Поделиться через

Справочник по конфигурации виртуальной сети: служба "Управление API"

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ: Разработчик | Премия

Эта ссылка содержит подробные параметры конфигурации сети для экземпляра Управление API, развернутого (внедренного) в виртуальной сети Azure во внешнем или внутреннем режиме.

Дополнительные сведения о вариантах подключения к виртуальной сети, требованиях и рекомендациях см. в статье Использование виртуальной сети с помощью Управления API Azure.

Внимание

Эта ссылка применяется только к Управление API экземплярам в классических уровнях, развернутых в виртуальной сети. Сведения о внедрении виртуальных сетей на уровнях версии 2 см. в статье "Внедрение экземпляра Azure Управление API в частной виртуальной сети — категория "Премиум" версии 2.

Требуемые порты

Входящим и исходящим трафиком в подсети, в которой развернута служба службы "Управление API", можно управлять с помощью правил групп безопасности сети. Если определенные порты недоступны, служба "Управление API" может не работать должным образом и даже стать недоступной.

При размещении экземпляра службы "Управление API" в виртуальной сети используются порты, указанные в следующей таблице. Некоторые требования отличаются в зависимости от версии (stv2 или stv1) вычислительной платформы, на которой размещен экземпляр службы "Управление API".

Внимание

  • Элементы, выделенные полужирным шрифтом в столбце Назначение указывают на конфигурации портов, необходимых для успешного развертывания и работы службы "Управление API". Конфигурации с меткой "необязательные" позволяют включить определенные функции, как указано. Они не являются обязательными для общей работоспособности службы.

  • Рекомендуется использовать указанные теги служб вместо IP-адресов в NSG и других правилах сети, чтобы указать источники сети и назначения. Теги служб позволяют предотвратить простой, когда улучшения инфраструктуры требуют изменения IP-адресов.

Внимание

При использовании stv2необходимо назначить группе безопасности сети виртуальную сеть, чтобы azure Load Balancer работал. Дополнительные сведения см. в документации по Azure Load Balancer.

Направление Тег службы источника Диапазоны исходных портов Назначение: тег службы Диапазоны портов назначения Протокол Действие Назначение Тип виртуальной сети
Входящий трафик Internet * Виртуальная сеть [80], 443 TCP Разрешить Взаимодействие клиента с Управление API Только внешний
Входящий трафик Управление API * Виртуальная сеть 3443 TCP Разрешить Конечная точка управления для портал Azure и PowerShell Внешний и внутренний
Исходящие Виртуальная сеть * Память 443 TCP Разрешить Зависимость от службы хранилища Azure Внешний и внутренний
Исходящие Виртуальная сеть * AzureActiveDirectory 443 TCP Разрешить Идентификатор Microsoft Entra, Microsoft Graph и зависимость Azure Key Vault (необязательно) Внешний и внутренний
Исходящие Виртуальная сеть * AzureConnectors 443 TCP Разрешить зависимость управляемых подключений (необязательно) Внешний и внутренний
Исходящие Виртуальная сеть * SQL 1433 TCP Разрешить Доступ к конечным точкам службы SQL Azure Внешний и внутренний
Исходящие Виртуальная сеть * AzureKeyVault 443 TCP Разрешить Доступ к Azure Key Vault Внешний и внутренний
Исходящие Виртуальная сеть * Концентратор событий 5671, 5672, 443 TCP Разрешить Зависимость для входа в политику Центры событий Azure и Azure Monitor (необязательно) Внешний и внутренний
Исходящие Виртуальная сеть * Память 445 TCP Разрешить Зависимость от общей папки Azure для GIT (необязательно) Внешний и внутренний
Исходящие VirtualNetwork * AzureMonitor 1886, 443 TCP Разрешить Публикация журналов диагностики и метрик, Работоспособность ресурсов и Application Insights Внешний и внутренний
Входящий и исходящий Виртуальная сеть * Виртуальная сеть 6380 TCP Разрешить Доступ к внешней службе Кэша Azure для Redis для кэширования политик между компьютерами (необязательно) Внешний и внутренний
Входящий и исходящий Виртуальная сеть * Виртуальная сеть 6381 - 6383 TCP Разрешить Доступ к внутренней службе Кэша Azure для Redis для кэширования политик между компьютерами (необязательно) Внешний и внутренний
Входящий и исходящий Виртуальная сеть * Виртуальная сеть 4290 UDP Разрешить Счетчики синхронизации для политик ограничения скорости между компьютерами (необязательно) Внешний и внутренний
Входящий трафик AzureLoadBalancer * Виртуальная сеть 6390 TCP Разрешить Подсистема балансировки нагрузки инфраструктуры Azure Внешний и внутренний
Входящий трафик AzureTrafficManager * Виртуальная сеть 443 TCP Разрешить маршрутизация Диспетчер трафика Azure для развертывания в нескольких регионах Внешняя.
Входящий трафик AzureLoadBalancer * VirtualNetwork 6391 TCP Разрешить Мониторинг работоспособности отдельного компьютера (необязательно) Внешний и внутренний

Теги региональной службы

Правила групп безопасности сети, разрешающие исходящие подключения к тегам служб хранилища, SQL и Центров событий Azure, могут использовать региональные версии этих тегов, соответствующие региону, где находится экземпляр службы "Управление API" (например, Storage.WestUS для экземпляра службе "Управление API" в регионе "Западная часть США"). В развертываниях с несколькими регионами группа безопасности сети должна разрешать трафик в теги службы для этого региона и основного региона.

Функциональность TLS

Чтобы включить сборку и проверку цепочки сертификатов TLS/SSL, служба Управление API требует исходящего сетевого подключения к портам 80 и , oneocsp.msocsp.comа также , mscrl.microsoft.comcrl.microsoft.comи 443 ocsp.msocsp.comcsp.digicert.com. Эта зависимость не является обязательной, если любой сертификат, передаваемый в службу "Управление API", содержит полную цепочку до корневого ЦС.

Доступ к DNS

Исходящий доступ через порт 53 необходим для обмена данными с DNS-серверами. Если на другой стороне VPN-шлюза имеется пользовательский DNS-сервер, этот сервер должен быть доступен из подсети, в которой размещена служба управления API.

Интеграция с Microsoft Entra

Для правильной работы службы Управление API требуется исходящее подключение через порт 443 к следующим конечным точкам, связанным с идентификатором Microsoft Entra: <region>.login.microsoft.com и login.microsoftonline.com.

Наблюдение за работоспособностью системы и метриками

Исходящее сетевое подключение к конечным точкам мониторинга Azure, которые разрешаются в следующих доменах, представленных в теге службы AzureMonitor для использования с группами безопасности сети.

Среда Azure Конечные точки
Azure Public
  • gcs.prod.monitoring.core.windows.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.com
Azure для государственных организаций
  • fairfax.warmpath.usgovcloudapi.net;
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.us
Microsoft Azure под управлением 21Vianet
  • mooncake.warmpath.chinacloudapi.cn;
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.cn

CAPTCHA на портале разработчика

Допустить исходящее сетевое подключение для CAPTCHA на портале разработчика, которое разрешается в узлах client.hip.live.com и partner.hip.live.com.

Публикация портала разработчика

Чтобы включить публикацию портала разработчика для экземпляра службы "Управление API" в виртуальной сети, необходимо разрешить исходящие подключения к хранилищу BLOB-объектов в регионе "Западная часть США". Например, используйте тег службы Storage.WestUS в правиле NSG. Подключение к хранилищу BLOB-объектов в регионе "Западная часть США" в настоящее время требуется для публикации портала разработчика для любого экземпляра службы "Управление API".

Диагностика на портале Azure

При использовании расширения диагностики службы "Управление API" из виртуальной сети требуется исходящий доступ к dc.services.visualstudio.com через порт 443, чтобы обеспечить поток журналов диагностики с портала Azure. Это помогает в устранении неполадок, которые могут возникнуть при использовании расширения.

Azure Load Balancer

Разрешение входящего запроса из тега службы AzureLoadBalancer для SKU разработчика не является обязательным, так как за ним развертывается только одна единица вычислений. Однако входящий трафик из AzureLoadBalancer становится критически важным при масштабировании до более высокого SKU, например, "Премиум", поскольку сбой пробы работоспособности из подсистемы балансировки нагрузки после этого блокирует весь входящий доступ к уровню управления и плоскости данных.

Application Insights

Если в службе "Управление API" включена функция мониторинга Azure Application Insights, необходимо разрешить исходящее подключение к конечной точке телеметрии из виртуальной сети.

Конечная точка KMS

При добавлении виртуальных машин, работающих на Windows, к виртуальной сети, разрешите исходящее подключение через порт 1688 к конечной точке KMS в облаке. Эта конфигурация направляет трафик виртуальной машины Windows на сервер служб управления ключами Azure (KMS) для завершения активации Windows.

Внутренняя инфраструктура и диагностика

Для обслуживания и диагностики внутренней вычислительной инфраструктуры Управление API требуются следующие параметры и полные доменные имена.

  • Разрешить исходящий доступ UDP через порт 123 для NTP.
  • Разрешить исходящий TCP-доступ через порт 12000 для диагностика.
  • Разрешить исходящий доступ через порт 443 к следующим конечным точкам для внутренних диагностика: azurewatsonanalysis-prod.core.windows.net, , *.data.microsoft.comazureprofiler.trafficmanager.net, shavamanifestazurecdnprod1.azureedge.netshavamanifestcdnprod1.azureedge.net.
  • Разрешить исходящий доступ через порт 443 к следующей конечной точке для внутреннего PKI: issuer.pki.azure.com
  • Разрешить исходящий доступ к портам 80 и 443 следующим конечным точкам для Обновл. Windows: *.update.microsoft.com, *.ctldl.windowsupdate.com, ctldl.windowsupdate.com. download.windowsupdate.com
  • Разрешить исходящий доступ к портам 80 и 443 конечной точке go.microsoft.com.
  • Разрешить исходящий доступ через порт 443 к следующим конечным точкам в Защитнике Windows: wdcp.microsoft.com, wdcpalt.microsoft.com .

IP-адреса уровня управления

Внимание

IP-адреса плоскости управления для Azure Управление API должны быть настроены только в тех случаях, когда это необходимо в определенных сетевых сценариях. Мы рекомендуем использовать тег службы ApiManagement вместо IP-адресов плоскости управления, чтобы предотвратить простой, когда улучшения инфраструктуры требуют изменения IP-адресов.

Связанный контент

Дополнительные сведения:

Дополнительные рекомендации по проблемам конфигурации см. в следующем разделе: