Referencia de configuración de redes virtuales: API Management

SE APLICA A: Desarrollador | Premium

Esta referencia proporciona opciones de configuración de red detalladas para una instancia de API Management implementada (insertada) en una red virtual de Azure en el modo externo o interno .

Para ver las opciones, los requisitos y las consideraciones de conectividad de red virtual, consulte Uso de una red virtual con Azure API Management.

Puertos necesarios

Control del tráfico entrante y saliente en la subred en la que se implementa API Management mediante las reglas de grupos de seguridad de red. Si determinados puertos no están disponible, es posible que API Management no funcione correctamente y sea inaccesible.

Cuando la instancia del servicio API Management se hospeda en una red virtual, se usan los puertos de la tabla siguiente. Algunos requisitos varían en función de la versión (stv2 o stv1) de la plataforma de proceso que hospeda la instancia de API Management.

Importante

  • Los elementos en negrita de la columna Propósito indican las configuraciones de puerto necesarias para la implementación y el funcionamiento correctos del servicio de API Management. Las configuraciones etiquetadas como "opcionales" habilitan características específicas, como se indicó. No son necesarias para el estado general del servicio.

  • Se recomienda usar las etiquetas de servicio indicadas en lugar de direcciones IP en NSG y otras reglas de red para especificar orígenes y destinos de red. Las etiquetas de servicio evitan tiempos de inactividad cuando las mejoras de infraestructura requieren cambios en la dirección IP.

Importante

Cuando se usa stv2, es necesario asignar un grupo de seguridad de red a la red virtual para que Azure Load Balancer funcione. Puede consultar más información en la documentación de Azure Load Balancer.

Puertos de origen/destino Dirección Protocolo de transporte Etiquetas de servicio
Origen/destino
Propósito Tipo de red virtual
* / [80], 443 Entrada TCP Internet / VirtualNetwork Comunicación de cliente con Administración de API Solo externo
* / 3443 Entrada TCP ApiManagement / VirtualNetwork Punto de conexión de administración para Azure Portal y PowerShell Externa e interna
* / 443 Salida TCP VirtualNetwork / Storage Dependencia de Azure Storage Externa e interna
* / 443 Salida TCP VirtualNetwork / AzureActiveDirectory Identificador de Entra de Microsoft, Microsoft Graph y dependencia de Azure Key Vault (opcional) Externa e interna
* / 443 Salida TCP VirtualNetwork / AzureConnectors Dependencia de conexiones administradas (opcional) Externa e interna
* / 1433 Salida TCP VirtualNetwork / SQL Acceso a los puntos de conexión de Azure SQL Externa e interna
* / 443 Salida TCP VirtualNetwork / AzureKeyVault Acceso a Azure Key Vault Externa e interna
* / 5671, 5672, 443 Salida TCP VirtualNetwork / EventHub Dependencia de la directiva de registro en Azure Event Hubs y Azure Monitor (opcional) Externa e interna
* / 445 Salida TCP VirtualNetwork / Storage Dependencia del recurso compartido de archivos de Azure para GIT (opcional) Externa e interna
* / 1886, 443 Salida TCP VirtualNetwork / AzureMonitor Publicación de registros y métricas de diagnóstico, Resource Health y Application Insights Externa e interna
* / 6380 Entrada y salida TCP VirtualNetwork / VirtualNetwork Acceso al servicio de Azure Cache for Redis externo para almacenar en caché directivas entre máquinas (opcional) Externa e interna
* / 6381 - 6383 Entrada y salida TCP VirtualNetwork / VirtualNetwork Acceso al servicio de Azure Cache for Redis interno para almacenar en caché directivas entre máquinas (opcional) Externa e interna
* / 4290 Entrada y salida UDP VirtualNetwork / VirtualNetwork Sincronización de contadores para las directivas de límite de velocidad entre máquinas (opcional) Externa e interna
* / 6390 Entrada TCP AzureLoadBalancer / VirtualNetwork Equilibrador de carga de la infraestructura de Azure Externa e interna
* / 443 Entrada TCP AzureTrafficManager/VirtualNetwork Enrutamiento de Azure Traffic Manager para la implementación en varias regiones Externo
* / 6391 Entrada TCP AzureLoadBalancer / VirtualNetwork Supervisión del estado de la máquina individual (opcional) Externa e interna

Etiquetas de servicio regionales

Las reglas de NSG que permiten la conectividad saliente a las etiquetas de servicio de Storage, SQL y Azure Event Hubs pueden usar las versiones regionales correspondientes de las etiquetas de la región que contiene la instancia de API Management (por ejemplo, Storage.WestUS para una instancia de API Management en la región Oeste de EE. UU.). En las implementaciones para varias regiones, el NSG de cada región debe permitir el tráfico a las etiquetas de servicio de esa región y de la región primaria.

Funcionalidad de TLS

Para habilitar la creación y validación de la cadena de certificados TLS/SSL, el servicio API Management necesita conectividad de red saliente en los puertos 80 y 443 hacia ocsp.msocsp.com, oneocsp.msocsp.com, mscrl.microsoft.com, crl.microsoft.com y csp.digicert.com. Esta dependencia no es obligatoria si los certificados que cargue en API Management contienen la cadena completa de la raíz de la entidad de certificación.

Acceso DNS

Se requiere acceso saliente en el puerto 53 para establecer la comunicación con los servidores DNS. Si existe un servidor DNS personalizado en el otro punto de conexión de una puerta de enlace de VPN, el servidor DNS debe estar accesible desde la subred que alberga la API Management.

Integración de Microsoft Entra

Para que funcione correctamente, el servicio API Management necesita conectividad en el puerto 443 con los siguientes puntos de conexión asociados a Microsoft Entra ID: <region>.login.microsoft.com y login.microsoftonline.com.

Supervisión de métricas y estado

La conectividad de red saliente a los puntos de conexión de supervisión de Azure, que se resuelven en los siguientes dominios, se representa en la etiqueta de servicio AzureMonitor para su uso con grupos de seguridad de red.

Entorno de Azure Puntos de conexión
Azure Public
  • gcs.prod.monitoring.core.windows.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.com
Azure Government
  • fairfax.warmpath.usgovcloudapi.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.us
Microsoft Azure operado por 21Vianet
  • mooncake.warmpath.chinacloudapi.cn
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.cn

CAPTCHA del portal para desarrolladores

Permita la conectividad de red saliente para el CAPTCHA del portal para desarrolladores, que se resuelve en los host client.hip.live.com y partner.hip.live.com.

Publicación del portal para desarrolladores

Para habilitar la publicación del portal para desarrolladores para una instancia de API Management en una red virtual, permita la conectividad saliente a Blob Storage en la región Oeste de EE. UU. Por ejemplo, use la etiqueta de servicio Storage.WestUS en una regla de NSG. Actualmente, la conectividad con Blob Storage en la región Oeste de EE. UU. es necesaria para publicar el portal para desarrolladores para cualquier instancia de API Management.

Diagnósticos de Azure Portal

Al usar la extensión de diagnóstico de API Management desde dentro de una red virtual, se requiere el acceso saliente a dc.services.visualstudio.com en el puerto 443 para habilitar el flujo de registros de diagnóstico desde Azure Portal. Este acceso ayuda a solucionar los problemas que pueden surgir al usar la extensión.

Azure Load Balancer

No es necesario permitir las solicitudes entrantes desde la etiqueta de servicio AzureLoadBalancer para la SKU para desarrolladores, ya que solo se implementa una unidad de proceso detrás de ella. Sin embargo, la conectividad entrante desde AzureLoadBalancer se convierte en crítica al escalar a una SKU superior, como una Premium, ya que un error en el sondeo de estado del equilibrador de carga bloquea todo el acceso de entrada al plano de control y al plano de datos.

Application Insights

Si ha habilitado la supervisión de Azure Application Insights en API Management, permita la conectividad de salida hacia el punto de conexión de telemetría desde la red virtual.

Punto de conexión de KMS

Al agregar máquinas virtuales que ejecutan Windows en la red virtual, permita la conectividad saliente en el puerto 1688 al punto de conexión de KMS en la nube. Esta configuración enruta tráfico de máquina virtual Windows al servidor de Azure Key Management Services (KMS) para completar la activación de Windows.

Infraestructura interna y diagnósticos

Se requieren los siguientes valores de configuración y FQDN para mantener y diagnosticar la infraestructura de proceso interna de API Management.

  • Permitir el acceso UDP saliente en el puerto 123 para NTP.
  • Permitir el acceso TCP saliente en el puerto 12000 para diagnósticos.
  • Permitir el acceso saliente en el puerto 443 a los siguientes puntos de conexión para diagnósticos internos: azurewatsonanalysis-prod.core.windows.net, *.data.microsoft.com, azureprofiler.trafficmanager.net, shavamanifestazurecdnprod1.azureedge.net, shavamanifestcdnprod1.azureedge.net.
  • Permitir el acceso saliente en el puerto 443 a los siguientes puntos de conexión para PKI internos: issuer.pki.azure.com.
  • Permita el acceso saliente en los puertos 80 y 443 a los siguientes puntos de conexión para Windows Update: *.update.microsoft.com, *.ctldl.windowsupdate.com, ctldl.windowsupdate.com, download.windowsupdate.com.
  • Permita el acceso saliente en los puertos 80 y 443 al punto de conexión go.microsoft.com.
  • Permita el acceso saliente en los puertos 443 y wdcp.microsoft.com a los siguientes puntos de conexión para Windows Defender: wdcpalt.microsoft.com .

Direcciones IP del plano de control

Importante

Las direcciones IP del plano de control para Azure API Management deben configurarse para las reglas de acceso a la red solo cuando sea necesario en determinados escenarios de red. Se recomienda usar la etiqueta de servicio ApiManagement en lugar de las direcciones IP del plano de control para evitar el tiempo de inactividad cuando las mejoras en la infraestructura requieren cambios en la dirección IP.

Más información sobre:

Para obtener más instrucciones sobre los problemas de configuración, consulte: