虛擬網路組態參考:API 管理

  • 發行項

適用於:開發人員 |進階版

此參考會針對外部或內部模式中 Azure 虛擬網路中部署的 API 管理 實例,提供詳細的網路組態設定。

關於 VNet 連線選項、需求和考量,請參閱對 Azure API 管理使用虛擬網路

必要的連接埠

控制使用網路安全組規則部署 API 管理 子網的輸入和輸出流量。 如果某些埠無法使用,API 管理 可能無法正常運作,而且可能無法存取。

當 API 管理 服務實例裝載在 VNet 中時,會使用下表中的埠。 視裝載 API 管理執行個體的計算平台版本而定 (stv2stv1),有些需求會不同。

重要

  • [目的] 資料行中的粗體專案表示成功部署和作業 API 管理 服務所需的埠組態。 標示為「選擇性」的組態會啟用特定功能,如前所述。 服務的整體健康情況不需要它們。

  • 建議您使用指定的 服務標籤 ,而不是 NSG 和其他網路規則中的 IP 位址,以指定網路來源和目的地。 當基礎結構改進需要IP位址變更時,服務標籤會防止停機。

重要

使用 stv2時,您必須將網路安全組指派給 VNet,Azure Load Balancer 才能運作。 在 Azure Load Balancer 檔中深入瞭解。

來源 / 目的地連接埠 方向 傳輸通訊協定 服務標籤
來源 / 目的地		 目的 VNet 類型
* / [80]、443 傳入 TCP Internet / VirtualNetwork 對 API 管理的客戶端通訊 僅外部
* / 3443 傳入 TCP ApiManagement / VirtualNetwork Azure 入口網站和 PowerShell 的管理端點 外部和內部
* / 443 輸出 TCP VirtualNetwork / Storage 相依於 Azure 儲存體 外部和內部
* / 443 輸出 TCP VirtualNetwork / AzureActiveDirectory Microsoft Entra ID、Microsoft Graph 和 Azure 金鑰保存庫 相依性 (選用) 外部和內部
* / 443 輸出 TCP VirtualNetwork / Azure 連線 ors 受控連線 相依性 (選擇性) 外部和內部
* / 1433 輸出 TCP VirtualNetwork / Sql 存取 Azure SQL 端點 外部和內部
* / 443 輸出 TCP VirtualNetwork / AzureKeyVault 存取 Azure 金鑰保存庫 外部和內部
* / 5671, 5672, 443 輸出 TCP VirtualNetwork / EventHub 記錄至 Azure 事件中樞 原則Azure 監視器的相依性 (選擇性) 外部和內部
* / 445 輸出 TCP VirtualNetwork / Storage GIT 的 Azure 檔案共享相依性 (選擇性) 外部和內部
* / 1886、443 輸出 TCP VirtualNetwork / AzureMonitor 發佈診斷記錄和計量資源健康狀態Application Insights 外部和內部
* / 6380 輸入和輸出 TCP VirtualNetwork / VirtualNetwork 存取外部 Azure Cache for Redis 服務,以在 機器之間快取 原則 (選擇性) 外部和內部
* / 6381 - 6383 輸入和輸出 TCP VirtualNetwork / VirtualNetwork 存取內部 Azure Cache for Redis 服務,以在 機器之間快 取原則 (選擇性) 外部和內部
* / 4290 輸入和輸出 UDP VirtualNetwork / VirtualNetwork 機器之間速率限制原則的同步計數器 (選擇性) 外部和內部
* / 6390 輸入 TCP AzureLoadBalancer / VirtualNetwork Azure 基礎結構負載平衡器 外部和內部
* / 443 傳入 TCP AzureTrafficManager / VirtualNetwork 多區域部署的 Azure 流量管理員 路由 外部
* / 6391 傳入 TCP AzureLoadBalancer / VirtualNetwork 監視個別電腦健康情況 (選擇性) 外部和內部

區域服務標籤

允許輸出連線到 儲存體、SQL 和 Azure 事件中樞 服務標籤的 NSG 規則,可能會使用對應至包含 API 管理 實例之區域的卷標區域版本(例如,儲存體。美國西部區域中 API 管理 實例的 WestUS。 在多區域部署中,每個區域中的NSG應該允許流量流向該區域和主要區域的服務標籤。

TLS 功能

若要啟用 TLS/SSL 憑證鏈結建置和驗證,API 管理 服務需要埠80443ocsp.msocsp.com和 、oneocsp.msocsp.commscrl.microsoft.comcrl.microsoft.comcsp.digicert.com的輸出網路連線能力。 如果您上傳至 API 管理 的任何憑證包含 CA 根目錄的完整鏈結,則不需要此相依性。

DNS 存取

需要埠 53 上的輸出存取權才能與 DNS 伺服器通訊。 如果 VPN 閘道的另一端有自訂 DNS 伺服器,則必須從裝載 API 管理 的子網連線到 DNS 伺服器。

Microsoft Entra 整合

若要正常運作,API 管理 服務需要在埠 443 上連線到下列與 Microsoft Entra ID 相關聯的端點:<region>.login.microsoft.comlogin.microsoftonline.com

計量和健康情況監視

Azure 監視端點的輸出網路連線能力會以 AzureMonitor 服務標籤來表示,這些端點會在 AzureMonitor 服務標籤下來與網路安全組搭配使用。

Azure 環境 端點
Azure 公用
  • gcs.prod.monitoring.core.windows.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.com
Azure Government
  • fairfax.warmpath.usgovcloudapi.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.us
由 21Vianet 營運的 Microsoft Azure
  • mooncake.warmpath.chinacloudapi.cn
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.cn

開發人員入口網站 CAPTCHA

允許開發人員入口網站 CAPTCHA 的輸出網路連線能力,其會在主機 client.hip.live.compartner.hip.live.com下解析。

發佈開發人員入口網站

允許輸出連線到美國西部區域的 Blob 記憶體,以在 VNet 中發行 API 管理 實例的開發人員入口網站。 例如,使用 儲存體。NSG 規則中的 WestUS 服務標籤。 目前,需要連線到美國西部區域中的 Blob 記憶體,才能發佈任何 API 管理 實例的開發人員入口網站。

Azure 入口網站診斷

從 VNet 內部使用 API 管理 診斷擴充功能時,必須有埠的443輸出存取dc.services.visualstudio.com權,才能從 Azure 入口網站 啟用診斷記錄的流程。 此存取可協助您針對使用延伸模組時可能遇到的問題進行疑難解答。

Azure Load Balancer

您不需要允許來自開發人員 SKU 服務標籤 AzureLoadBalancer 的輸入要求,因為其後方只會部署一個計算單位。 不過,當調整為較高的 SKU 時,來自 的輸入連線AzureLoadBalancer變得很重要,例如 進階版,因為負載平衡器的健康情況探查失敗,因此會封鎖控制平面和數據平面的所有輸入存取。

Application Insights

如果您在 API 管理 上啟用 Azure 應用程式 Insights 監視,請允許從 VNet 對遙測端點進行輸出連線。

KMS 端點

將執行 Windows 的虛擬機新增至 VNet 時,允許埠 1688 上的輸出連線到 雲端中的 KMS 端點 。 此設定會將 Windows VM 流量路由傳送至 Azure 金鑰管理服務 s (KMS) 伺服器,以完成 Windows 啟用。

內部基礎結構和診斷

需要下列設定和 FQDN,才能維護和診斷 API 管理 的內部計算基礎結構。

  • 允許 NTP 連接埠上的 123 輸出 UDP 存取。
  • 允許埠 12000 上的輸出 TCP 存取以進行診斷。
  • 允許連接埠443對下列端點進行輸出存取,以進行內部診斷:azurewatsonanalysis-prod.core.windows.net、、*.data.microsoft.comazureprofiler.trafficmanager.netshavamanifestazurecdnprod1.azureedge.netshavamanifestcdnprod1.azureedge.net
  • 針對內部 PKI,允許埠 443 上的輸出存取至下列端點: issuer.pki.azure.com
  • 允許連接埠80443 Windows Update 的下列端點進行輸出存取:*.update.microsoft.com、、*.ctldl.windowsupdate.comctldl.windowsupdate.comdownload.windowsupdate.com
  • 允許埠 80443 端點 go.microsoft.com的輸出存取。
  • 允許在埠443上存取 Windows Defender 的下列端點:、wdcp.microsoft.comwdcpalt.microsoft.com

控制平面IP位址

重要

只有在特定網路案例中需要時,才應針對網路存取規則設定 Azure API 管理 的控制平面 IP 位址。 我們建議使用 ApiManagement服務標籤 ,而不是控制平面 IP 位址,以避免基礎結構改進需要 IP 位址變更時停機。

相關內容

深入了解:

如需設定問題的詳細資訊指引,請參閱: