* / 443 Utgående TCP VirtualNetwork/Storage Beroende av Azure Storage Extern och intern
* / 443 Utgående TCP VirtualNetwork/AzureActiveDirectory Microsoft Entra-ID, Microsoft Graph och Azure Key Vault-beroende (valfritt) Extern och intern
* / 443 Utgående TCP VirtualNetwork/Azure Anslut ors beroende av hanterade anslutningar (valfritt) Extern och intern
* / 1433 Utgående TCP VirtualNetwork/Sql Åtkomst till Azure SQL-slutpunkter Extern och intern
* / 443 Utgående TCP VirtualNetwork/AzureKeyVault Åtkomst till Azure Key Vault Extern och intern
* / 5671, 5672, 443 Utgående TCP VirtualNetwork/EventHub Beroende för logg till Azure Event Hubs-princip och Azure Monitor (valfritt) Extern och intern
* / 445 Utgående TCP VirtualNetwork/Storage Beroende av Azure-filresurs för GIT (valfritt) Extern och intern
* / 1886, 443 Utgående TCP VirtualNetwork/AzureMonitor Publicera diagnostikloggar och mått, Resource Health och Application Insights Extern och intern
* / 6380 Inkommande och utgående TCP VirtualNetwork / VirtualNetwork Få åtkomst till extern Azure Cache for Redis-tjänst för cachelagringsprinciper mellan datorer (valfritt) Extern och intern
* / 6381 – 6383 Inkommande och utgående TCP VirtualNetwork / VirtualNetwork Få åtkomst till intern Azure Cache for Redis-tjänst för cachelagringsprinciper mellan datorer (valfritt) Extern och intern
* / 4290 Inkommande och utgående UDP VirtualNetwork / VirtualNetwork Synkronisera räknare för hastighetsbegränsningsprinciper mellan datorer (valfritt) Extern och intern
* / 6390 Inkommande TCP AzureLoadBalancer/VirtualNetwork Lastbalanserare för Azure-infrastruktur Extern och intern
* / 443 Inkommande TCP AzureTrafficManager/VirtualNetwork Azure Traffic Manager-routning för distribution i flera regioner Externt
* / 6391 Inkommande TCP AzureLoadBalancer/VirtualNetwork Övervakning av individuell datorhälsa (valfritt) Extern och intern

Regionala tjänsttaggar

NSG-regler som tillåter utgående anslutning till tjänsttaggar för Lagring, SQL och Azure Event Hubs kan använda de regionala versionerna av de taggar som motsvarar den region som innehåller API Management-instansen (till exempel Storage.WestUS för en API Management-instans i regionen USA, västra). I distributioner med flera regioner bör nätverkssäkerhetsgruppen i varje region tillåta trafik till tjänsttaggar för den regionen och den primära regionen.

TLS-funktioner

För att aktivera TLS/SSL-certifikatkedjans skapande och validering behöver API Management-tjänsten utgående nätverksanslutningar på portar 80 och 443 till ocsp.msocsp.com, oneocsp.msocsp.com, mscrl.microsoft.com, crl.microsoft.comoch csp.digicert.com. Det här beroendet krävs inte om något certifikat som du laddar upp till API Management innehåller den fullständiga kedjan till CA-roten.

DNS-åtkomst

Utgående åtkomst på porten 53 krävs för kommunikation med DNS-servrar. Om det finns en anpassad DNS-server i andra änden av en VPN-gateway måste DNS-servern kunna nås från undernätet som är värd för API Management.

Microsoft Entra-integrering

För att fungera korrekt behöver API Management-tjänsten utgående anslutning på port 443 till följande slutpunkter som är associerade med Microsoft Entra-ID: <region>.login.microsoft.com och login.microsoftonline.com.

Mått och hälsoövervakning

Utgående nätverksanslutning till Azure Monitoring-slutpunkter, som löses under följande domäner, representeras under AzureMonitor-tjänsttaggen för användning med nätverkssäkerhetsgrupper.

Azure Environment Slutpunkter
Azure Public
  • gcs.prod.monitoring.core.windows.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.com
Azure Government
  • fairfax.warmpath.usgovcloudapi.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.us
Microsoft Azure drivs av 21Vianet
  • mooncake.warmpath.chinacloudapi.cn
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.cn

CAPTCHA för utvecklarportalen

Tillåt utgående nätverksanslutning för utvecklarportalens CAPTCHA, som löses under värdarna client.hip.live.com och partner.hip.live.com.

Publicera utvecklarportalen

Aktivera publicering av utvecklarportalen för en API Management-instans i ett VNet genom att tillåta utgående anslutning till bloblagring i regionen USA, västra. Använd till exempel tjänsttaggen Storage.WestUS i en NSG-regel. För närvarande krävs anslutning till bloblagring i regionen USA, västra för att publicera utvecklarportalen för alla API Management-instanser.

Diagnostik i Azure-portalen

När du använder API Management-diagnostiktillägget inifrån ett virtuellt nätverk krävs utgående åtkomst till dc.services.visualstudio.com på porten 443 för att aktivera flödet av diagnostikloggar från Azure-portalen. Den här åtkomsten hjälper dig att felsöka problem som du kan stöta på när du använder tillägget.

Azure-lastbalanserare

Du behöver inte tillåta inkommande begäranden från tjänsttaggen AzureLoadBalancer för utvecklar-SKU:n, eftersom endast en beräkningsenhet distribueras bakom den. Inkommande anslutningar från AzureLoadBalancer blir dock kritiska vid skalning till en högre SKU, till exempel Premium, eftersom fel i hälsoavsökningen från lastbalanseraren sedan blockerar all inkommande åtkomst till kontrollplanet och dataplanet.

Programinsikter

Om du har aktiverat Azure Application Insights-övervakning på API Management tillåter du utgående anslutning till telemetrislutpunkten från det virtuella nätverket.

KMS-slutpunkt

När du lägger till virtuella datorer som kör Windows i det virtuella nätverket tillåter du utgående anslutning på porten 1688 till KMS-slutpunkten i molnet. Den här konfigurationen dirigerar Windows VM-trafik till Azure nyckelhanteringstjänst (KMS)s-servern (KMS) för att slutföra Windows-aktiveringen.

Intern infrastruktur och diagnostik

Följande inställningar och FQDN krävs för att underhålla och diagnostisera API Managements interna beräkningsinfrastruktur.

  • Tillåt utgående UDP-åtkomst på porten 123 för NTP.
  • Tillåt utgående TCP-åtkomst på porten 12000 för diagnostik.
  • Tillåt utgående åtkomst på porten 443 till följande slutpunkter för intern diagnostik: azurewatsonanalysis-prod.core.windows.net, , *.data.microsoft.comazureprofiler.trafficmanager.net, shavamanifestazurecdnprod1.azureedge.net, . shavamanifestcdnprod1.azureedge.net
  • Tillåt utgående åtkomst på porten 443 till följande slutpunkt för intern PKI: issuer.pki.azure.com.
  • Tillåt utgående åtkomst på portar 80 och 443 till följande slutpunkter för Windows Update: *.update.microsoft.com, *.ctldl.windowsupdate.com, ctldl.windowsupdate.com, download.windowsupdate.com.
  • Tillåt utgående åtkomst på portar 80 och 443 till slutpunkten go.microsoft.com.
  • Tillåt utgående åtkomst på porten 443 till följande slutpunkter för Windows Defender: wdcp.microsoft.com, wdcpalt.microsoft.com .

Ip-adresser för kontrollplan

Viktigt!

Ip-adresser för kontrollplan för Azure API Management bör endast konfigureras för regler för nätverksåtkomst när det behövs i vissa nätverksscenarier. Vi rekommenderar att du använder tjänsttaggen ApiManagementi stället för kontrollplanets IP-adresser för att förhindra stilleståndstid när infrastrukturförbättringar kräver IP-adressändringar.

Relaterat innehåll

Läs mer om:

Mer information om konfigurationsproblem finns i: