Поделиться через


Справочник по конфигурации виртуальной сети: служба "Управление API"

ОБЛАСТЬ ПРИМЕНЕНИЯ: Разработчик | Премия

Эта ссылка содержит подробные параметры конфигурации сети для экземпляра Управление API, развернутого (внедренного) в виртуальной сети Azure во внешнем или внутреннем режиме.

Дополнительные сведения о вариантах подключения к виртуальной сети, требованиях и рекомендациях см. в статье Использование виртуальной сети с помощью Управления API Azure.

Требуемые порты

Входящим и исходящим трафиком в подсети, в которой развернута служба службы "Управление API", можно управлять с помощью правил групп безопасности сети. Если определенные порты недоступны, служба "Управление API" может не работать должным образом и даже стать недоступной.

При размещении экземпляра службы "Управление API" в виртуальной сети используются порты, указанные в следующей таблице. Некоторые требования отличаются в зависимости от версии (stv2 или stv1) вычислительной платформы, на которой размещен экземпляр службы "Управление API".

Внимание

  • Элементы, выделенные полужирным шрифтом в столбце Назначение указывают на конфигурации портов, необходимых для успешного развертывания и работы службы "Управление API". Конфигурации с меткой "необязательные" позволяют включить определенные функции, как указано. Они не являются обязательными для общей работоспособности службы.

  • Рекомендуется использовать указанные теги служб вместо IP-адресов в NSG и других правилах сети, чтобы указать источники сети и назначения. Теги служб позволяют предотвратить простой, когда улучшения инфраструктуры требуют изменения IP-адресов.

Внимание

При использовании stv2необходимо назначить группе безопасности сети виртуальную сеть, чтобы azure Load Balancer работал. Дополнительные сведения см. в документации по Azure Load Balancer.

Исходные и конечные порты Направление Транспортный протокол Теги служб
Ресурс и назначение
Характер использования Тип виртуальной сети
* / [80], 443 Входящий трафик TCP Internet / VirtualNetwork Взаимодействие клиента с Управление API Только внешний
* / 3443 Входящий трафик TCP ApiManagement/VirtualNetwork Конечная точка управления для портал Azure и PowerShell Внешний и внутренний
* / 443 Исходящие TCP VirtualNetwork/Storage Зависимость от службы хранилища Azure Внешний и внутренний
* / 443 Исходящие TCP VirtualNetwork/AzureActiveDirectory Идентификатор Microsoft Entra, Microsoft Graph и зависимость Azure Key Vault (необязательно) Внешний и внутренний
* / 443 Исходящие TCP VirtualNetwork / AzureConnectors зависимость управляемых подключений (необязательно) Внешний и внутренний
* / 1433 Исходящие TCP VirtualNetwork / Sql Доступ к конечным точкам службы SQL Azure Внешний и внутренний
* / 443 Исходящие TCP VirtualNetwork / AzureKeyVault Доступ к Azure Key Vault Внешний и внутренний
* / 5671, 5672, 443 Исходящие TCP VirtualNetwork/EventHub Зависимость для входа в политику Центры событий Azure и Azure Monitor (необязательно) Внешний и внутренний
* / 445 Исходящие TCP VirtualNetwork/Storage Зависимость от общей папки Azure для GIT (необязательно) Внешний и внутренний
* / 1886, 443 Исходящие TCP VirtualNetwork/AzureMonitor Публикация журналов диагностики и метрик, Работоспособность ресурсов и Application Insights Внешний и внутренний
* / 6380 Входящий и исходящий TCP VirtualNetwork/VirtualNetwork Доступ к внешней службе Кэша Azure для Redis для кэширования политик между компьютерами (необязательно) Внешний и внутренний
* / 6381 - 6383 Входящий и исходящий TCP VirtualNetwork/VirtualNetwork Доступ к внутренней службе Кэша Azure для Redis для кэширования политик между компьютерами (необязательно) Внешний и внутренний
* / 4290 Входящий и исходящий UDP VirtualNetwork/VirtualNetwork Счетчики синхронизации для политик ограничения скорости между компьютерами (необязательно) Внешний и внутренний
*/6390 Входящий трафик TCP AzureLoadBalancer/VirtualNetwork Подсистема балансировки нагрузки инфраструктуры Azure Внешний и внутренний
* / 443 Входящий трафик TCP AzureTrafficManager / VirtualNetwork маршрутизация Диспетчер трафика Azure для развертывания в нескольких регионах Внешняя.
* / 6391 Входящий трафик TCP AzureLoadBalancer/VirtualNetwork Мониторинг работоспособности отдельного компьютера (необязательно) Внешний и внутренний

Теги региональной службы

Правила групп безопасности сети, разрешающие исходящие подключения к тегам служб хранилища, SQL и Центров событий Azure, могут использовать региональные версии этих тегов, соответствующие региону, где находится экземпляр службы "Управление API" (например, Storage.WestUS для экземпляра службе "Управление API" в регионе "Западная часть США"). В развертываниях с несколькими регионами группа безопасности сети должна разрешать трафик в теги службы для этого региона и основного региона.

Функциональность TLS

Чтобы включить сборку и проверку цепочки сертификатов TLS/SSL, служба Управление API требует исходящего сетевого подключения к портам 80 и , oneocsp.msocsp.comа также , mscrl.microsoft.comcrl.microsoft.comи 443 ocsp.msocsp.comcsp.digicert.com. Эта зависимость не является обязательной, если любой сертификат, передаваемый в службу "Управление API", содержит полную цепочку до корневого ЦС.

Доступ к DNS

Исходящий доступ через порт 53 необходим для обмена данными с DNS-серверами. Если на другой стороне VPN-шлюза имеется пользовательский DNS-сервер, этот сервер должен быть доступен из подсети, в которой размещена служба управления API.

Интеграция с Microsoft Entra

Для правильной работы службы Управление API требуется исходящее подключение через порт 443 к следующим конечным точкам, связанным с идентификатором Microsoft Entra: <region>.login.microsoft.com и login.microsoftonline.com.

Наблюдение за работоспособностью системы и метриками

Исходящее сетевое подключение к конечным точкам мониторинга Azure, которые разрешаются в следующих доменах, представленных в теге службы AzureMonitor для использования с группами безопасности сети.

Среда Azure Конечные точки
Azure Public
  • gcs.prod.monitoring.core.windows.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.com
Azure для государственных организаций
  • fairfax.warmpath.usgovcloudapi.net;
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.us
Microsoft Azure под управлением 21Vianet
  • mooncake.warmpath.chinacloudapi.cn;
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.cn

CAPTCHA на портале разработчика

Допустить исходящее сетевое подключение для CAPTCHA на портале разработчика, которое разрешается в узлах client.hip.live.com и partner.hip.live.com.

Публикация портала разработчика

Чтобы включить публикацию портала разработчика для экземпляра службы "Управление API" в виртуальной сети, необходимо разрешить исходящие подключения к хранилищу BLOB-объектов в регионе "Западная часть США". Например, используйте тег службы Storage.WestUS в правиле NSG. Подключение к хранилищу BLOB-объектов в регионе "Западная часть США" в настоящее время требуется для публикации портала разработчика для любого экземпляра службы "Управление API".

Диагностика на портале Azure

При использовании расширения диагностики службы "Управление API" из виртуальной сети требуется исходящий доступ к dc.services.visualstudio.com через порт 443, чтобы обеспечить поток журналов диагностики с портала Azure. Это помогает в устранении неполадок, которые могут возникнуть при использовании расширения.

Azure Load Balancer

Разрешение входящего запроса из тега службы AzureLoadBalancer для SKU разработчика не является обязательным, так как за ним развертывается только одна единица вычислений. Однако входящий трафик из AzureLoadBalancer становится критически важным при масштабировании до более высокого SKU, например, "Премиум", поскольку сбой пробы работоспособности из подсистемы балансировки нагрузки после этого блокирует весь входящий доступ к уровню управления и плоскости данных.

Application Insights

Если в службе "Управление API" включена функция мониторинга Azure Application Insights, необходимо разрешить исходящее подключение к конечной точке телеметрии из виртуальной сети.

Конечная точка KMS

При добавлении виртуальных машин, работающих на Windows, к виртуальной сети, разрешите исходящее подключение через порт 1688 к конечной точке KMS в облаке. Эта конфигурация направляет трафик виртуальной машины Windows на сервер служб управления ключами Azure (KMS) для завершения активации Windows.

Внутренняя инфраструктура и диагностика

Для обслуживания и диагностики внутренней вычислительной инфраструктуры Управление API требуются следующие параметры и полные доменные имена.

  • Разрешить исходящий доступ UDP через порт 123 для NTP.
  • Разрешить исходящий TCP-доступ через порт 12000 для диагностика.
  • Разрешить исходящий доступ через порт 443 к следующим конечным точкам для внутренних диагностика: azurewatsonanalysis-prod.core.windows.net, , *.data.microsoft.comazureprofiler.trafficmanager.net, shavamanifestazurecdnprod1.azureedge.netshavamanifestcdnprod1.azureedge.net.
  • Разрешить исходящий доступ через порт 443 к следующей конечной точке для внутреннего PKI: issuer.pki.azure.com
  • Разрешить исходящий доступ к портам 80 и 443 следующим конечным точкам для Обновл. Windows: *.update.microsoft.com, *.ctldl.windowsupdate.com, ctldl.windowsupdate.com. download.windowsupdate.com
  • Разрешить исходящий доступ к портам 80 и 443 конечной точке go.microsoft.com.
  • Разрешить исходящий доступ через порт 443 к следующим конечным точкам в Защитнике Windows: wdcp.microsoft.com, wdcpalt.microsoft.com .

IP-адреса уровня управления

Внимание

IP-адреса плоскости управления для Azure Управление API должны быть настроены только в тех случаях, когда это необходимо в определенных сетевых сценариях. Мы рекомендуем использовать тег службы ApiManagement вместо IP-адресов плоскости управления, чтобы предотвратить простой, когда улучшения инфраструктуры требуют изменения IP-адресов.

Дополнительные сведения:

Дополнительные рекомендации по проблемам конфигурации см. в следующем разделе: