Udostępnij za pośrednictwem


Dokumentacja konfiguracji sieci wirtualnej: API Management

DOTYCZY: Developer | Premia

Ta dokumentacja zawiera szczegółowe ustawienia konfiguracji sieci dla wystąpienia usługi API Management wdrożonego (wprowadzonego) w sieci wirtualnej platformy Azure w trybie zewnętrznym lub wewnętrznym .

Aby zapoznać się z opcjami, wymaganiami i zagadnieniami dotyczącymi łączności z siecią wirtualną, zobacz Using a virtual network with Azure API Management (Używanie sieci wirtualnej z usługą Azure API Management).

Ważne

Ta dokumentacja dotyczy tylko wystąpień usługi API Management w warstwach klasycznych wdrożonych w sieci wirtualnej. Aby uzyskać informacje o iniekcji sieci wirtualnej w warstwach v2, zobacz Wstrzykiwanie wystąpienia usługi Azure API Management w prywatnej sieci wirtualnej — Premium v2.

Wymagane porty

Kontrolowanie ruchu przychodzącego i wychodzącego do podsieci, w której usługa API Management jest wdrażana przy użyciu reguł sieciowej grupy zabezpieczeń. Jeśli niektóre porty są niedostępne, usługa API Management może nie działać prawidłowo i może stać się niedostępna.

Gdy wystąpienie usługi API Management jest hostowane w sieci wirtualnej, używane są porty w poniższej tabeli. Niektóre wymagania różnią się w zależności od wersji (stv2lub stv1) platformy obliczeniowej obsługującej wystąpienie usługi API Management.

Ważne

  • Pogrubione elementy w kolumnie Cel wskazują konfiguracje portów wymagane do pomyślnego wdrożenia i działania usługi API Management. Konfiguracje oznaczone jako "opcjonalne" umożliwiają określone funkcje, jak wspomniano. Nie są one wymagane do ogólnej kondycji usługi.

  • Zalecamy używanie wskazanych tagów usługi zamiast adresów IP w sieciowej grupie zabezpieczeń i innych reguł sieciowych w celu określenia źródeł sieci i miejsc docelowych. Tagi usługi uniemożliwiają przestój, gdy ulepszenia infrastruktury wymagają zmian adresów IP.

Ważne

W przypadku korzystania z programu stv2wymagane jest przypisanie sieciowej grupy zabezpieczeń do sieci wirtualnej, aby usługa Azure Load Balancer działała. Dowiedz się więcej w dokumentacji usługi Azure Load Balancer.

Kierunek Tag usługi źródłowej Zakresy portów źródłowych Docelowy tag usługi Zakresy portów docelowych Protokół Akcja Przeznaczenie Typ sieci wirtualnej
Przychodzący Internet * VirtualNetwork [80], 443 TCP Zezwalaj Komunikacja klienta z usługą API Management Tylko zewnętrzne
Przychodzący ApiManagement * VirtualNetwork 3443 TCP Zezwalaj Punkt końcowy zarządzania dla witryny Azure Portal i programu PowerShell Zewnętrzne i wewnętrzne
Wychodzący VirtualNetwork * Storage 443 TCP Zezwalaj Zależność od usługi Azure Storage Zewnętrzne i wewnętrzne
Wychodzący VirtualNetwork * AzureActiveDirectory 443 TCP Zezwalaj Zależności microsoft Entra ID, Microsoft Graph i Azure Key Vault (opcjonalnie) Zewnętrzne i wewnętrzne
Wychodzący VirtualNetwork * AzureConnectors 443 TCP Zezwalaj zależność połączeń zarządzanych (opcjonalnie) Zewnętrzne i wewnętrzne
Wychodzący VirtualNetwork * Sql 1433 TCP Zezwalaj Dostęp do punktów końcowych usługi Azure SQL Zewnętrzne i wewnętrzne
Wychodzący VirtualNetwork * AzureKeyVault 443 TCP Zezwalaj Dostęp do usługi Azure Key Vault Zewnętrzne i wewnętrzne
Wychodzący VirtualNetwork * EventHub 5671, 5672, 443 TCP Zezwalaj Zależność dla zasad usługi Azure Event Hubs i usługi Azure Monitor (opcjonalnie) Zewnętrzne i wewnętrzne
Wychodzący VirtualNetwork * Storage 445 TCP Zezwalaj Zależność od udziału plików platformy Azure dla usługi GIT (opcjonalnie) Zewnętrzne i wewnętrzne
Wychodzący VirtualNetwork * AzureMonitor 1886, 443 TCP Zezwalaj Publikowanie dzienników i metryk diagnostycznych, kondycji zasobów i usługi Application Insights Zewnętrzne i wewnętrzne
Ruch przychodzący i wychodzący VirtualNetwork * Virtual Network 6380 TCP Zezwalaj Uzyskiwanie dostępu do zewnętrznej usługi Azure Cache for Redis w celu buforowania zasad między maszynami (opcjonalnie) Zewnętrzne i wewnętrzne
Ruch przychodzący i wychodzący VirtualNetwork * VirtualNetwork 6381 - 6383 TCP Zezwalaj Uzyskiwanie dostępu do wewnętrznej usługi Azure Cache for Redis w celu buforowania zasad między maszynami (opcjonalnie) Zewnętrzne i wewnętrzne
Ruch przychodzący i wychodzący VirtualNetwork * VirtualNetwork 4290 UDP Zezwalaj Liczniki synchronizacji dla zasad limitu szybkości między maszynami (opcjonalnie) Zewnętrzne i wewnętrzne
Przychodzący AzureLoadBalancer * VirtualNetwork 6390 TCP Zezwalaj Moduł równoważenia obciążenia infrastruktury platformy Azure Zewnętrzne i wewnętrzne
Przychodzący AzureTrafficManager * VirtualNetwork 443 TCP Zezwalaj Routing usługi Azure Traffic Manager dla wdrożenia w wielu regionach Zewnętrzne
Przychodzący AzureLoadBalancer * VirtualNetwork 6391 TCP Zezwalaj Monitorowanie kondycji poszczególnych maszyn (opcjonalnie) Zewnętrzne i wewnętrzne

Tagi usługi regionalnej

Reguły sieciowej grupy zabezpieczeń zezwalające na łączność wychodzącą z tagami usługi Storage, SQL i Azure Event Hubs mogą używać regionalnych wersji tych tagów odpowiadających regionowi zawierającemu wystąpienie usługi API Management (na przykład Storage.WestUS dla wystąpienia usługi API Management w regionie Zachodnie stany USA). W przypadku wdrożeń obejmujących wiele regionów sieciowa grupa zabezpieczeń w każdym regionie powinna zezwalać na ruch do tagów usług dla tego regionu i regionu podstawowego.

Funkcje protokołu TLS

Aby włączyć tworzenie i walidację łańcucha certyfikatów TLS/SSL, usługa API Management wymaga wychodzącej łączności sieciowej na portach 80 i 443 do ocsp.msocsp.com, , oneocsp.msocsp.com, mscrl.microsoft.comcrl.microsoft.com, , , cacerts.digicert.comcrl3.digicert.com i csp.digicert.com.

Dostęp DNS

Dostęp wychodzący na porcie 53 jest wymagany do komunikacji z serwerami DNS. Jeśli niestandardowy serwer DNS istnieje na drugim końcu bramy sieci VPN, serwer DNS musi być dostępny z podsieci hostowania usługi API Management.

Integracja z usługą Microsoft Entra

Aby działać prawidłowo, usługa API Management wymaga łączności wychodzącej na porcie 443 do następujących punktów końcowych skojarzonych z identyfikatorem Entra firmy Microsoft: <region>.login.microsoft.com i login.microsoftonline.com.

Monitorowanie metryk i kondycji

Wychodząca łączność sieciowa z punktami końcowymi monitorowania platformy Azure, które są rozpoznawane w następujących domenach, są reprezentowane w tagu usługi AzureMonitor do użycia z sieciowymi grupami zabezpieczeń.

Środowisko platformy Azure Punkty końcowe
Publiczna platforma Azure
  • gcs.prod.monitoring.core.windows.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.com
Azure Government
  • fairfax.warmpath.usgovcloudapi.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.us
Platforma Microsoft Azure obsługiwana przez firmę 21Vianet
  • mooncake.warmpath.chinacloudapi.cn
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.cn

CapTCHA portalu dla deweloperów

Zezwalaj na wychodzącą łączność sieciową dla capTCHA portalu deweloperów, która jest rozpoznawana na hostach client.hip.live.com i partner.hip.live.com.

Publikowanie portalu dla deweloperów

Włącz publikowanie portalu dla deweloperów dla wystąpienia usługi API Management w sieci wirtualnej, zezwalając na łączność wychodzącą z magazynem obiektów blob w regionie Zachodnie stany USA. Na przykład użyj tagu usługi Storage.WestUS w regule sieciowej grupy zabezpieczeń. Obecnie łączność z magazynem obiektów blob w regionie Zachodnie stany USA jest wymagana do opublikowania portalu deweloperów dla dowolnego wystąpienia usługi API Management.

Diagnostyka witryny Azure Portal

W przypadku korzystania z rozszerzenia diagnostycznego usługi API Management z poziomu sieci wirtualnej wymagany jest dostęp wychodzący do dc.services.visualstudio.com portu 443 w celu włączenia przepływu dzienników diagnostycznych z witryny Azure Portal. Ten dostęp pomaga w rozwiązywaniu problemów, które mogą wystąpić podczas korzystania z rozszerzenia.

Moduł równoważenia obciążenia platformy Azure

Nie musisz zezwalać na żądania przychodzące z tagu AzureLoadBalancer usługi dla jednostki SKU dewelopera, ponieważ jest wdrażana tylko jedna jednostka obliczeniowa. Jednak łączność przychodząca z AzureLoadBalancer staje się krytyczna podczas skalowania do wyższej jednostki SKU, takiej jak Premium, ponieważ awaria sondy kondycji z modułu równoważenia obciążenia blokuje cały dostęp przychodzący do płaszczyzny sterowania i płaszczyzny danych.

Szczegółowe dane dotyczące aplikacji

Jeśli włączono monitorowanie usługi aplikacja systemu Azure Insights w usłudze API Management, zezwól na łączność wychodzącą z punktu końcowego telemetrii z sieci wirtualnej.

Punkt końcowy usługi KMS

Podczas dodawania maszyn wirtualnych z systemem Windows do sieci wirtualnej zezwól na łączność wychodzącą na porcie 1688 do punktu końcowego usługi KMS w chmurze. Ta konfiguracja kieruje ruch maszyn wirtualnych z systemem Windows do serwera usługi Azure usługa zarządzania kluczami s (KMS), aby ukończyć aktywację systemu Windows.

Wewnętrzna infrastruktura i diagnostyka

Następujące ustawienia i nazwy FQDN są wymagane do obsługi i diagnozowania wewnętrznej infrastruktury obliczeniowej usługi API Management.

  • Zezwalaj na wychodzący dostęp UDP na porcie 123 dla protokołu NTP.
  • Zezwalaj na wychodzący dostęp TCP na porcie 12000 na potrzeby diagnostyki.
  • Zezwalaj na dostęp wychodzący na porcie 443 do następujących punktów końcowych na potrzeby diagnostyki wewnętrznej: azurewatsonanalysis-prod.core.windows.net, , *.data.microsoft.comazureprofiler.trafficmanager.net, shavamanifestazurecdnprod1.azureedge.net, shavamanifestcdnprod1.azureedge.net.
  • Zezwalaj na dostęp wychodzący na porcie 443 do następującego punktu końcowego dla wewnętrznej infrastruktury kluczy publicznych: issuer.pki.azure.com.
  • Zezwalaj na dostęp wychodzący na portach 80 i 443 do następujących punktów końcowych dla usługi Windows Update: *.update.microsoft.com, *.ctldl.windowsupdate.com, ctldl.windowsupdate.com, download.windowsupdate.com.
  • Zezwalaj na dostęp wychodzący na portach 80 i 443 do punktu końcowego go.microsoft.com.
  • Zezwalaj na dostęp wychodzący na porcie 443 do następujących punktów końcowych dla usługi Windows Defender: wdcp.microsoft.com, wdcpalt.microsoft.com .

Adresy IP płaszczyzny sterowania

Ważne

Adresy IP płaszczyzny sterowania dla usługi Azure API Management powinny być skonfigurowane dla reguł dostępu do sieci tylko wtedy, gdy jest to konieczne w niektórych scenariuszach sieciowych. Zalecamy użycie tagu usługi ApiManagementzamiast adresów IP płaszczyzny sterowania, aby zapobiec przestojom, gdy ulepszenia infrastruktury wymagają zmian adresów IP.

Dowiedz się więcej na następujące tematy:

Aby uzyskać więcej wskazówek dotyczących problemów z konfiguracją, zobacz: