Partilhar via

Referência de configuração de rede virtual: Gerenciamento de API

  • Artigo

APLICA-SE A: Developer | Prémio

Esta referência fornece definições detalhadas de configuração de rede para uma instância de Gerenciamento de API implantada (injetada) em uma rede virtual do Azure no modo externo ou interno .

Para opções, requisitos e considerações de conectividade de rede virtual, consulte Usando uma rede virtual com o Gerenciamento de API do Azure.

Importante

Essa referência se aplica somente a instâncias de Gerenciamento de API nas camadas clássicas implantadas em uma rede virtual. Para obter informações sobre a injeção de rede virtual nas camadas v2, consulte Injetar uma instância de Gerenciamento de API do Azure em uma rede virtual privada - camada Premium v2.

Portas necessárias

Controle o tráfego de entrada e saída para a sub-rede na qual o Gerenciamento de API é implantado usando regras de grupo de segurança de rede. Se determinadas portas não estiverem disponíveis, o Gerenciamento de API pode não funcionar corretamente e pode ficar inacessível.

Quando uma instância de serviço de Gerenciamento de API é hospedada em uma rede virtual, as portas na tabela a seguir são usadas. Alguns requisitos diferem dependendo da versão (stv2 ou stv1) da plataforma de computação que hospeda sua instância de Gerenciamento de API.

Importante

  • Os itens em negrito na coluna Finalidade indicam as configurações de porta necessárias para a implantação e operação bem-sucedidas do serviço de Gerenciamento de API. As configurações rotuladas como "opcionais" permitem recursos específicos, conforme observado. Eles não são necessários para a saúde geral do serviço.

  • Recomendamos usar as tags de serviço indicadas em vez de endereços IP no NSG e outras regras de rede para especificar fontes e destinos de rede. As etiquetas de serviço evitam o tempo de inatividade quando melhorias na infraestrutura exigem alterações no endereço IP.

Importante

Ao usar stv2o , é necessário atribuir um Grupo de Segurança de Rede à sua rede virtual para que o Balanceador de Carga do Azure funcione. Saiba mais na documentação do Balanceador de Carga do Azure.

Direção Etiqueta de serviço de origem Intervalo de portas de origem Etiqueta do serviço de destino Intervalos de portas de destino Protocolo Ação Propósito Tipo de VNet
Entrada Internet * VirtualNetwork [80], 443 TCP Permitir Comunicação do cliente com o Gerenciamento de API Apenas externo
Interna ApiManagement * VirtualNetwork 3443 TCP Permitir Ponto de extremidade de gerenciamento para o portal do Azure e o PowerShell Externo e Interno
De Saída VirtualNetwork * Armazenamento 443 TCP Permitir Dependência do Armazenamento do Azure Externo e Interno
De Saída VirtualNetwork * AzureActiveDirectory 443 TCP Permitir Dependência do Microsoft Entra ID, Microsoft Graph e Azure Key Vault (opcional) Externo e Interno
De Saída VirtualNetwork * AzureConnectors 443 TCP Permitir dependência de conexões gerenciadas (opcional) Externo e Interno
De Saída VirtualNetwork * Sql 1433 TCP Permitir Acesso aos pontos de extremidade SQL do Azure Externo e Interno
De Saída VirtualNetwork * AzureKeyVault 443 TCP Permitir Acesso ao Azure Key Vault Externo e Interno
De Saída VirtualNetwork * EventHub 5671, 5672, 443 TCP Permitir Dependência para a política de Log to Azure Event Hubs e Azure Monitor (opcional) Externo e Interno
De Saída VirtualNetwork * Armazenamento 445 TCP Permitir Dependência do Compartilhamento de Arquivos do Azure para GIT (opcional) Externo e Interno
De Saída VirtualNetwork * AzureMonitor 1886, 443 TCP Permitir Publique logs e métricas de diagnóstico, integridade de recursos e insights de aplicativos Externo e Interno
Entrada e Saída VirtualNetwork * Rede Virtual 6380 TCP Permitir Acessar o serviço externo do Cache do Azure para Redis para armazenar políticas de cache entre máquinas (opcional) Externo e Interno
Entrada e Saída VirtualNetwork * VirtualNetwork 6381 - 6383 TCP Permitir Acessar o serviço interno do Cache do Azure para Redis para políticas de cache entre máquinas (opcional) Externo e Interno
Entrada e Saída VirtualNetwork * VirtualNetwork 4290 UDP Permitir Contadores de sincronização para políticas de limite de taxa entre máquinas (opcional) Externo e Interno
Interna AzureLoadBalancer * VirtualNetwork 6390 TCP Permitir Azure Infrastructure Load Balancer Externo e Interno
Interna AzureTrafficManager * VirtualNetwork 443 TCP Permitir Roteamento do Azure Traffic Manager para implantação em várias regiões Externa
Interna AzureLoadBalancer * Rede Virtual 6391 TCP Permitir Monitorização do estado de funcionamento de cada máquina (Opcional) Externo e Interno

Tags de serviço regional

As regras NSG que permitem a conectividade de saída com as tags de serviço Armazenamento, SQL e Hubs de Eventos do Azure podem usar as versões regionais dessas tags correspondentes à região que contém a instância de Gerenciamento de API (por exemplo, Storage.WestUS para uma instância de Gerenciamento de API na região Oeste dos EUA). Em implantações de várias regiões, o NSG em cada região deve permitir o tráfego para as tags de serviço dessa região e da região primária.

Funcionalidade TLS

Para habilitar a criação e a validação da cadeia de certificados TLS/SSL, o serviço de Gerenciamento de API precisa de conectividade de rede de saída em portas 80 e 443 para ocsp.msocsp.com, oneocsp.msocsp.com, mscrl.microsoft.com, crl.microsoft.come csp.digicert.com. Essa dependência não será necessária se qualquer certificado carregado no Gerenciamento de API contiver a cadeia completa para a raiz da autoridade de certificação.

Acesso DNS

O acesso de saída na porta 53 é necessário para a comunicação com servidores DNS. Se existir um servidor DNS personalizado na outra extremidade de um gateway VPN, o servidor DNS deve ser acessível a partir da sub-rede que hospeda o Gerenciamento de API.

Integração com o Microsoft Entra

Para funcionar corretamente, o serviço de Gerenciamento de API precisa de conectividade de saída na porta 443 para os seguintes pontos de extremidade associados ao Microsoft Entra ID: <region>.login.microsoft.com e login.microsoftonline.com.

Métricas e monitoramento de integridade

A conectividade de rede de saída para os pontos de extremidade do Azure Monitoring, que são resolvidos nos domínios a seguir, são representados na marca de serviço AzureMonitor para uso com Grupos de Segurança de Rede.

Ambiente do Azure Pontos finais
Azure Público
  • gcs.prod.monitoring.core.windows.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.com
Azure Government
  • fairfax.warmpath.usgovcloudapi.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.us
Microsoft Azure operado pela 21Vianet
  • mooncake.warmpath.chinacloudapi.cn
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.cn

Portal do desenvolvedor CAPTCHA

Permita a conectividade de rede de saída para o CAPTCHA do portal do desenvolvedor, que é resolvido sob os hosts client.hip.live.com e partner.hip.live.com.

Publicando o portal do desenvolvedor

Habilite a publicação do portal do desenvolvedor para uma instância de Gerenciamento de API em uma VNet permitindo a conectividade de saída para o armazenamento de blob na região Oeste dos EUA. Por exemplo, use a tag de serviço Storage.WestUS em uma regra NSG. Atualmente, a conectividade com o armazenamento de blob na região Oeste dos EUA é necessária para publicar o portal do desenvolvedor para qualquer instância de Gerenciamento de API.

Diagnóstico do portal do Azure

Ao usar a extensão de diagnóstico do Gerenciamento de API de dentro de uma VNet, o acesso de saída à dc.services.visualstudio.com porta 443 é necessário para habilitar o fluxo de logs de diagnóstico do portal do Azure. Esse acesso ajuda na solução de problemas que você pode enfrentar ao usar a extensão.

Balanceador de carga do Azure

Não é necessário permitir solicitações de entrada da tag AzureLoadBalancer de serviço para a SKU do desenvolvedor, pois apenas uma unidade de computação é implantada por trás dela. No entanto, a conectividade de entrada torna-se AzureLoadBalancer crítica ao dimensionar para uma SKU mais alta, como Premium, porque a falha da sonda de integridade do balanceador de carga bloqueia todo o acesso de entrada ao plano de controle e ao plano de dados.

Application Insights

Se você habilitou o monitoramento do Azure Application Insights no Gerenciamento de API, permita a conectividade de saída para o ponto de extremidade de telemetria a partir da VNet.

Ponto de extremidade KMS

Ao adicionar máquinas virtuais que executam o Windows à rede virtual, permita a conectividade de saída na porta 1688 para o ponto de extremidade KMS em sua nuvem. Essa configuração roteia o tráfego de VM do Windows para o servidor KMS (Serviços de Gerenciamento de Chaves) do Azure para concluir a ativação do Windows.

Infraestrutura interna e diagnóstico

As configurações e FQDNs a seguir são necessários para manter e diagnosticar a infraestrutura de computação interna do Gerenciamento de API.

  • Permitir acesso UDP de saída na porta 123 para NTP.
  • Permitir acesso TCP de saída na porta 12000 para diagnóstico.
  • Permita o acesso de saída na porta 443 aos seguintes pontos de extremidade para diagnóstico interno: azurewatsonanalysis-prod.core.windows.net, *.data.microsoft.com, azureprofiler.trafficmanager.net, shavamanifestazurecdnprod1.azureedge.net, shavamanifestcdnprod1.azureedge.net.
  • Permita o acesso de saída na porta 443 ao seguinte ponto de extremidade para PKI interna: issuer.pki.azure.com.
  • Permita acesso de saída em portas 80 e 443 aos seguintes pontos de extremidade para o Windows Update: *.update.microsoft.com, *.ctldl.windowsupdate.com, ctldl.windowsupdate.com, download.windowsupdate.com.
  • Permitir acesso de saída em portas 80 e 443 para o ponto de extremidade go.microsoft.com.
  • Permita o acesso de saída na porta 443 aos seguintes pontos de extremidade para o Windows Defender: wdcp.microsoft.com, wdcpalt.microsoft.com .

Endereços IP do plano de controlo

Importante

Os endereços IP do plano de controle para o Gerenciamento de API do Azure devem ser configurados para regras de acesso à rede somente quando necessário em determinados cenários de rede. Recomendamos usar a tag de serviço ApiManagement em vez de endereços IP do plano de controle para evitar tempo de inatividade quando melhorias na infraestrutura exigirem alterações no endereço IP.

Conteúdos relacionados

Saiba mais sobre:

Para obter mais orientações sobre problemas de configuração, consulte: