Referenční informace ke konfiguraci virtuální sítě: API Management
PLATÍ PRO: Vývojář | Premium
Tato referenční příručka obsahuje podrobná nastavení konfigurace sítě pro instanci služby API Management nasazenou (vloženou) ve virtuální síti Azure v externím nebo interním režimu.
Informace o možnostech připojení k virtuální síti, požadavcích a důležitých informacích najdete v tématu Použití virtuální sítě se službou Azure API Management.
Požadované porty
Řízení příchozího a odchozího provozu do podsítě, ve které je služba API Management nasazená, pomocí pravidel skupiny zabezpečení sítě. Pokud některé porty nejsou dostupné, nemusí služba API Management správně fungovat a může být nepřístupná.
Když je instance služby API Management hostovaná ve virtuální síti, použijí se porty v následující tabulce. Některé požadavky se liší v závislosti na verzi (stv2 nebo stv1) výpočetní platformy hostující instanci služby API Management.
Důležité
Tučné položky ve sloupci Účel označují konfigurace portů potřebné k úspěšnému nasazení a provozu služby API Management. Konfigurace označené jako volitelné umožňují konkrétní funkce, jak je uvedeno. Nejsou vyžadovány pro celkový stav služby.
K určení zdrojů a cílů sítě doporučujeme místo IP adres v NSG a dalších pravidlech sítě použít uvedené značky služeb. Značky služeb zabraňují výpadkům, když vylepšení infrastruktury vyžadují změny IP adres.
Důležité
Při použití stv2je potřeba přiřadit k virtuální síti skupinu zabezpečení sítě, aby služba Azure Load Balancer fungovala. Další informace najdete v dokumentaci k Azure Load Balanceru.
| Zdrojové / cílové porty | Směr | Přenosový protokol | Značky služeb Zdroj / cíl |
Účel | Typ virtuální sítě |
|---|---|---|---|---|---|
| * / [80], 443 | Příchozí | TCP | Internet / VirtualNetwork | Komunikace klientů se službou API Management | Pouze externí |
| * / 3443 | Příchozí | TCP | ApiManagement / VirtualNetwork | Koncový bod správy pro Azure Portal a PowerShell | Externí a interní |
| * / 443 | Odchozí | TCP | VirtualNetwork / Storage | Závislost na azure Storage | Externí a interní |
| * / 443 | Odchozí | TCP | VirtualNetwork / AzureActiveDirectory | Id Microsoft Entra, Microsoft Graph a závislost služby Azure Key Vault (volitelné) | Externí a interní |
| * / 443 | Odchozí | TCP | VirtualNetwork / Azure Připojení ors | závislost spravovaných připojení (volitelné) | Externí a interní |
| * / 1433 | Odchozí | TCP | VirtualNetwork / Sql | Přístup ke koncovým bodům Azure SQL | Externí a interní |
| * / 443 | Odchozí | TCP | VirtualNetwork / AzureKeyVault | Přístup ke službě Azure Key Vault | Externí a interní |
| * / 5671, 5672, 443 | Odchozí | TCP | VirtualNetwork / EventHub | Závislost pro protokolování do zásad služby Azure Event Hubs a Azure Monitor (volitelné) | Externí a interní |
| * / 445 | Odchozí | TCP | VirtualNetwork / Storage | Závislost na sdílené složce Azure pro GIT (volitelné) | Externí a interní |
| * / 1886, 443 | Odchozí | TCP | VirtualNetwork / AzureMonitor | Publikování diagnostických protokolů a metrik, stavu prostředků a Přehledy aplikací | Externí a interní |
| * / 6380 | Příchozí a odchozí | TCP | Virtuální síť / Virtuální síť | Přístup k externí službě Azure Cache for Redis pro zásady ukládání do mezipaměti mezi počítači (volitelné) | Externí a interní |
| * / 6381–6383 | Příchozí a odchozí | TCP | Virtuální síť / Virtuální síť | Přístup k interní službě Azure Cache for Redis pro zásady ukládání do mezipaměti mezi počítači (volitelné) | Externí a interní |
| * / 4290 | Příchozí a odchozí | UDP | Virtuální síť / Virtuální síť | Čítače synchronizace pro zásady omezení rychlosti mezi počítači (volitelné) | Externí a interní |
| * / 6390 | Příchozí | TCP | AzureLoadBalancer / VirtualNetwork | Azure Infrastructure Load Balancer | Externí a interní |
| * / 443 | Příchozí | TCP | AzureTrafficManager / VirtualNetwork | Směrování Azure Traffic Manageru pro nasazení ve více oblastech | Externí |
| * / 6391 | Příchozí | TCP | AzureLoadBalancer / VirtualNetwork | Monitorování stavu jednotlivých počítačů (volitelné) | Externí a interní |
Značky regionálních služeb
Pravidla NSG umožňující odchozí připojení ke značkám služby Storage, SQL a Azure Event Hubs můžou používat regionální verze těchto značek odpovídající oblasti obsahující instanci služby API Management (například Storage.WestUS pro instanci služby API Management v oblasti USA – západ). V nasazeních ve více oblastech by skupina zabezpečení sítě v každé oblasti měla umožňovat provoz na značky služeb pro danou oblast a primární oblast.
Funkce protokolu TLS
Aby bylo možné povolit vytváření a ověřování řetězu certifikátů TLS/SSL, potřebuje služba API Management odchozí síťové připojení na portech a do , , crl.microsoft.commscrl.microsoft.comoneocsp.msocsp.com, a .csp.digicert.comocsp.msocsp.com44380 Tato závislost se nevyžaduje, pokud jakýkoli certifikát, který nahrajete do služby API Management, obsahuje úplný řetěz kořenového adresáře certifikační autority.
Přístup k DNS
Pro komunikaci se servery DNS se vyžaduje odchozí přístup na portu 53 . Pokud na druhém konci brány VPN existuje vlastní server DNS, musí být server DNS dostupný z podsítě hostující službu API Management.
Integrace Microsoft Entra
Aby služba API Management fungovala správně, potřebuje odchozí připojení na portu 443 k následujícím koncovým bodům přidruženým k ID Microsoft Entra: <region>.login.microsoft.com a login.microsoftonline.com.
Monitorování metrik a stavu
Odchozí síťové připojení ke koncovým bodům monitorování Azure, které se překládají v následujících doménách, jsou reprezentované značkou služby AzureMonitor pro použití se skupinami zabezpečení sítě.
| Prostředí Azure | Koncové body |
|---|---|
| Azure Public |
|
| Azure Government |
|
| Platforma Microsoft Azure provozovaná společností 21Vianet |
|
Portál pro vývojáře CAPTCHA
Povolte odchozí síťové připojení pro CAPTCHA vývojářského portálu, který se překládá v rámci hostitelů client.hip.live.com a partner.hip.live.com.
Publikování portálu pro vývojáře
Povolte publikování portálu pro vývojáře pro instanci služby API Management ve virtuální síti tím, že povolíte odchozí připojení k úložišti objektů blob v oblasti USA – západ. Použijte například značku služby Storage.WestUS v pravidlu NSG. Připojení k úložišti objektů blob v oblasti USA – západ je v současné době potřeba k publikování portálu pro vývojáře pro všechny instance služby API Management.
Diagnostika webu Azure Portal
Pokud používáte diagnostické rozšíření služby API Management z virtuální sítě, vyžaduje se odchozí přístup k dc.services.visualstudio.com portu 443 , aby se povolil tok diagnostických protokolů z webu Azure Portal. Tento přístup pomáhá při řešení potíží, se kterým se můžete setkat při používání rozšíření.
Nástroj pro vyrovnávání zatížení Azure
Pro skladovou položku Pro vývojáře nemusíte povolovat příchozí požadavky ze značky AzureLoadBalancer služby, protože za ní je nasazená jenom jedna výpočetní jednotka. Při škálování na vyšší skladovou položku, jako je například Premium, ale příchozí připojení z AzureLoadBalancer nástroje pro vyrovnávání zatížení stává kritickým , protože sonda stavu z nástroje pro vyrovnávání zatížení pak zablokuje veškerý příchozí přístup k rovině řízení a rovině dat.
Application Insights
Pokud jste povolili monitorování Aplikace Azure Přehledy ve službě API Management, povolte odchozí připojení ke koncovému bodu telemetrie z virtuální sítě.
koncový bod Služba správy klíčů
Při přidávání virtuálních počítačů s Windows do virtuální sítě povolte odchozí připojení na portu 1688 ke koncovému bodu Služba správy klíčů ve vašem cloudu. Tato konfigurace směruje provoz virtuálních počítačů s Windows do serveru Azure Služba správy klíčů (Služba správy klíčů), aby se dokončila aktivace Windows.
Interní infrastruktura a diagnostika
K údržbě a diagnostice interní výpočetní infrastruktury služby API Management se vyžadují následující nastavení a plně kvalifikované názvy domén.
- Povolte odchozí přístup UDP na portu
123pro PROTOKOL NTP. - Povolte odchozí přístup TCP na portu
12000pro diagnostiku. - Povolte odchozí přístup na portu
443k následujícím koncovým bodům pro interní diagnostiku:azurewatsonanalysis-prod.core.windows.net,*.data.microsoft.com,azureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net,shavamanifestcdnprod1.azureedge.net. - Povolte odchozí přístup na portu
443k následujícímu koncovému bodu pro interní PKI:issuer.pki.azure.com. - Povolit odchozí přístup na portech
80a443k následujícím koncovým bodům pro služba Windows Update:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - Povolit odchozí přístup na portech
80a443koncovém bodugo.microsoft.com. - Povolte odchozí přístup na portu
443k následujícím koncovým bodům pro Windows Defender:wdcp.microsoft.com,wdcpalt.microsoft.com.
IP adresy řídicí roviny
Důležité
IP adresy řídicí roviny pro Azure API Management by se měly nakonfigurovat pro pravidla síťového přístupu jenom v případě potřeby v určitých síťových scénářích. Místo IP adres řídicí roviny doporučujeme místo IP adres řídicí roviny použít značku služby ApiManagement, aby se zabránilo výpadkům, když vylepšení infrastruktury vyžadují změny IP adres.
Související obsah
Přečtěte si další informace:
- Připojení virtuální sítě k back-endu pomocí služby VPN Gateway
- Připojení virtuální sítě z různých modelů nasazení
- Nejčastější dotazy k virtuální síti
- Značky služeb
Další pokyny k problémům s konfigurací najdete tady: