Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’APPLIQUE À : Développeur | Premium
Cette référence fournit des paramètres de configuration réseau détaillés pour une instance gestion des API déployée (injectée) dans un réseau virtuel Azure en mode external ou internal.
Pour connaître les options de connectivité de réseau virtuel, les exigences et les considérations, consultez Utilisant un réseau virtuel avec Gestion des API Azure.
Important
Cette référence s’applique uniquement aux instances Gestion des API des niveaux classiques déployés dans un réseau virtuel. Pour plus d’informations sur l’injection de réseau virtuel dans les niveaux v2, consultez Injecter une instance de Gestion des API Azure dans un réseau virtuel privé - niveau Premium v2.
Ports nécessaires
Contrôlez le trafic entrant et sortant dans le sous-réseau dans lequel Gestion des API est déployée à l’aide de règles de groupe de sécurité réseau. Si certains ports ne sont pas disponibles, Gestion des API risque de ne pas fonctionner correctement et d’être inaccessible.
Quand une instance de service Gestion des API est hébergée dans un réseau virtuel, les ports du tableau suivant sont utilisés.
Important
Les éléments en gras dans la colonne Objectif indiquent les configurations de port requises pour que le déploiement et l’exécution du service Gestion des API réussissent. Les configurations étiquetées « facultatif » activent des fonctionnalités spécifiques, comme indiqué. Elles ne sont pas requises pour l’intégrité globale du service.
Nous vous recommandons d’utiliser les balises de service indiquées au lieu d’adresses IP dans le groupe de sécurité réseau et d’autres règles réseau pour spécifier des sources et des destinations réseau. Les étiquettes de service évitent les temps d’arrêt lorsque des améliorations de l’infrastructure nécessitent des modifications d’adresses IP.
Important
Il est nécessaire d’affecter un groupe de sécurité réseau à votre réseau virtuel pour que les Azure Load Balancer fonctionnent. En savoir plus dans la documentation Azure Load Balancer.
| Sens | Balise du service source | Plages de ports source | Identification de destination | Plages de ports de destination | Protocole | Action | Objectif | Type de réseau virtuel |
|---|---|---|---|---|---|---|---|---|
| Trafic entrant | Internet | * | VirtualNetwork | [80], 443 | TCP | Autoriser | Communication client avec Gestion des API | Externe uniquement |
| Trafic entrant | ApiManagement | * | VirtualNetwork | 3443 | TCP | Autoriser | point de terminaison Management pour Azure portail et PowerShell | Externe et interne |
| Sortant(e) | VirtualNetwork | * | Internet | 80 | TCP | Autoriser | Validation et gestion des certificats gérés par Microsoft et gérés par le client | Externe et interne |
| Sortant(e) | VirtualNetwork | * | Stockage | 443 | TCP | Autoriser | Dependency sur stockage Azure | Externe et interne |
| Sortant(e) | VirtualNetwork | * | AzureActiveDirectory | 443 | TCP | Autoriser | Microsoft Entra ID, Microsoft Graph, et dépendance Azure Key Vault (facultatif) | Externe et interne |
| Sortant(e) | VirtualNetwork | * | AzureConnectors | 443 | TCP | Autoriser | Dépendance de point de terminaison du gestionnaire d’informations d’identification gestion des API (facultatif) | Externe et interne |
| Sortant(e) | VirtualNetwork | * | SQL | 1433 | TCP | Autoriser | Access aux points de terminaison Azure SQL | Externe et interne |
| Sortant(e) | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Autoriser | Access à Azure Key Vault | Externe et interne |
| Sortant(e) | VirtualNetwork | * | EventHub | 5671, 5672, 443 | TCP | Autoriser | Dépendance pour Log vers Azure Event Hubs stratégie et Azure Monitor (facultatif) | Externe et interne |
| Sortant(e) | VirtualNetwork | * | AzureMonitor | 1886, 443 | TCP | Autoriser | Publish Diagnostics Logs and Metrics, Resource Health et Application Insights | Externe et interne |
| Trafic entrant et sortant | VirtualNetwork | * | Réseau virtuel | 10000 | TCP | Autoriser | Accéder au service Redis managé Azure externe pour les stratégies caching entre les machines (facultatif) | Externe et interne |
| Trafic entrant et sortant | VirtualNetwork | * | VirtualNetwork | 6381 - 6383 | TCP | Autoriser | Accéder au cache interne pour la mise en cache des stratégies entre les machines (facultatif) | Externe et interne |
| Trafic entrant et sortant | VirtualNetwork | * | VirtualNetwork | 4290 | UDP (User Datagram Protocol) | Autoriser | Compteurs de synchronisation pour les stratégies de limite de débit entre machines (facultatif) | Externe et interne |
| Trafic entrant | AzureLoadBalancer (équilibreur de charge Azure) | * | VirtualNetwork | 6390 | TCP | Autoriser | Azure Infrastructure Load Balancer | Externe et interne |
| Trafic entrant | AzureTrafficManager | * | VirtualNetwork | 443 | TCP | Autoriser | routage Azure Traffic Manager pour le déploiement multirégion | Externe |
| Trafic entrant | AzureLoadBalancer (équilibreur de charge Azure) | * | VirtualNetwork 6391 | TCP | Autoriser | Surveillance de l’intégrité de l’ordinateur individuel (facultatif) | Externe et interne |
Étiquettes de service régional
Les règles de groupe de sécurité réseau autorisant la connectivité sortante au stockage, SQL et Azure Event Hubs balises de service peuvent utiliser les versions régionales de ces balises correspondant à la région contenant l’instance Gestion des API (par exemple, Storage.WestUS pour une instance gestion des API dans la région USA Ouest). Dans les déploiements dans plusieurs régions, le groupe de sécurité réseau de chaque région doit autoriser le trafic vers les balises de service pour cette région ainsi que pour la région primaire.
Fonctionnalités TLS
Pour activer la création et la validation de la chaîne de certificats TLS/SSL, le service Gestion des API a besoin d’une connectivité réseau sortante sur les ports 80 et 443 vers mscrl.microsoft.com, crl.microsoft.com, oneocsp.microsoft.com, cacerts.digicert.comet crl3.digicert.comcsp.digicert.com.
Accès DNS
L’accès sortant sur le port 53 est nécessaire pour la communication avec des serveurs DNS. S'il existe un serveur DNS personnalisé à l'autre extrémité d'une passerelle VPN, le serveur DNS doit être accessible depuis le sous-réseau hébergeant la gestion de l’API.
intégration de Microsoft Entra
Pour fonctionner correctement, le service Gestion des API a besoin d’une connectivité sortante sur le port 443 aux points de terminaison suivants associés à Microsoft Entra ID : <region>.login.microsoft.com et login.microsoftonline.com.
Métriques et supervision de l’intégrité
La connectivité réseau sortante aux points de terminaison de surveillance Azure, qui se résolvent sous les domaines suivants, est représentée sous l’étiquette de service AzureMonitor à utiliser avec les groupes de sécurité réseau.
| environnement Azure | Points de terminaison |
|---|---|
| Azure public |
|
| Azure Government |
|
| Microsoft Azure exploité par 21Vianet |
|
CAPTCHA du portail des développeurs
Autorisez la connectivité réseau sortante pour le CAPTCHA du portail des développeurs, qui se résout sous les hôtes client.hip.live.com et partner.hip.live.com.
Publication du portail des développeurs
Activez la publication du portail developer pour une instance gestion des API dans un réseau virtuel en autorisant la connectivité sortante à stockage Azure. Par exemple, utilisez l’étiquette de service de stockage dans une règle de groupe de sécurité réseau. Actuellement, la connectivité à stockage Azure via des points de terminaison de service globaux ou régionaux est nécessaire pour publier le portail des développeurs pour n’importe quelle instance gestion des API.
diagnostics du portail Azure
Lorsque vous utilisez l’extension de diagnostic gestion des API à partir d’un réseau virtuel, l’accès sortant à dc.services.visualstudio.com sur le port 443 est nécessaire pour activer le flux des journaux de diagnostic à partir du portail Azure. Cet accès contribue à la résolution des problèmes que vous pouvez rencontrer lors de l’utilisation de l’extension.
équilibreur de charge Azure
Vous n’êtes pas obligé d’autoriser les requêtes entrantes de l’étiquette de service AzureLoadBalancer pour la référence SKU Développeur, car une seule unité Compute est déployée derrière elle. Toutefois, la connectivité entrante à partir de AzureLoadBalancer devient critique lors de la mise à l’échelle vers une référence SKU supérieure, par exemple Premium, car en cas de défaillance de la sonde d’intégrité de l’équilibreur de charge, tout accès entrant au plan de contrôle et au plan de données est bloqué.
Application Insights
Si vous avez activé Azure Application Insights surveillance sur Gestion des API, autorisez la connectivité sortante au point de terminaison telemetry à partir du réseau virtuel.
Point de terminaison KMS
Lors de l’ajout de machines virtuelles exécutant Windows au réseau virtuel, autorisez la connectivité sortante sur le port 1688 au point de terminaison KMS dans votre cloud. Cette configuration achemine Windows trafic de machine virtuelle vers le serveur KMS (Key Management Services) Azure pour terminer l’activation Windows.
Infrastructure interne et diagnostics
Les paramètres et noms de domaine complets suivants sont requis pour gérer et diagnostiquer l’infrastructure de calcul interne de Gestion des API.
- Autoriser l’accès UDP sortant sur le port
123pour NTP. - Autoriser l’accès sortant sur le port
443vers les points de terminaison suivants pour les diagnostics internes :azurewatsonanalysis-prod.core.windows.net,*.data.microsoft.com,azureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net,shavamanifestcdnprod1.azureedge.net. - Autoriser l’accès sortant sur le port
443vers le point de terminaison suivant pour l’infrastructure à clé publique (PKI) interne :issuer.pki.azure.com. - Autorisez l’accès sortant sur les ports
80et443aux points de terminaison suivants pour Windows Update :*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - Autorisez l’accès sortant sur les ports
80et443vers le point de terminaisongo.microsoft.com. - Autorisez l’accès sortant sur le port
443aux points de terminaison suivants pour Windows Defender :wdcp.microsoft.com,wdcpalt.microsoft.com.
Adresses IP du plan de contrôle
Important
Les adresses IP du plan de contrôle pour Gestion des API Azure doivent être configurées pour les règles d’accès réseau uniquement si nécessaire dans certains scénarios de mise en réseau. Nous vous recommandons d’utiliser la balise de service ApiManagementau lieu des adresses IP du plan de contrôle pour éviter les temps d’arrêt lorsque les améliorations apportées à l’infrastructure nécessitent des modifications d’adresses IP.
Contenu connexe
Pour en savoir plus :
- Connexion d'un réseau virtuel au backend en utilisant une passerelle VPN
- Connexion d’un réseau virtuel à partir de modèles de déploiement différents
- Réseau virtuel forum aux questions
- Balises de service
Pour plus d’informations sur les problèmes de configuration, consultez :