Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
APLICA-SE A: Developer | Prémio
Esta referência fornece definições detalhadas de configuração de rede para uma instância de Gestão de API implementada (injetada) numa rede virtual Azure no modo externo ou interno.
Para opções, requisitos e considerações de conectividade VNet, veja Using a virtual network with API Management do Azure.
Importante
Essa referência se aplica somente a instâncias de Gerenciamento de API nas camadas clássicas implantadas em uma rede virtual. Para informações sobre a injeção de rede virtual nos níveis v2, veja Injetar uma instância API Management do Azure numa rede virtual privada - Premium v2 tier.
Portas necessárias
Controle o tráfego de entrada e saída para a sub-rede na qual o Gerenciamento de API é implantado usando regras de grupo de segurança de rede. Se determinadas portas não estiverem disponíveis, o Gerenciamento de API pode não funcionar corretamente e pode ficar inacessível.
Quando uma instância de serviço de Gerenciamento de API é hospedada em uma rede virtual, as portas na tabela a seguir são usadas.
Importante
Os itens em negrito na coluna Finalidade indicam as configurações de porta necessárias para a implantação e operação bem-sucedidas do serviço de Gerenciamento de API. As configurações rotuladas como "opcionais" permitem recursos específicos, conforme observado. Eles não são necessários para a saúde geral do serviço.
Recomendamos usar as tags de serviço indicadas em vez de endereços IP no NSG e outras regras de rede para especificar fontes e destinos de rede. As etiquetas de serviço evitam o tempo de inatividade quando melhorias na infraestrutura exigem alterações no endereço IP.
Importante
É necessário atribuir um Grupo de Segurança de Rede ao seu VNet para que o Balanceador de Carga do Azure funcione. Saiba mais na documentação Balanceador de Carga do Azure.
| Direção | Etiqueta de serviço de origem | Intervalo de portas de origem | Etiqueta do serviço de destino | Intervalos de portas de destino | Protocolo | Ação | Propósito | Tipo de VNet |
|---|---|---|---|---|---|---|---|---|
| Entrada | Internet | * | Rede virtual | [80], 443 | TCP | Permitir | Comunicação do cliente com o Gerenciamento de API | Apenas externo |
| Entrada | Gestão de Api | * | Rede virtual | 3443 | TCP | Permitir | Management endpoint para portal Azure e PowerShell | Externo e Interno |
| De Saída | Rede virtual | * | Internet | 80 | TCP | Permitir | Validação e gestão de certificados geridos por Microsoft e pelo cliente | Externo e Interno |
| De Saída | Rede virtual | * | Armazenamento | 443 | TCP | Permitir | Dependência de Armazenamento do Azure | Externo e Interno |
| De Saída | Rede virtual | * | AzureActiveDirectory | 443 | TCP | Permitir | Microsoft Entra ID, Microsoft Graph, e dependência Azure Key Vault (opcional) | Externo e Interno |
| De Saída | Rede virtual | * | AzureConnectors | 443 | TCP | Permitir | Gestão de API: Dependência de endpoint do gestor de credenciais (opcional) | Externo e Interno |
| De Saída | Rede virtual | * | SQL | 1433 | TCP | Permitir | Acesso a SQL do Azure endpoints | Externo e Interno |
| De Saída | Rede virtual | * | AzureKeyVault | 443 | TCP | Permitir | Acesso a Azure Key Vault | Externo e Interno |
| De Saída | Rede virtual | * | Hub de Eventos | 5671, 5672, 443 | TCP | Permitir | Dependência para Log to Hubs de Eventos do Azure policy e Azure Monitor (opcional) | Externo e Interno |
| De Saída | Rede virtual | * | AzureMonitor | 1886, 443 | TCP | Permitir | Publicar registos e métricas Diagnostics, Resource Health e Insights de Aplicação | Externo e Interno |
| Entrada e Saída | Rede virtual | * | Rede Virtual | 6380 | TCP | Permitir | Aceder ao serviço externo de Cache do Azure para Redis para políticas caching entre máquinas (opcional) | Externo e Interno |
| Entrada e Saída | Rede virtual | * | Rede virtual | 6381 - 6383 | TCP | Permitir | Aceder ao serviço interno de Cache do Azure para Redis para caching políticas entre máquinas (opcional) | Externo e Interno |
| Entrada e Saída | Rede virtual | * | Rede virtual | 4290 | UDP | Permitir | Contadores de sincronização para políticas de limite de taxa entre máquinas (opcional) | Externo e Interno |
| Entrada | AzureLoadBalancer (balanceador de carga da Azure) | * | Rede virtual | 6390 | TCP | Permitir | Azure Infraestruturas Balanceador de Carga | Externo e Interno |
| Entrada | AzureTrafficManager | * | Rede virtual | 443 | TCP | Permitir | Roteamento Gestor de Tráfego do Azure para implementação multi-região | Externa |
| Entrada | AzureLoadBalancer (balanceador de carga da Azure) | * | Rede Virtual 6391 | TCP | Permitir | Monitorização do estado de funcionamento de cada máquina (Opcional) | Externo e Interno |
Tags de serviço regional
As regras NSG que permitem conectividade de saída a etiquetas de Armazenamento, SQL e Hubs de Eventos do Azure serviço podem usar as versões regionais dessas etiquetas correspondentes à região que contém a instância de Gestão de API (por exemplo, Storage.WestUS para uma instância de Gestão de APIs na região Oeste dos EUA). Em implantações de várias regiões, o NSG em cada região deve permitir o tráfego para as tags de serviço dessa região e da região primária.
Funcionalidade TLS
Para permitir a construção e validação da cadeia de certificados TLS/SSL, o serviço de Gestão de API necessita de conectividade de rede de saída nas portas 80 e 443 para mscrl.microsoft.com, crl.microsoft.com, oneocsp.microsoft.com, cacerts.digicert.com, crl3.digicert.com e csp.digicert.com.
Acesso DNS
O acesso de saída na porta 53 é necessário para a comunicação com servidores DNS. Se existir um servidor DNS personalizado na outra extremidade de um gateway VPN, o servidor DNS deve ser acessível a partir da sub-rede que hospeda o Gerenciamento de API.
Integração com Microsoft Entra
Para funcionar corretamente, o serviço de Gestão de API necessita de conectividade de saída na porta 443 para os seguintes endpoints associados à Microsoft Entra ID: <region>.login.microsoft.com e login.microsoftonline.com.
Métricas e monitoramento de integridade
A conectividade de rede de saída aos endpoints de monitorização Azure, que resolvem sob os seguintes domínios, é representada sob a etiqueta de serviço AzureMonitor para utilização com Grupos de Segurança de Rede.
| Azure Environment | Pontos finais |
|---|---|
| Azure Public |
|
| Azure Government |
|
| Microsoft Azure operado por 21Vianet |
|
Portal do desenvolvedor CAPTCHA
Permita a conectividade de rede de saída para o CAPTCHA do portal do desenvolvedor, que é resolvido sob os hosts client.hip.live.com e partner.hip.live.com.
Publicando o portal do desenvolvedor
Ative a publicação do portal developer para uma instância de Gestão de API num VNet, permitindo a conectividade de saída a Armazenamento do Azure. Por exemplo, use a marca de serviço de armazenamento em uma regra NSG. Atualmente, é necessária conectividade ao Armazenamento do Azure através de endpoints de serviço globais ou regionais para publicar o portal de programadores de qualquer instância de Gestão de APIs.
Azure portal diagnostics
Ao utilizar a extensão de diagnósticos de API Management a partir de dentro de um VNet, é necessário o acesso de saída a dc.services.visualstudio.com na porta 443 para permitir o fluxo de registos de diagnóstico a partir de Azure portal. Esse acesso ajuda na solução de problemas que você pode enfrentar ao usar a extensão.
Azure load balancer
Não é necessário permitir solicitações de entrada da tag AzureLoadBalancer de serviço para a SKU do desenvolvedor, pois apenas uma unidade de computação é implantada por trás dela. No entanto, a conectividade de entrada torna-se AzureLoadBalancercrítica ao dimensionar para uma SKU mais alta, como Premium, porque a falha da sonda de integridade do balanceador de carga bloqueia todo o acesso de entrada ao plano de controle e ao plano de dados.
Application Insights
Se ativaste a monitorização Aplicação Azure Insights no API Management, permite a ligação de saída ao endpoint telemetria a partir do VNet.
Ponto de extremidade KMS
Ao adicionar máquinas virtuais a correr Windows ao VNet, permita conectividade de saída na porta 1688 para o endpoint KMS na sua cloud. Esta configuração encaminha o tráfego da VM Windows para o servidor Azure Key Management Services (KMS) para completar a ativação do Windows.
Infraestrutura interna e diagnóstico
As configurações e FQDNs a seguir são necessários para manter e diagnosticar a infraestrutura de computação interna do Gerenciamento de API.
- Permitir acesso UDP de saída na porta
123para NTP. - Permitir acesso TCP de saída na porta
12000para diagnóstico. - Permita o acesso de saída na porta
443aos seguintes pontos de extremidade para diagnóstico interno:azurewatsonanalysis-prod.core.windows.net,*.data.microsoft.com,azureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net,shavamanifestcdnprod1.azureedge.net. - Permita o acesso de saída na porta
443ao seguinte ponto de extremidade para PKI interna:issuer.pki.azure.com. - Permitir acesso de saída nas portas
80e443para os seguintes pontos finais para Windows Update:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - Permitir acesso de saída em portas
80e443para o ponto de extremidadego.microsoft.com. - Permitir o acesso de saída na porta
443aos seguintes endpoints para Windows Defender:wdcp.microsoft.com,wdcpalt.microsoft.com.
Endereços IP do plano de controlo
Importante
Os endereços IP do plano de controlo para o API Management do Azure devem ser configurados para regras de acesso à rede apenas quando necessário em determinados cenários de rede. Recomendamos usar a tag de serviço ApiManagementem vez de endereços IP do plano de controle para evitar tempo de inatividade quando melhorias na infraestrutura exigirem alterações no endereço IP.
Conteúdos relacionados
Saiba mais sobre:
- Ligar uma rede virtual ao backend usando Gateway de VPN
- Conectando uma rede virtual a partir de diferentes modelos de implantação
- Rede Virtual perguntas frequentes
- Etiquetas de serviço
Para obter mais orientações sobre problemas de configuração, consulte: