Referensi konfigurasi jaringan virtual: API Management
Referensi ini menyediakan pengaturan konfigurasi jaringan terperinci untuk instans API Management yang disebarkan di jaringan virtual Azure dalam mode eksternal atau internal.
Untuk opsi, persyaratan, dan pertimbangan konektivitas VNet, lihat Menggunakan jaringan virtual dengan Azure API Management.
Port yang diperlukan
Kontrol lalu lintas masuk dan keluar ke subnet tempat API Management disebarkan menggunakan aturan kelompok keamanan jaringan. Jika port tertentu tidak tersedia, API Management mungkin tidak beroperasi dengan benar dan menjadi tidak dapat diakses.
Saat instans layanan API Management dihost di VNet, port dalam tabel berikut digunakan. Beberapa persyaratan berbeda tergantung pada versi (stv2 atau stv1) dari platform komputasi yang menghosting instans API Management Anda.
Penting
Item tebal di kolom Tujuan menunjukkan konfigurasi port yang diperlukan demi keberhasilan penyebaran dan pengoperasian layanan API Management. Konfigurasi berlabel "opsional" mengaktifkan fitur tertentu, seperti yang disebutkan. Mereka tidak diperlukan demi kesehatan layanan secara keseluruhan.
Kami sarankan untuk menggunakan tag layanan alih-alih alamat IP dalam aturan NSG untuk menentukan sumber dan tujuan jaringan. Tag layanan mencegah waktu henti ketika peningkatan infrastruktur mengharuskan adanya perubahan alamat IP.
| Port Sumber / Tujuan | Petunjuk | Protokol transportasi | Tag layanan Sumber / Tujuan |
Tujuan | Jenis VNet |
|---|---|---|---|---|---|
| * / [80], 443 | Masuk | TCP | Internet / VirtualNetwork | Komunikasi klien ke API Management | Hanya eksternal |
| * / 3443 | Masuk | TCP | ApiManagement / VirtualNetwork | Titik akhir manajemen untuk portal Microsoft Azure dan PowerShell | Eksternal & Internal |
| * / 443 | Keluar | TCP | VirtualNetwork / Storage | Dependensi pada Azure Storage | Eksternal & Internal |
| * / 443 | Keluar | TCP | VirtualNetwork / AzureActiveDirectory | Dependensi Azure Active Directory dan Azure Key Vault (opsional) | Eksternal & Internal |
| * / 1433 | Keluar | TCP | VirtualNetwork / SQL | Akses ke titik akhir Azure SQL | Eksternal & Internal |
| * / 443 | Keluar | TCP | VirtualNetwork / AzureKeyVault | Akses ke Azure Key Vault | Eksternal & Internal |
| * / 5671, 5672, 443 | Keluar | TCP | VirtualNetwork / EventHub | Dependensi untuk Kebijakan Log ke Azure Event Hubs dan agen pemantauan (opsional) | Eksternal & Internal |
| * / 445 | Keluar | TCP | VirtualNetwork / Storage | Dependensi pada Berbagi File Azure untuk GIT (opsional) | Eksternal & Internal |
| * / 443, 12000 | Keluar | TCP | VirtualNetwork / AzureCloud | Ekstensi Kesehatan dan Pemantauan (opsional) | Eksternal & Internal |
| * / 1886, 443 | Keluar | TCP | VirtualNetwork / AzureMonitor | Memublikasikan Log dan Metrik Diagnostik, Kesehatan Sumber Daya, dan Application Insights (opsional) | Eksternal & Internal |
| * / 25, 587, 25028 | Keluar | TCP | VirtualNetwork / Internet | Menyambungkan ke Relai SMTP untuk mengirim email (opsional) | Eksternal & Internal |
| * / 6381 - 6383 | Masuk & Keluar | TCP | VirtualNetwork / VirtualNetwork | Akses Layanan Redis untuk kebijakan Cache antar mesin (opsional) | Eksternal & Internal |
| * / 4290 | Masuk & Keluar | UDP | VirtualNetwork / VirtualNetwork | Penghitung Sinkronisasi untuk kebijakan Batas Tarif antar mesin (opsional) | Eksternal & Internal |
| * / 6390 | Masuk | TCP | AzureLoadBalancer / VirtualNetwork | Load Balancer Infrastruktur Azure | Eksternal & Internal |
Tag layanan regional
Aturan NSG yang mengizinkan konektivitas keluar ke tag layanan Storage, SQL, dan Azure Event Hubs dapat menggunakan versi regional dari tag tersebut yang sesuai dengan wilayah yang berisi instans API Management (misalnya, Storage.WestUS untuk instans API Management di wilayah US Barat). Dalam penyebaran multi-wilayah, NSG di setiap wilayah harus mengizinkan lalu lintas ke tag layanan untuk wilayah tersebut dan wilayah utama.
Fungsionalitas TLS
Untuk mengaktifkan pembuatan dan validasi rantai sertifikat TLS/SSL, layanan API Management memerlukan konektivitas jaringan keluar ke ocsp.msocsp.com , mscrl.microsoft.com , dan crl.microsoft.com. Dependensi ini tidak diperlukan, jika sertifikat apa pun yang Anda unggah ke API Management berisi rantai lengkap ke root CA.
Akses DNS
Akses keluar pada port 53 diperlukan untuk komunikasi dengan server DNS. Jika server DNS kustom ada di ujung lain gateway VPN, server DNS harus dapat dijangkau dari API Management hosting subnet.
Metrik dan Pemantauan Kesehatan
Konektivitas jaringan keluar ke titik akhir Azure Monitoring, yang diselesaikan pada domain berikut, diwakili dengan tag layanan AzureMonitor untuk digunakan dengan Kelompok Keamanan Jaringan.
Metrik dan Pemantauan Kesehatan
Konektivitas jaringan keluar ke titik akhir Azure Monitoring, yang diselesaikan pada domain berikut, diwakili dengan tag layanan AzureMonitor untuk digunakan dengan Grup Keamanan Jaringan.
| Lingkungan Azure | Titik akhir |
|---|---|
| Azure Public |
|
| Azure Government |
|
| Azure China 21Vianet |
|
Relai SMTP
Memungkinkan konektivitas jaringan keluar untuk Relai SMTP, yang diselesaikan di host smtpi-co1.msn.com, smtpi-ch1.msn.com, smtpi-db3.msn.com, smtpi-sin.msn.com, dan ies.global.microsoft.com
Catatan
Hanya relay SMTP yang disediakan dalam API Management yang dapat digunakan untuk mengirim email dari instans Anda.
CAPTCHA Portal pengembang
Memungkinkan konektivitas jaringan keluar untuk CAPTCHA portal pengembang, yang diselesaikan di host client.hip.live.com dan partner.hip.live.com.
Menerbitkan portal pengembang
Aktifkan penerbitan portal pengembang untuk instans API Management di VNet dengan mengizinkan konektivitas keluar ke penyimpanan blob di wilayah US Barat. Misalnya, gunakan tag layanan Storage.WestUS dalam aturan NSG. Untuk saat ini, konektivitas ke penyimpanan blob di wilayah AS Barat diperlukan untuk menerbitkan portal pengembang untuk instans API Management mana pun.
Diagnostik portal Microsoft Azure
Saat menggunakan ekstensi diagnostik API Management dari dalam VNet, akses keluar ke dc.services.visualstudio.com pada port 443 diperlukan untuk mengaktifkan alur log diagnostik dari portal Microsoft Azure. Akses ini membantu dalam memecahkan masalah yang mungkin Anda hadapi saat menggunakan ekstensi tersebut.
Penyeimbang beban Azure
Anda tidak diharuskan untuk mengizinkan permintaan masuk dari tag layanan AzureLoadBalancer untuk SKU Pengembang, karena hanya satu unit komputasi yang disebarkan di baliknya. Namun, konektivitas masuk dari AzureLoadBalancer menjadi penting saat menskalakan ke SKU yang lebih tinggi, seperti Premium, karena kegagalan pemeriksaan kesehatan dari penyeimbang beban kemudian memblokir semua akses masuk ke sarana kontrol dan data plane.
Application Insights
Jika Anda telah mengaktifkan pemantauan Azure Application Insights pada API Management, izinkan konektivitas keluar ke titik akhir telemetri dari VNet.
Titik akhir KMS
Saat menambahkan mesin virtual yang menjalankan Windows ke VNet, izinkan konektivitas keluar di port 1688 ke titik akhir KMS di cloud Anda. Konfigurasi ini mengarahkan lalu lintas Windows VM ke server Azure Key Management Services (KMS) untuk menyelesaikan aktivasi Windows.
Alamat IP sarana kontrol
Alamat IP berikut ini dibagi berdasarkan Lingkungan Azure. Saat mengizinkan permintaan masuk, alamat IP yang ditandai dengan Global harus diizinkan bersama dengan Alamat IP khusus Wilayah. Dalam beberapa kasus, dua alamat IP tercantum. Izinkan kedua alamat IP tersebut.
Penting
Alamat IP sarana kontrol harus dikonfigurasi untuk aturan akses jaringan hanya jika diperlukan dalam skenario jaringan tertentu. Kamin sarankan untuk menggunakan tag layananApiManagementservice alih-alih alamat IP sarana kontrol untuk mencegah waktu henti saat peningkatan infrastruktur mengharuskan adanya perubahan alamat IP.
| Lingkungan Azure | Wilayah | Alamat IP |
|---|---|---|
| Azure Public | US Tengah Selatan (Global) | 104.214.19.224 |
| Azure Public | US Tengah Utara (Global) | 52.162.110.80 |
| Azure Public | Australia Tengah | 20.37.52.67 |
| Azure Public | Australia Tengah 2 | 20.39.99.81 |
| Azure Public | Australia Timur | 20.40.125.155 |
| Azure Public | Australia Tenggara | 20.40.160.107 |
| Azure Public | Brasil Selatan | 191.233.24.179, 191.238.73.14 |
| Azure Public | Brasil Tenggara | 191.232.18.181 |
| Azure Public | Kanada Tengah | 52.139.20.34, 20.48.201.76 |
| Azure Public | Kanada Timur | 52.139.80.117 |
| Azure Public | India Tengah | 13.71.49.1, 20.192.45.112 |
| Azure Public | AS Tengah | 13.86.102.66 |
| Azure Public | US Tengah EUAP | 52.253.159.160 |
| Azure Public | Asia Timur | 52.139.152.27 |
| Azure Public | AS Timur | 52.224.186.99 |
| Azure Public | AS Timur 2 | 20.44.72.3 |
| Azure Public | US Timur 2 EUAP | 52.253.229.253 |
| Azure Public | Prancis Tengah | 40.66.60.111 |
| Azure Public | Prancis Selatan | 20.39.80.2 |
| Azure Public | Jerman Utara | 51.116.0.0 |
| Azure Public | Jerman Barat Tengah | 51.116.96.0, 20.52.94.112 |
| Azure Public | Jepang Timur | 52.140.238.179 |
| Azure Public | Jepang Barat | 40.81.185.8 |
| Azure Public | India Tengah | 20.192.234.160 |
| Azure Publik | India Barat | 20.193.202.160 |
| Azure Public | Korea Tengah | 40.82.157.167, 20.194.74.240 |
| Azure Public | Korea Selatan | 40.80.232.185 |
| Azure Public | AS Utara Tengah | 40.81.47.216 |
| Azure Public | Eropa Utara | 52.142.95.35 |
| Azure Public | Norwegia Timur | 51.120.2.185 |
| Azure Public | Norwegia Barat | 51.120.130.134 |
| Azure Public | Afrika Selatan Utara | 102.133.130.197, 102.37.166.220 |
| Azure Public | Afrika Selatan Barat | 102.133.0.79 |
| Azure Public | AS Tengah Bagian Selatan | 20.188.77.119, 20.97.32.190 |
| Azure Public | India Selatan | 20.44.33.246 |
| Azure Public | Asia Tenggara | 40.90.185.46 |
| Azure Public | Swiss Utara | 51.107.0.91 |
| Azure Public | Swiss Barat | 51.107.96.8 |
| Azure Public | UAE Tengah | 20.37.81.41 |
| Azure Public | UAE Utara | 20.46.144.85 |
| Azure Public | UK Selatan | 51.145.56.125 |
| Azure Public | UK Barat | 51.137.136.0 |
| Azure Public | Barat Sentral AS | 52.253.135.58 |
| Azure Public | Eropa Barat | 51.145.179.78 |
| Azure Public | India Barat | 40.81.89.24 |
| Azure Public | AS Barat | 13.64.39.16 |
| Azure Public | US Barat 2 | 51.143.127.203 |
| Azure Public | AS Barat 3 | 20.150.167.160 |
| Azure China 21Vianet | Tiongkok Utara (Global) | 139.217.51.16 |
| Azure China 21Vianet | Tiongkok Timur (Global) | 139.217.171.176 |
| Azure China 21Vianet | Tiongkok Utara | 40.125.137.220 |
| Azure China 21Vianet | Tiongkok Timur | 40.126.120.30 |
| Azure China 21Vianet | Tiongkok Utara 2 | 40.73.41.178 |
| Azure China 21Vianet | Tiongkok Timur 2 | 40.73.104.4 |
| Azure Government | Virginia USGov (Global) | 52.127.42.160 |
| Azure Government | USGov Texas (Global) | 52.127.34.192 |
| Azure Government | USGov Virginia | 52.227.222.92 |
| Azure Government | USGov Iowa | 13.73.72.21 |
| Azure Government | USGov Arizona | 52.244.32.39 |
| Azure Government | USGov Texas | 52.243.154.118 |
| Azure Government | USDoD Pusat | 52.182.32.132 |
| Azure Government | USDoD Timur | 52.181.32.192 |
Langkah berikutnya
Pelajari lebih lanjut tentang: