仮想ネットワークの構成のリファレンス: API Management

適用対象: Developer | Premium

このリファレンスでは、 external または internal モードで Azure 仮想ネットワークにデプロイ (挿入) された API Management インスタンスの詳細なネットワーク構成設定について説明します。

VNet 接続のオプション、要件、考慮事項については、Azure API Management での仮想ネットワークの使用に関するページを参照してください。

必要なポート

API Management がデプロイされるサブネットへの受信トラフィックと送信トラフィックは、ネットワーク セキュリティ グループのルールを使用して制御します。 利用できないポートがある場合、API Management は正しく動作しない可能性があり、アクセス不能になる場合があります。

API Management サービス インスタンスが VNet でホストされている場合は、次の表のポートが使用されます。 一部の要件は、API Management インスタンスをホストしているstv2のバージョン (stv2 または stv1) によって異なります。

重要

  • [目的] 列の太字の項目は、API Management サービスを正常にデプロイおよび操作するために必要なポート構成を示しています。 "省略可能" と記載された構成では、示されている特定の機能が有効になります。 これらは、サービス全体の正常性を確保するためには必要ありません。

  • NSG やその他のネットワーク 規則の IP アドレスの代わりにサービス タグを使用して、ネットワークの送信元と送信先を指定することをお勧めします。 サービス タグを使用すると、インフラストラクチャの改善によって IP アドレスの変更が必要になった場合にダウンタイムが発生しません。

重要

stv2 を使用する場合は、Azure Load Balancer を機能させるために、VNet にネットワーク セキュリティ グループを割り当てる必要があります。 詳細については、「Azure Load Balancer ドキュメント」を参照してください。

ソース / ターゲット ポート Direction トランスポート プロトコル サービス タグ
ソース / ターゲット
目的 VNet の種類
* / [80]、443 受信 TCP インターネット/VirtualNetwork API Management へのクライアント通信 外部のみ
* / 3443 受信 TCP ApiManagement/VirtualNetwork Azure Portal と PowerShell 用の管理エンドポイント 外部 / 内部
* / 443 送信 TCP VirtualNetwork/Storage Azure Storage への依存関係 外部 / 内部
* / 443 送信 TCP VirtualNetwork / AzureActiveDirectory Microsoft Entra ID、Microsoft Graph、 、Azure Key Vault の依存関係 (省略可能) 外部 / 内部
* / 443 送信 TCP VirtualNetwork / AzureConnectors マネージド接続 の依存関係 (省略可能) 外部 / 内部
* / 1433 送信 TCP VirtualNetwork/Sql Azure SQL エンドポイントへのアクセス 外部 / 内部
* / 443 送信 TCP VirtualNetwork/AzureKeyVault Azure Key Vault へのアクセス 外部 / 内部
* / 5671, 5672, 443 送信 TCP VirtualNetwork / EventHub Azure Event Hubs へのログ ポリシーおよび Azure Monitor の依存関係 (省略可能) 外部 / 内部
* / 445 送信 TCP VirtualNetwork/Storage Git のための Azure ファイル共有への依存関係 (省略可能) 外部 / 内部
* / 1886、443 送信 TCP VirtualNetwork / AzureMonitor Diagnostics のログとメトリックResource Health、および Application Insights を発行する 外部 / 内部
* / 6380 受信および送信 TCP VirtualNetwork / VirtualNetwork マシン間のキャッシュ ポリシーのために外部の Azure Cache for Redis サービスにアクセスする (省略可能) 外部 / 内部
* / 6381 - 6383 受信および送信 TCP VirtualNetwork / VirtualNetwork マシン間のキャッシュ ポリシーのために内部の Azure Cache for Redis サービスにアクセスする (省略可能) 外部 / 内部
* / 4290 受信および送信 UDP VirtualNetwork / VirtualNetwork マシン間のレート制限ポリシーのために同期カウンターにアクセスする (省略可能) 外部 / 内部
* / 6390 受信 TCP AzureLoadBalancer/VirtualNetwork Azure インフラストラクチャの Load Balancer 外部 / 内部
* / 443 受信 TCP AzureTrafficManager / VirtualNetwork 複数リージョンへのデプロイ用の Azure Traffic Manager ルーティング 外部
* / 6391 受信 TCP AzureLoadBalancer/VirtualNetwork 個々のマシンの正常性の監視 (省略可能) 外部 / 内部

リージョン サービス タグ

サービス タグ Storage、SQL、Azure Event Hubs への送信接続を許可する NSG 規則では、API Management インスタンスを格納しているリージョンに対応する、これらのタグのリージョン別バージョンを使用できます (たとえば、米国西部リージョンの API Management インスタンス用の Storage.WestUS)。 複数リージョンのデプロイでは、各リージョンの NSG は、そのリージョンとプライマリ リージョンのサービス タグへのトラフィックを許可する必要があります。

TLS 機能

API Management サービスで TLS/SSL 証明書チェーンの構築と検証を有効にするには、80 および 443 から ocsp.msocsp.comoneocsp.msocsp.commscrl.microsoft.comcrl.microsoft.com、および csp.digicert.com への送信ネットワーク接続が必要です。 API Management にアップロードする任意の証明書に CA ルートへの完全なチェーンが含まれている場合、この依存関係は必要ありません。

DNS アクセス

DNS サーバーとの通信には、ポート 53 での発信アクセスが必要です。 カスタム DNS サーバーが VPN ゲートウェイの相手側にある場合、DNS サーバーは API Management をホストしているサブネットから到達できる必要があります。

Microsoft Entra の統合

適切に動作するには、API Management サービスに、Microsoft Entra ID に関連付けられている <region>.login.microsoft.com および login.microsoftonline.com のエンドポイントにポート 443 での送信接続が必要です。

メトリックと正常性の監視

次のドメインで解決される Azure Monitoring エンドポイントへの送信ネットワーク接続は、ネットワーク セキュリティ グループで使用するために、AzureMonitor サービス タグの下に表示されます。

Azure 環境 エンドポイント
Azure Public
  • gcs.prod.monitoring.core.windows.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.com
Azure Government
  • fairfax.warmpath.usgovcloudapi.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.us
21Vianet が運用する Microsoft Azure
  • mooncake.warmpath.chinacloudapi.cn
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.cn

開発者ポータル CAPTCHA

開発者ポータルの CAPTCHA 用の送信ネットワーク接続を許可します。これは、ホスト client.hip.live.compartner.hip.live.com で解決されます。

開発者ポータルを発行する

VNet 内の API Management インスタンスに対して開発者ポータルの発行を有効にするには、米国西部リージョンの BLOB ストレージへの送信接続を許可します。 たとえば、NSG ルールで Storage.WestUS サービス タグを使用します。 現在、API Management インスタンスに対して開発者ポータルを発行するには、米国西部リージョンの BLOB ストレージへの接続が必要です。

Azure portal の診断

VNet 内から API Management 診断拡張機能を使用しているときに、Azure portal から診断ログのフローを有効にするには、ポート 443 での dc.services.visualstudio.com への送信アクセスが必要です。 このアクセスは、拡張機能の使用時に発生する可能性がある問題のトラブルシューティングに役立ちます。

Azure Load Balancer

Developer SKU では、その背後にデプロイされるコンピューティング ユニットは 1 つだけであるため、サービス タグ AzureLoadBalancer からの受信要求を許可する必要はありません。 ただし、上位の SKU (Premium など) にスケーリングするときは、ロード バランサーからの正常性プローブのエラーによってコントロール プレーンやデータ プレーンへのすべての受信アクセスがブロックされるため、AzureLoadBalancer からの受信接続が重要になります。

Application Insights

API Management で Azure Application Insights の監視を有効にしている場合は、VNet からテレメトリ エンドポイントへの送信接続を許可します。

KMS エンドポイント

Windows を実行する仮想マシンを VNet に追加する場合は、クラウド内の KMS エンドポイントへのポート 1688 上の送信接続を許可します。 この構成では、Windows のアクティブ化を完了するために Windows VM トラフィックが Azure キー管理サービス (KMS) サーバーにルーティングされます。

内部インフラストラクチャと診断

API Management の内部コンピューティング インフラストラクチャを維持および診断するには、次の設定と FQDN が必要です。

  • NTP のポート 123 で送信 UDP アクセスを許可します。
  • 診断のポート 12000 で送信 TCP アクセスを許可します。
  • 内部診断に対して、次のエンドポイントへのポート 443 への送信アクセスを許可します: azurewatsonanalysis-prod.core.windows.net*.data.microsoft.comazureprofiler.trafficmanager.netshavamanifestazurecdnprod1.azureedge.netshavamanifestcdnprod1.azureedge.net
  • 内部 PKI に対して、次のエンドポイントへのポート 443 への送信アクセスを許可します: issuer.pki.azure.com
  • Windows Updateのポート 80443 の次のエンドポイントへの送信アクセスを許可します: *.update.microsoft.com*.ctldl.windowsupdate.comctldl.windowsupdate.comdownload.windowsupdate.com
  • ポート 80443 のエンドポイント go.microsoft.com への送信アクセスを許可します。
  • Windows Defender のポート 443 の次のエンドポイントへの送信アクセスを許可します: wdcp.microsoft.comwdcpalt.microsoft.com

コントロール プレーンの IP アドレス

重要

Azure API Management のコントロール プレーン IP アドレスは、特定のネットワーク シナリオで必要な場合にのみ、ネットワーク アクセス規則用に構成する必要があります。 インフラストラクチャの改善で IP アドレスの変更が必要な場合のダウンタイムを防ぐために、コントロール プレーンの IP アドレスの代わりに ApiManagement service タグ を使用することをお勧めします。

各項目の詳細情報

構成の問題に関する詳細なガイダンスについては、次を参照してください。