Dokumentacja konfiguracji sieci wirtualnej: API Management
DOTYCZY: Developer | Premia
Ta dokumentacja zawiera szczegółowe ustawienia konfiguracji sieci dla wystąpienia usługi API Management wdrożonego (wprowadzonego) w sieci wirtualnej platformy Azure w trybie zewnętrznym lub wewnętrznym .
Aby zapoznać się z opcjami, wymaganiami i zagadnieniami dotyczącymi łączności z siecią wirtualną, zobacz Using a virtual network with Azure API Management (Używanie sieci wirtualnej z usługą Azure API Management).
Wymagane porty
Kontrolowanie ruchu przychodzącego i wychodzącego do podsieci, w której usługa API Management jest wdrażana przy użyciu reguł sieciowej grupy zabezpieczeń. Jeśli niektóre porty są niedostępne, usługa API Management może nie działać prawidłowo i może stać się niedostępna.
Gdy wystąpienie usługi API Management jest hostowane w sieci wirtualnej, używane są porty w poniższej tabeli. Niektóre wymagania różnią się w zależności od wersji (stv2
lub stv1
) platformy obliczeniowej obsługującej wystąpienie usługi API Management.
Ważne
Pogrubione elementy w kolumnie Cel wskazują konfiguracje portów wymagane do pomyślnego wdrożenia i działania usługi API Management. Konfiguracje oznaczone jako "opcjonalne" umożliwiają określone funkcje, jak wspomniano. Nie są one wymagane do ogólnej kondycji usługi.
Zalecamy używanie wskazanych tagów usługi zamiast adresów IP w sieciowej grupie zabezpieczeń i innych reguł sieciowych w celu określenia źródeł sieci i miejsc docelowych. Tagi usługi uniemożliwiają przestój, gdy ulepszenia infrastruktury wymagają zmian adresów IP.
Ważne
W przypadku korzystania z programu stv2
wymagane jest przypisanie sieciowej grupy zabezpieczeń do sieci wirtualnej, aby usługa Azure Load Balancer działała. Dowiedz się więcej w dokumentacji usługi Azure Load Balancer.
Porty źródłowe/docelowe | Kierunek | Protokół transportowy | Tagi usługi Źródło/miejsce docelowe |
Przeznaczenie | Typ sieci wirtualnej |
---|---|---|---|---|---|
* / [80], 443 | Przychodzący | TCP | Internet/Sieć wirtualna | Komunikacja klienta z usługą API Management | Tylko zewnętrzne |
* / 3443 | Przychodzący | TCP | ApiManagement/VirtualNetwork | Punkt końcowy zarządzania dla witryny Azure Portal i programu PowerShell | Zewnętrzne i wewnętrzne |
* / 443 | Wychodzący | TCP | Sieć wirtualna/magazyn | Zależność od usługi Azure Storage | Zewnętrzne i wewnętrzne |
* / 443 | Wychodzący | TCP | VirtualNetwork/AzureActiveDirectory | Zależności microsoft Entra ID, Microsoft Graph i Azure Key Vault (opcjonalnie) | Zewnętrzne i wewnętrzne |
* / 443 | Wychodzący | TCP | VirtualNetwork/AzureConnectors | zależność połączeń zarządzanych (opcjonalnie) | Zewnętrzne i wewnętrzne |
* / 1433 | Wychodzący | TCP | VirtualNetwork/Sql | Dostęp do punktów końcowych usługi Azure SQL | Zewnętrzne i wewnętrzne |
* / 443 | Wychodzący | TCP | VirtualNetwork/ AzureKeyVault | Dostęp do usługi Azure Key Vault | Zewnętrzne i wewnętrzne |
* / 5671, 5672, 443 | Wychodzący | TCP | VirtualNetwork/EventHub | Zależność dla zasad usługi Azure Event Hubs i usługi Azure Monitor (opcjonalnie) | Zewnętrzne i wewnętrzne |
* / 445 | Wychodzący | TCP | Sieć wirtualna/magazyn | Zależność od udziału plików platformy Azure dla usługi GIT (opcjonalnie) | Zewnętrzne i wewnętrzne |
* / 1886, 443 | Wychodzący | TCP | VirtualNetwork/ AzureMonitor | Publikowanie dzienników i metryk diagnostycznych, kondycji zasobów i usługi Application Insights | Zewnętrzne i wewnętrzne |
* / 6380 | Ruch przychodzący i wychodzący | TCP | Sieć wirtualna / Sieć wirtualna | Uzyskiwanie dostępu do zewnętrznej usługi Azure Cache for Redis w celu buforowania zasad między maszynami (opcjonalnie) | Zewnętrzne i wewnętrzne |
* / 6381 – 6383 | Ruch przychodzący i wychodzący | TCP | Sieć wirtualna / Sieć wirtualna | Uzyskiwanie dostępu do wewnętrznej usługi Azure Cache for Redis w celu buforowania zasad między maszynami (opcjonalnie) | Zewnętrzne i wewnętrzne |
* / 4290 | Ruch przychodzący i wychodzący | UDP | Sieć wirtualna / Sieć wirtualna | Liczniki synchronizacji dla zasad limitu szybkości między maszynami (opcjonalnie) | Zewnętrzne i wewnętrzne |
* / 6390 | Przychodzący | TCP | AzureLoadBalancer/VirtualNetwork | Moduł równoważenia obciążenia infrastruktury platformy Azure | Zewnętrzne i wewnętrzne |
* / 443 | Przychodzący | TCP | AzureTrafficManager/ VirtualNetwork | Routing usługi Azure Traffic Manager dla wdrożenia w wielu regionach | Zewnętrzne |
* / 6391 | Przychodzący | TCP | AzureLoadBalancer/VirtualNetwork | Monitorowanie kondycji poszczególnych maszyn (opcjonalnie) | Zewnętrzne i wewnętrzne |
Tagi usługi regionalnej
Reguły sieciowej grupy zabezpieczeń zezwalające na łączność wychodzącą z tagami usługi Storage, SQL i Azure Event Hubs mogą używać regionalnych wersji tych tagów odpowiadających regionowi zawierającemu wystąpienie usługi API Management (na przykład Storage.WestUS dla wystąpienia usługi API Management w regionie Zachodnie stany USA). W przypadku wdrożeń obejmujących wiele regionów sieciowa grupa zabezpieczeń w każdym regionie powinna zezwalać na ruch do tagów usług dla tego regionu i regionu podstawowego.
Funkcje protokołu TLS
Aby włączyć tworzenie i walidację łańcucha certyfikatów TLS/SSL, usługa API Management wymaga wychodzącej łączności sieciowej na portach i do , , oneocsp.msocsp.com
, mscrl.microsoft.com
, crl.microsoft.com
i csp.digicert.com
.ocsp.msocsp.com
443
80
Ta zależność nie jest wymagana, jeśli jakikolwiek certyfikat przekazany do usługi API Management zawiera pełny łańcuch do katalogu głównego urzędu certyfikacji.
Dostęp DNS
Dostęp wychodzący na porcie 53
jest wymagany do komunikacji z serwerami DNS. Jeśli niestandardowy serwer DNS istnieje na drugim końcu bramy sieci VPN, serwer DNS musi być dostępny z podsieci hostowania usługi API Management.
Integracja z usługą Microsoft Entra
Aby działać prawidłowo, usługa API Management wymaga łączności wychodzącej na porcie 443 do następujących punktów końcowych skojarzonych z identyfikatorem Entra firmy Microsoft: <region>.login.microsoft.com
i login.microsoftonline.com
.
Monitorowanie metryk i kondycji
Wychodząca łączność sieciowa z punktami końcowymi monitorowania platformy Azure, które są rozpoznawane w następujących domenach, są reprezentowane w tagu usługi AzureMonitor do użycia z sieciowymi grupami zabezpieczeń.
Środowisko platformy Azure | Punkty końcowe |
---|---|
Publiczna platforma Azure |
|
Azure Government |
|
Platforma Microsoft Azure obsługiwana przez firmę 21Vianet |
|
CapTCHA portalu dla deweloperów
Zezwalaj na wychodzącą łączność sieciową dla capTCHA portalu deweloperów, która jest rozpoznawana na hostach client.hip.live.com
i partner.hip.live.com
.
Publikowanie portalu dla deweloperów
Włącz publikowanie portalu dla deweloperów dla wystąpienia usługi API Management w sieci wirtualnej, zezwalając na łączność wychodzącą z magazynem obiektów blob w regionie Zachodnie stany USA. Na przykład użyj tagu usługi Storage.WestUS w regule sieciowej grupy zabezpieczeń. Obecnie łączność z magazynem obiektów blob w regionie Zachodnie stany USA jest wymagana do opublikowania portalu deweloperów dla dowolnego wystąpienia usługi API Management.
Diagnostyka witryny Azure Portal
W przypadku korzystania z rozszerzenia diagnostycznego usługi API Management z poziomu sieci wirtualnej wymagany jest dostęp wychodzący do dc.services.visualstudio.com
portu 443
w celu włączenia przepływu dzienników diagnostycznych z witryny Azure Portal. Ten dostęp pomaga w rozwiązywaniu problemów, które mogą wystąpić podczas korzystania z rozszerzenia.
Moduł równoważenia obciążenia platformy Azure
Nie musisz zezwalać na żądania przychodzące z tagu AzureLoadBalancer
usługi dla jednostki SKU dewelopera, ponieważ jest wdrażana tylko jedna jednostka obliczeniowa. Jednak łączność przychodząca z AzureLoadBalancer
staje się krytyczna podczas skalowania do wyższej jednostki SKU, takiej jak Premium, ponieważ awaria sondy kondycji z modułu równoważenia obciążenia blokuje cały dostęp przychodzący do płaszczyzny sterowania i płaszczyzny danych.
Szczegółowe dane dotyczące aplikacji
Jeśli włączono monitorowanie usługi aplikacja systemu Azure Insights w usłudze API Management, zezwól na łączność wychodzącą z punktu końcowego telemetrii z sieci wirtualnej.
Punkt końcowy usługi KMS
Podczas dodawania maszyn wirtualnych z systemem Windows do sieci wirtualnej zezwól na łączność wychodzącą na porcie 1688
do punktu końcowego usługi KMS w chmurze. Ta konfiguracja kieruje ruch maszyn wirtualnych z systemem Windows do serwera usługi Azure usługa zarządzania kluczami s (KMS), aby ukończyć aktywację systemu Windows.
Wewnętrzna infrastruktura i diagnostyka
Następujące ustawienia i nazwy FQDN są wymagane do obsługi i diagnozowania wewnętrznej infrastruktury obliczeniowej usługi API Management.
- Zezwalaj na wychodzący dostęp UDP na porcie
123
dla protokołu NTP. - Zezwalaj na wychodzący dostęp TCP na porcie
12000
na potrzeby diagnostyki. - Zezwalaj na dostęp wychodzący na porcie
443
do następujących punktów końcowych na potrzeby diagnostyki wewnętrznej:azurewatsonanalysis-prod.core.windows.net
, ,*.data.microsoft.com
azureprofiler.trafficmanager.net
,shavamanifestazurecdnprod1.azureedge.net
,shavamanifestcdnprod1.azureedge.net
. - Zezwalaj na dostęp wychodzący na porcie
443
do następującego punktu końcowego dla wewnętrznej infrastruktury kluczy publicznych:issuer.pki.azure.com
. - Zezwalaj na dostęp wychodzący na portach
80
i443
do następujących punktów końcowych dla usługi Windows Update:*.update.microsoft.com
,*.ctldl.windowsupdate.com
,ctldl.windowsupdate.com
,download.windowsupdate.com
. - Zezwalaj na dostęp wychodzący na portach
80
i443
do punktu końcowegogo.microsoft.com
. - Zezwalaj na dostęp wychodzący na porcie
443
do następujących punktów końcowych dla usługi Windows Defender:wdcp.microsoft.com
,wdcpalt.microsoft.com
.
Adresy IP płaszczyzny sterowania
Ważne
Adresy IP płaszczyzny sterowania dla usługi Azure API Management powinny być skonfigurowane dla reguł dostępu do sieci tylko wtedy, gdy jest to konieczne w niektórych scenariuszach sieciowych. Zalecamy użycie tagu usługi ApiManagement zamiast adresów IP płaszczyzny sterowania, aby zapobiec przestojom, gdy ulepszenia infrastruktury wymagają zmian adresów IP.
Powiązana zawartość
Dowiedz się więcej na następujące tematy:
- Łączenie sieci wirtualnej z zapleczem przy użyciu usługi VPN Gateway
- Łączenie sieci wirtualnej z różnych modeli wdrażania
- Sieć wirtualna — często zadawane pytania
- Tagi usługi
Aby uzyskać więcej wskazówek dotyczących problemów z konfiguracją, zobacz: