Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
VAN TOEPASSING OP: Ontwikkelaar | Premie
Deze verwijzing bevat gedetailleerde netwerkconfiguratie-instellingen voor een API Management-exemplaar dat is geïmplementeerd (geïnjecteerd) in een Azure virtueel netwerk in de modus external of internal.
Zie Using a virtual network with Azure API Management voor VNet-connectiviteitsopties, vereisten en overwegingen.
Belangrijk
Deze verwijzing is alleen van toepassing op API Management-exemplaren in de klassieke lagen die zijn geïmplementeerd in een virtueel netwerk. Zie Inject an Azure API Management instance in a private virtual network - Premium v2 tier voor meer informatie over virtuele netwerkinjectie in de v2-lagen.
Vereiste poorten
Beheer inkomend en uitgaand verkeer naar het subnet waarin API Management wordt geïmplementeerd met behulp van regels voor netwerkbeveiligingsgroepen . Als bepaalde poorten niet beschikbaar zijn, werkt API Management mogelijk niet goed en is het mogelijk niet toegankelijk.
Wanneer een API Management-service-exemplaar wordt gehost in een VNet, worden de poorten in de volgende tabel gebruikt.
Belangrijk
Vetgedrukte items in de kolom Doel geven poortconfiguraties aan die vereist zijn voor een geslaagde implementatie en werking van de API Management-service. Configuraties met het label 'optioneel' schakelen specifieke functies in, zoals vermeld. Ze zijn niet vereist voor de algehele status van de service.
We raden u aan de aangegeven servicetags te gebruiken in plaats van IP-adressen in NSG en andere netwerkregels om netwerkbronnen en bestemmingen op te geven. Servicetags voorkomen uitvaltijd wanneer infrastructuurverbeteringen wijzigingen van IP-adressen vereisen.
Belangrijk
U moet een netwerkbeveiligingsgroep toewijzen aan uw VNet om ervoor te zorgen dat de Azure Load Balancer werkt. Meer informatie vindt u in de documentatie Azure Load Balancer.
| Richting | Bronservicetag | Poortbereiken van bron | Doelservicetag | Poortbereiken van doel | protocol | Actie | Doel | VNet-type |
|---|---|---|---|---|---|---|---|---|
| Inkomend | Internet | * | VirtualNetwork | [80], 443 | TCP | Toestaan | Clientcommunicatie met API Management | Alleen extern |
| Inkomend | ApiManagement | * | VirtualNetwork | 3443 | TCP | Toestaan | Management-eindpunt voor Azure-portal en PowerShell | Extern en intern |
| Uitgaand | VirtualNetwork | * | Internet | 80 | TCP | Toestaan | Validatie en beheer van door Microsoft de klant beheerde en door de klant beheerde certificaten | Extern en intern |
| Uitgaand | VirtualNetwork | * | Opslag | 443 | TCP | Toestaan | Dependency on Azure Storage | Extern en intern |
| Uitgaand | VirtualNetwork | * | AzureActiveDirectory | 443 | TCP | Toestaan | Microsoft Entra ID, Microsoft Graph, en Azure Key Vault afhankelijkheid (optioneel) | Extern en intern |
| Uitgaand | VirtualNetwork | * | AzureConnectors | 443 | TCP | Toestaan | Eindpuntafhankelijkheid api Management-referentiebeheer (optioneel) | Extern en intern |
| Uitgaand | VirtualNetwork | * | SQL | 1433 | TCP | Toestaan | Toegang tot Azure SQL eindpunten | Extern en intern |
| Uitgaand | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Toestaan | Toegang tot Azure Key Vault | Extern en intern |
| Uitgaand | VirtualNetwork | * | EventHub | 5671, 5672, 443 | TCP | Toestaan | Afhankelijkheid voor Log voor Azure Event Hubs beleid en Azure Monitor (optioneel) | Extern en intern |
| Uitgaand | VirtualNetwork | * | AzureMonitor | 1886, 443 | TCP | Toestaan | Publish Diagnostics Logs and Metrics, Resource Health, and Application Insights | Extern en intern |
| Inkomend en uitgaand | VirtualNetwork | * | Virtual Network | 10000 | TCP | Toestaan | Toegang tot externe Azure Managed Redis-service voor caching beleid tussen machines (optioneel) | Extern en intern |
| Inkomend en uitgaand | VirtualNetwork | * | VirtualNetwork | 6381 - 6383 | TCP | Toestaan | Toegang tot interne cache voor cachebeleid tussen computers (optioneel) | Extern en intern |
| Inkomend en uitgaand | VirtualNetwork | * | VirtualNetwork | 4290 | UDP (User Datagram Protocol) | Toestaan | Synchronisatiemeteritems voor beleid voor frequentielimiet tussen computers (optioneel) | Extern en intern |
| Inkomend | Azure LoadBalancer | * | VirtualNetwork | 6390 | TCP | Toestaan | Azure Infrastructuur Load Balancer | Extern en intern |
| Inkomend | AzureTrafficManager | * | VirtualNetwork | 443 | TCP | Toestaan | Azure Traffic Manager routering voor implementatie in meerdere regio's | Extern |
| Inkomend | Azure LoadBalancer | * | VirtualNetwork 6391 | TCP | Toestaan | Bewaking van de status van afzonderlijke machines (optioneel) | Extern en intern |
Regionale servicetags
NSG-regels die uitgaande connectiviteit met Storage, SQL en Azure Event Hubs-servicetags toestaan, kunnen gebruikmaken van de regionale versies van deze tags die overeenkomen met de regio met het API Management-exemplaar (bijvoorbeeld Storage.WestUS voor een API Management-exemplaar in de regio VS - west). Bij implementaties met meerdere regio's moet de NSG in elke regio verkeer naar de servicetags voor die regio en de primaire regio toestaan.
TLS-functionaliteit
Om het bouwen en valideren van TLS/SSL-certificaatketens in te schakelen, heeft de API Management-service uitgaande netwerkconnectiviteit nodig op poorten 80 en 443 naar mscrl.microsoft.com, crl.microsoft.com, oneocsp.microsoft.com, cacerts.digicert.comen crl3.digicert.com .csp.digicert.com
DNS-toegang
Uitgaande toegang op poort 53 is vereist voor communicatie met DNS-servers. Als er een aangepaste DNS-server aan het andere uiteinde van een VPN-gateway bestaat, moet de DNS-server bereikbaar zijn vanuit het subnet dat API Management host.
integratie van Microsoft Entra
De API Management-service heeft uitgaande connectiviteit op poort 443 nodig voor de volgende eindpunten die zijn gekoppeld aan Microsoft Entra ID: <region>.login.microsoft.com en login.microsoftonline.com.
Metrische gegevens en statuscontrole
Uitgaande netwerkconnectiviteit met Azure Bewakingseindpunten, die worden omgezet onder de volgende domeinen, worden weergegeven onder de servicetag AzureMonitor voor gebruik met netwerkbeveiligingsgroepen.
| Azure omgeving | Eindpunten |
|---|---|
| Azure openbaar |
|
| Azure Government |
|
| Microsoft Azure beheerd door 21Vianet |
|
CAPTCHA voor ontwikkelaarsportal
Uitgaande netwerkconnectiviteit toestaan voor de CAPTCHA van de ontwikkelaarsportal, die wordt omgezet onder de hosts client.hip.live.com en partner.hip.live.com.
De ontwikkelaarsportal publiceren
Het publiceren van de ontwikkelingsportal inschakelen voor een API Management-exemplaar in een VNet door uitgaande connectiviteit met Azure Storage mogelijk te maken. Gebruik bijvoorbeeld de storage-servicetag in een NSG-regel. Momenteel is connectiviteit met Azure Storage via globale of regionale service-eindpunten vereist voor het publiceren van de ontwikkelaarsportal voor elk API Management-exemplaar.
Azure portaldiagnose
Wanneer u de diagnostische API Management-extensie vanuit een VNet gebruikt, is uitgaande toegang tot dc.services.visualstudio.com op poort 443 vereist om de stroom van diagnostische logboeken vanuit Azure portal in te schakelen. Deze toegang helpt bij het oplossen van problemen die u mogelijk ondervindt bij het gebruik van de extensie.
Azure-verdelingsmechanisme
U hoeft binnenkomende aanvragen van de servicetag AzureLoadBalancer voor de ontwikkelaars-SKU niet toe te staan, omdat er slechts één rekeneenheid achter wordt geïmplementeerd. Binnenkomende connectiviteit van AzureLoadBalancer essentieel belang bij het schalen naar een hogere SKU, zoals Premium, omdat het mislukken van de statustest van de load balancer vervolgens alle binnenkomende toegang tot het besturingsvlak en het gegevensvlak blokkeert.
Analyses van toepassingen
Als u Azure-toepassing Insights-bewaking hebt ingeschakeld voor API Management, kunt u uitgaande connectiviteit met het telemetry-eindpunt vanuit het VNet toestaan.
KMS-eindpunt
Wanneer u virtuele machines met Windows toevoegt aan het VNet, staat u uitgaande connectiviteit toe op poort 1688 naar het KMS-eindpunt in uw cloud. Deze configuratie routeert Windows VM-verkeer naar de KMS-server (Key Management Services) van Azure om Windows activering te voltooien.
Interne infrastructuur en diagnostische gegevens
De volgende instellingen en FQDN's zijn vereist voor het onderhouden en diagnosticeren van de interne rekeninfrastructuur van API Management.
- Uitgaande UDP-toegang toestaan op poort
123voor NTP. - Uitgaande toegang op poort
443naar de volgende eindpunten toestaan voor interne diagnostische gegevens:azurewatsonanalysis-prod.core.windows.net,*.data.microsoft.com,azureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net, .shavamanifestcdnprod1.azureedge.net - Uitgaande toegang op poort
443naar het volgende eindpunt toestaan voor interne PKI:issuer.pki.azure.com. - Sta uitgaande toegang toe op poorten
80en443naar de volgende eindpunten voor Windows Update:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - Uitgaande toegang op poorten
80en443het eindpuntgo.microsoft.comtoestaan. - Uitgaande toegang toestaan op poort
443naar de volgende eindpunten voor Windows Defender:wdcp.microsoft.com,wdcpalt.microsoft.com.
IP-adressen van besturingsvlak
Belangrijk
IP-adressen van het besturingsvlak voor Azure API Management moeten alleen worden geconfigureerd voor netwerktoegangsregels wanneer dat nodig is in bepaalde netwerkscenario's. We raden u aan de ApiManagement-servicetag te gebruiken in plaats van IP-adressen van het besturingsvlak om downtime te voorkomen wanneer verbeteringen van het IP-adres noodzakelijk zijn voor infrastructuurverbeteringen.
Gerelateerde inhoud
Meer informatie over:
- Een virtueel netwerk verbinden met de backend via VPN-gateway
- Een virtueel netwerk verbinden vanuit verschillende implementatiemodellen
- Virtual Network veelgestelde vragen
- Servicetags
Zie voor meer informatie over configuratieproblemen: