Anslut till ett virtuellt nätverk med Azure API Management
Azure API Management kan distribueras i ett virtuellt Azure-nätverk (VNET) för att få åtkomst till servertjänster i nätverket. Alternativ, krav och överväganden för VNET-anslutningar finns i Använda ett virtuellt nätverk med Azure API Management.
Den här artikeln förklarar hur du ställer in VNET-anslutning för din API Management-instans i externt läge, där utvecklarportalen, API-gatewayen och andra API Management-slutpunkter är tillgängliga från det offentliga Internet. Konfigurationer som är specifika för det interna läget, där slutpunkterna endast är tillgängliga inom det virtuella nätverket, finns i Anslut till ett internt virtuellt nätverk med Hjälp av Azure API Management.
Anteckning
I den här artikeln används Azure Az PowerShell-modulen, som är den rekommenderade PowerShell-modulen för att interagera med Azure. För att komma igång med Az PowerShell kan du läsa artikeln om att installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.
Tillgänglighet
Viktigt
Den här funktionen är tillgänglig på nivån Premium och developer för API Management.
Förutsättningar
Vissa förutsättningar varierar beroende på vilken version ( eller stv2 stv1 ) av beräkningsplattformen som är värd för din API Management instans.
Tips
När du använder portalen för att skapa eller uppdatera nätverksanslutningen för en API Management instans finns instansen på stv2 beräkningsplattformen.
- En API Management instans. Mer information finns i Skapa en Azure API Management instans.
- Ett virtuellt nätverk och undernät i samma region och prenumeration som din API Management instans. Undernätet kan innehålla andra Azure-resurser.
En offentlig IPv4-adress förstandard-SKU. Den offentliga IP-adressresursen krävs när det virtuella nätverket konfigureras för antingen extern eller intern åtkomst. Med ett internt virtuellt nätverk används den offentliga IP-adressen endast för hanteringsåtgärder. Läs mer om IP-adresser för API Management.
IP-adressen måste finnas i samma region och prenumeration som API Management instansen och det virtuella nätverket.
IP-adressens värde tilldelas som den virtuella offentliga IPv4-adressen för den API Management instansen i den regionen.
När du byter från ett externt till internt virtuellt nätverk (eller vice versa), ändrar undernät i nätverket eller uppdaterar tillgänglighetszoner för API Management-instansen måste du konfigurera en annan offentlig IP-adress.
Aktivera VNET-anslutning
Aktivera VNET-anslutning med Azure Portal ( stv2 beräkningsplattform)
Gå till Azure Portal för att hitta API Management-instansen. Sök efter och välj API Management tjänster.
Välj din API Management instans.
Välj Virtuellt nätverk.
Välj extern åtkomsttyp.
I listan över platser (regioner) där API Management tjänst har etablerats:
- Välj en plats.
- Välj Virtuellt nätverk, Undernät och IP-adress.
Listan över virtuella nätverk fylls i med Resource Manager virtuella nätverk som är tillgängliga i dina Azure-prenumerationer, konfigurerade i den region som du konfigurerar.
Välj Använd. Sidan Virtuellt nätverk för din API Management instans uppdateras med dina nya alternativ för virtuellt nätverk och undernät.
Fortsätt att konfigurera VNET-inställningar för de återstående platserna för API Management instansen.
I det övre navigeringsfältet väljer du Spara och sedan Använd nätverkskonfiguration.
Det kan ta 15 till 45 minuter att uppdatera API Management instansen.
Aktivera anslutning med en Resource Manager mall
Använd följande mallar för att distribuera en API Management-instans och ansluta till ett VNET. Mallarna varierar beroende på vilken version ( stv2 eller stv1 ) av beräkningsplattformen som är värd för din API Management instans.
Anslut till en webbtjänst som finns i ett virtuellt nätverk
När du har anslutit din API Management till det virtuella nätverket kan du komma åt backend-tjänster i det precis som du gör med offentliga tjänster. När du skapar eller redigerar ett API anger du den lokala IP-adressen eller värdnamnet (om en DNS-server har konfigurerats för det virtuella nätverket) för webbtjänsten i fältet Webbtjänst-URL.
Vanliga problem med nätverkskonfiguration
Läs följande avsnitt om du vill ha fler nätverkskonfigurationsinställningar.
De här inställningarna tar upp vanliga problem med felkonfiguration som kan uppstå när du API Management till en tjänst i ett VNET.
Anpassad DNS-serverkonfiguration
I externt VNET-läge hanterar Azure DNS som standard. Du kan också konfigurera en anpassad DNS-server. Tjänsten API Management är beroende av flera Azure-tjänster. När API Management värd i ett VNET med en anpassad DNS-server måste den matcha värdnamnen för dessa Azure-tjänster.
- Vägledning om anpassad DNS-konfiguration, inklusive vidarebefordran för värdnamn som tillhandahålls av Azure, finns i Namnmatchning för resurser i virtuella Azure-nätverk.
- Mer information finns i nödvändiga portar och nätverkskrav.
Viktigt
Om du planerar att använda en eller flera anpassade DNS-servrar för det virtuella nätverket måste du konfigurera den innan du distribuerar en API Management-tjänst till det. Annars måste du uppdatera tjänsten API Management varje gång du ändrar DNS-servrarna genom att köra åtgärden Tillämpa nätverkskonfiguration.
Portar som krävs
Du kan styra inkommande och utgående trafik till undernätet där API Management distribueras med hjälp av regler för nätverkssäkerhetsgrupp. Om vissa portar inte är tillgängliga API Management kanske inte fungerar korrekt och kan bli otillgängliga.
När en API Management-tjänstinstans finns i ett VNET används portarna i följande tabell. Vissa krav varierar beroende på vilken version ( stv2 eller stv1 ) av beräkningsplattformen som är värd för din API Management instans.
Viktigt
Fetstilta objekt i kolumnen Syfte visar de portkonfigurationer som krävs för att distributionen och driften av API Management tjänsten ska lyckas. Konfigurationer med etiketten "optional" behövs bara för att aktivera specifika funktioner, enligt vad som anges. De krävs inte för tjänstens övergripande hälsa.
| Käll-/målport(er) | Riktning | Transportprotokoll | Tjänsttaggar Källa/mål |
Syfte ( * ) | VNET-typ |
|---|---|---|---|---|---|
| * / [80], 443 | Inkommande | TCP | INTERNET/VIRTUAL_NETWORK | Klientkommunikation till API Management (valfritt) | Extern |
| * / 3443 | Inkommande | TCP | ApiManagement/VIRTUAL_NETWORK | Hanteringsslutpunkt för Azure Portal och PowerShell (valfritt) | Extern & internt |
| * / 443 | Utgående | TCP | VIRTUAL_NETWORK/Storage | Beroende av Azure Storage | Extern & internt |
| * / 443 | Utgående | TCP | VIRTUAL_NETWORK/AzureActiveDirectory | Azure Active Directory och Azure Key Vault beroende (valfritt) | Extern & internt |
| * / 1433 | Utgående | TCP | VIRTUAL_NETWORK/SQL | Åtkomst till Azure SQL slutpunkter | Extern & internt |
| * / 443 | Utgående | TCP | VIRTUAL_NETWORK/AzureKeyVault | Åtkomst till Azure Key Vault | Extern & internt |
| * / 5671, 5672, 443 | Utgående | TCP | VIRTUAL_NETWORK/händelsehubb | Beroende för principen och övervakningsagenten för logga till händelsehubb (valfritt) | Extern & internt |
| * / 445 | Utgående | TCP | VIRTUAL_NETWORK/Storage | Beroende av Azure-filresurs för GIT (valfritt) | Extern & internt |
| * / 443, 12000 | Utgående | TCP | VIRTUAL_NETWORK/AzureCloud | Tillägg för hälsa och övervakning (valfritt) | Extern & internt |
| * / 1886, 443 | Utgående | TCP | VIRTUAL_NETWORK/AzureMonitor | Publicera diagnostikloggar och mått, Resource Health programloggar och Insights (valfritt) | Extern & internt |
| * / 25, 587, 25028 | Utgående | TCP | VIRTUAL_NETWORK/INTERNET | Anslut till SMTP Relay för att skicka e-post (valfritt) | Extern & internt |
| * / 6381 - 6383 | Inkommande & utgående | TCP | VIRTUAL_NETWORK/VIRTUAL_NETWORK | Få åtkomst till Redis-tjänsten för cacheprinciper mellan datorer (valfritt) | Extern & internt |
| * / 4290 | Inkommande & utgående | UDP | VIRTUAL_NETWORK/VIRTUAL_NETWORK | Synkroniseringsräknare för frekvensbegränsningsprinciper mellan datorer (valfritt) | Extern & internt |
| * / 6390 | Inkommande | TCP | AZURE_LOAD_BALANCER/VIRTUAL_NETWORK | Azure Infrastructure Load Balancer | Extern & internt |
TLS-funktioner
För att TLS/SSL-certifikatkedjan ska kunna byggas och API Management behöver tjänsten utgående nätverksanslutning till ocsp.msocsp.com mscrl.microsoft.com , och crl.microsoft.com . Det här beroendet krävs inte om något certifikat som du överför till API Management innehåller den fullständiga kedjan till CA-roten.
DNS-åtkomst
Utgående åtkomst på port 53 krävs för kommunikation med DNS-servrar. Om det finns en anpassad DNS-server i den andra änden av en VPN-gateway måste DNS-servern kunna nås från det undernät som är API Management.
Mått och hälsoövervakning
Utgående nätverksanslutning till Azure Monitoring-slutpunkter, som matchas under följande domäner, visas under tjänsttaggen AzureMonitor för användning med nätverkssäkerhetsgrupper.
| Azure-miljö | Slutpunkter |
|---|---|
| Azure, offentlig |
|
| Azure Government |
|
| Azure Kina 21Vianet |
|
Regionala tjänsttaggar
NSG-regler som tillåter utgående anslutning till Storage-, SQL- och Event Hubs-tjänsttaggar kan använda de regionala versionerna av de taggar som motsvarar den region som innehåller API Management-instansen (till exempel Storage. USA, västra för API Management instans i regionen USA, västra). I distributioner i flera regioner bör NSG:n i varje region tillåta trafik till tjänsttaggarna för den regionen och den primära regionen.
Viktigt
Aktivera publicering av utvecklarportalen för en API Management instans i ett VNET genom att tillåta utgående anslutning till bloblagring i regionen USA, västra. Använd till exempel Storage. WestUS-tjänsttagg i en NSG-regel. För närvarande krävs anslutning till Blob Storage i regionen USA, västra för att publicera utvecklarportalen för alla API Management instans.
SMTP-relä
Tillåt utgående nätverksanslutning för SMTP-reläet, som matchas under värden smtpi-co1.msn.com smtpi-ch1.msn.com , , , smtpi-db3.msn.com smtpi-sin.msn.com och ies.global.microsoft.com
Anteckning
Endast SMTP-reläet i API Management kan användas för att skicka e-post från din instans.
CAPTCHA för utvecklarportalen
Tillåt utgående nätverksanslutning för utvecklarportalens CAPTCHA, som matchas under värdarna client.hip.live.com och partner.hip.live.com .
Azure Portal diagnostik
När du använder API Management-tillägget inifrån ett VNET krävs utgående åtkomst till på för att aktivera flödet av dc.services.visualstudio.com port 443 diagnostikloggar från Azure Portal. Den här åtkomsten hjälper till vid felsökning av problem som kan hända när du använder tillägget.
Azure-lastbalanserare
Du behöver inte tillåta inkommande begäranden från tjänsttaggen för SKU:n eftersom endast en AZURE_LOAD_BALANCER Developer beräkningsenhet distribueras bakom den. Men inkommande från blir kritiskt vid skalning till en högre SKU, till exempel , eftersom fel i hälsoavsökningen från lastbalanserare blockerar all inkommande åtkomst till kontrollplanet och AZURE_LOAD_BALANCER Premium dataplanet.
Application Insights
Om du har aktiverat Azure Application Insights på API Management tillåter du utgående anslutning till telemetrislutpunkten från det virtuella nätverket.
KMS slutpunkt
När du lägger till virtuella datorer Windows till det virtuella nätverket ska du tillåta utgående anslutning på port 1688 till KMS i molnet. Den här konfigurationen dirigerar Windows vm-trafik till Azure Key Management Services-servern (KMS) för att slutföra Windows aktivering.
Tvinga tunneltrafik till en lokal brandvägg med ExpressRoute eller virtuell nätverksinstallation
Vanligtvis konfigurerar och definierar du din egen standardväg (0.0.0.0/0), vilket tvingar all trafik från det API Management-delegerade undernätet att flöda genom en lokal brandvägg eller till en virtuell nätverksinstallation. Det här trafikflödet bryter anslutningen till Azure API Management eftersom utgående trafik antingen blockeras lokalt eller nat till en oigenkännlig uppsättning adresser som inte längre fungerar med olika Azure-slutpunkter. Du kan lösa det här problemet på ett par olika sätt:
Aktivera tjänstslutpunkter i undernätet där API Management distribueras för:
- Azure SQL
- Azure Storage
- Azure Event Hub
- Azure Key Vault (v2-plattform)
Genom att aktivera slutpunkter direkt från API Management-undernät till dessa tjänster kan du använda Microsoft Azure stamnätverk, vilket ger optimal routning för tjänsttrafik. Om du använder tjänstslutpunkter med tvingad tunnlad API Management så är inte ovanstående Azure-tjänsttrafik tvingad tunneltrafik. Den andra API Management-tjänstberoende trafiken är tvingad tunneltrafik och kan inte gå förlorad. Om den förloras skulle API Management inte fungera korrekt.
All kontrollplanstrafik från Internet till hanteringsslutpunkten för din API Management-tjänst dirigeras via en specifik uppsättning inkommande IP-adresser som API Management. När trafiken tvingad tunneltrafik mappas svaren inte symmetriskt tillbaka till dessa inkommande käll-IP-adresser. Du kan lösa begränsningen genom att ange målet för följande användardefinierade vägar(UDR)till "Internet" för att styra trafiken tillbaka till Azure. Hitta uppsättningen inkommande IP-adresser för kontrollplanstrafik som dokumenteras i IP-adresser för kontrollplanet.
För andra tvingad tunneltrafik API Management tjänstberoenden matchar du värdnamnet och når slutpunkten. Dessa omfattar:
- Mått och hälsoövervakning
- Azure Portal diagnostik
- SMTP-relä
- CAPTCHA för utvecklarportalen
- Azure KMS server
Routning
- En belastningsutjämnad offentlig IP-adress (VIP) är reserverad för att ge åtkomst till alla tjänstslutpunkter och resurser utanför det virtuella nätverket.
- Belastningsutjämnade offentliga IP-adresser finns på bladet Översikt/Essentials i Azure Portal.
- En IP-adress från ett undernäts IP-intervall (DIP) används för att komma åt resurser i det virtuella nätverket.
Anteckning
VIP-adresserna för den API Management instansen ändras när:
- Det virtuella nätverket är aktiverat eller inaktiverat.
- API Management flyttas från läget Externt till Internt virtuellt nätverk eller vice versa.
- Inställningarna för zonredundans är aktiverade, uppdaterade eller inaktiverade på en plats för din instans (endast Premium SKU).
IP-adresser för kontrollplanet
Följande IP-adresser divideras med Azure Environment. När inkommande begäranden tillåts måste IP-adresser som är markerade med Global tillåtas, tillsammans med regionspecifik IP-adress. I vissa fall visas två IP-adresser. Tillåt båda IP-adresserna.
| Azure-miljö | Region | IP-adress |
|---|---|---|
| Azure, offentlig | USA, södra centrala (global) | 104.214.19.224 |
| Azure, offentlig | USA, norra centrala (global) | 52.162.110.80 |
| Azure, offentlig | Australien, centrala | 20.37.52.67 |
| Azure, offentlig | Australien, centrala 2 | 20.39.99.81 |
| Azure, offentlig | Australien, östra | 20.40.125.155 |
| Azure, offentlig | Australien, sydöstra | 20.40.160.107 |
| Azure, offentlig | Brasilien, södra | 191.233.24.179, 191.238.73.14 |
| Azure, offentlig | Brasilien, sydöstra | 191.232.18.181 |
| Azure, offentlig | Kanada, centrala | 52.139.20.34, 20.48.201.76 |
| Azure, offentlig | Kanada, östra | 52.139.80.117 |
| Azure, offentlig | Indien, centrala | 13.71.49.1, 20.192.45.112 |
| Azure, offentlig | Central US | 13.86.102.66 |
| Azure, offentlig | USA, centrala (EUAP) | 52.253.159.160 |
| Azure, offentlig | Asien, östra | 52.139.152.27 |
| Azure, offentlig | East US | 52.224.186.99 |
| Azure, offentlig | USA, östra 2 | 20.44.72.3 |
| Azure, offentlig | USA, östra 2 (EUAP) | 52.253.229.253 |
| Azure, offentlig | Frankrike, centrala | 40.66.60.111 |
| Azure, offentlig | Frankrike, södra | 20.39.80.2 |
| Azure, offentlig | Tyskland, norra | 51.116.0.0 |
| Azure, offentlig | Tyskland, västra centrala | 51.116.96.0, 20.52.94.112 |
| Azure, offentlig | Japan, östra | 52.140.238.179 |
| Azure, offentlig | Japan, västra | 40.81.185.8 |
| Azure, offentlig | Indien, centrala | 20.192.234.160 |
| Azure, offentlig | Indien, västra | 20.193.202.160 |
| Azure, offentlig | Sydkorea, centrala | 40.82.157.167, 20.194.74.240 |
| Azure, offentlig | Sydkorea, södra | 40.80.232.185 |
| Azure, offentlig | USA, norra centrala | 40.81.47.216 |
| Azure, offentlig | Europa, norra | 52.142.95.35 |
| Azure, offentlig | Mellanöstern | 51.120.2.185 |
| Azure, offentlig | Västtyskland | 51.120.130.134 |
| Azure, offentlig | Sydafrika, norra | 102.133.130.197, 102.37.166.220 |
| Azure, offentlig | Sydafrika, västra | 102.133.0.79 |
| Azure, offentlig | USA, södra centrala | 20.188.77.119, 20.97.32.190 |
| Azure, offentlig | Indien, södra | 20.44.33.246 |
| Azure, offentlig | Sydostasien | 40.90.185.46 |
| Azure, offentlig | Schweiz, norra | 51.107.0.91 |
| Azure, offentlig | Schweiz, västra | 51.107.96.8 |
| Azure, offentlig | Förenade Arabemiraten, centrala | 20.37.81.41 |
| Azure, offentlig | Förenade Arabemiraten, norra | 20.46.144.85 |
| Azure, offentlig | Storbritannien, södra | 51.145.56.125 |
| Azure, offentlig | Storbritannien, västra | 51.137.136.0 |
| Azure, offentlig | USA, västra centrala | 52.253.135.58 |
| Azure, offentlig | Europa, västra | 51.145.179.78 |
| Azure, offentlig | Indien, västra | 40.81.89.24 |
| Azure, offentlig | USA, västra | 13.64.39.16 |
| Azure, offentlig | USA, västra 2 | 51.143.127.203 |
| Azure, offentlig | USA, västra 3 | 20.150.167.160 |
| Azure Kina 21Vianet | Kina, norra (global) | 139.217.51.16 |
| Azure Kina 21Vianet | Kina, östra (global) | 139.217.171.176 |
| Azure Kina 21Vianet | Kina, norra | 40.125.137.220 |
| Azure Kina 21Vianet | Kina, östra | 40.126.120.30 |
| Azure Kina 21Vianet | Kina, norra 2 | 40.73.41.178 |
| Azure Kina 21Vianet | Kina, östra 2 | 40.73.104.4 |
| Azure Government | USGov Virginia (global) | 52.127.42.160 |
| Azure Government | USGov Texas (global) | 52.127.34.192 |
| Azure Government | USGov Virginia | 52.227.222.92 |
| Azure Government | USGov Iowa | 13.73.72.21 |
| Azure Government | USGov Arizona | 52.244.32.39 |
| Azure Government | USGov Texas | 52.243.154.118 |
| Azure Government | USDoD, centrala | 52.182.32.132 |
| Azure Government | USDoD, östra | 52.181.32.192 |
Felsökning
Misslyckad inledande API Management till ett undernät
- Distribuera en virtuell dator till samma undernät.
- Anslut till den virtuella datorn och verifiera anslutningen till någon av följande resurser i din Azure-prenumeration:
- Azure Storage blob
- Azure SQL Database
- Azure Storage tabell
- Azure Key Vault (för en API Management-instans som finns på
stv2plattformen)
Viktigt
När du har verifierat anslutningen tar du bort alla resurser i undernätet innan du distribuerar API Management till undernätet (krävs när API Management finns på
stv1plattformen).Verifiera nätverksanslutningsstatus
- När du API Management till undernätet kan du använda portalen för att kontrollera anslutningen för din instans till beroenden, till exempel Azure Storage.
- I portalen går du till menyn till vänster under Distribution och infrastruktur och väljer Status för nätverksanslutning.
Filtrera Beskrivning Krävs Välj om du vill granska azure-tjänstanslutningen som krävs för API Management. Felet anger att instansen inte kan utföra kärnåtgärder för att hantera API:er. Valfritt Välj för att granska de valfria tjänsternas anslutning. Felet anger bara att den specifika funktionen inte fungerar (till exempel SMTP). Haveri kan leda till försämring i användningen och övervakningen API Management instansen och tillhandahåller det indelat serviceavtalet. Du kan åtgärda anslutningsproblem genom att granska inställningarna för nätverkskonfigurationen och åtgärda nödvändiga nätverksinställningar.
Inkrementella uppdateringar
När du gör ändringar i nätverket kan du gå till NetworkStatus-API:et för att API Management att tjänsten inte har förlorat åtkomst till kritiska resurser. Anslutningsstatusen bör uppdateras var 15:e minut.Navigeringslänkar för resurser
En APIM-instans som finns på beräkningsplattformenstv1ochsom distribueras till ett Resource Manager VNET-undernät reserverar undernätet genom att skapa en resursnavigeringslänk. Om undernätet redan innehåller en resurs från en annan provider misslyckas distributionen. När du tar bort en API Management-tjänst eller flyttar den till ett annat undernät tas även resursnavigeringslänken bort.
Nästa steg
Läs mer om: