Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
GÄLLER FÖR: Utvecklare | Premie
Den här referensen innehåller detaljerade nätverkskonfigurationsinställningar för en API Management-instans som distribueras (matas in) i ett Azure virtuellt nätverk i external eller internal läge.
Information om alternativ, krav och överväganden för virtuella nätverk finns i Använda ett virtuellt nätverk med Azure API Management.
Viktigt!
Den här referensen gäller endast API Management-instanser på de klassiska nivåerna som distribueras i ett virtuellt nätverk. Information om virtuell nätverksinmatning på v2-nivåerna finns i Inject an Azure API Management instance in a private virtual network – Premium v2 tier.
Portar som krävs
Kontrollera inkommande och utgående trafik till undernätet där API Management distribueras med hjälp av regler för nätverkssäkerhetsgrupp . Om vissa portar inte är tillgängliga kanske API Management inte fungerar korrekt och kan bli otillgängligt.
När en API Management-tjänstinstans finns i ett virtuellt nätverk används portarna i följande tabell.
Viktigt!
Fetstilade objekt i kolumnen Syfte anger portkonfigurationer som krävs för lyckad distribution och drift av API Management-tjänsten. Konfigurationer med etiketten "valfritt" aktiverar specifika funktioner, enligt vad som anges. De krävs inte för tjänstens allmänna hälsa.
Vi rekommenderar att du använder de angivna tjänsttaggar i stället för IP-adresser i NSG och andra nätverksregler för att ange nätverkskällor och mål. Tjänsttaggar förhindrar stilleståndstid när infrastrukturförbättringar kräver ändringar av IP-adresser.
Viktigt!
Du måste tilldela en nätverkssäkerhetsgrupp till ditt virtuella nätverk för att Azure Load Balancer ska fungera. Läs mer i dokumentationen Azure Load Balancer.
| Riktning | Källtjänsttagg | Källportintervall | Måltjänsttagg | Målportintervall | Protokoll | Åtgärd | Syfte | VNet-typ |
|---|---|---|---|---|---|---|---|---|
| Inkommande | Internet | * | Virtuellt nätverk | [80], 443 | TCP | Tillåt | Klientkommunikation till API Management | Endast externt |
| Inkommande | ApiManagement | * | Virtuellt nätverk | 3443 | TCP | Tillåt | Hanteringsslutpunkt för Azure-portalen och PowerShell | Extern och intern |
| Utgående | Virtuellt nätverk | * | Internet | 80 | TCP | Tillåt | Validation och hantering av Microsoft hanterade och kundhanterade certifikat | Extern och intern |
| Utgående | Virtuellt nätverk | * | Förvaring | 443 | TCP | Tillåt | Beroende på Azure Storage | Extern och intern |
| Utgående | Virtuellt nätverk | * | AzureActiveDirectory (på engelska) | 443 | TCP | Tillåt | Microsoft Entra ID, Microsoft Graph, och Azure Key Vault beroende (valfritt) | Extern och intern |
| Utgående | Virtuellt nätverk | * | AzureConnectors | 443 | TCP | Tillåt | API Management-autentiseringshanterarens slutpunktsberoende (valfritt) | Extern och intern |
| Utgående | Virtuellt nätverk | * | SQL | 1433 | TCP | Tillåt | Åtkomst till Azure SQL slutpunkter | Extern och intern |
| Utgående | Virtuellt nätverk | * | AzureKeyVault (på engelska) | 443 | TCP | Tillåt | Åtkomst till Azure Key Vault | Extern och intern |
| Utgående | Virtuellt nätverk | * | EventHub | 5671, 5672, 443 | TCP | Tillåt | Beroende för Logga till Azure Event Hubs princip och Azure Monitor (valfritt) | Extern och intern |
| Utgående | Virtuellt nätverk | * | AzureMonitor | 1886, 443 | TCP | Tillåt | Publicera Diagnostikloggar och mått, Resource Health och Application Insights | Extern och intern |
| Inkommande och utgående | Virtuellt nätverk | * | Virtual Network | 10000 | TCP | Tillåt | Åtkomst till externa Azure Managed Redis-tjänsten för caching principer mellan datorer (valfritt) | Extern och intern |
| Inkommande och utgående | Virtuellt nätverk | * | Virtuellt nätverk | 6381 - 6383 | TCP | Tillåt | Få åtkomst till intern cache för cachelagringsprinciper mellan datorer (valfritt) | Extern och intern |
| Inkommande och utgående | Virtuellt nätverk | * | Virtuellt nätverk | 4290 | UDP (User Datagram-protokollet) | Tillåt | Synkronisera räknare för hastighetsbegränsningsprinciper mellan datorer (valfritt) | Extern och intern |
| Inkommande | Azure LoadBalancer (Lastbalanserare för Azure) | * | Virtuellt nätverk | 6390 | TCP | Tillåt | Azure Infrastruktur Load Balancer | Extern och intern |
| Inkommande | AzureTrafficManager | * | Virtuellt nätverk | 443 | TCP | Tillåt | Azure Traffic Manager routning för distribution i flera regioner | Externt |
| Inkommande | Azure LoadBalancer (Lastbalanserare för Azure) | * | VirtualNetwork 6391 | TCP | Tillåt | Övervakning av individuell datorhälsa (valfritt) | Extern och intern |
Regionala tjänsttaggar
NSG-regler som tillåter utgående anslutning till lagrings-, SQL- och Azure Event Hubs-tjänsttaggar kan använda de regionala versionerna av de taggar som motsvarar den region som innehåller API Management-instansen (till exempel Storage.WestUS för en API Management-instans i regionen USA, västra). I distributioner med flera regioner bör nätverkssäkerhetsgruppen i varje region tillåta trafik till tjänsttaggar för den regionen och den primära regionen.
TLS-funktioner
För att aktivera TLS/SSL-certifikatkedjans skapande och validering behöver API Management-tjänsten utgående nätverksanslutningar på portar 80 och 443 till mscrl.microsoft.com, crl.microsoft.com, oneocsp.microsoft.com, cacerts.digicert.comcrl3.digicert.com och csp.digicert.com.
DNS-åtkomst
Utgående åtkomst på porten 53 krävs för kommunikation med DNS-servrar. Om det finns en anpassad DNS-server i andra änden av en VPN-gateway måste DNS-servern kunna nås från undernätet som är värd för API Management.
Microsoft Entra integrering
För att fungera korrekt behöver API Management-tjänsten utgående anslutning på port 443 till följande slutpunkter som är associerade med Microsoft Entra ID: <region>.login.microsoft.com och login.microsoftonline.com.
Mått och hälsoövervakning
Utgående nätverksanslutning till Azure Övervakningsslutpunkter, som löses under följande domäner, representeras under AzureMonitor tjänsttaggen för användning med nätverkssäkerhetsgrupper.
| Azure miljö | Slutpunkter |
|---|---|
| Azure offentlig |
|
| Azure Government |
|
| Microsoft Azure drivs av 21Vianet |
|
CAPTCHA för utvecklarportalen
Tillåt utgående nätverksanslutning för utvecklarportalens CAPTCHA, som löses under värdarna client.hip.live.com och partner.hip.live.com.
Publicera utvecklarportalen
Aktivera publicering av developer-portalen för en API Management-instans i ett VNet genom att tillåta utgående anslutning till Azure Storage. Använd till exempel lagringstjänsttaggen i en NSG-regel. För närvarande krävs anslutning till Azure Storage via globala eller regionala tjänstslutpunkter för att publicera utvecklarportalen för alla API Management-instanser.
Azure portaldiagnostik
När du använder API Management-diagnostiktillägget inifrån ett virtuellt nätverk krävs utgående åtkomst till dc.services.visualstudio.com på port 443 för att aktivera flödet av diagnostikloggar från Azure portalen. Den här åtkomsten hjälper dig att felsöka problem som du kan stöta på när du använder tillägget.
Azure lastbalanserare
Du behöver inte tillåta inkommande begäranden från tjänsttaggen AzureLoadBalancer för utvecklar-SKU:n, eftersom endast en beräkningsenhet distribueras bakom den. Inkommande anslutningar från AzureLoadBalancer blir dock kritiska vid skalning till en högre SKU, till exempel Premium, eftersom fel i hälsoavsökningen från lastbalanseraren sedan blockerar all inkommande åtkomst till kontrollplanet och dataplanet.
Programinsikter
Om du har aktiverat Azure Application Insights övervakning på API Management kan du tillåta utgående anslutning till slutpunkten telemetry från det virtuella nätverket.
KMS-slutpunkt
När du lägger till virtuella datorer som kör Windows till det virtuella nätverket tillåter du utgående anslutning på port 1688 till slutpunkten KMS i molnet. Den här konfigurationen dirigerar Windows VM-trafik till kms-servern (Azure Key Management Services) för att slutföra Windows aktiveringen.
Intern infrastruktur och diagnostik
Följande inställningar och FQDN krävs för att underhålla och diagnostisera API Managements interna beräkningsinfrastruktur.
- Tillåt utgående UDP-åtkomst på porten
123för NTP. - Tillåt utgående åtkomst på porten
443till följande slutpunkter för intern diagnostik:azurewatsonanalysis-prod.core.windows.net, ,*.data.microsoft.comazureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net, .shavamanifestcdnprod1.azureedge.net - Tillåt utgående åtkomst på porten
443till följande slutpunkt för intern PKI:issuer.pki.azure.com. - Tillåt utgående åtkomst på portar
80och443till följande slutpunkter för Windows Update:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - Tillåt utgående åtkomst på portar
80och443till slutpunktengo.microsoft.com. - Tillåt utgående åtkomst på port
443till följande slutpunkter för Windows Defender:wdcp.microsoft.com,wdcpalt.microsoft.com.
Ip-adresser för kontrollplan
Viktigt!
Kontrollplanets IP-adresser för Azure API Management bör endast konfigureras för regler för nätverksåtkomst när det behövs i vissa nätverksscenarier. Vi rekommenderar att du använder tjänsttaggen ApiManagementi stället för kontrollplanets IP-adresser för att förhindra stilleståndstid när infrastrukturförbättringar kräver IP-adressändringar.
Relaterat innehåll
Läs mer om:
- Ansluta ett virtuellt nätverk till serverdelen med hjälp av VPN Gateway
- Ansluta ett virtuellt nätverk från olika distributionsmodeller
- Virtual Network vanliga frågor
- Tjänsttaggar
Mer information om konfigurationsproblem finns i: