가상 네트워크 구성 참조: API Management
적용 대상: 개발자 | 프리미엄
이 참조는 외부 또는 내부 모드에서 Azure 가상 네트워크에 배포(삽입)된 API Management 인스턴스에 대한 자세한 네트워크 구성 설정을 제공합니다.
VNet 연결 옵션, 요구 사항 및 고려 사항은 Azure API Management에서 가상 네트워크 사용을 참조하세요.
필요한 포트
네트워크 보안 그룹을 사용하여 API Management가 배포된 서브넷에 대한 인바운드 및 아웃바운드 트래픽을 제어합니다. 특정 포트를 사용할 수 없는 경우 API Management가 정상적으로 작동하지 않고 액세스하지 못하게 될 수 있습니다.
API Management 서비스 인스턴스가 VNet에 호스트된 경우 다음 표의 포트가 사용됩니다. 일부 요구 사항은 API Management 인스턴스를 호스트하는 컴퓨팅 플랫폼의 버전(stv2 또는 stv1)에 따라 다릅니다.
Important
목적 열의 굵은 항목은 API Management 서비스의 성공적인 배포 및 작업에 필요한 포트 구성을 나타냅니다. “선택 사항”이라는 레이블이 지정된 구성은 명시된 대로 특정 기능을 사용하도록 설정합니다. 서비스의 전반적인 상태에는 필요하지 않습니다.
NSG 및 기타 네트워크 규칙의 IP 주소 대신 표시된 서비스 태그 를 사용하여 네트워크 원본 및 대상을 지정하는 것이 좋습니다. 서비스 태그는 인프라 개선으로 인해 IP 주소 변경이 필요한 경우 가동 중지 시간을 방지합니다.
Important
stv2를 사용하는 경우 Azure Load Balancer를 작동하려면 VNet에 네트워크 보안 그룹을 할당해야 합니다. Azure Load Balancer 설명서에서 자세히 알아보세요.
| 소스/대상 포트 | Direction | 전송 프로토콜 | 서비스 태그 원본 / 대상 |
목적 | VNet 유형 |
|---|---|---|---|---|---|
| * / [80], 443 | 인바운드 | TCP | 인터넷 / VirtualNetwork | API Management에 대한 클라이언트 통신 | 외부만 |
| * / 3443 | 인바운드 | TCP | ApiManagement / VirtualNetwork | Azure Portal 및 PowerShell에 대한 관리 엔드포인트 | 외부 및 내부 |
| * / 443 | 아웃바운드 | TCP | VirtualNetwork / 스토리지 | Azure Storage에 대한 종속성 | 외부 및 내부 |
| * / 443 | 아웃바운드 | TCP | VirtualNetwork / AzureActiveDirectory | Microsoft Entra ID, Microsoft Graph 및 Azure Key Vault 종속성(선택 사항) | 외부 및 내부 |
| * / 443 | 아웃바운드 | TCP | VirtualNetwork /AzureConnectors | 관리되는 연결 종속성(선택 사항) | 외부 및 내부 |
| * / 1433 | 아웃바운드 | TCP | VirtualNetwork /Sql | Azure SQL 엔드포인트에 대한 액세스 | 외부 및 내부 |
| * / 443 | 아웃바운드 | TCP | VirtualNetwork / AzureKeyVault | Azure Key Vault에 액세스 | 외부 및 내부 |
| * / 5671, 5672, 443 | 아웃바운드 | TCP | VirtualNetwork / EventHub | Azure Event Hubs 정책 및 Azure Monitor에 로그에 대한 종속성(선택 사항) | 외부 및 내부 |
| * / 445 | 아웃바운드 | TCP | VirtualNetwork / 스토리지 | GIT의 Azure 파일 공유에 대한 종속성(선택 사항) | 외부 및 내부 |
| * / 1886, 443 | 아웃바운드 | TCP | VirtualNetwork / AzureMonitor | 진단 로그 및 메트릭, Resource Health 및 Application Insights 게시 | 외부 및 내부 |
| * / 6380 | 인바운드 및 아웃바운드 | TCP | VirtualNetwork / VirtualNetwork | 머신 간 정책 캐싱을 위해 외부 Azure Cache for Redis 서비스에 액세스(선택 사항) | 외부 및 내부 |
| * / 6381 - 6383 | 인바운드 및 아웃바운드 | TCP | VirtualNetwork / VirtualNetwork | 머신 간 정책 캐싱을 위해 내부 Azure Cache for Redis 서비스에 액세스(선택 사항) | 외부 및 내부 |
| * / 4290 | 인바운드 및 아웃바운드 | UDP | VirtualNetwork / VirtualNetwork | 머신 간 속도 제한 정책에 대한 동기화 카운터(선택 사항) | 외부 및 내부 |
| * / 6390 | 인바운드 | TCP | AzureLoadBalancer / VirtualNetwork | Azure 인프라 부하 분산 장치 | 외부 및 내부 |
| * / 443 | 인바운드 | TCP | AzureTrafficManager / VirtualNetwork | 다중 지역 배포를 위한 Azure Traffic Manager 라우팅 | 외부 |
| * / 6391 | 인바운드 | TCP | AzureLoadBalancer / VirtualNetwork | 개별 컴퓨터 상태 모니터링(선택 사항) | 외부 및 내부 |
지역 서비스 태그
스토리지, SQL, Azure Event Hubs 서비스 태그에 대한 아웃바운드 연결을 허용하는 NSG 규칙은 API Management 인스턴스를 포함하는 지역에 해당하는 태그의 지역별 버전을 사용할 수 있습니다(예: 미국 서부 지역에 있는 API Management 인스턴스의 경우 Storage.WestUS). 다중 지역 배포에서 각 지역의 NSG는 해당 지역 및 주 지역의 서비스 태그에 대한 트래픽을 허용해야 합니다.
TLS 기능
TLS/SSL 인증서 체인 빌드 및 유효성 검사를 사용하도록 설정하려면 API Management 서비스는 포트 및 ocsp.msocsp.com443 포트80, , crl.microsoft.comoneocsp.msocsp.commscrl.microsoft.com및 csp.digicert.com.에 대한 아웃바운드 네트워크 연결이 필요합니다. API Management에 업로드하는 인증서에 CA 루트에 대한 전체 체인이 포함된 경우 이 종속성이 필요하지 않습니다.
DNS 액세스
DNS 서버와의 통신을 위해서는 포트 53에서 아웃바운드 액세스가 필요합니다. 사용자 지정 DNS 서버가 VPN Gateway의 다른 쪽 끝에 있는 경우 API Management를 호스팅하는 서브넷에서 DNS 서버에 연결할 수 있어야 합니다.
Microsoft Entra 통합
제대로 작동하려면 API Management 서비스가 포트 443에서 Microsoft Entra ID <region>.login.microsoft.com 와 연결된 다음 엔드포인트에 대한 아웃바운드 연결이 login.microsoftonline.com필요합니다.
메트릭 및 상태 모니터링
다음 도메인에서 확인되는 Azure 모니터링 엔드포인트에 대한 아웃바운드 네트워크 연결은 네트워크 보안 그룹에 사용하기 위해 AzureMonitor 서비스 태그 아래에 표시됩니다.
| Azure 환경 | 엔드포인트 |
|---|---|
| Azure 공용 |
|
| Azure Government |
|
| 21Vianet에서 운영하는 Microsoft Azure |
|
개발자 포털 CAPTCHA
호스트 client.hip.live.com 및 partner.hip.live.com에서 확인되는 개발자 포털 CAPTCHA에 대한 아웃바운드 네트워크 연결을 허용합니다.
개발자 포털 게시
미국 서부 지역의 Blob 스토리지에 대한 아웃바운드 연결을 허용하여 VNet에서 API Management 인스턴스에 대한 개발자 포털을 게시하도록 설정합니다. 예를 들어 NSG 규칙에서 Storage.WestUS 서비스 태그를 사용합니다. 현재 모든 API Management 인스턴스에 대한 개발자 포털을 게시하려면 미국 서부 지역의 Blob 스토리지에 대한 연결이 필요합니다.
Azure Portal 진단
VNet 내부에서 API Management 진단 확장을 사용하는 경우 Azure Portal에서 진단 로그의 흐름을 사용하도록 설정하려면 포트 443에서 dc.services.visualstudio.com에 대한 아웃바운드 액세스가 필요합니다. 이 액세스는 확장을 사용할 때 발생할 수 있는 문제 해결에 도움이 됩니다.
Azure Load Balancer
하나의 컴퓨팅 단위만 뒤에 배포되므로 개발자 SKU에 대한 서비스 태그 AzureLoadBalancer의 인바운드 요청을 허용할 필요가 없습니다. 그러나 부하 분산 장치에서 상태 프로브가 실패하면 컨트롤 플레인 및 데이터 평면에 대한 모든 인바운드 액세스를 차단하므로 Premium 같은 더 높은 SKU로 스케일링할 때 AzureLoadBalancer의 인바운드 연결이 중요해집니다.
Application Insights
API Management에서 Azure Application Insights 모니터링을 사용하도록 설정한 경우 VNet에서 원격 분석 엔드포인트에 대한 아웃바운드 연결을 허용합니다.
KMS 엔드포인트
Windows를 실행하는 가상 머신을 VNet에 추가할 때 클라우드의 KMS 엔드포인트에 대한 포트 1688에서 아웃바운드 연결을 허용합니다. 이 구성은 Windows VM 트래픽을 Azure KMS(키 관리 서비스) 서버로 라우팅하여 Windows 활성화를 완료합니다.
내부 인프라 및 진단
API Management의 내부 컴퓨팅 인프라를 유지 관리하고 진단하려면 다음 설정 및 FQDN이 필요합니다.
- NTP에 대한 포트
123에서 아웃바운드 UDP 액세스를 허용합니다. - 진단을 위해 포트
12000에서 아웃바운드 TCP 액세스를 허용합니다. - 내부 진단을 위해 포트
443에서 다음 엔드포인트에 대한 아웃바운드 액세스를 허용합니다.azurewatsonanalysis-prod.core.windows.net,*.data.microsoft.com,azureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.netshavamanifestcdnprod1.azureedge.net. - 내부 PKI
issuer.pki.azure.com에 대해 다음 엔드포인트에 대한 포트443에서 아웃바운드 액세스를 허용합니다. - 포트
80및443Windows 업데이트ctldl.windowsupdate.com*.update.microsoft.com*.ctldl.windowsupdate.comdownload.windowsupdate.com대한 다음 엔드포인트에 대한 아웃바운드 액세스를 허용합니다. - 포트
80및443엔드포인트에 대한 아웃바운드 액세스를 허용합니다go.microsoft.com. - Windows Defender
wdcp.microsoft.comwdcpalt.microsoft.com의 경우 다음 엔드포인트에 대한 포트443에서 아웃바운드 액세스를 허용합니다.
제어 평면 IP 주소
Important
Azure API Management에 대한 제어 평면 IP 주소는 특정 네트워킹 시나리오에서 필요한 경우에만 네트워크 액세스 규칙에 대해 구성해야 합니다. 인프라 개선에 IP 주소 변경이 필요한 경우 가동 중지 시간을 방지하려면 컨트롤 플레인 IP 주소 대신 ApiManagement 서비스 태그 를 사용하는 것이 좋습니다.
관련 콘텐츠
자세히 알아보기:
구성 문제에 대한 자세한 지침은 다음을 참조하세요.