Dokumentacja konfiguracji sieci wirtualnej: API Management
DOTYCZY: Developer | Premia
Ta dokumentacja zawiera szczegółowe ustawienia konfiguracji sieci dla wystąpienia usługi API Management wdrożonego (wprowadzonego) w sieci wirtualnej platformy Azure w trybie zewnętrznym lub wewnętrznym .
Aby zapoznać się z opcjami, wymaganiami i zagadnieniami dotyczącymi łączności z siecią wirtualną, zobacz Using a virtual network with Azure API Management (Używanie sieci wirtualnej z usługą Azure API Management).
Ważne
Ta dokumentacja dotyczy tylko wystąpień usługi API Management w warstwach klasycznych wdrożonych w sieci wirtualnej. Aby uzyskać informacje o iniekcji sieci wirtualnej w warstwach v2, zobacz Wstrzykiwanie wystąpienia usługi Azure API Management w prywatnej sieci wirtualnej — Premium v2.
Wymagane porty
Kontrolowanie ruchu przychodzącego i wychodzącego do podsieci, w której usługa API Management jest wdrażana przy użyciu reguł sieciowej grupy zabezpieczeń. Jeśli niektóre porty są niedostępne, usługa API Management może nie działać prawidłowo i może stać się niedostępna.
Gdy wystąpienie usługi API Management jest hostowane w sieci wirtualnej, używane są porty w poniższej tabeli. Niektóre wymagania różnią się w zależności od wersji (stv2
lub stv1
) platformy obliczeniowej obsługującej wystąpienie usługi API Management.
Ważne
Pogrubione elementy w kolumnie Cel wskazują konfiguracje portów wymagane do pomyślnego wdrożenia i działania usługi API Management. Konfiguracje oznaczone jako "opcjonalne" umożliwiają określone funkcje, jak wspomniano. Nie są one wymagane do ogólnej kondycji usługi.
Zalecamy używanie wskazanych tagów usługi zamiast adresów IP w sieciowej grupie zabezpieczeń i innych reguł sieciowych w celu określenia źródeł sieci i miejsc docelowych. Tagi usługi uniemożliwiają przestój, gdy ulepszenia infrastruktury wymagają zmian adresów IP.
Ważne
W przypadku korzystania z programu stv2
wymagane jest przypisanie sieciowej grupy zabezpieczeń do sieci wirtualnej, aby usługa Azure Load Balancer działała. Dowiedz się więcej w dokumentacji usługi Azure Load Balancer.
Kierunek | Tag usługi źródłowej | Zakresy portów źródłowych | Docelowy tag usługi | Zakresy portów docelowych | Protokół | Akcja | Przeznaczenie | Typ sieci wirtualnej |
---|---|---|---|---|---|---|---|---|
Przychodzący | Internet | * | VirtualNetwork | [80], 443 | TCP | Zezwalaj | Komunikacja klienta z usługą API Management | Tylko zewnętrzne |
Przychodzący | ApiManagement | * | VirtualNetwork | 3443 | TCP | Zezwalaj | Punkt końcowy zarządzania dla witryny Azure Portal i programu PowerShell | Zewnętrzne i wewnętrzne |
Wychodzący | VirtualNetwork | * | Storage | 443 | TCP | Zezwalaj | Zależność od usługi Azure Storage | Zewnętrzne i wewnętrzne |
Wychodzący | VirtualNetwork | * | AzureActiveDirectory | 443 | TCP | Zezwalaj | Zależności microsoft Entra ID, Microsoft Graph i Azure Key Vault (opcjonalnie) | Zewnętrzne i wewnętrzne |
Wychodzący | VirtualNetwork | * | AzureConnectors | 443 | TCP | Zezwalaj | zależność połączeń zarządzanych (opcjonalnie) | Zewnętrzne i wewnętrzne |
Wychodzący | VirtualNetwork | * | Sql | 1433 | TCP | Zezwalaj | Dostęp do punktów końcowych usługi Azure SQL | Zewnętrzne i wewnętrzne |
Wychodzący | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Zezwalaj | Dostęp do usługi Azure Key Vault | Zewnętrzne i wewnętrzne |
Wychodzący | VirtualNetwork | * | EventHub | 5671, 5672, 443 | TCP | Zezwalaj | Zależność dla zasad usługi Azure Event Hubs i usługi Azure Monitor (opcjonalnie) | Zewnętrzne i wewnętrzne |
Wychodzący | VirtualNetwork | * | Storage | 445 | TCP | Zezwalaj | Zależność od udziału plików platformy Azure dla usługi GIT (opcjonalnie) | Zewnętrzne i wewnętrzne |
Wychodzący | VirtualNetwork | * | AzureMonitor | 1886, 443 | TCP | Zezwalaj | Publikowanie dzienników i metryk diagnostycznych, kondycji zasobów i usługi Application Insights | Zewnętrzne i wewnętrzne |
Ruch przychodzący i wychodzący | VirtualNetwork | * | Virtual Network | 6380 | TCP | Zezwalaj | Uzyskiwanie dostępu do zewnętrznej usługi Azure Cache for Redis w celu buforowania zasad między maszynami (opcjonalnie) | Zewnętrzne i wewnętrzne |
Ruch przychodzący i wychodzący | VirtualNetwork | * | VirtualNetwork | 6381 - 6383 | TCP | Zezwalaj | Uzyskiwanie dostępu do wewnętrznej usługi Azure Cache for Redis w celu buforowania zasad między maszynami (opcjonalnie) | Zewnętrzne i wewnętrzne |
Ruch przychodzący i wychodzący | VirtualNetwork | * | VirtualNetwork | 4290 | UDP | Zezwalaj | Liczniki synchronizacji dla zasad limitu szybkości między maszynami (opcjonalnie) | Zewnętrzne i wewnętrzne |
Przychodzący | AzureLoadBalancer | * | VirtualNetwork | 6390 | TCP | Zezwalaj | Moduł równoważenia obciążenia infrastruktury platformy Azure | Zewnętrzne i wewnętrzne |
Przychodzący | AzureTrafficManager | * | VirtualNetwork | 443 | TCP | Zezwalaj | Routing usługi Azure Traffic Manager dla wdrożenia w wielu regionach | Zewnętrzne |
Przychodzący | AzureLoadBalancer | * | VirtualNetwork 6391 | TCP | Zezwalaj | Monitorowanie kondycji poszczególnych maszyn (opcjonalnie) | Zewnętrzne i wewnętrzne |
Tagi usługi regionalnej
Reguły sieciowej grupy zabezpieczeń zezwalające na łączność wychodzącą z tagami usługi Storage, SQL i Azure Event Hubs mogą używać regionalnych wersji tych tagów odpowiadających regionowi zawierającemu wystąpienie usługi API Management (na przykład Storage.WestUS dla wystąpienia usługi API Management w regionie Zachodnie stany USA). W przypadku wdrożeń obejmujących wiele regionów sieciowa grupa zabezpieczeń w każdym regionie powinna zezwalać na ruch do tagów usług dla tego regionu i regionu podstawowego.
Funkcje protokołu TLS
Aby włączyć tworzenie i walidację łańcucha certyfikatów TLS/SSL, usługa API Management wymaga wychodzącej łączności sieciowej na portach 80
i 443
do ocsp.msocsp.com
, , oneocsp.msocsp.com
, mscrl.microsoft.com
crl.microsoft.com
, , , cacerts.digicert.com
crl3.digicert.com
i csp.digicert.com
.
Dostęp DNS
Dostęp wychodzący na porcie 53
jest wymagany do komunikacji z serwerami DNS. Jeśli niestandardowy serwer DNS istnieje na drugim końcu bramy sieci VPN, serwer DNS musi być dostępny z podsieci hostowania usługi API Management.
Integracja z usługą Microsoft Entra
Aby działać prawidłowo, usługa API Management wymaga łączności wychodzącej na porcie 443 do następujących punktów końcowych skojarzonych z identyfikatorem Entra firmy Microsoft: <region>.login.microsoft.com
i login.microsoftonline.com
.
Monitorowanie metryk i kondycji
Wychodząca łączność sieciowa z punktami końcowymi monitorowania platformy Azure, które są rozpoznawane w następujących domenach, są reprezentowane w tagu usługi AzureMonitor do użycia z sieciowymi grupami zabezpieczeń.
Środowisko platformy Azure | Punkty końcowe |
---|---|
Publiczna platforma Azure |
|
Azure Government |
|
Platforma Microsoft Azure obsługiwana przez firmę 21Vianet |
|
CapTCHA portalu dla deweloperów
Zezwalaj na wychodzącą łączność sieciową dla capTCHA portalu deweloperów, która jest rozpoznawana na hostach client.hip.live.com
i partner.hip.live.com
.
Publikowanie portalu dla deweloperów
Włącz publikowanie portalu dla deweloperów dla wystąpienia usługi API Management w sieci wirtualnej, zezwalając na łączność wychodzącą z magazynem obiektów blob w regionie Zachodnie stany USA. Na przykład użyj tagu usługi Storage.WestUS w regule sieciowej grupy zabezpieczeń. Obecnie łączność z magazynem obiektów blob w regionie Zachodnie stany USA jest wymagana do opublikowania portalu deweloperów dla dowolnego wystąpienia usługi API Management.
Diagnostyka witryny Azure Portal
W przypadku korzystania z rozszerzenia diagnostycznego usługi API Management z poziomu sieci wirtualnej wymagany jest dostęp wychodzący do dc.services.visualstudio.com
portu 443
w celu włączenia przepływu dzienników diagnostycznych z witryny Azure Portal. Ten dostęp pomaga w rozwiązywaniu problemów, które mogą wystąpić podczas korzystania z rozszerzenia.
Moduł równoważenia obciążenia platformy Azure
Nie musisz zezwalać na żądania przychodzące z tagu AzureLoadBalancer
usługi dla jednostki SKU dewelopera, ponieważ jest wdrażana tylko jedna jednostka obliczeniowa. Jednak łączność przychodząca z AzureLoadBalancer
staje się krytyczna podczas skalowania do wyższej jednostki SKU, takiej jak Premium, ponieważ awaria sondy kondycji z modułu równoważenia obciążenia blokuje cały dostęp przychodzący do płaszczyzny sterowania i płaszczyzny danych.
Szczegółowe dane dotyczące aplikacji
Jeśli włączono monitorowanie usługi aplikacja systemu Azure Insights w usłudze API Management, zezwól na łączność wychodzącą z punktu końcowego telemetrii z sieci wirtualnej.
Punkt końcowy usługi KMS
Podczas dodawania maszyn wirtualnych z systemem Windows do sieci wirtualnej zezwól na łączność wychodzącą na porcie 1688
do punktu końcowego usługi KMS w chmurze. Ta konfiguracja kieruje ruch maszyn wirtualnych z systemem Windows do serwera usługi Azure usługa zarządzania kluczami s (KMS), aby ukończyć aktywację systemu Windows.
Wewnętrzna infrastruktura i diagnostyka
Następujące ustawienia i nazwy FQDN są wymagane do obsługi i diagnozowania wewnętrznej infrastruktury obliczeniowej usługi API Management.
- Zezwalaj na wychodzący dostęp UDP na porcie
123
dla protokołu NTP. - Zezwalaj na wychodzący dostęp TCP na porcie
12000
na potrzeby diagnostyki. - Zezwalaj na dostęp wychodzący na porcie
443
do następujących punktów końcowych na potrzeby diagnostyki wewnętrznej:azurewatsonanalysis-prod.core.windows.net
, ,*.data.microsoft.com
azureprofiler.trafficmanager.net
,shavamanifestazurecdnprod1.azureedge.net
,shavamanifestcdnprod1.azureedge.net
. - Zezwalaj na dostęp wychodzący na porcie
443
do następującego punktu końcowego dla wewnętrznej infrastruktury kluczy publicznych:issuer.pki.azure.com
. - Zezwalaj na dostęp wychodzący na portach
80
i443
do następujących punktów końcowych dla usługi Windows Update:*.update.microsoft.com
,*.ctldl.windowsupdate.com
,ctldl.windowsupdate.com
,download.windowsupdate.com
. - Zezwalaj na dostęp wychodzący na portach
80
i443
do punktu końcowegogo.microsoft.com
. - Zezwalaj na dostęp wychodzący na porcie
443
do następujących punktów końcowych dla usługi Windows Defender:wdcp.microsoft.com
,wdcpalt.microsoft.com
.
Adresy IP płaszczyzny sterowania
Ważne
Adresy IP płaszczyzny sterowania dla usługi Azure API Management powinny być skonfigurowane dla reguł dostępu do sieci tylko wtedy, gdy jest to konieczne w niektórych scenariuszach sieciowych. Zalecamy użycie tagu usługi ApiManagementzamiast adresów IP płaszczyzny sterowania, aby zapobiec przestojom, gdy ulepszenia infrastruktury wymagają zmian adresów IP.
Powiązana zawartość
Dowiedz się więcej na następujące tematy:
- Łączenie sieci wirtualnej z zapleczem przy użyciu usługi VPN Gateway
- Łączenie sieci wirtualnej z różnych modeli wdrażania
- Sieć wirtualna — często zadawane pytania
- Tagi usługi
Aby uzyskać więcej wskazówek dotyczących problemów z konfiguracją, zobacz: