Compartilhar via

Referência de configuração de rede virtual: Gerenciamento de API

APLICA-SE A: Desenvolvedor | Premium

Essa referência fornece configurações detalhadas de configuração de rede para uma instância de Gerenciamento de API implantada (injetada) em uma rede virtual Azure no modo external ou internal.

Para opções de conectividade de VNet, requisitos e considerações, consulte O uso de uma rede virtual com Gerenciamento de API do Azure.

Importante

Essa referência se aplica somente a instâncias de Gerenciamento de API nas camadas clássicas implantadas em uma rede virtual. Para obter informações sobre a injeção de rede virtual nas camadas v2, consulte Injectar uma instância de Gerenciamento de API do Azure em uma rede virtual privada - camada Premium v2.

Portas obrigatórias

Controle o tráfego de entrada e saída na sub-rede na qual o Gerenciamento de API é implantado usando regras de grupos de segurança de rede. Se determinadas portas estiver indisponível, o Gerenciamento de API poderá não funcionar corretamente e poderá se tornar inacessível.

Quando uma instância do serviço Gerenciamento de API está hospedada em uma VNet, as portas na tabela a seguir são usadas.

Importante

  • Os itens em negrito na coluna Finalidade indicam as configurações de porta necessárias para a implantação e operação bem-sucedidas do serviço de Gerenciamento de API. As configurações rotuladas como "opcionais" habilitam recursos específicos, conforme observado. Elas não são necessárias para a integridade geral do serviço.

  • Recomendamos usar as marcas de serviço indicadas em vez de endereços IP no NSG e em outras regras de rede para especificar origens e destinos de rede. As marcas de serviço impedem o tempo de inatividade quando as melhorias de infraestrutura exigem alterações de endereço IP.

Importante

É necessário atribuir um Grupo de Segurança de Rede à sua VNet para que o Azure Load Balancer funcione. Saiba mais na documentação Azure Load Balancer.

Direção Marca de serviço de origem Intervalos de portas de origem Marca de serviço de destino Intervalos de portas de destino Protocolo Ação Finalidade Tipo de VNet
Entrada Internet * Rede Virtual [80], 443 TCP Permitir Comunicação do cliente com o Gerenciamento de API Apenas externo
Entrada ApiManagement * Rede Virtual 3443 TCP Permitir ponto de extremidade Management para o portal Azure e o PowerShell Interno e externo
Saída Rede Virtual * Internet 80 TCP Permitir Validation e gerenciamento de certificados gerenciados por Microsoft e gerenciados pelo cliente Interno e externo
Saída Rede Virtual * Armazenamento 443 TCP Permitir Dependency em Armazenamento do Azure Interno e externo
Saída Rede Virtual * AzureActiveDirectory 443 TCP Permitir Microsoft Entra ID, Microsoft Graph, e dependência de Azure Key Vault (opcional) Interno e externo
Saída Rede Virtual * AzureConnectors 443 TCP Permitir Dependência do ponto de extremidade do gerenciador de credenciais do Gerenciamento de API (opcional) Interno e externo
Saída Rede Virtual * SQL 1433 TCP Permitir Access para SQL do Azure pontos de extremidade Interno e externo
Saída Rede Virtual * AzureKeyVault 443 TCP Permitir Access para Azure Key Vault Interno e externo
Saída Rede Virtual * Hub de Eventos 5671, 5672, 443 TCP Permitir Dependência de Log para Hubs de Eventos do Azure política e Azure Monitor (opcional) Interno e externo
Saída Rede Virtual * AzureMonitor 1886, 443 TCP Permitir Publish Diagnostics Logs and Metrics, Resource Health e Application Insights Interno e externo
Entrada e Saída Rede Virtual * Rede Virtual 6380 TCP Permitir Acessar o serviço de Cache do Azure para Redis externo para políticas de caching entre computadores (opcional) Interno e externo
Entrada e Saída Rede Virtual * Rede Virtual 6381 - 6383 TCP Permitir Acessar o serviço de Cache do Azure para Redis interno para políticas de caching entre computadores (opcional) Interno e externo
Entrada e Saída Rede Virtual * Rede Virtual 4290 UDP Permitir Sincronizar os contadores para políticas de Limite de Taxa entre computadores (opcional) Interno e externo
Entrada Balanceador de Carga do Azure * Rede Virtual 6390 TCP Permitir Azure Infrastructure Load Balancer Interno e externo
Entrada AzureTrafficManager * Rede Virtual 443 TCP Permitir Gerenciador de Tráfego do Azure roteamento para implantação de várias regiões Externo
Entrada Balanceador de Carga do Azure * Rede Virtual 6391 TCP Permitir Monitoramento da integridade individual da máquina (opcional) Interno e externo

Marcas de serviço regional

As regras NSG que permitem conectividade de saída com marcas de serviço de Armazenamento, SQL e Hubs de Eventos do Azure podem usar as versões regionais dessas marcas correspondentes à região que contém a instância de Gerenciamento de API (por exemplo, Storage.WestUS para uma instância de Gerenciamento de API na região Oeste dos EUA). Em implantações de várias regiões, o NSG em cada região deve permitir o tráfego para as marcas de serviço para essa região e a região primária.

Funcionalidade de TLS

Para habilitar a criação e a validação da cadeia de certificados TLS/SSL, o serviço de Gerenciamento de API precisa de conectividade de rede de saída em portas e de , , 80, 443e mscrl.microsoft.comcrl.microsoft.comoneocsp.microsoft.com.cacerts.digicert.comcrl3.digicert.comcsp.digicert.com

Acesso DNS

O acesso de saída na porta 53 é necessário para a comunicação com servidores DNS. Se houver um servidor DNS personalizado na outra extremidade de um gateway de VPN, o servidor DNS deverá estar acessível pela sub-rede que hospeda o Gerenciamento de API.

integração Microsoft Entra

Para operar corretamente, o serviço de Gerenciamento de API precisa de conectividade de saída na porta 443 para os seguintes pontos de extremidade associados ao Microsoft Entra ID: <region>.login.microsoft.com e login.microsoftonline.com.

Métricas e monitoramento de integridade

A conectividade de rede de saída com pontos de extremidade de monitoramento de Azure, que são resolvidos nos domínios a seguir, são representados sob a marca de serviço AzureMonitor para uso com grupos de segurança de rede.

Ambiente de Azure Pontos de extremidade
Azure público
  • gcs.prod.monitoring.core.windows.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.com
Azure Governamental
  • fairfax.warmpath.usgovcloudapi.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.us
Microsoft Azure operado pela 21Vianet
  • mooncake.warmpath.chinacloudapi.cn
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.cn

CAPTCHA do portal do desenvolvedor

Permita conectividade de rede de saída para o CAPTCHA do portal do desenvolvedor, que é resolvido sob os hosts client.hip.live.com e partner.hip.live.com.

Publicar o portal do desenvolvedor

Habilite a publicação do portal developer para uma instância de Gerenciamento de API em uma VNet, permitindo que a conectividade de saída Armazenamento do Azure. Por exemplo, use a marca de serviço de armazenamento em uma regra NSG. Atualmente, a conectividade com Armazenamento do Azure por meio de pontos de extremidade de serviço globais ou regionais é necessária para publicar o portal do desenvolvedor para qualquer instância de Gerenciamento de API.

diagnóstico do portal Azure

Ao usar a extensão de diagnóstico do Gerenciamento de API de dentro de uma VNet, o acesso de saída ao dc.services.visualstudio.com na porta 443 é necessário para habilitar o fluxo de logs de diagnóstico do portal Azure. Esse acesso ajuda na solução de problemas que podem ocorrer ao usar a extensão.

balanceador de carga Azure

Você não precisa permitir solicitações de entrada da marca de serviço AzureLoadBalancer para o SKU Desenvolvedor, uma vez que somente uma unidade de computação é implantada nela. No entanto, a conectividade de entrada de AzureLoadBalancer se torna crítica ao ajuste da escala para um SKU mais alto, como Premium, pois uma falha da investigação de integridade do balanceador de carga bloqueia todo o acesso de entrada ao painel de controle e ao plano de dados.

Application Insights

Se você habilitou o monitoramento Aplicativo Azure Insights no Gerenciamento de API, permita a conectividade de saída com o ponto de extremidade telemetry da VNet.

Ponto de extremidade KMS

Ao adicionar máquinas virtuais em execução Windows à VNet, permita a conectividade de saída na porta 1688 ao ponto de extremidade KMS em sua nuvem. Essa configuração roteia Windows tráfego de VM para o servidor KMS (Serviços de Gerenciamento de Chaves) Azure para concluir Windows ativação.

Infraestrutura interna e diagnóstico

As configurações e os FQDNs a seguir são necessários para manter e diagnosticar a infraestrutura de computação interna do Gerenciamento de API.

  • Permitir o acesso UDP de saída na porta 123 para NTP.
  • Permitir o acesso TCP de saída na porta 12000 para diagnóstico.
  • Permitir o acesso de saída na porta 443 aos seguintes pontos de extremidade para diagnóstico interno: azurewatsonanalysis-prod.core.windows.net, *.data.microsoft.com, azureprofiler.trafficmanager.net, shavamanifestazurecdnprod1.azureedge.net, shavamanifestcdnprod1.azureedge.net.
  • Permitir o acesso de saída na porta 443 ao seguinte ponto de extremidade para PKI interna: issuer.pki.azure.com.
  • Permita o acesso de saída em portas 80 e 443 para os seguintes pontos de extremidade para Windows Update: *.update.microsoft.com, *.ctldl.windowsupdate.com, ctldl.windowsupdate.com, download.windowsupdate.com.
  • Permitir o acesso de saída nas portas 80 e 443 ao ponto de extremidade go.microsoft.com.
  • Permitir o acesso de saída na porta 443 para os seguintes pontos de extremidade para Windows Defender: wdcp.microsoft.com, wdcpalt.microsoft.com .

Controlar endereços IP planos

Importante

Os endereços IP do plano de controle para Gerenciamento de API do Azure devem ser configurados para regras de acesso à rede somente quando necessário em determinados cenários de rede. Recomendamos usar a marca de serviço ApiManagementem vez de endereços IP do painel de controle para evitar o tempo de inatividade quando as melhorias de infraestrutura exigirem alterações de endereço IP.

Conteúdo relacionado

Saiba mais sobre:

Para obter mais diretrizes sobre problemas de configuração, consulte:

  • Last updated on