Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
ŞUNLAR IÇIN GEÇERLIDIR: Geliştirici | Premium
Bu başvuru, external veya internal modunda Azure bir sanal ağa dağıtılan (eklenen) API Management örneği için ayrıntılı ağ yapılandırma ayarları sağlar.
Sanal ağ bağlantı seçenekleri, gereksinimleri ve dikkat edilmesi gerekenler için bkz. Azure API Management ile sanal ağ sağlama.
Önemli
Bu başvuru yalnızca bir sanal ağda dağıtılan klasik katmanlardaki API Management örnekleri için geçerlidir. v2 katmanlarına sanal ağ ekleme hakkında daha fazla bilgi için bkz. Özel bir sanal ağda Azure API Management örneği ekleme - Premium v2 katmanı.
Gerekli bağlantı noktaları
Ağ güvenlik grubu kurallarını kullanarak API Management'ın dağıtıldığı alt ağa gelen ve giden trafiği denetleyin. Bazı bağlantı noktaları kullanılamıyorsa API Management düzgün çalışmayabilir ve erişilemez duruma gelebilir.
Bir API Management hizmet örneği bir sanal ağda barındırıldığında, aşağıdaki tablodaki bağlantı noktaları kullanılır.
Önemli
Amaç sütunundaki kalın öğeler, API Management hizmetinin başarılı dağıtımı ve çalıştırılması için gereken bağlantı noktası yapılandırmalarını gösterir. "İsteğe bağlı" etiketli yapılandırmalar, belirtildiği gibi belirli özellikleri etkinleştirir. Hizmetin genel durumu için gerekli değildir.
Ağ kaynaklarını ve hedeflerini belirtmek için NSG ve diğer ağ kurallarında IP adresleri yerine belirtilen hizmet etiketlerini kullanmanızı öneririz. Altyapı geliştirmeleri IP adresi değişikliklerini gerektirdiğinde hizmet etiketleri kapalı kalma süresini önler.
Önemli
Azure Load Balancer çalışması için sanal ağınıza bir Ağ Güvenlik Grubu atamanız gerekir. Azure Load Balancer belgelerinde daha fazla bilgi edinin.
| Yön | Kaynak hizmeti etiketi | Kaynak bağlantı noktası aralıkları | Hedef hizmet etiketi | Hedef bağlantı noktası aralıkları | Protokol | Eylem | Amaç | Sanal ağ türü |
|---|---|---|---|---|---|---|---|---|
| Gelen | İnternet | * | Sanal Ağ | [80], 443 | TCP | İzin Ver | API Management ile istemci iletişimi | Yalnızca dış |
| Gelen | ApiManagement | * | Sanal Ağ | 3443 | TCP | İzin Ver | Azure portalı ve PowerShellManagement uç noktası> | Dış ve İç |
| Giden | Sanal Ağ | * | İnternet | 80 | TCP | İzin Ver | Microsoft tarafından yönetilen ve müşteri tarafından yönetilen sertifikaların yönetimi | Dış ve İç |
| Giden | Sanal Ağ | * | Depolama | 443 | TCP | İzin Ver | Azure DepolamaDependency> | Dış ve İç |
| Giden | Sanal Ağ | * | Azure ActiveDirectory (Azure ActiveDirectory) | 443 | TCP | İzin Ver | Microsoft Entra ID, Microsoft Graph, ve Azure Key Vault bağımlılığı (isteğe bağlı) | Dış ve İç |
| Giden | Sanal Ağ | * | AzureConnectors | 443 | TCP | İzin Ver | API Management kimlik bilgisi yöneticisi uç nokta bağımlılığı (isteğe bağlı) | Dış ve İç |
| Giden | Sanal Ağ | * | SQL | 1433 | TCP | İzin Ver | Azure SQL uç noktalarına Access | Dış ve İç |
| Giden | Sanal Ağ | * | AzureKeyVault | 443 | TCP | İzin Ver | access to Azure Key Vault | Dış ve İç |
| Giden | Sanal Ağ | * | EventHub | 5671, 5672, 443 | TCP | İzin Ver | Log Azure Event Hubs ilkesine bağımlılık ve Azure İzleyici (isteğe bağlı) | Dış ve İç |
| Giden | Sanal Ağ | * | AzureMonitor | 1886, 443 | TCP | İzin Ver | Publish Diagnostics Logs and Metrics, Kaynak Durumu ve Application Insights | Dış ve İç |
| Gelen ve Giden | Sanal Ağ | * | Sanal Ağ | 10000 | TCP | İzin Ver | makineler arasındaki caching ilkeleri için dış Azure Yönetilen Redis hizmetine erişme (isteğe bağlı) | Dış ve İç |
| Gelen ve Giden | Sanal Ağ | * | Sanal Ağ | 6381 - 6383 | TCP | İzin Ver | Makineler arasında önbelleğe alma ilkeleri için iç önbelleğe erişme (isteğe bağlı) | Dış ve İç |
| Gelen ve Giden | Sanal Ağ | * | Sanal Ağ | 4290 | Kullanıcı Datagram Protokolü (UDP) | İzin Ver | Makineler arasındaki Hız Sınırı ilkeleri için Sayaçları Eşitleme (isteğe bağlı) | Dış ve İç |
| Gelen | Azure Yük Dengeleyici (AzureLoadBalancer) | * | Sanal Ağ | 6390 | TCP | İzin Ver | Azure Altyapı Load Balancer | Dış ve İç |
| Gelen | AzureTrafficManager | * | Sanal Ağ | 443 | TCP | İzin Ver | Çok bölgeli dağıtım için Azure Traffic Manager yönlendirmesi | Harici |
| Gelen | Azure Yük Dengeleyici (AzureLoadBalancer) | * | VirtualNetwork 6391 | TCP | İzin Ver | Tek tek makine durumunu izleme (İsteğe bağlı) | Dış ve İç |
Bölgesel hizmet etiketleri
Depolama, SQL ve Azure Event Hubs hizmet etiketlerine giden bağlantıya izin veren NSG kuralları, BU etiketlerin API Management örneğini içeren bölgeye karşılık gelen bölgesel sürümlerini kullanabilir (örneğin, Batı ABD bölgesindeki bir API Management örneği için Storage.WestUS). Çok bölgeli dağıtımlarda, her bölgedeki NSG, o bölge ve birincil bölge için hizmet etiketlerine giden trafiğe izin vermelidir.
TLS işlevselliği
TLS/SSL sertifika zinciri oluşturma ve doğrulamayı etkinleştirmek için, API Management hizmetinin bağlantı noktaları ve ile , 80, 443, mscrl.microsoft.comcrl.microsoft.com ve oneocsp.microsoft.comcacerts.digicert.comcrl3.digicert.combağlantı noktaları csp.digicert.com üzerinde giden ağ bağlantısına ihtiyacı vardır.
DNS erişimi
DNS sunucularıyla iletişim için bağlantı noktasında 53 giden erişim gereklidir. VPN ağ geçidinin diğer ucunda özel bir DNS sunucusu varsa, DNS sunucusuna API Management barındıran alt ağdan ulaşılabilir olmalıdır.
Microsoft Entra tümleştirmesi
Api Management hizmetinin düzgün çalışması için 443 numaralı bağlantı noktasında Microsoft Entra ID ile ilişkili aşağıdaki uç noktalara giden bağlantı gerekir: <region>.login.microsoft.com ve login.microsoftonline.com.
Ölçümler ve sistem durumu izleme
Aşağıdaki etki alanları altında çözümlenen Azure İzleme uç noktalarına giden ağ bağlantısı, Ağ Güvenlik Grupları ile kullanılmak üzere AzureMonitor hizmet etiketi altında temsil edilir.
| Azure Ortamı | Uç Noktalar |
|---|---|
| Genel Azure |
|
| Azure Kamu |
|
| 21Vianet tarafından işletilen Microsoft Azure |
|
Geliştirici portalı CAPTCHA
ve client.hip.live.comkonakları partner.hip.live.com altında çözümlenen geliştirici portalının CAPTCHA'sı için giden ağ bağlantısına izin verin.
Geliştirici portalını yayımlama
Azure Depolama giden bağlantıya izin vererek sanal ağ içindeki bir API Management örneği için developer portal yayımlamayı etkinleştirin. Örneğin, bir NSG kuralında Depolama hizmeti etiketini kullanın. Şu anda, herhangi bir API Management örneğinin geliştirici portalını yayımlamak için genel veya bölgesel hizmet uç noktaları aracılığıyla Azure Depolama bağlantısı gereklidir.
Azure portalı tanılama
Sanal ağın içinden API Management tanılama uzantısını kullanırken, tanılama günlüklerinin Azure portaldan akışını etkinleştirmek için dc.services.visualstudio.com bağlantı noktasında 443 giden erişim gerekir. Bu erişim, uzantıyı kullanırken karşılaşabileceğiniz sorunların giderilmesine yardımcı olur.
Azure yük dengeleyici
Arkasında yalnızca bir işlem birimi dağıtıldığından Geliştirici SKU'su için hizmet etiketinden AzureLoadBalancer gelen isteklere izin vermek zorunda değilsiniz. Bununla birlikte, yük dengeleyiciden AzureLoadBalancer gelen sistem durumu yoklaması hatası denetim düzlemine ve veri düzlemine tüm gelen erişimi engellediğinden, Premium gibi daha yüksek bir SKU'ya ölçeklenirken gelen bağlantı kritik hale gelir.
Uygulama Öngörüleri
API Management'ta Azure Uygulaması Insights izlemeyi etkinleştirdiyseniz sanal ağdan telemetry uç noktasına giden bağlantıya izin verin.
KMS uç noktası
sanal ağa Windows çalıştıran sanal makineleri eklerken, bulutunuzda 1688 bağlantı noktası giden bağlantıya izin verin. Bu yapılandırma, Windows VM trafiğini Windows etkinleştirmeyi tamamlamak için Azure Anahtar Yönetimi Hizmetleri (KMS) sunucusuna yönlendirir.
İç altyapı ve tanılama
API Management'ın iç işlem altyapısını korumak ve tanılamak için aşağıdaki ayarlar ve FQDN'ler gereklidir.
- NTP için bağlantı noktasında
123giden UDP erişimine izin verin. - İç tanılama için bağlantı noktasından
443şu uç noktalara giden erişime izin verin:azurewatsonanalysis-prod.core.windows.net,*.data.microsoft.com,azureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net,shavamanifestcdnprod1.azureedge.net. - İç PKI için şu uç noktaya bağlantı noktasında
443giden erişime izin verin:issuer.pki.azure.com. - Windows Update için
80ve443şu uç noktalara giden erişime izin verin:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - Bağlantı noktalarına
80ve443uç noktasınago.microsoft.comgiden erişime izin verin. -
443bağlantı noktasında Windows Defender için şu uç noktalara giden erişime izin verin:wdcp.microsoft.com,wdcpalt.microsoft.com.
Denetim düzlemi IP adresleri
Önemli
Azure API Management için denetim düzlemi IP adresleri yalnızca belirli ağ senaryolarında gerektiğinde ağ erişim kuralları için yapılandırılmalıdır. Altyapı geliştirmeleri IP adresi değişikliklerini gerektirdiğinde kapalı kalma süresini önlemek için denetim düzlemi IP adresleri yerine ApiManagement hizmet etiketini kullanmanızı öneririz.
İlgili içerik
Aşağıdakiler hakkında daha fazla bilgi edinin:
VPN Gateway - Farklı dağıtım modellerinden sanal ağ bağlama
- Sanal Ağ sık sorulan sorular
- Hizmet etiketleri
Yapılandırma sorunları hakkında daha fazla kılavuz için bkz: