Naslaginformatie over configuratie van virtuele netwerken: API Management
VAN TOEPASSING OP: Ontwikkelaar | Premie
Deze referentie bevat gedetailleerde netwerkconfiguratie-instellingen voor een API Management-exemplaar dat is geïmplementeerd (geïnjecteerd) in een virtueel Azure-netwerk in de externe of interne modus.
Zie Een virtueel netwerk gebruiken met Azure API Management voor opties, vereisten en overwegingen voor VNet-connectiviteitsopties.
Belangrijk
Deze verwijzing is alleen van toepassing op API Management-exemplaren in de klassieke lagen die zijn geïmplementeerd in een virtueel netwerk. Zie Een Azure API Management-exemplaar injecteren in een particulier virtueel netwerk - Premium v2-laag voor meer informatie over virtuele netwerkinjectie in de v2-lagen.
Vereiste poorten
Beheer inkomend en uitgaand verkeer naar het subnet waarin API Management wordt geïmplementeerd met behulp van regels voor netwerkbeveiligingsgroepen . Als bepaalde poorten niet beschikbaar zijn, werkt API Management mogelijk niet goed en is het mogelijk niet toegankelijk.
Wanneer een API Management-service-exemplaar wordt gehost in een VNet, worden de poorten in de volgende tabel gebruikt. Sommige vereisten verschillen, afhankelijk van de versie (stv2 of stv1) van het rekenplatform dat als host fungeert voor uw API Management-exemplaar.
Belangrijk
Vetgedrukte items in de kolom Doel geven poortconfiguraties aan die vereist zijn voor een geslaagde implementatie en werking van de API Management-service. Configuraties met het label 'optioneel' schakelen specifieke functies in, zoals vermeld. Ze zijn niet vereist voor de algehele status van de service.
We raden u aan de aangegeven servicetags te gebruiken in plaats van IP-adressen in NSG en andere netwerkregels om netwerkbronnen en bestemmingen op te geven. Servicetags voorkomen uitvaltijd wanneer infrastructuurverbeteringen wijzigingen van IP-adressen vereisen.
Belangrijk
Wanneer u dit gebruikt stv2, moet u een netwerkbeveiligingsgroep toewijzen aan uw VNet om ervoor te zorgen dat de Azure Load Balancer werkt. Meer informatie vindt u in de documentatie van Azure Load Balancer.
| Richting | Bronservicetag | Poortbereiken van bron | Doelservicetag | Poortbereiken van doel | Protocol | Actie | Doel | VNet-type |
|---|---|---|---|---|---|---|---|---|
| Inkomend | Internet | * | VirtualNetwork | [80], 443 | TCP | Toestaan | Clientcommunicatie met API Management | Alleen extern |
| Inkomend | ApiManagement | * | VirtualNetwork | 3443 | TCP | Toestaan | Beheereindpunt voor Azure Portal en PowerShell | Extern en intern |
| Uitgaand | VirtualNetwork | * | Storage | 443 | TCP | Toestaan | Afhankelijkheid van Azure Storage | Extern en intern |
| Uitgaand | VirtualNetwork | * | AzureActiveDirectory | 443 | TCP | Toestaan | Afhankelijkheid van Microsoft Entra ID, Microsoft Graph en Azure Key Vault (optioneel) | Extern en intern |
| Uitgaand | VirtualNetwork | * | AzureConnectors | 443 | TCP | Toestaan | Afhankelijkheid van beheerde verbindingen (optioneel) | Extern en intern |
| Uitgaand | VirtualNetwork | * | Sql | 1433 | TCP | Toestaan | Toegang tot Azure SQL-eindpunten | Extern en intern |
| Uitgaand | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Toestaan | Toegang tot Azure Key Vault | Extern en intern |
| Uitgaand | VirtualNetwork | * | EventHub | 5671, 5672, 443 | TCP | Toestaan | Afhankelijkheid voor logboekregistratie bij Azure Event Hubs-beleid en Azure Monitor (optioneel) | Extern en intern |
| Uitgaand | VirtualNetwork | * | Storage | 445 | TCP | Toestaan | Afhankelijkheid van Azure-bestandsshare voor GIT (optioneel) | Extern en intern |
| Uitgaand | VirtualNetwork | * | AzureMonitor | 1886, 443 | TCP | Toestaan | Diagnostische logboeken en metrische gegevens, Resource Health en Application Insights publiceren | Extern en intern |
| Inkomend en uitgaand | VirtualNetwork | * | Virtual Network | 6380 | TCP | Toestaan | Toegang tot externe Azure Cache voor Redis-service voor cachebeleid tussen computers (optioneel) | Extern en intern |
| Inkomend en uitgaand | VirtualNetwork | * | VirtualNetwork | 6381 - 6383 | TCP | Toestaan | Toegang tot interne Azure Cache voor Redis-service voor cachebeleid tussen computers (optioneel) | Extern en intern |
| Inkomend en uitgaand | VirtualNetwork | * | VirtualNetwork | 4290 | UDP | Toestaan | Synchronisatiemeteritems voor beleid voor frequentielimiet tussen computers (optioneel) | Extern en intern |
| Inkomend | AzureLoadBalancer | * | VirtualNetwork | 6390 | TCP | Toestaan | Load balancer voor Azure-infrastructuur | Extern en intern |
| Inkomend | AzureTrafficManager | * | VirtualNetwork | 443 | TCP | Toestaan | Azure Traffic Manager-routering voor implementatie met meerdere regio's | External |
| Inkomend | AzureLoadBalancer | * | VirtualNetwork 6391 | TCP | Toestaan | Bewaking van de status van afzonderlijke machines (optioneel) | Extern en intern |
Regionale servicetags
NSG-regels voor uitgaande connectiviteit met storage-, SQL- en Azure Event Hubs-servicetags kunnen gebruikmaken van de regionale versies van deze tags die overeenkomen met de regio met het API Management-exemplaar (bijvoorbeeld Storage.WestUS voor een API Management-exemplaar in de regio VS - west). Bij implementaties met meerdere regio's moet de NSG in elke regio verkeer naar de servicetags voor die regio en de primaire regio toestaan.
TLS-functionaliteit
Om het bouwen en valideren van TLS/SSL-certificaatketens in te schakelen, heeft de API Management-service uitgaande netwerkconnectiviteit nodig op poorten 80 en 443 naar ocsp.msocsp.com, oneocsp.msocsp.com, mscrl.microsoft.com, crl.microsoft.comen .csp.digicert.com Deze afhankelijkheid is niet vereist als een certificaat dat u uploadt naar API Management de volledige keten naar de CA-basis bevat.
DNS-toegang
Uitgaande toegang op poort 53 is vereist voor communicatie met DNS-servers. Als er een aangepaste DNS-server aan het andere uiteinde van een VPN-gateway bestaat, moet de DNS-server bereikbaar zijn vanuit het subnet dat API Management host.
Microsoft Entra-integratie
Om goed te kunnen werken, heeft de API Management-service uitgaande connectiviteit op poort 443 nodig voor de volgende eindpunten die zijn gekoppeld aan Microsoft Entra-id: <region>.login.microsoft.com en login.microsoftonline.com.
Metrische gegevens en statuscontrole
Uitgaande netwerkconnectiviteit met Azure Monitoring-eindpunten, die worden omgezet onder de volgende domeinen, worden weergegeven onder de AzureMonitor-servicetag voor gebruik met netwerkbeveiligingsgroepen.
| Azure-omgeving | Eindpunten |
|---|---|
| Azure openbaar |
|
| Azure Government |
|
| Microsoft Azure beheerd door 21Vianet |
|
CAPTCHA voor ontwikkelaarsportal
Uitgaande netwerkconnectiviteit toestaan voor de CAPTCHA van de ontwikkelaarsportal, die wordt omgezet onder de hosts client.hip.live.com en partner.hip.live.com.
De ontwikkelaarsportal publiceren
Het publiceren van de ontwikkelaarsportal voor een API Management-exemplaar in een VNet inschakelen door uitgaande connectiviteit met blobopslag in de regio VS - west toe te staan. Gebruik bijvoorbeeld de servicetag Storage.WestUS in een NSG-regel. Momenteel is connectiviteit met blobopslag in de regio VS - west vereist voor het publiceren van de ontwikkelaarsportal voor elk API Management-exemplaar.
Diagnostische gegevens van Azure Portal
Wanneer u de diagnostische API Management-extensie vanuit een VNet gebruikt, is uitgaande toegang tot dc.services.visualstudio.com de poort 443 vereist om de stroom van diagnostische logboeken vanuit Azure Portal in te schakelen. Deze toegang helpt bij het oplossen van problemen die u mogelijk ondervindt bij het gebruik van de extensie.
Azure load balancer
U hoeft binnenkomende aanvragen van de servicetag AzureLoadBalancer voor de ontwikkelaars-SKU niet toe te staan, omdat er slechts één rekeneenheid achter wordt geïmplementeerd. Binnenkomende connectiviteit van AzureLoadBalancer essentieel belang bij het schalen naar een hogere SKU, zoals Premium, omdat het mislukken van de statustest van de load balancer vervolgens alle binnenkomende toegang tot het besturingsvlak en het gegevensvlak blokkeert.
Analyses van toepassingen
Als u Azure-toepassing Insights-bewaking op API Management hebt ingeschakeld, staat u uitgaande connectiviteit met het telemetrie-eindpunt vanuit het VNet toe.
KMS-eindpunt
Wanneer u virtuele machines met Windows toevoegt aan het VNet, moet u uitgaande connectiviteit op poort 1688 naar het KMS-eindpunt in uw cloud toestaan. Met deze configuratie wordt verkeer van Windows-VM's naar de KMS-server (Azure Key Management Services) gerouteerd om windows-activering te voltooien.
Interne infrastructuur en diagnostische gegevens
De volgende instellingen en FQDN's zijn vereist voor het onderhouden en diagnosticeren van de interne rekeninfrastructuur van API Management.
- Uitgaande UDP-toegang toestaan op poort
123voor NTP. - Uitgaande TCP-toegang toestaan op poort
12000voor diagnostische gegevens. - Uitgaande toegang op poort
443naar de volgende eindpunten toestaan voor interne diagnostische gegevens:azurewatsonanalysis-prod.core.windows.net,*.data.microsoft.com,azureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net, .shavamanifestcdnprod1.azureedge.net - Uitgaande toegang op poort
443naar het volgende eindpunt toestaan voor interne PKI:issuer.pki.azure.com. - Uitgaande toegang toestaan op poorten
80en443de volgende eindpunten voor Windows Update:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - Uitgaande toegang op poorten
80en443het eindpuntgo.microsoft.comtoestaan. - Uitgaande toegang op poort
443naar de volgende eindpunten voor Windows Defender toestaan:wdcp.microsoft.com,wdcpalt.microsoft.com.
IP-adressen van besturingsvlak
Belangrijk
IP-adressen van besturingsvlak voor Azure API Management moeten alleen worden geconfigureerd voor netwerktoegangsregels wanneer dat nodig is in bepaalde netwerkscenario's. We raden u aan de ApiManagement-servicetag te gebruiken in plaats van IP-adressen van het besturingsvlak om downtime te voorkomen wanneer verbeteringen van het IP-adres noodzakelijk zijn voor infrastructuurverbeteringen.
Gerelateerde inhoud
Meer informatie over:
- Een virtueel netwerk verbinden met back-end met behulp van VPN Gateway
- Een virtueel netwerk verbinden vanuit verschillende implementatiemodellen
- Veelgestelde vragen over Virtual Network
- Servicetags
Zie voor meer informatie over configuratieproblemen: