虛擬網路組態參考：API 管理

適用於：開發人員 | 進階

本參考資料提供在Azure虛擬網路中部署（注入）的 API Management 實例的詳細網路設定，該實例以 external 或 internal 模式進行。

關於 VNet 連接選項、需求及考量，請參見使用 Azure API 管理。

重要

此參考僅適用於部署在虛擬網路中傳統層中的 API 管理實例。關於 v2 層級虛擬網路注入的資訊，請參見 Inject a Azure API 管理 instance in a private virtual network - Premium v2 tier。

必要的連接埠

控制使用網路安全組規則部署 API 管理子網的輸入和輸出流量。如果某些埠無法使用，API 管理可能無法正常運作，而且可能無法存取。

當 API 管理服務實例裝載在 VNet 中時，會使用下表中的埠。

重要

[目的] 資料行中的粗體專案表示成功部署和作業 API 管理服務所需的埠組態。標示為「選擇性」的組態會啟用特定功能，如前所述。服務的整體健康情況不需要它們。
建議您使用指定的服務標籤，而不是 NSG 和其他網路規則中的 IP 位址，以指定網路來源和目的地。當基礎結構改進需要IP位址變更時，服務標籤會防止停機。

重要

Azure Load Balancer 必須為你的 VNet 指派一個網路安全群組。更多資訊請參閱 Azure Load Balancer 文件。

方向	來源服務標籤	來源連接埠範圍	目的地服務標籤	目的地連接埠範圍	通訊協定	動作	目的	VNet 類型
連入	網際網路	*	虛擬網路	[80], 443	TCP	允許	對 API 管理的客戶端通訊	僅外部
連入	ApiManagement	*	虛擬網路	3443	TCP	允許	Management endpoint for Azure portal and PowerShell	外部和內部
輸出	虛擬網路	*	網際網路	80	TCP	允許	Microsoft管理與客戶管理憑證的驗證與管理	外部和內部
輸出	虛擬網路	*	儲存體	443	TCP	允許	依賴Azure 儲存體	外部和內部
輸出	虛擬網路	*	AzureActiveDirectory	443	TCP	允許	Microsoft Entra ID、Microsoft Graph，以及Azure Key Vault依賴（可選）	外部和內部
輸出	虛擬網路	*	AzureConnectors	443	TCP	允許	API 管理憑證管理器端點依賴性（可選）	外部和內部
輸出	虛擬網路	*	SQL	1433	TCP	允許	Access to Azure SQL endpoints	外部和內部
輸出	虛擬網路	*	AzureKeyVault	443	TCP	允許	存取 Azure Key Vault	外部和內部
輸出	虛擬網路	*	EventHub	5671, 5672, 443	TCP	允許	Log 與 Azure 事件中樞 policy 及 Azure 監視器（可選）的相依性	外部和內部
輸出	虛擬網路	*	AzureMonitor	1886, 443	TCP	允許	發佈診斷日誌與指標、資源健康狀態，以及 Application Insights	外部和內部
輸入和輸出	虛擬網路	*	虛擬網絡	10000	TCP	允許	存取外部Azure受管理的 Redis 服務，用於機器間的 caching 政策（可選）	外部和內部
輸入和輸出	虛擬網路	*	虛擬網路	6381 - 6383	TCP	允許	存取內部快取用於機器間快取政策（可選）	外部和內部
輸入和輸出	虛擬網路	*	虛擬網路	4290	UDP	允許	機器之間速率限制原則的同步計數器（選擇性）	外部和內部
連入	Azure負載平衡器 (AzureLoadBalancer)	*	虛擬網路	6390	TCP	允許	Azure 基礎設施 Load Balancer	外部和內部
連入	AzureTrafficManager	*	虛擬網路	443	TCP	允許	Azure 流量管理員多區域部署路由	外部
連入	Azure負載平衡器 (AzureLoadBalancer)	*	虛擬網絡 6391	TCP	允許	監視個別電腦健康情況（選擇性）	外部和內部

區域服務標籤

允許對儲存、SQL 及 Azure 事件中樞服務標籤進行外部連線的 NSG 規則，可能會使用對應包含 API Management 實例區域的區域版本標籤（例如，Storage.WestUS代表 West US 區域的 API Management 實例）。在多區域部署中，每個區域中的NSG應該允許流量流向該區域和主要區域的服務標籤。

TLS 功能

為了啟用 TLS/SSL 憑證鏈的建立與驗證，API 管理服務需要在埠80口及 443mscrl.microsoft.comcrl.microsoft.comoneocsp.microsoft.comcacerts.digicert.com埠crl3.digicert.com口與、及的埠口之間提供外發網路連線。csp.digicert.com

DNS 存取

需要埠 53 上的輸出存取權才能與 DNS 伺服器通訊。如果 VPN 閘道的另一端有自訂 DNS 伺服器，則必須從裝載 API 管理的子網連線 DNS 伺服器。

Microsoft Entra 整合

為了正常運作，API 管理服務需要透過埠 443 與以下端點連接，這些端點與 Microsoft Entra ID 相關：<region>.login.microsoft.com 和 login.microsoftonline.com。

計量和健康情況監視

Azure監控端點的外站網路連線，這些端點在以下網域下解析，皆以 AzureMonitor 服務標籤表示，供網路安全群組使用。

Azure Environment	端點
Azure Public	gcs.prod.monitoring.core.windows.net global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-black.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.com
Azure Government	fairfax.warmpath.usgovcloudapi.net global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-black.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com prod5.prod.microsoftmetrics.com prod5-black.prod.microsoftmetrics.com prod5-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.us
Microsoft Azure 由 21Vianet 營運	mooncake.warmpath.chinacloudapi.cn global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com prod5.prod.microsoftmetrics.com prod5-black.prod.microsoftmetrics.com prod5-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.cn

開發人員入口網站 CAPTCHA

允許開發人員入口網站 CAPTCHA 的輸出網路連線能力，其會在主機 client.hip.live.com 和 partner.hip.live.com下解析。

發佈開發人員入口網站

透過允許外站Azure 儲存體連線至 VNet，啟用 API Management 實例的 developer portal。例如，在 NSG 規則中使用記憶體服務標籤。目前，發布任何 API 管理實例的開發者入口網站，必須透過全球或區域服務端點連接 Azure 儲存體。

Azure 入口網站診斷

當從 VNet 內部使用 API Management 診斷擴充功能時，必須先對埠 dc.services.visualstudio.com 上的 443 進行外出存取，才能讓診斷日誌從入口網站Azure流動。此存取可協助您針對使用延伸模組時可能遇到的問題進行疑難解答。

Azure load balancer

您不需要允許來自開發人員 SKU 服務標籤 AzureLoadBalancer 的輸入要求，因為其後方只會部署一個計算單位。不過，當調整為較高的 SKU 時，來自的輸入連線 AzureLoadBalancer 變得 十分重要 ，例如 Premium，因為負載平衡器的健康情況探查失敗，因此會封鎖控制平面和數據平面的所有輸入存取。

Application Insights

如果你在 API 管理中啟用了 Azure 應用程式 Insights 監控，允許從 VNet 對遙測端點進行外站連線。

KMS 端點

當你將運行Windows的虛擬機加入 VNet 時，允許在雲端的 1688 埠口進行外站連線。此設定會將 Windows VM 流量導向 Azure 金鑰管理服務（KMS）伺服器，以完成 Windows 啟用。

內部基礎結構和診斷

需要下列設定和 FQDN，才能維護和診斷 API 管理的內部計算基礎結構。

允許 NTP 連接埠上的 123 輸出 UDP 存取。
允許連接埠443對下列端點進行輸出存取，以進行內部診斷：azurewatsonanalysis-prod.core.windows.net、、*.data.microsoft.comazureprofiler.trafficmanager.net、shavamanifestazurecdnprod1.azureedge.net、 shavamanifestcdnprod1.azureedge.net。
針對內部 PKI，允許埠 443 上的輸出存取至下列端點： issuer.pki.azure.com。
允許埠口 80 和 443 對以下端點進行外撥存取，以Windows Update：*.update.microsoft.com、*.ctldl.windowsupdate.com、ctldl.windowsupdate.com、download.windowsupdate.com。
允許埠 80 和 443 端點 go.microsoft.com的輸出存取。
允許以下端點443的外撥存取，以Windows Defender：wdcp.microsoft.com、wdcpalt.microsoft.com 。

控制平面IP位址

重要

Azure API 管理的控制平面 IP 位址應僅在特定網路情境下設定為網路存取規則。我們建議使用 ApiManagement服務標籤，而不是控制平面 IP 位址，以避免基礎結構改進需要 IP 位址變更時停機。

深入了解：

如需設定問題的詳細資訊指引，請參閱：

意見反應

此頁面對您有幫助嗎？

Last updated on 2026-05-01