Konfigurationsreferenz für virtuelle Netzwerke

GILT FÜR: Developer | Premium

Diese Referenz enthält detaillierte Netzwerkkonfigurationseinstellungen für eine API-Verwaltungsinstanz, die in einem virtuellen Azure-Netzwerk im externen oder internen Modus bereitgestellt (eingefügt) wird.

Informationen zu VNet-Konnektivitätsoptionen, Anforderungen und Hinweise finden Sie unter Verwenden eines virtuellen Netzwerks mit Azure API Management.

Erforderliche Ports

Sie kontrollieren den ein- und ausgehenden Datenverkehr in das Subnetz, in dem API Management bereitgestellt wird, indem Sie Netzwerksicherheitsgruppen verwenden. Wenn diese Ports nicht verfügbar sind, funktioniert API Management möglicherweise nicht ordnungsgemäß und kann möglicherweise nicht mehr aufgerufen werden.

Beim Hosten einer API Management-Dienstinstanz in einem VNET werden die in der folgenden Tabelle angegebenen Ports verwendet. Einige Anforderungen unterscheiden sich je nach Version (stv2 oder stv1) der stv2, die Ihre API Management-Instanz hostet.

Wichtig

  • Fett formatierte Elemente in der Spalte Zweck geben Portkonfigurationen an, die für die erfolgreiche Bereitstellung und den Betrieb des API Management-Diensts erforderlich sind. Konfigurationen mit der Bezeichnung "optional" ermöglichen bestimmte Features, wie bereits erwähnt. Sie sind für die allgemeine Integrität des Diensts nicht erforderlich.

  • Es wird empfohlen, die angegebenen Diensttags anstelle von IP-Adressen in NSG und anderen Netzwerkregeln zu verwenden, um Netzwerkquellen und Ziele anzugeben. Diensttags verhindern Ausfallzeiten, wenn Infrastrukturverbesserungen IP-Adressänderungen erfordern.

Wichtig

Wenn Sie stv2 verwenden, muss Ihrem VNet eine Netzwerksicherheitsgruppe zugewiesen werden, damit der Azure Load Balancer-Dienst funktioniert. Weitere Informationen finden Sie in der Dokumentation zu Azure Load Balancer.

Quell-/Zielport(s) Direction Transportprotokoll Diensttags
Quelle/Ziel
Zweck VNet-Typ
* / [80], 443 Eingehend TCP Internet / VirtuellesNetzwerk Kommunikation zwischen Clients und API Management Nur extern
*/3443 Eingehend TCP ApiManagement / VirtuellesNetzwerk Verwaltungsendpunkt für Azure-Portal und PowerShell Extern & Intern
* / 443 Ausgehend TCP VirtuellesNetzwerk/Speicher Abhängigkeit von Azure Storage Extern & Intern
* / 443 Ausgehend TCP VirtuellesNetzwerk / AzureActiveDirectory Microsoft Entra-ID, Microsoft Graph und Azure Key Vault-Abhängigkeit (optional) Extern & Intern
* / 443 Ausgehend TCP VirtualNetwork/AzureConnectors verwaltete Verbindungen Abhängigkeit (optional) Extern & Intern
* / 1433 Ausgehend TCP VirtualNetwork/Sql Zugriff auf Azure SQL-Endpunkte Extern & Intern
* / 443 Ausgehend TCP VirtuellesNetzwerk / AzureKeyVault Zugriff auf Azure Key Vault Extern & Intern
* / 5671, 5672, 443 Ausgehend TCP VirtualNetwork/EventHub Abhängigkeit für die Richtlinie Protokollieren zu Azure Event Hubs und Azure Monitor (optional) Extern & Intern
*/445 Ausgehend TCP VirtuellesNetzwerk/Speicher Abhängigkeit von Azure-Dateifreigabe für GIT Extern & Intern
* / 1886, 443 Ausgehend TCP VirtuellesNetzwerk / AzureMonitor Veröffentlichen von Diagnoseprotokollen und Metriken, Ressourcenintegrität und Anwendungserkenntnissen Extern & Intern
* / 6380 Ein- und ausgehend TCP VirtuellesNetzwerk / VirtuellesNetzwerk Zugriff auf externen Azure Cache for Redis-Dienst für Zwischenspeicherungsrichtlinien zwischen Computern (optional) Extern & Intern
* / 6381 - 6383 Ein- und ausgehend TCP VirtuellesNetzwerk / VirtuellesNetzwerk Zugriff auf internen Azure Cache for Redis-Dienst für Zwischenspeicherungsrichtlinien zwischen Computern (optional) Extern & Intern
* / 4290 Ein- und ausgehend UDP VirtuellesNetzwerk / VirtuellesNetzwerk Synchronisationszähler für Rate Limit Richtlinien zwischen Rechnern (optional) Extern & Intern
* / 6390 Eingehend TCP AzureLoadBalancer / VirtuellesNetzwerk Lastenausgleich von Azure-Infrastruktur Extern & Intern
* / 443 Eingehend TCP AzureTrafficManager / VirtualNetwork Azure Traffic Manager Routing für die Bereitstellung mit mehreren Regionen Extern
* / 6391 Eingehend TCP AzureLoadBalancer / VirtuellesNetzwerk Überwachung einzelner Computerintegrität (optional) Extern & Intern

Regionale Diensttags

NSG-Regeln, die eine ausgehende Konnektivität zu Storage-, SQL- und Azure Event Hubs-Dienst-Tags erlauben, können die regionalen Versionen dieser Tags verwenden, die der Region entsprechen, in der sich die API Management-Instanz befindet (z. B. Storage.WestUS für eine API Management-Instanz in der Region West US). In Bereitstellungen mit mehreren Regionen sollte die NSG in den einzelnen Regionen Datenverkehr zu den Diensttags für diese Region und die primäre Region zulassen.

TLS-Funktionalität

Um die Erstellung und Überprüfung der TLS/SSL-Zertifikatkette zu ermöglichen, benötigt der API Management-Dienst ausgehende Netzwerkkonnektivität auf den Ports 80 und 443 zu ocsp.msocsp.com, oneocsp.msocsp.com, mscrl.microsoft.com, crl.microsoft.com und csp.digicert.com. Diese Abhängigkeit ist nicht erforderlich, wenn Zertifikate, die Sie in API Management hochladen, die vollständige Kette zum Stamm der Zertifizierungsstelle enthalten.

DNS-Zugriff

Ausgehender Zugriff über53 Port 53 wird für die Kommunikation mit DNS-Servern benötigt. Wenn ein benutzerdefinierter DNS-Server am anderen Ende eines VPN-Gateways vorhanden ist, muss der DNS-Server über das Subnetz, in der sich API Management befindet, erreichbar sein.

Microsoft Entra-Integration

Für den ordnungsgemäßen Betrieb benötigt der API Management-Dienst ausgehende Konnektivität am Port 443 zu den folgenden Endpunkten, die mit Microsoft Entra ID verknüpft sind: <region>.login.microsoft.com und login.microsoftonline.com.

Metriken und Systemüberwachung

Ausgehende Netzwerkkonnektivität mit Azure Monitoring-Endpunkten, die unter den folgenden Domänen aufgelöst werden, werden unter dem AzureMonitor-Diensttag für die Verwendung mit Netzwerksicherheitsgruppen dargestellt.

Azure-Umgebung Endpunkte
Azure – Öffentlich
  • gcs.prod.monitoring.core.windows.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.com
Azure Government
  • fairfax.warmpath.usgovcloudapi.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.us
Microsoft Azure von 21Vianet
  • mooncake.warmpath.chinacloudapi.cn
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.cn

CAPTCHA des Entwicklerportals

Ausgehende Netzwerkverbindungen für das CAPTCHA des Entwicklerportals erlauben. Die Auflösung erfolgt unter den Hosts client.hip.live.com und partner.hip.live.com.

Entwicklerportal veröffentlichen

Ermöglichen Sie die Veröffentlichung des Entwicklerportals für eine API Management-Instanz in einem VNet, indem Sie ausgehende Verbindungen mit Blobspeicher in der Region „USA, Westen“ zulassen. Verwenden Sie beispielsweise das Diensttag Storage.WestUS in einer Netzwerksicherheitsgruppen-Regel. Die Verbindung mit Blobspeicher in der Region „USA, Westen“ ist zurzeit erforderlich, um das Entwicklerportal für eine beliebige API Management-Instanz zu veröffentlichen.

Diagnose im Azure-Portal

Wenn Sie die API Management-Erweiterung in einem VNet verwenden, wird ausgehender Zugriff auf dc.services.visualstudio.com an 443 benötigt, um die Übermittlung von Diagnoseprotokollen aus dem Azure-Portal zu ermöglichen. Dieser Zugriff ermöglicht die Behandlung von Problemen, die bei der Verwendung von Erweiterungen auftreten können.

Azure Load Balancer

Sie müssen keine eingehenden Anforderungen vom Diensttag AzureLoadBalancer für die SKU zulassen, da hinter ihr nur eine Compute-Einheit bereitgestellt wird. Der Eingang von AzureLoadBalancer wird jedoch kritisch, wenn die Skalierung auf eine höhere SKU wie erfolgt, da ein Ausfall der Zustandsüberprüfung vom Load Balancer den gesamten eingehenden Zugriff auf die Steuerungsebene und die Datenebene blockiert.

Application Insights

Wenn Sie Azure Application Insights für die Überwachung von API Management aktiviert haben, lassen Sie ausgehende Verbindungen mit dem Telemetrieendpunkt des VNet zu.

KMS-Endpunkt

Wenn Sie dem VNET virtuelle Maschinen unter Windows hinzufügen, erlauben Sie die ausgehende Konnektivität auf Port 1688 zum 1688KMS-Endpunkt in Ihrer Cloud. Diese Konfiguration leitet den Windows-VM-Datenverkehr an den Azure Key Management Services (KMS)-Server weiter, um die Windows-Aktivierung abzuschließen.

Interne Infrastruktur und Diagnose

Die folgenden Einstellungen und FQDNs sind erforderlich, um die interne Computeinfrastruktur von API Management zu verwalten und zu diagnostizieren.

  • Lassen Sie den ausgehenden UDP-Zugriff am Port 123 für NTP zu.
  • Lassen Sie den ausgehenden TCP-Zugriff am Port 12000 für Diagnosen zu.
  • Lassen Sie ausgehenden Zugriff am Port 443 auf die folgenden Endpunkte für interne Diagnose zu: azurewatsonanalysis-prod.core.windows.net, *.data.microsoft.com, azureprofiler.trafficmanager.net, shavamanifestazurecdnprod1.azureedge.net, shavamanifestcdnprod1.azureedge.net.
  • Lassen Sie ausgehenden Zugriff am Port 443 auf die folgenden Endpunkte für interne PKI zu:issuer.pki.azure.com.
  • Lassen Sie ausgehenden Zugriff an den Ports 80 und 443 auf die folgenden Endpunkte für Windows Update zu: *.update.microsoft.com, *.ctldl.windowsupdate.com, ctldl.windowsupdate.com, download.windowsupdate.com.
  • Lassen Sie ausgehenden Zugriff an den Ports 80 und 443 auf den Endpunkt go.microsoft.com zu.
  • Lassen Sie ausgehenden Zugriff am Port 443 auf die folgenden Endpunkte für Windows Defender zu: wdcp.microsoft.com, wdcpalt.microsoft.com .

IP-Adressen der Steuerungsebene

Wichtig

Ip-Adressen für die Steuerungsebene für azure API Management sollten nur bei Bedarf in bestimmten Netzwerkszenarien für Netzwerkzugriffsregeln konfiguriert werden. Wir empfehlen die Verwendung des ApiManagement-Diensttags anstelle von IP-Adressen der Steuerungsebene, um Ausfallzeiten zu vermeiden, wenn Infrastrukturverbesserungen IP-Adressänderungen erfordern.

Weitere Informationen zu:

Weitere Anleitungen zu Konfigurationsproblemen finden Sie unter: