仮想ネットワークの構成のリファレンス: API Management
適用対象: Developer | Premium
このリファレンスでは、外部モードまたは内部モードで Azure 仮想ネットワークにデプロイ (挿入) された API Management インスタンスの詳細なネットワーク構成設定について説明します。
VNet 接続のオプション、要件、考慮事項については、Azure API Management での仮想ネットワークの使用に関するページを参照してください。
必要なポート
API Management がデプロイされるサブネットへの受信トラフィックと送信トラフィックは、ネットワーク セキュリティ グループのルールを使用して制御します。 利用できないポートがある場合、API Management は正しく動作しない可能性があり、アクセス不能になる場合があります。
API Management サービス インスタンスが VNet でホストされている場合は、次の表のポートが使用されます。 一部の要件は、API Management インスタンスをホストしているstv2のバージョン (stv2 または stv1) によって異なります。
重要
[目的] 列の太字の項目は、API Management サービスを正常にデプロイおよび操作するために必要なポート構成を示しています。 "省略可能" と記載された構成では、示されている特定の機能が有効になります。 これらは、サービス全体の正常性を確保するためには必要ありません。
NSG やその他のネットワーク ルールの IP アドレスの代わりに、指定された サービス タグ を使用して、ネットワークのソースと宛先を指定することをお勧めします。 サービス タグを使用すると、インフラストラクチャの改善によって IP アドレスの変更が必要になった場合にダウンタイムが発生しません。
重要
stv2 を使用する場合は、Azure Load Balancer を機能させるために、VNet にネットワーク セキュリティ グループを割り当てる必要があります。 詳細については、「Azure Load Balancer ドキュメント」を参照してください。
| ソース / ターゲット ポート | Direction | トランスポート プロトコル | サービス タグ ソース / ターゲット |
目的 | VNet の種類 |
|---|---|---|---|---|---|
| * / [80]、443 | 受信 | TCP | インターネット/VirtualNetwork | API Management へのクライアント通信 | 外部のみ |
| * / 3443 | 受信 | TCP | ApiManagement/VirtualNetwork | Azure Portal と PowerShell 用の管理エンドポイント | 外部 / 内部 |
| * / 443 | 送信 | TCP | VirtualNetwork/Storage | Azure Storage への依存関係 | 外部 / 内部 |
| * / 443 | 送信 | TCP | VirtualNetwork / AzureActiveDirectory | Microsoft Entra ID、Microsoft Graph、 Azure Key Vault の依存関係 (省略可能) | 外部 / 内部 |
| * / 443 | 送信 | TCP | VirtualNetwork / AzureConnectors | マネージド接続 の依存関係 (省略可能) | 外部 / 内部 |
| * / 1433 | 送信 | TCP | VirtualNetwork/Sql | Azure SQL エンドポイントへのアクセス | 外部 / 内部 |
| * / 443 | 送信 | TCP | VirtualNetwork/AzureKeyVault | Azure Key Vault へのアクセス | 外部 / 内部 |
| * / 5671, 5672, 443 | 送信 | TCP | VirtualNetwork / EventHub | Azure Event Hubs へのログ ポリシーおよび Azure Monitor の依存関係 (省略可能) | 外部 / 内部 |
| * / 445 | 送信 | TCP | VirtualNetwork/Storage | Git のための Azure ファイル共有への依存関係 (省略可能) | 外部 / 内部 |
| * / 1886、443 | 送信 | TCP | VirtualNetwork / AzureMonitor | 診断ログとメトリック、リソース正常性、アプリケーション インサイトの発行 | 外部 / 内部 |
| * / 6380 | 受信および送信 | TCP | VirtualNetwork / VirtualNetwork | マシン間のキャッシュ ポリシーのために外部の Azure Cache for Redis サービスにアクセスする (省略可能) | 外部 / 内部 |
| * / 6381 - 6383 | 受信および送信 | TCP | VirtualNetwork / VirtualNetwork | マシン間のキャッシュ ポリシーのために内部の Azure Cache for Redis サービスにアクセスする (省略可能) | 外部 / 内部 |
| * / 4290 | 受信および送信 | UDP | VirtualNetwork / VirtualNetwork | マシン間のレート制限ポリシーのために同期カウンターにアクセスする (省略可能) | 外部 / 内部 |
| * / 6390 | 受信 | TCP | AzureLoadBalancer/VirtualNetwork | Azure インフラストラクチャの Load Balancer | 外部 / 内部 |
| * / 443 | 受信 | TCP | AzureTrafficManager / VirtualNetwork | 複数リージョンへのデプロイ用の Azure Traffic Manager ルーティング | 外部 |
| * / 6391 | 受信 | TCP | AzureLoadBalancer/VirtualNetwork | 個々のマシンの正常性の監視 (省略可能) | 外部 / 内部 |
リージョン サービス タグ
サービス タグ Storage、SQL、Azure Event Hubs への送信接続を許可する NSG 規則では、API Management インスタンスを格納しているリージョンに対応する、これらのタグのリージョン別バージョンを使用できます (たとえば、米国西部リージョンの API Management インスタンス用の Storage.WestUS)。 複数リージョンのデプロイでは、各リージョンの NSG は、そのリージョンとプライマリ リージョンのサービス タグへのトラフィックを許可する必要があります。
TLS 機能
API Management サービスで TLS/SSL 証明書チェーンの構築と検証を有効にするには、80 および 443 から ocsp.msocsp.com、oneocsp.msocsp.com、mscrl.microsoft.com、crl.microsoft.com、および csp.digicert.com への送信ネットワーク接続が必要です。 API Management にアップロードする任意の証明書に CA ルートへの完全なチェーンが含まれている場合、この依存関係は必要ありません。
DNS アクセス
DNS サーバーとの通信には、ポート 53 での発信アクセスが必要です。 カスタム DNS サーバーが VPN ゲートウェイの相手側にある場合、DNS サーバーは API Management をホストしているサブネットから到達できる必要があります。
Microsoft Entra の統合
適切に動作するには、API Management サービスに、Microsoft Entra ID に関連付けられている <region>.login.microsoft.com および login.microsoftonline.com のエンドポイントにポート 443 での送信接続が必要です。
メトリックと正常性の監視
次のドメインで解決される Azure Monitoring エンドポイントへの送信ネットワーク接続は、ネットワーク セキュリティ グループで使用するために、AzureMonitor サービス タグの下に表示されます。
| Azure 環境 | エンドポイント |
|---|---|
| Azure Public |
|
| Azure Government |
|
| 21Vianet が運用する Microsoft Azure |
|
開発者ポータル CAPTCHA
開発者ポータルの CAPTCHA 用の送信ネットワーク接続を許可します。これは、ホスト client.hip.live.com と partner.hip.live.com で解決されます。
開発者ポータルを発行する
VNet 内の API Management インスタンスに対して開発者ポータルの発行を有効にするには、米国西部リージョンの BLOB ストレージへの送信接続を許可します。 たとえば、NSG ルールで Storage.WestUS サービス タグを使用します。 現在、API Management インスタンスに対して開発者ポータルを発行するには、米国西部リージョンの BLOB ストレージへの接続が必要です。
Azure portal の診断
VNet 内から API Management 診断拡張機能を使用しているときに、Azure portal から診断ログのフローを有効にするには、ポート 443 での dc.services.visualstudio.com への送信アクセスが必要です。 このアクセスは、拡張機能の使用時に発生する可能性がある問題のトラブルシューティングに役立ちます。
Azure Load Balancer
Developer SKU では、その背後にデプロイされるコンピューティング ユニットは 1 つだけであるため、サービス タグ AzureLoadBalancer からの受信要求を許可する必要はありません。 ただし、上位の SKU (Premium など) にスケーリングするときは、ロード バランサーからの正常性プローブのエラーによってコントロール プレーンやデータ プレーンへのすべての受信アクセスがブロックされるため、AzureLoadBalancer からの受信接続が重要になります。
Application Insights
API Management で Azure Application Insights の監視を有効にしている場合は、VNet からテレメトリ エンドポイントへの送信接続を許可します。
KMS エンドポイント
Windows を実行する仮想マシンを VNet に追加する場合は、クラウド内の KMS エンドポイントへのポート 1688 上の送信接続を許可します。 この構成では、Windows のアクティブ化を完了するために Windows VM トラフィックが Azure キー管理サービス (KMS) サーバーにルーティングされます。
内部インフラストラクチャと診断
API Management の内部コンピューティング インフラストラクチャを維持および診断するには、次の設定と FQDN が必要です。
- NTP のポート
123で送信 UDP アクセスを許可します。 - 診断のポート
12000で送信 TCP アクセスを許可します。 - 内部診断に対して、次のエンドポイントへのポート
443への送信アクセスを許可します:azurewatsonanalysis-prod.core.windows.net、*.data.microsoft.com、azureprofiler.trafficmanager.net、shavamanifestazurecdnprod1.azureedge.net、shavamanifestcdnprod1.azureedge.net。 - 内部 PKI に対して、次のエンドポイントへのポート
443への送信アクセスを許可します:issuer.pki.azure.com。 - Windows Updateのポート
80と443の次のエンドポイントへの送信アクセスを許可します:*.update.microsoft.com、*.ctldl.windowsupdate.com、ctldl.windowsupdate.com、download.windowsupdate.com。 - ポート
80と443のエンドポイントgo.microsoft.comへの送信アクセスを許可します。 - Windows Defender のポート
443の次のエンドポイントへの送信アクセスを許可します:wdcp.microsoft.com、wdcpalt.microsoft.com。
コントロール プレーンの IP アドレス
重要
Azure API Management のコントロール プレーン IP アドレスは、特定のネットワーク シナリオで必要な場合にのみ、ネットワーク アクセス規則用に構成する必要があります。 インフラストラクチャの改善によって IP アドレスの変更が必要になった場合にダウンタイムが発生しないよう、コントロール プレーンの IP アドレスの代わりに ApiManagementサービス タグを使用することをお勧めします。
関連するコンテンツ
各項目の詳細情報
構成の問題に関する詳細なガイダンスについては、次を参照してください。