Referência de configuração de rede virtual: Gerenciamento de API
APLICA-SE A: Desenvolvedor | Premium
Esta referência fornece definições detalhadas de configuração de rede para uma instância de Gerenciamento de API implantada (injetada) em uma rede virtual do Azure no modo externo ou interno .
Para obter os requisitos, as considerações e as opções de conectividade de VNet, consulte Usar uma rede virtual com o Gerenciamento de API Azure.
Portas obrigatórias
Controle o tráfego de entrada e saída na sub-rede na qual o Gerenciamento de API é implantado usando regras de grupos de segurança de rede. Se determinadas portas estiver indisponível, o Gerenciamento de API poderá não funcionar corretamente e poderá se tornar inacessível.
Quando uma instância do serviço Gerenciamento de API está hospedada em uma VNet, as portas na tabela a seguir são usadas. Alguns requisitos são diferentes, dependendo da versão (stv2 ou stv1) da stv2 que hospeda sua instância do Gerenciamento de API.
Importante
Os itens em negrito na coluna Finalidade indicam as configurações de porta necessárias para a implantação e operação bem-sucedidas do serviço de Gerenciamento de API. As configurações rotuladas como "opcionais" habilitam recursos específicos, conforme observado. Elas não são necessárias para a integridade geral do serviço.
Recomendamos usar as tags de serviço indicadas em vez de endereços IP no NSG e em outras regras de rede para especificar origens e destinos de rede. As marcas de serviço impedem o tempo de inatividade quando as melhorias de infraestrutura exigem alterações de endereço IP.
Importante
Ao usar stv2, é necessário atribuir um Grupo de Segurança de Rede à sua VNet para que o Azure Load Balancer funcione. Saiba mais na documentação do Azure Load Balancer.
| Porta(s) de Origem/Destino | Direção | Protocolo de transporte | Marcas de serviço Origem/Destino |
Finalidade | Tipo de VNet |
|---|---|---|---|---|---|
| * / [80], 443 | Entrada | TCP | Internet / VirtualNetwork | Comunicação do cliente com o Gerenciamento de API | Apenas externo |
| * / 3443 | Entrada | TCP | ApiManagement / VirtualNetwork | Ponto de extremidade de gerenciamento para o Portal do Azure e o Powershell | Interno e externo |
| */443 | Saída | TCP | VirtualNetwork / Armazenamento | Dependência no Armazenamento do Microsoft Azure | Interno e externo |
| */443 | Saída | TCP | VirtualNetwork / AzureActiveDirectory | Dependência da ID do Microsoft Entra, do Microsoft Graph e do Cofre de Chaves do Azure (opcional) | Interno e externo |
| */443 | Saída | TCP | VirtualNetwork / AzureConnectors | Dependência de conexões gerenciadas(opcional) | Interno e externo |
| * / 1433 | Saída | TCP | VirtualNetwork/Sql | Acesso aos pontos de extremidade do SQL do Azure | Interno e externo |
| */443 | Saída | TCP | VirtualNetwork / AzureKeyVault | Acesso ao Azure Key Vault | Interno e externo |
| * / 5671, 5672, 443 | Saída | TCP | VirtualNetwork / EventHub | Dependência da política Registrar nos Hubs de Eventos do Azure e Azure Monitor (opcional) | Interno e externo |
| * / 445 | Saída | TCP | VirtualNetwork / Armazenamento | Dependência do compartilhamento de arquivo do Azure para GIT (opcional) | Interno e externo |
| * / 1886, 443 | Saída | TCP | VirtualNetwork / AzureMonitor | Publicar logs e métricas de diagnóstico, integridade de recursos e insights de aplicativos | Interno e externo |
| * / 6380 | Entrada e Saída | TCP | VirtualNetwork / VirtualNetwork | Acessar o serviço de Cache do Azure para Redis externo para políticas de cache entre computadores (opcional) | Interno e externo |
| * / 6381 - 6383 | Entrada e Saída | TCP | VirtualNetwork / VirtualNetwork | Acessar o serviço de Cache do Azure para Redis interno para políticas de cache entre computadores (opcional) | Interno e externo |
| * / 4290 | Entrada e Saída | UDP | VirtualNetwork / VirtualNetwork | Sincronizar os contadores para políticas de Limite de Taxa entre computadores (opcional) | Interno e externo |
| * / 6390 | Entrada | TCP | AzureLoadBalancer / VirtualNetwork | Balanceador de carga de infraestrutura do Azure | Interno e externo |
| */443 | Entrada | TCP | AzureTrafficManager / VirtualNetwork | Roteamento do Gerenciador de Tráfego do Azure para implantação em várias regiões | Externo |
| * / 6391 | Entrada | TCP | AzureLoadBalancer / VirtualNetwork | Monitoramento da integridade individual da máquina (Opcional) | Interno e externo |
Marcas de serviço regional
As regras de NSG que permitem a conectividade de saída para as marcas de serviço de armazenamento, SQL e Hubs de Eventos do Azure podem usar as versões regionais dessas marcas correspondentes à região que contém a instância de Gerenciamento de API (por exemplo, Storage.WestUS para uma instância de gerenciamento de API na região Oeste dos EUA). Em implantações de várias regiões, o NSG em cada região deve permitir o tráfego para as marcas de serviço para essa região e a região primária.
Funcionalidade de TLS
Para habilitar a criação e a validação da cadeia de certificados TLS/SSL, o serviço de Gerenciamento de API precisa de conectividade de rede nas portas 80 e 443 para ocsp.msocsp.com, oneocsp.msocsp.com, mscrl.microsoft.com, crl.microsoft.com e csp.digicert.com. Essa dependência não será necessária se um certificado carregado no Gerenciamento de API tiver a cadeia completa para a raiz da CA.
Acesso DNS
O acesso de saída na porta 53 é necessário para a comunicação com servidores DNS. Se houver um servidor DNS personalizado na outra extremidade de um gateway de VPN, o servidor DNS deverá estar acessível pela sub-rede que hospeda o Gerenciamento de API.
Integração do Microsoft Entra
Para operar corretamente, o serviço de Gerenciamento de API precisa de conectividade de saída na porta 443 para os seguintes pontos de extremidade associados ao Microsoft Entra ID: <region>.login.microsoft.com e login.microsoftonline.com.
Métricas e monitoramento de integridade
Conectividade de rede de saída com pontos de extremidade de Monitoramento do Azure, que são resolvidos nos domínios a seguir e são representados na marca de serviço AzureMonitor para uso com Grupos de Segurança de Rede.
| Azure Environment | Pontos de extremidade |
|---|---|
| Público do Azure |
|
| Azure Government |
|
| Microsoft Azure operado pela 21Vianet |
|
CAPTCHA do portal do desenvolvedor
Permita conectividade de rede de saída para o CAPTCHA do portal do desenvolvedor, que é resolvido sob os hosts client.hip.live.com e partner.hip.live.com.
Publicar o portal do desenvolvedor
Habilite a publicação do portal de desenvolvedor para uma instância de Gerenciamento de API em uma VNet permitindo a conectividade de saída com o armazenamento de blobs na região Oeste dos EUA. Por exemplo, use a marca de serviço Storage.WestUS em uma regra de NSG. Atualmente, a conectividade com o armazenamento de blobs na região Oeste dos EUA é necessária para publicar o portal do desenvolvedor em qualquer instância de Gerenciamento de API.
Diagnósticos do portal do Azure
Ao usar a extensão de diagnóstico de Gerenciamento de API em uma VNet, é necessário ter o acesso de saída de dc.services.visualstudio.com na porta 443 a fim de habilitar o fluxo de logs de diagnóstico no portal do Azure. Esse acesso ajuda na solução de problemas que podem ocorrer ao usar a extensão.
Azure Load Balancer
Você não precisa permitir solicitações de entrada da marca de serviço AzureLoadBalancer para o SKU Desenvolvedor, uma vez que somente uma unidade de computação é implantada nela. No entanto, a conectividade de entrada de AzureLoadBalancer se torna crítica ao ajuste da escala para um SKU mais alto, como Premium, pois uma falha da investigação de integridade do balanceador de carga bloqueia todo o acesso de entrada ao painel de controle e ao plano de dados.
Application Insights
Se você tiver habilitado o monitoramento do Azure Application Insights no Gerenciamento de API, permita a conectividade de saída com o ponto de extremidade de telemetria da VNet.
Ponto de extremidade KMS
Ao adicionar máquinas virtuais que executam Windows à VNet, permita a conectividade de saída na porta 1688 para o ponto de extremidade de KMS em sua nuvem. Essa configuração roteia o tráfego da VM do Windows para o servidor do KMS (serviços de gerenciamento de chaves) do Azure para concluir a ativação do Windows.
Infraestrutura interna e diagnóstico
As configurações e os FQDNs a seguir são necessários para manter e diagnosticar a infraestrutura de computação interna do Gerenciamento de API.
- Permitir o acesso UDP de saída na porta
123para NTP. - Permitir o acesso TCP de saída na porta
12000para diagnóstico. - Permitir o acesso de saída na porta
443aos seguintes pontos de extremidade para diagnóstico interno:azurewatsonanalysis-prod.core.windows.net,*.data.microsoft.com,azureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net,shavamanifestcdnprod1.azureedge.net. - Permitir o acesso de saída na porta
443ao seguinte ponto de extremidade para PKI interna:issuer.pki.azure.com. - Permitir o acesso de saída nas portas
80e443aos seguintes pontos de extremidade do Windows Update:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - Permitir o acesso de saída nas portas
80e443ao ponto de extremidadego.microsoft.com. - Permitir o acesso de saída na porta
443aos seguintes pontos de extremidade do Windows Defender:wdcp.microsoft.com,wdcpalt.microsoft.com.
Controlar endereços IP planos
Importante
Os endereços IP do plano de controle para o Gerenciamento de API do Azure devem ser configurados para regras de acesso à rede somente quando necessário em determinados cenários de rede. É recomendável usar a marca de serviçoApiManagement em vez de endereços IP do plano de controle para evitar tempo de inatividade quando as melhorias de infraestrutura exigirem alterações de endereço IP.
Conteúdo relacionado
Saiba mais sobre:
- Conectar uma rede virtual ao back-end usando o Gateway de VPN
- Conectar uma rede virtual de diferentes modelos de implantação
- Perguntas frequentes sobre rede virtual
- Marcas de serviço
Para obter mais orientações sobre problemas de configuração, consulte: