Konfigurationsreferens för virtuellt nätverk: API Management
GÄLLER FÖR: Utvecklare | Premie
Den här referensen innehåller detaljerade inställningar för nätverkskonfiguration för en API Management-instans som distribueras (matas in) i ett virtuellt Azure-nätverk i externt eller internt läge.
Alternativ, krav och överväganden för VNet-anslutning finns i Använda ett virtuellt nätverk med Azure API Management.
Portar som krävs
Kontrollera inkommande och utgående trafik till undernätet där API Management distribueras med hjälp av regler för nätverkssäkerhetsgrupp . Om vissa portar inte är tillgängliga kanske API Management inte fungerar korrekt och kan bli otillgängligt.
När en API Management-tjänstinstans finns i ett virtuellt nätverk används portarna i följande tabell. Vissa krav varierar beroende på vilken version (stv2
eller stv1
) av beräkningsplattformen som är värd för din API Management-instans.
Viktigt!
Fetstilade objekt i kolumnen Syfte anger portkonfigurationer som krävs för lyckad distribution och drift av API Management-tjänsten. Konfigurationer med etiketten "valfritt" aktiverar specifika funktioner, enligt vad som anges. De krävs inte för tjänstens allmänna hälsa.
Vi rekommenderar att du använder de angivna tjänsttaggar i stället för IP-adresser i NSG och andra nätverksregler för att ange nätverkskällor och mål. Tjänsttaggar förhindrar stilleståndstid när infrastrukturförbättringar kräver ändringar av IP-adresser.
Viktigt!
När du använder stv2
måste du tilldela en nätverkssäkerhetsgrupp till ditt virtuella nätverk för att Azure Load Balancer ska fungera. Läs mer i Dokumentationen om Azure Load Balancer.
Käll-/målportar | Riktning | Transportprotokoll | Tjänsttaggar Källa/mål |
Syfte | VNet-typ |
---|---|---|---|---|---|
* / [80], 443 | Inkommande | TCP | Internet/VirtualNetwork | Klientkommunikation till API Management | Endast externt |
* / 3443 | Inkommande | TCP | ApiManagement/VirtualNetwork | Hanteringsslutpunkt för Azure-portalen och PowerShell | Extern och intern |
* / 443 | Utgående | TCP | VirtualNetwork/Storage | Beroende av Azure Storage | Extern och intern |
* / 443 | Utgående | TCP | VirtualNetwork/AzureActiveDirectory | Microsoft Entra-ID, Microsoft Graph och Azure Key Vault-beroende (valfritt) | Extern och intern |
* / 443 | Utgående | TCP | VirtualNetwork/AzureConnectors | beroende av hanterade anslutningar (valfritt) | Extern och intern |
* / 1433 | Utgående | TCP | VirtualNetwork/Sql | Åtkomst till Azure SQL-slutpunkter | Extern och intern |
* / 443 | Utgående | TCP | VirtualNetwork/AzureKeyVault | Åtkomst till Azure Key Vault | Extern och intern |
* / 5671, 5672, 443 | Utgående | TCP | VirtualNetwork/EventHub | Beroende för logg till Azure Event Hubs-princip och Azure Monitor (valfritt) | Extern och intern |
* / 445 | Utgående | TCP | VirtualNetwork/Storage | Beroende av Azure-filresurs för GIT (valfritt) | Extern och intern |
* / 1886, 443 | Utgående | TCP | VirtualNetwork/AzureMonitor | Publicera diagnostikloggar och mått, Resource Health och Application Insights | Extern och intern |
* / 6380 | Inkommande och utgående | TCP | VirtualNetwork / VirtualNetwork | Få åtkomst till extern Azure Cache for Redis-tjänst för cachelagringsprinciper mellan datorer (valfritt) | Extern och intern |
* / 6381 – 6383 | Inkommande och utgående | TCP | VirtualNetwork / VirtualNetwork | Få åtkomst till intern Azure Cache for Redis-tjänst för cachelagringsprinciper mellan datorer (valfritt) | Extern och intern |
* / 4290 | Inkommande och utgående | UDP | VirtualNetwork / VirtualNetwork | Synkronisera räknare för hastighetsbegränsningsprinciper mellan datorer (valfritt) | Extern och intern |
* / 6390 | Inkommande | TCP | AzureLoadBalancer/VirtualNetwork | Lastbalanserare för Azure-infrastruktur | Extern och intern |
* / 443 | Inkommande | TCP | AzureTrafficManager/VirtualNetwork | Azure Traffic Manager-routning för distribution i flera regioner | Externt |
* / 6391 | Inkommande | TCP | AzureLoadBalancer/VirtualNetwork | Övervakning av individuell datorhälsa (valfritt) | Extern och intern |
Regionala tjänsttaggar
NSG-regler som tillåter utgående anslutning till tjänsttaggar för Lagring, SQL och Azure Event Hubs kan använda de regionala versionerna av de taggar som motsvarar den region som innehåller API Management-instansen (till exempel Storage.WestUS för en API Management-instans i regionen USA, västra). I distributioner med flera regioner bör nätverkssäkerhetsgruppen i varje region tillåta trafik till tjänsttaggar för den regionen och den primära regionen.
TLS-funktioner
För att aktivera TLS/SSL-certifikatkedjans skapande och validering behöver API Management-tjänsten utgående nätverksanslutningar på portar 80
och 443
till ocsp.msocsp.com
, oneocsp.msocsp.com
, mscrl.microsoft.com
, crl.microsoft.com
och csp.digicert.com
. Det här beroendet krävs inte om något certifikat som du laddar upp till API Management innehåller den fullständiga kedjan till CA-roten.
DNS-åtkomst
Utgående åtkomst på porten 53
krävs för kommunikation med DNS-servrar. Om det finns en anpassad DNS-server i andra änden av en VPN-gateway måste DNS-servern kunna nås från undernätet som är värd för API Management.
Microsoft Entra-integrering
För att fungera korrekt behöver API Management-tjänsten utgående anslutning på port 443 till följande slutpunkter som är associerade med Microsoft Entra-ID: <region>.login.microsoft.com
och login.microsoftonline.com
.
Mått och hälsoövervakning
Utgående nätverksanslutning till Azure Monitoring-slutpunkter, som löses under följande domäner, representeras under AzureMonitor-tjänsttaggen för användning med nätverkssäkerhetsgrupper.
Azure Environment | Slutpunkter |
---|---|
Azure Public |
|
Azure Government |
|
Microsoft Azure drivs av 21Vianet |
|
CAPTCHA för utvecklarportalen
Tillåt utgående nätverksanslutning för utvecklarportalens CAPTCHA, som löses under värdarna client.hip.live.com
och partner.hip.live.com
.
Publicera utvecklarportalen
Aktivera publicering av utvecklarportalen för en API Management-instans i ett VNet genom att tillåta utgående anslutning till bloblagring i regionen USA, västra. Använd till exempel tjänsttaggen Storage.WestUS i en NSG-regel. För närvarande krävs anslutning till bloblagring i regionen USA, västra för att publicera utvecklarportalen för alla API Management-instanser.
Diagnostik i Azure-portalen
När du använder API Management-diagnostiktillägget inifrån ett virtuellt nätverk krävs utgående åtkomst till dc.services.visualstudio.com
på porten 443
för att aktivera flödet av diagnostikloggar från Azure-portalen. Den här åtkomsten hjälper dig att felsöka problem som du kan stöta på när du använder tillägget.
Azure-lastbalanserare
Du behöver inte tillåta inkommande begäranden från tjänsttaggen AzureLoadBalancer
för utvecklar-SKU:n, eftersom endast en beräkningsenhet distribueras bakom den. Inkommande anslutningar från AzureLoadBalancer
blir dock kritiska vid skalning till en högre SKU, till exempel Premium, eftersom fel i hälsoavsökningen från lastbalanseraren sedan blockerar all inkommande åtkomst till kontrollplanet och dataplanet.
Programinsikter
Om du har aktiverat Azure Application Insights-övervakning på API Management tillåter du utgående anslutning till telemetrislutpunkten från det virtuella nätverket.
KMS-slutpunkt
När du lägger till virtuella datorer som kör Windows i det virtuella nätverket tillåter du utgående anslutning på porten 1688
till KMS-slutpunkten i molnet. Den här konfigurationen dirigerar Windows VM-trafik till AZURE Key Management Services-servern (KMS) för att slutföra Windows-aktiveringen.
Intern infrastruktur och diagnostik
Följande inställningar och FQDN krävs för att underhålla och diagnostisera API Managements interna beräkningsinfrastruktur.
- Tillåt utgående UDP-åtkomst på porten
123
för NTP. - Tillåt utgående TCP-åtkomst på porten
12000
för diagnostik. - Tillåt utgående åtkomst på porten
443
till följande slutpunkter för intern diagnostik:azurewatsonanalysis-prod.core.windows.net
, ,*.data.microsoft.com
azureprofiler.trafficmanager.net
,shavamanifestazurecdnprod1.azureedge.net
, .shavamanifestcdnprod1.azureedge.net
- Tillåt utgående åtkomst på porten
443
till följande slutpunkt för intern PKI:issuer.pki.azure.com
. - Tillåt utgående åtkomst på portar
80
och443
till följande slutpunkter för Windows Update:*.update.microsoft.com
,*.ctldl.windowsupdate.com
,ctldl.windowsupdate.com
,download.windowsupdate.com
. - Tillåt utgående åtkomst på portar
80
och443
till slutpunktengo.microsoft.com
. - Tillåt utgående åtkomst på porten
443
till följande slutpunkter för Windows Defender:wdcp.microsoft.com
,wdcpalt.microsoft.com
.
Ip-adresser för kontrollplan
Viktigt!
Ip-adresser för kontrollplan för Azure API Management bör endast konfigureras för regler för nätverksåtkomst när det behövs i vissa nätverksscenarier. Vi rekommenderar att du använder tjänsttaggen ApiManagement i stället för kontrollplanets IP-adresser för att förhindra stilleståndstid när infrastrukturförbättringar kräver IP-adressändringar.
Relaterat innehåll
Läs mer om:
- Ansluta ett virtuellt nätverk till serverdelen med VPN Gateway
- Ansluta ett virtuellt nätverk från olika distributionsmodeller
- Vanliga frågor och svar om virtuellt nätverk
- Tjänsttaggar
Mer information om konfigurationsproblem finns i: