Virtuális hálózati konfigurációs referencia: API Management
A KÖVETKEZŐKRE VONATKOZIK: Fejlesztő | Prémium
Ez a hivatkozás részletes hálózati konfigurációs beállításokat biztosít egy Azure-beli virtuális hálózaton külső vagy belső módban üzembe helyezett (injektált) API Management-példányhoz.
A virtuális hálózatok csatlakozási lehetőségeiről, követelményeiről és szempontjairól lásd: Virtuális hálózat használata az Azure API Managementtel.
Szükséges portok
A hálózati biztonsági csoport szabályaival szabályozhatja az alhálózatra irányuló bejövő és kimenő forgalmat, amelyben az API Management üzembe van helyezve. Ha bizonyos portok nem érhetők el, előfordulhat, hogy az API Management nem működik megfelelően, és elérhetetlenné válhat.
Ha egy API Management szolgáltatáspéldányt egy virtuális hálózaton üzemeltet, a rendszer az alábbi táblázatban szereplő portokat használja. Egyes követelmények az API Management-példányt futtató számítási platform verziójától (stv2vagy stv1) függően eltérőek.
Fontos
A Cél oszlop félkövér elemei jelzik az API Management szolgáltatás sikeres üzembe helyezéséhez és működéséhez szükséges portkonfigurációkat. A "nem kötelező" címkével ellátott konfigurációk adott funkciókat tesznek lehetővé, amint azt már említettük. Ezek nem szükségesek a szolgáltatás általános állapotához.
Javasoljuk, hogy az NSG-ben és más hálózati szabályokban szereplő IP-címek helyett használja a jelzett szolgáltatáscímkéket a hálózati források és a célhelyek megadásához. A szolgáltatáscímkék megakadályozzák az állásidőt, ha az infrastruktúra fejlesztése szükségessé teszi az IP-címek módosítását.
Fontos
A használat stv2során hálózati biztonsági csoportot kell hozzárendelni a virtuális hálózathoz, hogy az Azure Load Balancer működjön. További információ az Azure Load Balancer dokumentációjában.
| Forrás-/célport(ok) | Irány | Átviteli protokoll | Szolgáltatáscímkék Forrás/cél |
Cél | Virtuális hálózat típusa |
|---|---|---|---|---|---|
| * / [80], 443 | Bejövő | TCP | Internet / VirtualNetwork | Ügyfélkommunikáció az API Managementtel | Csak külső |
| * / 3443 | Bejövő | TCP | ApiManagement / VirtualNetwork | Felügyeleti végpont az Azure Portalhoz és a PowerShellhez | Külső és belső |
| * / 443 | Kimenő | TCP | VirtualNetwork / Storage | Függőség az Azure Storage-on | Külső és belső |
| * / 443 | Kimenő | TCP | VirtualNetwork / AzureActiveDirectory | Microsoft Entra ID, Microsoft Graph és Azure Key Vault függőség (nem kötelező) | Külső és belső |
| * / 443 | Kimenő | TCP | VirtualNetwork/ Azure Csatlakozás ors | felügyelt kapcsolatok függősége (nem kötelező) | Külső és belső |
| * / 1433 | Kimenő | TCP | VirtualNetwork / Sql | Hozzáférés az Azure SQL-végpontokhoz | Külső és belső |
| * / 443 | Kimenő | TCP | VirtualNetwork / AzureKeyVault | Hozzáférés az Azure Key Vaulthoz | Külső és belső |
| * / 5671, 5672, 443 | Kimenő | TCP | VirtualNetwork / EventHub | Függőség az Azure Event Hubs-szabályzathoz és az Azure Monitorhoz való naplózáshoz (nem kötelező) | Külső és belső |
| * / 445 | Kimenő | TCP | VirtualNetwork / Storage | Függőség a GIT-hez készült Azure-fájlmegosztáshoz (nem kötelező) | Külső és belső |
| * / 1886, 443 | Kimenő | TCP | VirtualNetwork / AzureMonitor | Diagnosztikai naplók és metrikák, erőforrás-állapot és alkalmazás Elemzések közzététele | Külső és belső |
| * / 6380 | Bejövő és kimenő | TCP | VirtualNetwork/VirtualNetwork | Külső Azure Cache for Redis szolgáltatás elérése a gépek közötti gyorsítótárazási szabályzatokhoz (nem kötelező) | Külső és belső |
| * / 6381 - 6383 | Bejövő és kimenő | TCP | VirtualNetwork/VirtualNetwork | Hozzáférés a belső Azure Cache for Redis szolgáltatáshoz a gépek közötti gyorsítótárazási szabályzatokhoz (nem kötelező) | Külső és belső |
| * / 4290 | Bejövő és kimenő | UDP | VirtualNetwork/VirtualNetwork | Szinkronizálási számlálók sebességkorlát-szabályzatokhoz gépek között (nem kötelező) | Külső és belső |
| * / 6390 | Bejövő | TCP | AzureLoadBalancer / VirtualNetwork | Azure Infrastructure Load Balancer | Külső és belső |
| * / 443 | Bejövő | TCP | AzureTrafficManager / VirtualNetwork | Azure Traffic Manager-útválasztás többrégiós üzembe helyezéshez | Külső |
| * / 6391 | Bejövő | TCP | AzureLoadBalancer / VirtualNetwork | Az egyes gépek állapotának monitorozása (nem kötelező) | Külső és belső |
Regionális szolgáltatáscímkék
A Storage-, SQL- és Azure Event Hubs-szolgáltatáscímkékhez kimenő kapcsolatot engedélyező NSG-szabályok az API Management-példányt tartalmazó régiónak megfelelő címkék regionális verzióit használhatják (például az USA nyugati régiójában található API Management-példányhoz tartozó Storage.WestUS ). Többrégiós üzemelő példányokban az egyes régiók NSG-jének engedélyeznie kell az adott régió és az elsődleges régió szolgáltatáscímkék felé irányuló forgalmat.
TLS-funkciók
A TLS/SSL tanúsítványlánc létrehozásának és érvényesítésének engedélyezéséhez az API Management szolgáltatásnak kimenő hálózati kapcsolatra van szüksége a portokon 80 , valamint 443ocsp.msocsp.coma , oneocsp.msocsp.com, mscrl.microsoft.com, crl.microsoft.comés csp.digicert.com. Ez a függőség nem szükséges, ha az API Managementbe feltöltött tanúsítványok teljes láncot tartalmaznak a hitelesítésszolgáltató gyökérhálózatához.
DNS-hozzáférés
A DNS-kiszolgálókkal való kommunikációhoz kimenő hozzáférés szükséges a porton 53 . Ha egyéni DNS-kiszolgáló létezik egy VPN-átjáró másik végén, a DNS-kiszolgálónak elérhetőnek kell lennie az API Managementet üzemeltető alhálózatról.
Microsoft Entra-integráció
A megfelelő működéshez az API Management szolgáltatásnak kimenő kapcsolatot kell létesítenie a 443-as porton a Microsoft Entra-azonosítóhoz társított következő végpontokkal: <region>.login.microsoft.com és login.microsoftonline.com.
Metrikák és állapotfigyelés
Az Azure Monitoring-végpontokhoz való kimenő hálózati kapcsolat, amelyek az alábbi tartományokban oldódnak fel, az AzureMonitor szolgáltatáscímkéje alatt jelennek meg a hálózati biztonsági csoportokkal való használathoz.
| Azure Environment | Végpontok |
|---|---|
| Nyilvános Azure |
|
| Azure Government |
|
| A 21Vianet által üzemeltetett Microsoft Azure |
|
Fejlesztői portál – CAPTCHA
Kimenő hálózati kapcsolat engedélyezése a fejlesztői portál CAPTCHA-jának számára, amely a gazdagépek client.hip.live.com és partner.hip.live.coma .
A fejlesztői portál közzététele
Engedélyezze a fejlesztői portál közzétételét egy API Management-példány számára egy VNeten azáltal, hogy engedélyezi a blobtárolóhoz való kimenő kapcsolatot az USA nyugati régiójában. Használja például a Storage.WestUS szolgáltatáscímkét egy NSG-szabályban. Jelenleg az USA nyugati régiójában a blobtárolóhoz való kapcsolódás szükséges a fejlesztői portál bármely API Management-példányhoz való közzétételéhez.
Az Azure Portal diagnosztika
Ha az API Management diagnosztikai bővítményt egy virtuális hálózaton belülről használja, kimenő hozzáférés dc.services.visualstudio.com szükséges a porthoz 443 a diagnosztikai naplók Azure Portalról történő áramlásának engedélyezéséhez. Ez a hozzáférés segít elháríteni a bővítmény használatakor felmerülő problémákat.
Azure load balancer
A fejlesztői termékváltozat szolgáltatáscímkéiből AzureLoadBalancer érkező bejövő kéréseket nem kell engedélyeznie, mivel mögötte csak egy számítási egység van üzembe helyezve. A bejövő kapcsolatok AzureLoadBalancer azonban kritikus fontosságúak lesznek egy magasabb termékváltozatra( például a Premiumra) való skálázáskor, mivel a terheléselosztó állapotadat-mintavételének hibája blokkolja a vezérlősíkhoz és az adatsíkhoz való minden bejövő hozzáférést.
Application Insights
Ha engedélyezte Azure-alkalmazás Elemzések monitorozást az API Managementen, engedélyezze a kimenő kapcsolatot a telemetriavégponttal a virtuális hálózatról.
KMS-végpont
Amikor Windows rendszerű virtuális gépeket ad hozzá a virtuális hálózathoz, engedélyezze a kimenő kapcsolatot a porton 1688 a felhő KMS-végpontjához . Ez a konfiguráció átirányítja a Windows virtuálisgép-forgalmat az Azure kulcskezelő szolgáltatás s (KMS) kiszolgálóra a Windows aktiválásának befejezéséhez.
Belső infrastruktúra és diagnosztika
Az API Management belső számítási infrastruktúrájának fenntartásához és diagnosztizálásához a következő beállításokra és teljes tartománynevekre van szükség.
- Kimenő UDP-hozzáférés engedélyezése az NTP-porton
123. - Kimenő TCP-hozzáférés engedélyezése a porton
12000diagnosztikához. - Külső hozzáférés engedélyezése a porton
443a következő végpontokhoz a belső diagnosztikához:azurewatsonanalysis-prod.core.windows.net,*.data.microsoft.com,azureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net.shavamanifestcdnprod1.azureedge.net - Kimenő hozzáférés engedélyezése a porton
443a belső PKI következő végpontjához:issuer.pki.azure.com. - Kimenő hozzáférés engedélyezése a portokon
80és443a Windows Update következő végpontjaihoz:*.update.microsoft.com,*.ctldl.windowsupdate.com, ,ctldl.windowsupdate.comdownload.windowsupdate.com. - Kimenő hozzáférés engedélyezése a portokon
80és443a végpontongo.microsoft.com. - Kimenő hozzáférés engedélyezése a porton
443a következő végpontokhoz a Windows Defender esetében:wdcp.microsoft.com,wdcpalt.microsoft.com.
Vezérlősík IP-címei
Fontos
Az Azure API Management vezérlősíkJÁNAK IP-címeit csak bizonyos hálózati forgatókönyvekben szükséges hálózati hozzáférési szabályokhoz kell konfigurálni. Javasoljuk, hogy az ApiManagementszolgáltatás címkéjét használja a vezérlősík IP-címei helyett, hogy megakadályozza az állásidőt, ha az infrastruktúra fejlesztése szükségessé teszi az IP-címek módosítását.
Kapcsolódó tartalom
További információk:
- virtuális hálózat Csatlakozás háttérrendszerbe VPN Gateway használatával
- virtuális hálózat Csatlakozás különböző üzemi modellekből
- Virtuális hálózat – gyakori kérdések
- Szolgáltatáscímkék
További útmutatás a konfigurációs problémákhoz: