Sanal ağ yapılandırma başvurusu: API Management
ŞUNLAR IÇIN GEÇERLIDIR: Geliştirici | Premium
Bu başvuru, dış veya iç modda bir Azure sanal ağına dağıtılan (eklenen) bir API Management örneği için ayrıntılı ağ yapılandırma ayarları sağlar.
Sanal ağ bağlantı seçenekleri, gereksinimleri ve dikkat edilmesi gerekenler için bkz . Azure API Management ile sanal ağ kullanma.
Gerekli bağlantı noktaları
Ağ güvenlik grubu kurallarını kullanarak API Management'ın dağıtıldığı alt ağa gelen ve giden trafiği denetleyin. Bazı bağlantı noktaları kullanılamıyorsa API Management düzgün çalışmayabilir ve erişilemez duruma gelebilir.
Bir API Management hizmet örneği bir sanal ağda barındırıldığında, aşağıdaki tablodaki bağlantı noktaları kullanılır. Bazı gereksinimler, API Management örneğinizi barındıran işlem platformunun sürümüne (stv2
veya stv1
) bağlı olarak farklılık gösterir.
Önemli
Amaç sütunundaki kalın öğeler, API Management hizmetinin başarılı dağıtımı ve çalıştırılması için gereken bağlantı noktası yapılandırmalarını gösterir. "İsteğe bağlı" etiketli yapılandırmalar, belirtildiği gibi belirli özellikleri etkinleştirir. Hizmetin genel durumu için gerekli değildir.
Ağ kaynaklarını ve hedeflerini belirtmek için NSG ve diğer ağ kurallarında IP adresleri yerine belirtilen hizmet etiketlerini kullanmanızı öneririz. Altyapı geliştirmeleri IP adresi değişikliklerini gerektirdiğinde hizmet etiketleri kapalı kalma süresini önler.
Önemli
kullanırken stv2
, Azure Load Balancer'ın çalışması için sanal ağınıza bir Ağ Güvenlik Grubu atamanız gerekir. Azure Load Balancer belgelerinde daha fazla bilgi edinin.
Kaynak / Hedef Bağlantı Noktaları | Yön | Aktarım protokolü | Hizmet etiketleri Kaynak / Hedef |
Amaç | Sanal ağ türü |
---|---|---|---|---|---|
* / [80], 443 | Gelen | TCP | İnternet / VirtualNetwork | API Management ile istemci iletişimi | Yalnızca dış |
* / 3443 | Gelen | TCP | ApiManagement / VirtualNetwork | Azure portalı ve PowerShell için yönetim uç noktası | Dış ve İç |
* / 443 | Giden | TCP | VirtualNetwork / Depolama | Azure Depolama'ya bağımlılık | Dış ve İç |
* / 443 | Giden | TCP | VirtualNetwork / AzureActiveDirectory | Microsoft Entra Id, Microsoft Graph ve Azure Key Vault bağımlılığı (isteğe bağlı) | Dış ve İç |
* / 443 | Giden | TCP | VirtualNetwork / AzureConnectors | yönetilen bağlantılar bağımlılığı (isteğe bağlı) | Dış ve İç |
* / 1433 | Giden | TCP | VirtualNetwork / Sql | Azure SQL uç noktalarına erişim | Dış ve İç |
* / 443 | Giden | TCP | VirtualNetwork / AzureKeyVault | Azure Key Vault'a erişim | Dış ve İç |
* / 5671, 5672, 443 | Giden | TCP | VirtualNetwork / EventHub | Azure Event Hubs ilkesine ve Azure İzleyici'ye Günlük bağımlılığı (isteğe bağlı) | Dış ve İç |
* / 445 | Giden | TCP | VirtualNetwork / Depolama | GIT için Azure Dosya Paylaşımı bağımlılığı (isteğe bağlı) | Dış ve İç |
* / 1886, 443 | Giden | TCP | VirtualNetwork / AzureMonitor | Tanılama Günlüklerini ve Ölçümlerini, Kaynak Durumu ve Application Insights'ı yayımlama | Dış ve İç |
* / 6380 | Gelen ve Giden | TCP | VirtualNetwork / VirtualNetwork | Makineler arasında önbelleğe alma ilkeleri için dış Redis için Azure Cache hizmetine erişme (isteğe bağlı) | Dış ve İç |
* / 6381 - 6383 | Gelen ve Giden | TCP | VirtualNetwork / VirtualNetwork | Makineler arasında önbelleğe alma ilkeleri için iç Redis için Azure Cache hizmetine erişme (isteğe bağlı) | Dış ve İç |
* / 4290 | Gelen ve Giden | UDP | VirtualNetwork / VirtualNetwork | Makineler arasındaki Hız Sınırı ilkeleri için Sayaçları Eşitleme (isteğe bağlı) | Dış ve İç |
* / 6390 | Gelen | TCP | AzureLoadBalancer / VirtualNetwork | Azure Altyapı Yük Dengeleyici | Dış ve İç |
* / 443 | Gelen | TCP | AzureTrafficManager / VirtualNetwork | Çok bölgeli dağıtım için Azure Traffic Manager yönlendirmesi | Harici |
* / 6391 | Gelen | TCP | AzureLoadBalancer / VirtualNetwork | Tek tek makine durumunu izleme (İsteğe bağlı) | Dış ve İç |
Bölgesel hizmet etiketleri
Depolama, SQL ve Azure Event Hubs hizmet etiketlerine giden bağlantıya izin veren NSG kuralları, API Management örneğini içeren bölgeye karşılık gelen bu etiketlerin bölgesel sürümlerini kullanabilir (örneğin, Batı ABD bölgesindeki bir API Management örneği için Storage.WestUS ). Çok bölgeli dağıtımlarda, her bölgedeki NSG, o bölge ve birincil bölge için hizmet etiketlerine giden trafiğe izin vermelidir.
TLS işlevselliği
TLS/SSL sertifika zinciri oluşturma ve doğrulamayı etkinleştirmek için, API Management hizmetinin bağlantı noktaları ve ile , oneocsp.msocsp.com
, mscrl.microsoft.com
, crl.microsoft.com
ve 443
ocsp.msocsp.com
csp.digicert.com
bağlantı noktaları 80
üzerinde giden ağ bağlantısına ihtiyacı vardır. API Management'a yüklediğiniz herhangi bir sertifika CA köküne tam zincir içeriyorsa bu bağımlılık gerekli değildir.
DNS erişimi
DNS sunucularıyla iletişim için bağlantı noktasında 53
giden erişim gereklidir. VPN ağ geçidinin diğer ucunda özel bir DNS sunucusu varsa, DNS sunucusuna API Management barındıran alt ağdan ulaşılabilir olmalıdır.
Microsoft Entra tümleştirmesi
API Management hizmetinin düzgün çalışması için 443 numaralı bağlantı noktasında Microsoft Entra Id ile ilişkilendirilmiş aşağıdaki uç noktalara giden bağlantı gerekir: <region>.login.microsoft.com
ve login.microsoftonline.com
.
Ölçümler ve sistem durumu izleme
Aşağıdaki etki alanları altında çözümlenen Azure İzleme uç noktalarına giden ağ bağlantısı, Ağ Güvenlik Grupları ile kullanılmak üzere AzureMonitor hizmet etiketi altında temsil edilir.
Azure Ortamı | Uç Noktalar |
---|---|
Azure Genel |
|
Azure Kamu |
|
21Vianet tarafından çalıştırılan Microsoft Azure |
|
Geliştirici portalı CAPTCHA
ve partner.hip.live.com
konakları client.hip.live.com
altında çözümlenen geliştirici portalının CAPTCHA'sı için giden ağ bağlantısına izin verin.
Geliştirici portalını yayımlama
Batı ABD bölgesindeki blob depolamaya giden bağlantıya izin vererek sanal ağ içindeki bir API Management örneği için geliştirici portalını yayımlamayı etkinleştirin. Örneğin, bir NSG kuralında Storage.WestUS hizmet etiketini kullanın. Şu anda, herhangi bir API Management örneğinin geliştirici portalını yayımlamak için Batı ABD bölgesindeki blob depolamaya bağlantı gereklidir.
Azure portal tanılaması
Api Management tanılama uzantısını bir sanal ağın içinden kullanırken, Azure portalından tanılama günlüklerinin akışını etkinleştirmek için bağlantı noktası 443
üzerinden giden erişim dc.services.visualstudio.com
gerekir. Bu erişim, uzantıyı kullanırken karşılaşabileceğiniz sorunların giderilmesine yardımcı olur.
Azure yük dengeleyici
Arkasında yalnızca bir işlem birimi dağıtıldığından Geliştirici SKU'su için hizmet etiketinden AzureLoadBalancer
gelen isteklere izin vermek zorunda değilsiniz. Bununla birlikte, yük dengeleyiciden AzureLoadBalancer
gelen sistem durumu yoklaması hatası denetim düzlemine ve veri düzlemine tüm gelen erişimi engellediğinden, Premium gibi daha yüksek bir SKU'ya ölçeklenirken gelen bağlantı kritik hale gelir.
Application Insights
API Management'ta Azure Uygulaması lication Insights izlemeyi etkinleştirdiyseniz sanal ağdan telemetri uç noktasına giden bağlantıya izin verin.
KMS uç noktası
Windows çalıştıran sanal makineleri sanal ağa eklerken, bağlantı noktasından 1688
bulutunuzun KMS uç noktasına giden bağlantıya izin verin. Bu yapılandırma, Windows etkinleştirmesini tamamlamak için Windows VM trafiğini Azure Anahtar Yönetim Merkezi s (KMS) sunucusuna yönlendirir.
İç altyapı ve tanılama
API Management'ın iç işlem altyapısını korumak ve tanılamak için aşağıdaki ayarlar ve FQDN'ler gereklidir.
- NTP için bağlantı noktasında
123
giden UDP erişimine izin verin. - Tanılama için bağlantı noktasında
12000
giden TCP erişimine izin verin. - İç tanılama için bağlantı noktasından
443
şu uç noktalara giden erişime izin verin:azurewatsonanalysis-prod.core.windows.net
,*.data.microsoft.com
,azureprofiler.trafficmanager.net
,shavamanifestazurecdnprod1.azureedge.net
,shavamanifestcdnprod1.azureedge.net
. - İç PKI için şu uç noktaya bağlantı noktasında
443
giden erişime izin verin:issuer.pki.azure.com
. - Windows Update için bağlantı noktalarına
80
ve443
aşağıdaki uç noktalara giden erişime izin verin:*.update.microsoft.com
,*.ctldl.windowsupdate.com
,ctldl.windowsupdate.com
, .download.windowsupdate.com
- Bağlantı noktalarına
80
ve443
uç noktasınago.microsoft.com
giden erişime izin verin. - Windows Defender için şu uç noktalara giden
443
erişime izin verin:wdcp.microsoft.com
,wdcpalt.microsoft.com
.
Denetim düzlemi IP adresleri
Önemli
Azure API Management için denetim düzlemi IP adresleri yalnızca belirli ağ senaryolarında gerektiğinde ağ erişim kuralları için yapılandırılmalıdır. Altyapı geliştirmeleri IP adresi değişikliklerini gerektirdiğinde kapalı kalma süresini önlemek için denetim düzlemi IP adresleri yerine ApiManagement hizmet etiketini kullanmanızı öneririz.
İlgili içerik
Aşağıdakiler hakkında daha fazla bilgi edinin:
- VPN Gateway kullanarak bir sanal ağı arka uçtan bağlama
- Farklı dağıtım modellerinden sanal ağ bağlama
- Sanal Ağ sık sorulan sorular
- Hizmet etiketleri
Yapılandırma sorunları hakkında daha fazla kılavuz için bkz: