Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
ŞUNLAR IÇIN GEÇERLIDIR: Geliştirici | Premium
Bu başvuru, dış veya iç modda bir Azure sanal ağına dağıtılan (eklenen) bir API Management örneği için ayrıntılı ağ yapılandırma ayarları sağlar.
Sanal ağ bağlantı seçenekleri, gereksinimleri ve dikkat edilmesi gerekenler için bkz . Azure API Management ile sanal ağ kullanma.
Önemli
Bu başvuru yalnızca bir sanal ağda dağıtılan klasik katmanlardaki API Management örnekleri için geçerlidir. v2 katmanlarına sanal ağ ekleme hakkında bilgi için bkz . Özel bir sanal ağa Azure API Management örneği ekleme - Premium v2 katmanı.
Gerekli bağlantı noktaları
Ağ güvenlik grubu kurallarını kullanarak API Management'ın dağıtıldığı alt ağa gelen ve giden trafiği denetleyin. Bazı bağlantı noktaları kullanılamıyorsa API Management düzgün çalışmayabilir ve erişilemez duruma gelebilir.
Bir API Management hizmet örneği bir sanal ağda barındırıldığında, aşağıdaki tablodaki bağlantı noktaları kullanılır.
Önemli
Amaç sütunundaki kalın öğeler, API Management hizmetinin başarılı dağıtımı ve çalıştırılması için gereken bağlantı noktası yapılandırmalarını gösterir. "İsteğe bağlı" etiketli yapılandırmalar, belirtildiği gibi belirli özellikleri etkinleştirir. Hizmetin genel durumu için gerekli değildir.
Ağ kaynaklarını ve hedeflerini belirtmek için NSG ve diğer ağ kurallarında IP adresleri yerine belirtilen hizmet etiketlerini kullanmanızı öneririz. Altyapı geliştirmeleri IP adresi değişikliklerini gerektirdiğinde hizmet etiketleri kapalı kalma süresini önler.
Önemli
Azure Load Balancer'ın çalışması için sanal ağınıza bir Ağ Güvenlik Grubu atamanız gerekir. Azure Load Balancer belgelerinde daha fazla bilgi edinin.
| Yön | Kaynak hizmeti etiketi | Kaynak bağlantı noktası aralıkları | Hedef hizmet etiketi | Hedef bağlantı noktası aralıkları | Protokol | Eylem | Amaç | Sanal ağ türü |
|---|---|---|---|---|---|---|---|---|
| Gelen | İnternet | * | Sanal Ağ | [80], 443 | TCP | İzin Ver | API Management ile istemci iletişimi | Yalnızca dış |
| Gelen | ApiManagement | * | Sanal Ağ | 3443 | TCP | İzin Ver | Azure portalı ve PowerShell için yönetim uç noktası | Dış ve İç |
| Giden | Sanal Ağ | * | İnternet | 80 | TCP | İzin Ver | Microsoft tarafından yönetilen ve müşteri tarafından yönetilen sertifikaların doğrulanması ve yönetimi | Dış ve İç |
| Giden | Sanal Ağ | * | Depolama | 443 | TCP | İzin Ver | Azure Depolama'ya bağımlılık | Dış ve İç |
| Giden | Sanal Ağ | * | Azure ActiveDirectory (Azure ActiveDirectory) | 443 | TCP | İzin Ver | Microsoft Entra Id, Microsoft Graph ve Azure Key Vault bağımlılığı (isteğe bağlı) | Dış ve İç |
| Giden | Sanal Ağ | * | AzureConnectors | 443 | TCP | İzin Ver | yönetilen bağlantılar bağımlılığı (isteğe bağlı) | Dış ve İç |
| Giden | Sanal Ağ | * | SQL | 1433 | TCP | İzin Ver | Azure SQL uç noktalarına erişim | Dış ve İç |
| Giden | Sanal Ağ | * | AzureKeyVault | 443 | TCP | İzin Ver | Azure Key Vault'a erişim | Dış ve İç |
| Giden | Sanal Ağ | * | EventHub | 5671, 5672, 443 | TCP | İzin Ver | Azure Event Hubs ilkesine ve Azure İzleyici'ye Günlük bağımlılığı (isteğe bağlı) | Dış ve İç |
| Giden | Sanal Ağ | * | AzureMonitor | 1886, 443 | TCP | İzin Ver | Tanılama Günlüklerini ve Ölçümlerini, Kaynak Durumu ve Application Insights'ı yayımlama | Dış ve İç |
| Gelen ve Giden | Sanal Ağ | * | Sanal Ağ | 6380 | TCP | İzin Ver | Makineler arasında önbelleğe alma ilkeleri için dış Redis için Azure Cache hizmetine erişme (isteğe bağlı) | Dış ve İç |
| Gelen ve Giden | Sanal Ağ | * | Sanal Ağ | 6381 - 6383 | TCP | İzin Ver | Makineler arasında önbelleğe alma ilkeleri için iç Redis için Azure Cache hizmetine erişme (isteğe bağlı) | Dış ve İç |
| Gelen ve Giden | Sanal Ağ | * | Sanal Ağ | 4290 | Kullanıcı Datagram Protokolü (UDP) | İzin Ver | Makineler arasındaki Hız Sınırı ilkeleri için Sayaçları Eşitleme (isteğe bağlı) | Dış ve İç |
| Gelen | Azure Yük Dengeleyici (AzureLoadBalancer) | * | Sanal Ağ | 6390 | TCP | İzin Ver | Azure Altyapı Yük Dengeleyici | Dış ve İç |
| Gelen | AzureTrafficManager | * | Sanal Ağ | 443 | TCP | İzin Ver | Çok bölgeli dağıtım için Azure Traffic Manager yönlendirmesi | Harici |
| Gelen | Azure Yük Dengeleyici (AzureLoadBalancer) | * | VirtualNetwork 6391 | TCP | İzin Ver | Tek tek makine durumunu izleme (İsteğe bağlı) | Dış ve İç |
Bölgesel hizmet etiketleri
Depolama, SQL ve Azure Event Hubs hizmet etiketlerine giden bağlantıya izin veren NSG kuralları, API Management örneğini içeren bölgeye karşılık gelen bu etiketlerin bölgesel sürümlerini kullanabilir (örneğin, Batı ABD bölgesindeki bir API Management örneği için Storage.WestUS ). Çok bölgeli dağıtımlarda, her bölgedeki NSG, o bölge ve birincil bölge için hizmet etiketlerine giden trafiğe izin vermelidir.
TLS işlevselliği
TLS/SSL sertifika zinciri oluşturma ve doğrulamayı etkinleştirmek için, API Management hizmetinin bağlantı noktaları ve ile , 80, 443, ocsp.msocsp.com, oneocsp.msocsp.commscrl.microsoft.comve crl.microsoft.combağlantı noktalarında cacerts.digicert.comcrl3.digicert.comcsp.digicert.comgiden ağ bağlantısına ihtiyacı vardır.
DNS erişimi
DNS sunucularıyla iletişim için bağlantı noktasında 53 giden erişim gereklidir. VPN ağ geçidinin diğer ucunda özel bir DNS sunucusu varsa, DNS sunucusuna API Management barındıran alt ağdan ulaşılabilir olmalıdır.
Microsoft Entra tümleştirmesi
API Management hizmetinin düzgün çalışması için 443 numaralı bağlantı noktasında Microsoft Entra Id ile ilişkilendirilmiş aşağıdaki uç noktalara giden bağlantı gerekir: <region>.login.microsoft.com ve login.microsoftonline.com.
Ölçümler ve sistem durumu izleme
Aşağıdaki etki alanları altında çözümlenen Azure İzleme uç noktalarına giden ağ bağlantısı, Ağ Güvenlik Grupları ile kullanılmak üzere AzureMonitor hizmet etiketi altında temsil edilir.
| Azure Ortamı | Uç Noktalar |
|---|---|
| Azure Genel |
|
| Azure Kamu |
|
| 21Vianet tarafından çalıştırılan Microsoft Azure |
|
Geliştirici portalı CAPTCHA
ve client.hip.live.comkonakları partner.hip.live.com altında çözümlenen geliştirici portalının CAPTCHA'sı için giden ağ bağlantısına izin verin.
Geliştirici portalını yayımlama
Azure Depolama'ya giden bağlantıya izin vererek sanal ağ içindeki bir API Management örneği için geliştirici portalını yayımlamayı etkinleştirin. Örneğin, bir NSG kuralında Depolama hizmeti etiketini kullanın. Şu anda, herhangi bir API Management örneğinin geliştirici portalını yayımlamak için genel veya bölgesel hizmet uç noktaları aracılığıyla Azure Depolama bağlantısı gereklidir.
Azure portal tanılaması
Api Management tanılama uzantısını bir sanal ağın içinden kullanırken, Azure portalından tanılama günlüklerinin akışını etkinleştirmek için bağlantı noktası dc.services.visualstudio.com üzerinden giden erişim 443 gerekir. Bu erişim, uzantıyı kullanırken karşılaşabileceğiniz sorunların giderilmesine yardımcı olur.
Azure yük dengeleyici
Arkasında yalnızca bir işlem birimi dağıtıldığından Geliştirici SKU'su için hizmet etiketinden AzureLoadBalancer gelen isteklere izin vermek zorunda değilsiniz. Bununla birlikte, yük dengeleyiciden AzureLoadBalancer gelen sistem durumu yoklaması hatası denetim düzlemine ve veri düzlemine tüm gelen erişimi engellediğinden, Premium gibi daha yüksek bir SKU'ya ölçeklenirken gelen bağlantı kritik hale gelir.
Uygulama Öngörüleri
API Management'ta Azure Uygulaması lication Insights izlemeyi etkinleştirdiyseniz sanal ağdan telemetri uç noktasına giden bağlantıya izin verin.
KMS uç noktası
Windows çalıştıran sanal makineleri sanal ağa eklerken, bağlantı noktasından 1688bulutunuzun KMS uç noktasına giden bağlantıya izin verin. Bu yapılandırma, Windows etkinleştirmesini tamamlamak için Windows VM trafiğini Azure Anahtar Yönetim Merkezi s (KMS) sunucusuna yönlendirir.
İç altyapı ve tanılama
API Management'ın iç işlem altyapısını korumak ve tanılamak için aşağıdaki ayarlar ve FQDN'ler gereklidir.
- NTP için bağlantı noktasında
123giden UDP erişimine izin verin. - Tanılama için bağlantı noktasında
12000giden TCP erişimine izin verin. - İç tanılama için bağlantı noktasından
443şu uç noktalara giden erişime izin verin:azurewatsonanalysis-prod.core.windows.net,*.data.microsoft.com,azureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net,shavamanifestcdnprod1.azureedge.net. - İç PKI için şu uç noktaya bağlantı noktasında
443giden erişime izin verin:issuer.pki.azure.com. - Windows Update için bağlantı noktalarına
80ve443aşağıdaki uç noktalara giden erişime izin verin:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com, .download.windowsupdate.com - Bağlantı noktalarına
80ve443uç noktasınago.microsoft.comgiden erişime izin verin. - Windows Defender için şu uç noktalara giden
443erişime izin verin:wdcp.microsoft.com,wdcpalt.microsoft.com.
Denetim düzlemi IP adresleri
Önemli
Azure API Management için denetim düzlemi IP adresleri yalnızca belirli ağ senaryolarında gerektiğinde ağ erişim kuralları için yapılandırılmalıdır. Altyapı geliştirmeleri IP adresi değişikliklerini gerektirdiğinde kapalı kalma süresini önlemek için denetim düzlemi IP adresleri yerine ApiManagement hizmet etiketini kullanmanızı öneririz.
İlgili içerik
Aşağıdakiler hakkında daha fazla bilgi edinin:
- VPN Gateway kullanarak bir sanal ağı arka uçtan bağlama
- Farklı dağıtım modellerinden sanal ağ bağlama
- Sanal Ağ sık sorulan sorular
- Hizmet etiketleri
Yapılandırma sorunları hakkında daha fazla kılavuz için bkz: