Share via

Sanal ağ yapılandırma başvurusu: API Management

  • Makale

ŞUNLAR IÇIN GEÇERLIDIR: Geliştirici | Premium

Bu başvuru, dış veya modda bir Azure sanal ağına dağıtılan (eklenen) bir API Management örneği için ayrıntılı ağ yapılandırma ayarları sağlar.

Sanal ağ bağlantı seçenekleri, gereksinimleri ve dikkat edilmesi gerekenler için bkz . Azure API Management ile sanal ağ kullanma.

Gerekli bağlantı noktaları

Ağ güvenlik grubu kurallarını kullanarak API Management'ın dağıtıldığı alt ağa gelen ve giden trafiği denetleyin. Bazı bağlantı noktaları kullanılamıyorsa API Management düzgün çalışmayabilir ve erişilemez duruma gelebilir.

Bir API Management hizmet örneği bir sanal ağda barındırıldığında, aşağıdaki tablodaki bağlantı noktaları kullanılır. Bazı gereksinimler, API Management örneğinizi barındıran işlem platformunun sürümüne (stv2 veya stv1) bağlı olarak farklılık gösterir.

Önemli

  • Amaç sütunundaki kalın öğeler, API Management hizmetinin başarılı dağıtımı ve çalıştırılması için gereken bağlantı noktası yapılandırmalarını gösterir. "İsteğe bağlı" etiketli yapılandırmalar, belirtildiği gibi belirli özellikleri etkinleştirir. Hizmetin genel durumu için gerekli değildir.

  • Ağ kaynaklarını ve hedeflerini belirtmek için NSG ve diğer ağ kurallarında IP adresleri yerine belirtilen hizmet etiketlerini kullanmanızı öneririz. Altyapı geliştirmeleri IP adresi değişikliklerini gerektirdiğinde hizmet etiketleri kapalı kalma süresini önler.

Önemli

kullanırken stv2, Azure Load Balancer'ın çalışması için sanal ağınıza bir Ağ Güvenlik Grubu atamanız gerekir. Azure Load Balancer belgelerinde daha fazla bilgi edinin.

Kaynak / Hedef Bağlantı Noktaları Yön Aktarım protokolü Hizmet etiketleri
Kaynak / Hedef		 Amaç Sanal ağ türü
* / [80], 443 Gelen TCP İnternet / VirtualNetwork API Management ile istemci iletişimi Yalnızca dış
* / 3443 Gelen TCP ApiManagement / VirtualNetwork Azure portalı ve PowerShell için yönetim uç noktası Dış ve İç
* / 443 Giden TCP VirtualNetwork / Depolama Azure Depolama bağımlılığı Dış ve İç
* / 443 Giden TCP VirtualNetwork / AzureActiveDirectory Microsoft Entra Id, Microsoft Graph ve Azure Key Vault bağımlılığı (isteğe bağlı) Dış ve İç
* / 443 Giden TCP VirtualNetwork / Azure Bağlan ors yönetilen bağlantılar bağımlılığı (isteğe bağlı) Dış ve İç
* / 1433 Giden TCP VirtualNetwork / Sql Azure SQL uç noktalarına erişim Dış ve İç
* / 443 Giden TCP VirtualNetwork / AzureKeyVault Azure Key Vault'a erişim Dış ve İç
* / 5671, 5672, 443 Giden TCP VirtualNetwork / EventHub Azure Event Hubs ilkesine ve Azure İzleyici'ye Günlük bağımlılığı (isteğe bağlı) Dış ve İç
* / 445 Giden TCP VirtualNetwork / Depolama GIT için Azure Dosya Paylaşımı bağımlılığı (isteğe bağlı) Dış ve İç
* / 1886, 443 Giden TCP VirtualNetwork / AzureMonitor Tanılama Günlüklerini ve Ölçümlerini, Kaynak Durumu ve Uygulama Analizler Yayımlama Dış ve İç
* / 6380 Gelen ve Giden TCP VirtualNetwork / VirtualNetwork Makineler arasında önbelleğe alma ilkeleri için dış Redis için Azure Cache hizmetine erişme (isteğe bağlı) Dış ve İç
* / 6381 - 6383 Gelen ve Giden TCP VirtualNetwork / VirtualNetwork Makineler arasında önbelleğe alma ilkeleri için iç Redis için Azure Cache hizmetine erişme (isteğe bağlı) Dış ve İç
* / 4290 Gelen ve Giden UDP VirtualNetwork / VirtualNetwork Makineler arasındaki Hız Sınırı ilkeleri için Sayaçları Eşitleme (isteğe bağlı) Dış ve İç
* / 6390 Gelen TCP AzureLoadBalancer / VirtualNetwork Azure Altyapı Yük Dengeleyici Dış ve İç
* / 443 Gelen TCP AzureTrafficManager / VirtualNetwork Çok bölgeli dağıtım için Azure Traffic Manager yönlendirmesi Harici
* / 6391 Gelen TCP AzureLoadBalancer / VirtualNetwork Tek tek makine durumunu izleme (İsteğe bağlı) Dış ve İç

Bölgesel hizmet etiketleri

Depolama, SQL ve Azure Event Hubs hizmet etiketlerine giden bağlantıya izin veren NSG kuralları, API Management örneğini içeren bölgeye (örneğin, Depolama) karşılık gelen etiketlerin bölgesel sürümlerini kullanabilir. Batı ABD bölgesindeki bir API Management örneği için WestUS). Çok bölgeli dağıtımlarda, her bölgedeki NSG, o bölge ve birincil bölge için hizmet etiketlerine giden trafiğe izin vermelidir.

TLS işlevselliği

TLS/SSL sertifika zinciri oluşturma ve doğrulamayı etkinleştirmek için, API Management hizmetinin bağlantı noktaları ve ile , oneocsp.msocsp.com, mscrl.microsoft.com, crl.microsoft.comve 443ocsp.msocsp.comcsp.digicert.combağlantı noktaları 80 üzerinde giden ağ bağlantısına ihtiyacı vardır. API Management'a yüklediğiniz herhangi bir sertifika CA köküne tam zincir içeriyorsa bu bağımlılık gerekli değildir.

DNS erişimi

DNS sunucularıyla iletişim için bağlantı noktasında 53 giden erişim gereklidir. VPN ağ geçidinin diğer ucunda özel bir DNS sunucusu varsa, DNS sunucusuna API Management barındıran alt ağdan ulaşılabilir olmalıdır.

Microsoft Entra tümleştirmesi

API Management hizmetinin düzgün çalışması için 443 numaralı bağlantı noktasında Microsoft Entra Id ile ilişkilendirilmiş aşağıdaki uç noktalara giden bağlantı gerekir: <region>.login.microsoft.com ve login.microsoftonline.com.

Ölçümler ve sistem durumu izleme

Aşağıdaki etki alanları altında çözümlenen Azure İzleme uç noktalarına giden ağ bağlantısı, Ağ Güvenlik Grupları ile kullanılmak üzere AzureMonitor hizmet etiketi altında temsil edilir.

Azure Ortamı Uç Noktalar
Azure Genel
  • gcs.prod.monitoring.core.windows.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.com
Azure Kamu
  • fairfax.warmpath.usgovcloudapi.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.us
21Vianet tarafından çalıştırılan Microsoft Azure
  • mooncake.warmpath.chinacloudapi.cn
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.cn

Geliştirici portalı CAPTCHA

ve partner.hip.live.comkonakları client.hip.live.com altında çözümlenen geliştirici portalının CAPTCHA'sı için giden ağ bağlantısına izin verin.

Geliştirici portalını yayımlama

Batı ABD bölgesindeki blob depolamaya giden bağlantıya izin vererek sanal ağ içindeki bir API Management örneği için geliştirici portalını yayımlamayı etkinleştirin. Örneğin, Depolama kullanın. Bir NSG kuralında WestUS hizmet etiketi. Şu anda, herhangi bir API Management örneğinin geliştirici portalını yayımlamak için Batı ABD bölgesindeki blob depolamaya bağlantı gereklidir.

Azure portal tanılaması

Api Management tanılama uzantısını bir sanal ağın içinden kullanırken, Azure portalından tanılama günlüklerinin akışını etkinleştirmek için bağlantı noktası 443 üzerinden giden erişim dc.services.visualstudio.com gerekir. Bu erişim, uzantıyı kullanırken karşılaşabileceğiniz sorunların giderilmesine yardımcı olur.

Azure yük dengeleyici

Arkasında yalnızca bir işlem birimi dağıtıldığından Geliştirici SKU'su için hizmet etiketinden AzureLoadBalancer gelen isteklere izin vermek zorunda değilsiniz. Bununla birlikte, yük dengeleyiciden AzureLoadBalancer gelen sistem durumu yoklaması hatası denetim düzlemine ve veri düzlemine tüm gelen erişimi engellediğinden, Premium gibi daha yüksek bir SKU'ya ölçeklenirken gelen bağlantı kritik hale gelir.

Application Insights

API Management'ta Azure Uygulaması Analizler izlemeyi etkinleştirdiyseniz, sanal ağdan telemetri uç noktasına giden bağlantıya izin verin.

KMS uç noktası

Windows çalıştıran sanal makineleri sanal ağa eklerken, bağlantı noktasından 1688bulutunuzun KMS uç noktasına giden bağlantıya izin verin. Bu yapılandırma, Windows etkinleştirmesini tamamlamak için Windows VM trafiğini Azure Anahtar Yönetim Merkezi s (KMS) sunucusuna yönlendirir.

İç altyapı ve tanılama

API Management'ın iç işlem altyapısını korumak ve tanılamak için aşağıdaki ayarlar ve FQDN'ler gereklidir.

  • NTP için bağlantı noktasında 123 giden UDP erişimine izin verin.
  • Tanılama için bağlantı noktasında 12000 giden TCP erişimine izin verin.
  • İç tanılama için bağlantı noktasından 443 şu uç noktalara giden erişime izin verin: azurewatsonanalysis-prod.core.windows.net, *.data.microsoft.com, azureprofiler.trafficmanager.net, shavamanifestazurecdnprod1.azureedge.net, shavamanifestcdnprod1.azureedge.net.
  • İç PKI için şu uç noktaya bağlantı noktasında 443 giden erişime izin verin: issuer.pki.azure.com.
  • Windows Update için bağlantı noktalarına 80 ve 443 aşağıdaki uç noktalara giden erişime izin verin: *.update.microsoft.com, *.ctldl.windowsupdate.com, ctldl.windowsupdate.com, . download.windowsupdate.com
  • Bağlantı noktalarına 80 ve 443 uç noktasına go.microsoft.comgiden erişime izin verin.
  • Windows Defender için şu uç noktalara giden 443 erişime izin verin: wdcp.microsoft.com, wdcpalt.microsoft.com .

Denetim düzlemi IP adresleri

Önemli

Azure API Management için denetim düzlemi IP adresleri yalnızca belirli ağ senaryolarında gerektiğinde ağ erişim kuralları için yapılandırılmalıdır. Altyapı geliştirmeleri IP adresi değişikliklerini gerektirdiğinde kapalı kalma süresini önlemek için denetim düzlemi IP adresleri yerine ApiManagementhizmet etiketini kullanmanızı öneririz.

İlgili içerik

Aşağıdakiler hakkında daha fazla bilgi edinin:

Yapılandırma sorunları hakkında daha fazla kılavuz için bkz: