Konfigurationsreferens för virtuellt nätverk: API Management
GÄLLER FÖR: Utvecklare | Premie
Den här referensen innehåller detaljerade inställningar för nätverkskonfiguration för en API Management-instans som distribueras (matas in) i ett virtuellt Azure-nätverk i externt eller internt läge.
Alternativ, krav och överväganden för VNet-anslutning finns i Använda ett virtuellt nätverk med Azure API Management.
Viktigt!
Den här referensen gäller endast API Management-instanser på de klassiska nivåerna som distribueras i ett virtuellt nätverk. Information om inmatning av virtuella nätverk på v2-nivåerna finns i Mata in en Azure API Management-instans i ett privat virtuellt nätverk – Premium v2-nivå.
Portar som krävs
Kontrollera inkommande och utgående trafik till undernätet där API Management distribueras med hjälp av regler för nätverkssäkerhetsgrupp . Om vissa portar inte är tillgängliga kanske API Management inte fungerar korrekt och kan bli otillgängligt.
När en API Management-tjänstinstans finns i ett virtuellt nätverk används portarna i följande tabell. Vissa krav varierar beroende på vilken version (stv2 eller stv1) av beräkningsplattformen som är värd för din API Management-instans.
Viktigt!
Fetstilade objekt i kolumnen Syfte anger portkonfigurationer som krävs för lyckad distribution och drift av API Management-tjänsten. Konfigurationer med etiketten "valfritt" aktiverar specifika funktioner, enligt vad som anges. De krävs inte för tjänstens allmänna hälsa.
Vi rekommenderar att du använder de angivna tjänsttaggar i stället för IP-adresser i NSG och andra nätverksregler för att ange nätverkskällor och mål. Tjänsttaggar förhindrar stilleståndstid när infrastrukturförbättringar kräver ändringar av IP-adresser.
Viktigt!
När du använder stv2måste du tilldela en nätverkssäkerhetsgrupp till ditt virtuella nätverk för att Azure Load Balancer ska fungera. Läs mer i Dokumentationen om Azure Load Balancer.
| Riktning | Källtjänsttagg | Källportintervall | Måltjänsttagg | Målportintervall | Protokoll | Åtgärd | Syfte | VNet-typ |
|---|---|---|---|---|---|---|---|---|
| Inkommande | Internet | * | VirtualNetwork | [80], 443 | TCP | Tillåt | Klientkommunikation till API Management | Endast externt |
| Inkommande | ApiManagement | * | VirtualNetwork | 3443 | TCP | Tillåt | Hanteringsslutpunkt för Azure Portal och PowerShell | Extern och intern |
| Utgående | VirtualNetwork | * | Storage | 443 | TCP | Tillåt | Beroende av Azure Storage | Extern och intern |
| Utgående | VirtualNetwork | * | AzureActiveDirectory | 443 | TCP | Tillåt | Microsoft Entra-ID, Microsoft Graph och Azure Key Vault-beroende (valfritt) | Extern och intern |
| Utgående | VirtualNetwork | * | AzureConnectors | 443 | TCP | Tillåt | beroende av hanterade anslutningar (valfritt) | Extern och intern |
| Utgående | VirtualNetwork | * | SQL | 1433 | TCP | Tillåt | Åtkomst till Azure SQL-slutpunkter | Extern och intern |
| Utgående | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Tillåt | Åtkomst till Azure Key Vault | Extern och intern |
| Utgående | VirtualNetwork | * | EventHub | 5671, 5672, 443 | TCP | Tillåt | Beroende för logg till Azure Event Hubs-princip och Azure Monitor (valfritt) | Extern och intern |
| Utgående | VirtualNetwork | * | Storage | 445 | TCP | Tillåt | Beroende av Azure-filresurs för GIT (valfritt) | Extern och intern |
| Utgående | VirtualNetwork | * | AzureMonitor | 1886, 443 | TCP | Tillåt | Publicera diagnostikloggar och mått, Resource Health och Application Insights | Extern och intern |
| Inkommande och utgående | VirtualNetwork | * | Virtual Network | 6380 | TCP | Tillåt | Få åtkomst till extern Azure Cache for Redis-tjänst för cachelagringsprinciper mellan datorer (valfritt) | Extern och intern |
| Inkommande och utgående | VirtualNetwork | * | VirtualNetwork | 6381 - 6383 | TCP | Tillåt | Få åtkomst till intern Azure Cache for Redis-tjänst för cachelagringsprinciper mellan datorer (valfritt) | Extern och intern |
| Inkommande och utgående | VirtualNetwork | * | VirtualNetwork | 4290 | UDP | Tillåt | Synkronisera räknare för hastighetsbegränsningsprinciper mellan datorer (valfritt) | Extern och intern |
| Inkommande | AzureLoadBalancer | * | VirtualNetwork | 6390 | TCP | Tillåt | Lastbalanserare för Azure-infrastruktur | Extern och intern |
| Inkommande | AzureTrafficManager | * | VirtualNetwork | 443 | TCP | Tillåt | Azure Traffic Manager-routning för distribution i flera regioner | Externt |
| Inkommande | AzureLoadBalancer | * | VirtualNetwork 6391 | TCP | Tillåt | Övervakning av individuell datorhälsa (valfritt) | Extern och intern |
Regionala tjänsttaggar
NSG-regler som tillåter utgående anslutning till tjänsttaggar för Lagring, SQL och Azure Event Hubs kan använda de regionala versionerna av de taggar som motsvarar den region som innehåller API Management-instansen (till exempel Storage.WestUS för en API Management-instans i regionen USA, västra). I distributioner med flera regioner bör nätverkssäkerhetsgruppen i varje region tillåta trafik till tjänsttaggar för den regionen och den primära regionen.
TLS-funktioner
För att aktivera TLS/SSL-certifikatkedjans skapande och validering behöver API Management-tjänsten utgående nätverksanslutningar på portar 80 och 443 till ocsp.msocsp.com, oneocsp.msocsp.com, mscrl.microsoft.com, crl.microsoft.comoch csp.digicert.com. Det här beroendet krävs inte om något certifikat som du laddar upp till API Management innehåller den fullständiga kedjan till CA-roten.
DNS-åtkomst
Utgående åtkomst på porten 53 krävs för kommunikation med DNS-servrar. Om det finns en anpassad DNS-server i andra änden av en VPN-gateway måste DNS-servern kunna nås från undernätet som är värd för API Management.
Microsoft Entra-integrering
För att fungera korrekt behöver API Management-tjänsten utgående anslutning på port 443 till följande slutpunkter som är associerade med Microsoft Entra-ID: <region>.login.microsoft.com och login.microsoftonline.com.
Mått och hälsoövervakning
Utgående nätverksanslutning till Azure Monitoring-slutpunkter, som löses under följande domäner, representeras under AzureMonitor-tjänsttaggen för användning med nätverkssäkerhetsgrupper.
| Azure Environment | Slutpunkter |
|---|---|
| Azure Public |
|
| Azure Government |
|
| Microsoft Azure drivs av 21Vianet |
|
CAPTCHA för utvecklarportalen
Tillåt utgående nätverksanslutning för utvecklarportalens CAPTCHA, som löses under värdarna client.hip.live.com och partner.hip.live.com.
Publicera utvecklarportalen
Aktivera publicering av utvecklarportalen för en API Management-instans i ett VNet genom att tillåta utgående anslutning till bloblagring i regionen USA, västra. Använd till exempel tjänsttaggen Storage.WestUS i en NSG-regel. För närvarande krävs anslutning till bloblagring i regionen USA, västra för att publicera utvecklarportalen för alla API Management-instanser.
Azure Portal diagnostik
När du använder API Management-diagnostiktillägget inifrån ett virtuellt nätverk krävs utgående åtkomst till dc.services.visualstudio.com på porten 443 för att aktivera flödet av diagnostikloggar från Azure Portal. Den här åtkomsten hjälper dig att felsöka problem som du kan stöta på när du använder tillägget.
Azure-lastbalanserare
Du behöver inte tillåta inkommande begäranden från tjänsttaggen AzureLoadBalancer för utvecklar-SKU:n, eftersom endast en beräkningsenhet distribueras bakom den. Inkommande anslutningar från AzureLoadBalancer blir dock kritiska vid skalning till en högre SKU, till exempel Premium, eftersom fel i hälsoavsökningen från lastbalanseraren sedan blockerar all inkommande åtkomst till kontrollplanet och dataplanet.
Programinsikter
Om du har aktiverat Azure Application Insights-övervakning på API Management tillåter du utgående anslutning till telemetrislutpunkten från det virtuella nätverket.
KMS-slutpunkt
När du lägger till virtuella datorer som kör Windows i det virtuella nätverket tillåter du utgående anslutning på porten 1688 till KMS-slutpunkten i molnet. Den här konfigurationen dirigerar Windows VM-trafik till Azure nyckelhanteringstjänst (KMS)s-servern (KMS) för att slutföra Windows-aktiveringen.
Intern infrastruktur och diagnostik
Följande inställningar och FQDN krävs för att underhålla och diagnostisera API Managements interna beräkningsinfrastruktur.
- Tillåt utgående UDP-åtkomst på porten
123för NTP. - Tillåt utgående TCP-åtkomst på porten
12000för diagnostik. - Tillåt utgående åtkomst på porten
443till följande slutpunkter för intern diagnostik:azurewatsonanalysis-prod.core.windows.net, ,*.data.microsoft.comazureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net, .shavamanifestcdnprod1.azureedge.net - Tillåt utgående åtkomst på porten
443till följande slutpunkt för intern PKI:issuer.pki.azure.com. - Tillåt utgående åtkomst på portar
80och443till följande slutpunkter för Windows Update:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - Tillåt utgående åtkomst på portar
80och443till slutpunktengo.microsoft.com. - Tillåt utgående åtkomst på porten
443till följande slutpunkter för Windows Defender:wdcp.microsoft.com,wdcpalt.microsoft.com.
Ip-adresser för kontrollplan
Viktigt!
Ip-adresser för kontrollplan för Azure API Management bör endast konfigureras för regler för nätverksåtkomst när det behövs i vissa nätverksscenarier. Vi rekommenderar att du använder tjänsttaggen ApiManagement i stället för kontrollplanets IP-adresser för att förhindra stilleståndstid när infrastrukturförbättringar kräver IP-adressändringar.
Relaterat innehåll
Läs mer om:
- Ansluta ett virtuellt nätverk till serverdelen med VPN Gateway
- Ansluta ett virtuellt nätverk från olika distributionsmodeller
- Vanliga frågor och svar om virtuellt nätverk
- Tjänsttaggar
Mer information om konfigurationsproblem finns i: