Udostępnij za pośrednictwem

Dokumentacja konfiguracji sieci wirtualnej: API Management

  • Artykuł

DOTYCZY: Developer | Premia

Ta dokumentacja zawiera szczegółowe ustawienia konfiguracji sieci dla wystąpienia usługi API Management wdrożonego (wprowadzonego) w sieci wirtualnej platformy Azure w trybie zewnętrznym lub wewnętrznym .

Aby zapoznać się z opcjami, wymaganiami i zagadnieniami dotyczącymi łączności z siecią wirtualną, zobacz Using a virtual network with Azure API Management (Używanie sieci wirtualnej z usługą Azure API Management).

Ważne

Ta dokumentacja dotyczy tylko wystąpień usługi API Management w warstwach klasycznych wdrożonych w sieci wirtualnej. Aby uzyskać informacje o iniekcji sieci wirtualnej w warstwach v2, zobacz Wstrzykiwanie wystąpienia usługi Azure API Management w prywatnej sieci wirtualnej — Premium v2.

Wymagane porty

Kontrolowanie ruchu przychodzącego i wychodzącego do podsieci, w której usługa API Management jest wdrażana przy użyciu reguł sieciowej grupy zabezpieczeń. Jeśli niektóre porty są niedostępne, usługa API Management może nie działać prawidłowo i może stać się niedostępna.

Gdy wystąpienie usługi API Management jest hostowane w sieci wirtualnej, używane są porty w poniższej tabeli. Niektóre wymagania różnią się w zależności od wersji (stv2lub stv1) platformy obliczeniowej obsługującej wystąpienie usługi API Management.

Ważne

  • Pogrubione elementy w kolumnie Cel wskazują konfiguracje portów wymagane do pomyślnego wdrożenia i działania usługi API Management. Konfiguracje oznaczone jako "opcjonalne" umożliwiają określone funkcje, jak wspomniano. Nie są one wymagane do ogólnej kondycji usługi.

  • Zalecamy używanie wskazanych tagów usługi zamiast adresów IP w sieciowej grupie zabezpieczeń i innych reguł sieciowych w celu określenia źródeł sieci i miejsc docelowych. Tagi usługi uniemożliwiają przestój, gdy ulepszenia infrastruktury wymagają zmian adresów IP.

Ważne

W przypadku korzystania z programu stv2wymagane jest przypisanie sieciowej grupy zabezpieczeń do sieci wirtualnej, aby usługa Azure Load Balancer działała. Dowiedz się więcej w dokumentacji usługi Azure Load Balancer.

Kierunek Tag usługi źródłowej Zakresy portów źródłowych Docelowy tag usługi Zakresy portów docelowych Protokół Akcja Przeznaczenie Typ sieci wirtualnej
Przychodzący Internet * VirtualNetwork [80], 443 TCP Zezwalaj Komunikacja klienta z usługą API Management Tylko zewnętrzne
Przychodzący ApiManagement * VirtualNetwork 3443 TCP Zezwalaj Punkt końcowy zarządzania dla witryny Azure Portal i programu PowerShell Zewnętrzne i wewnętrzne
Wychodzący VirtualNetwork * Storage 443 TCP Zezwalaj Zależność od usługi Azure Storage Zewnętrzne i wewnętrzne
Wychodzący VirtualNetwork * AzureActiveDirectory 443 TCP Zezwalaj Zależności microsoft Entra ID, Microsoft Graph i Azure Key Vault (opcjonalnie) Zewnętrzne i wewnętrzne
Wychodzący VirtualNetwork * AzureConnectors 443 TCP Zezwalaj zależność połączeń zarządzanych (opcjonalnie) Zewnętrzne i wewnętrzne
Wychodzący VirtualNetwork * Sql 1433 TCP Zezwalaj Dostęp do punktów końcowych usługi Azure SQL Zewnętrzne i wewnętrzne
Wychodzący VirtualNetwork * AzureKeyVault 443 TCP Zezwalaj Dostęp do usługi Azure Key Vault Zewnętrzne i wewnętrzne
Wychodzący VirtualNetwork * EventHub 5671, 5672, 443 TCP Zezwalaj Zależność dla zasad usługi Azure Event Hubs i usługi Azure Monitor (opcjonalnie) Zewnętrzne i wewnętrzne
Wychodzący VirtualNetwork * Storage 445 TCP Zezwalaj Zależność od udziału plików platformy Azure dla usługi GIT (opcjonalnie) Zewnętrzne i wewnętrzne
Wychodzący VirtualNetwork * AzureMonitor 1886, 443 TCP Zezwalaj Publikowanie dzienników i metryk diagnostycznych, kondycji zasobów i usługi Application Insights Zewnętrzne i wewnętrzne
Ruch przychodzący i wychodzący VirtualNetwork * Virtual Network 6380 TCP Zezwalaj Uzyskiwanie dostępu do zewnętrznej usługi Azure Cache for Redis w celu buforowania zasad między maszynami (opcjonalnie) Zewnętrzne i wewnętrzne
Ruch przychodzący i wychodzący VirtualNetwork * VirtualNetwork 6381 - 6383 TCP Zezwalaj Uzyskiwanie dostępu do wewnętrznej usługi Azure Cache for Redis w celu buforowania zasad między maszynami (opcjonalnie) Zewnętrzne i wewnętrzne
Ruch przychodzący i wychodzący VirtualNetwork * VirtualNetwork 4290 UDP Zezwalaj Liczniki synchronizacji dla zasad limitu szybkości między maszynami (opcjonalnie) Zewnętrzne i wewnętrzne
Przychodzący AzureLoadBalancer * VirtualNetwork 6390 TCP Zezwalaj Moduł równoważenia obciążenia infrastruktury platformy Azure Zewnętrzne i wewnętrzne
Przychodzący AzureTrafficManager * VirtualNetwork 443 TCP Zezwalaj Routing usługi Azure Traffic Manager dla wdrożenia w wielu regionach Zewnętrzne
Przychodzący AzureLoadBalancer * VirtualNetwork 6391 TCP Zezwalaj Monitorowanie kondycji poszczególnych maszyn (opcjonalnie) Zewnętrzne i wewnętrzne

Tagi usługi regionalnej

Reguły sieciowej grupy zabezpieczeń zezwalające na łączność wychodzącą z tagami usługi Storage, SQL i Azure Event Hubs mogą używać regionalnych wersji tych tagów odpowiadających regionowi zawierającemu wystąpienie usługi API Management (na przykład Storage.WestUS dla wystąpienia usługi API Management w regionie Zachodnie stany USA). W przypadku wdrożeń obejmujących wiele regionów sieciowa grupa zabezpieczeń w każdym regionie powinna zezwalać na ruch do tagów usług dla tego regionu i regionu podstawowego.

Funkcje protokołu TLS

Aby włączyć tworzenie i walidację łańcucha certyfikatów TLS/SSL, usługa API Management wymaga wychodzącej łączności sieciowej na portach i do , , oneocsp.msocsp.com, mscrl.microsoft.com, crl.microsoft.comi csp.digicert.com.ocsp.msocsp.com443 80 Ta zależność nie jest wymagana, jeśli jakikolwiek certyfikat przekazany do usługi API Management zawiera pełny łańcuch do katalogu głównego urzędu certyfikacji.

Dostęp DNS

Dostęp wychodzący na porcie 53 jest wymagany do komunikacji z serwerami DNS. Jeśli niestandardowy serwer DNS istnieje na drugim końcu bramy sieci VPN, serwer DNS musi być dostępny z podsieci hostowania usługi API Management.

Integracja z usługą Microsoft Entra

Aby działać prawidłowo, usługa API Management wymaga łączności wychodzącej na porcie 443 do następujących punktów końcowych skojarzonych z identyfikatorem Entra firmy Microsoft: <region>.login.microsoft.com i login.microsoftonline.com.

Monitorowanie metryk i kondycji

Wychodząca łączność sieciowa z punktami końcowymi monitorowania platformy Azure, które są rozpoznawane w następujących domenach, są reprezentowane w tagu usługi AzureMonitor do użycia z sieciowymi grupami zabezpieczeń.

Środowisko platformy Azure Punkty końcowe
Publiczna platforma Azure
  • gcs.prod.monitoring.core.windows.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.com
Azure Government
  • fairfax.warmpath.usgovcloudapi.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.us
Platforma Microsoft Azure obsługiwana przez firmę 21Vianet
  • mooncake.warmpath.chinacloudapi.cn
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.cn

CapTCHA portalu dla deweloperów

Zezwalaj na wychodzącą łączność sieciową dla capTCHA portalu deweloperów, która jest rozpoznawana na hostach client.hip.live.com i partner.hip.live.com.

Publikowanie portalu dla deweloperów

Włącz publikowanie portalu dla deweloperów dla wystąpienia usługi API Management w sieci wirtualnej, zezwalając na łączność wychodzącą z magazynem obiektów blob w regionie Zachodnie stany USA. Na przykład użyj tagu usługi Storage.WestUS w regule sieciowej grupy zabezpieczeń. Obecnie łączność z magazynem obiektów blob w regionie Zachodnie stany USA jest wymagana do opublikowania portalu deweloperów dla dowolnego wystąpienia usługi API Management.

Diagnostyka witryny Azure Portal

W przypadku korzystania z rozszerzenia diagnostycznego usługi API Management z poziomu sieci wirtualnej wymagany jest dostęp wychodzący do dc.services.visualstudio.com portu 443 w celu włączenia przepływu dzienników diagnostycznych z witryny Azure Portal. Ten dostęp pomaga w rozwiązywaniu problemów, które mogą wystąpić podczas korzystania z rozszerzenia.

Moduł równoważenia obciążenia platformy Azure

Nie musisz zezwalać na żądania przychodzące z tagu AzureLoadBalancer usługi dla jednostki SKU dewelopera, ponieważ jest wdrażana tylko jedna jednostka obliczeniowa. Jednak łączność przychodząca z AzureLoadBalancer staje się krytyczna podczas skalowania do wyższej jednostki SKU, takiej jak Premium, ponieważ awaria sondy kondycji z modułu równoważenia obciążenia blokuje cały dostęp przychodzący do płaszczyzny sterowania i płaszczyzny danych.

Szczegółowe dane dotyczące aplikacji

Jeśli włączono monitorowanie usługi aplikacja systemu Azure Insights w usłudze API Management, zezwól na łączność wychodzącą z punktu końcowego telemetrii z sieci wirtualnej.

Punkt końcowy usługi KMS

Podczas dodawania maszyn wirtualnych z systemem Windows do sieci wirtualnej zezwól na łączność wychodzącą na porcie 1688 do punktu końcowego usługi KMS w chmurze. Ta konfiguracja kieruje ruch maszyn wirtualnych z systemem Windows do serwera usługi Azure usługa zarządzania kluczami s (KMS), aby ukończyć aktywację systemu Windows.

Wewnętrzna infrastruktura i diagnostyka

Następujące ustawienia i nazwy FQDN są wymagane do obsługi i diagnozowania wewnętrznej infrastruktury obliczeniowej usługi API Management.

  • Zezwalaj na wychodzący dostęp UDP na porcie 123 dla protokołu NTP.
  • Zezwalaj na wychodzący dostęp TCP na porcie 12000 na potrzeby diagnostyki.
  • Zezwalaj na dostęp wychodzący na porcie 443 do następujących punktów końcowych na potrzeby diagnostyki wewnętrznej: azurewatsonanalysis-prod.core.windows.net, , *.data.microsoft.comazureprofiler.trafficmanager.net, shavamanifestazurecdnprod1.azureedge.net, shavamanifestcdnprod1.azureedge.net.
  • Zezwalaj na dostęp wychodzący na porcie 443 do następującego punktu końcowego dla wewnętrznej infrastruktury kluczy publicznych: issuer.pki.azure.com.
  • Zezwalaj na dostęp wychodzący na portach 80 i 443 do następujących punktów końcowych dla usługi Windows Update: *.update.microsoft.com, *.ctldl.windowsupdate.com, ctldl.windowsupdate.com, download.windowsupdate.com.
  • Zezwalaj na dostęp wychodzący na portach 80 i 443 do punktu końcowego go.microsoft.com.
  • Zezwalaj na dostęp wychodzący na porcie 443 do następujących punktów końcowych dla usługi Windows Defender: wdcp.microsoft.com, wdcpalt.microsoft.com .

Adresy IP płaszczyzny sterowania

Ważne

Adresy IP płaszczyzny sterowania dla usługi Azure API Management powinny być skonfigurowane dla reguł dostępu do sieci tylko wtedy, gdy jest to konieczne w niektórych scenariuszach sieciowych. Zalecamy użycie tagu usługi ApiManagement zamiast adresów IP płaszczyzny sterowania, aby zapobiec przestojom, gdy ulepszenia infrastruktury wymagają zmian adresów IP.

Powiązana zawartość

Dowiedz się więcej na następujące tematy:

Aby uzyskać więcej wskazówek dotyczących problemów z konfiguracją, zobacz: