Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
ОБЛАСТЬ ПРИМЕНЕНИЯ: Разработчик | Премия
Эта ссылка содержит подробные параметры конфигурации сети для экземпляра Управление API, развернутого (внедренного) в виртуальной сети Azure во внешнем или внутреннем режиме.
Дополнительные сведения о вариантах подключения к виртуальной сети, требованиях и рекомендациях см. в статье Использование виртуальной сети с помощью Управления API Azure.
Внимание
Эта ссылка применяется только к Управление API экземплярам в классических уровнях, развернутых в виртуальной сети. Сведения о внедрении виртуальных сетей на уровнях версии 2 см. в статье "Внедрение экземпляра Azure Управление API в частной виртуальной сети — категория "Премиум" версии 2.
Требуемые порты
Входящим и исходящим трафиком в подсети, в которой развернута служба службы "Управление API", можно управлять с помощью правил групп безопасности сети. Если определенные порты недоступны, служба "Управление API" может не работать должным образом и даже стать недоступной.
При размещении экземпляра службы "Управление API" в виртуальной сети используются порты, указанные в следующей таблице.
Внимание
Элементы, выделенные полужирным шрифтом в столбце Назначение указывают на конфигурации портов, необходимых для успешного развертывания и работы службы "Управление API". Конфигурации с меткой "необязательные" позволяют включить определенные функции, как указано. Они не являются обязательными для общей работоспособности службы.
Рекомендуется использовать указанные теги служб вместо IP-адресов в NSG и других правилах сети, чтобы указать источники сети и назначения. Теги служб позволяют предотвратить простой, когда улучшения инфраструктуры требуют изменения IP-адресов.
Внимание
Для работы Azure Load Balancer необходимо назначить группе безопасности сети виртуальную сеть. Дополнительные сведения см. в документации по Azure Load Balancer.
| Направление | Тег службы источника | Диапазоны исходных портов | Назначение: тег службы | Диапазоны портов назначения | Протокол | Действие | Назначение | Тип виртуальной сети |
|---|---|---|---|---|---|---|---|---|
| Входящий трафик | Интернет | * | Виртуальная сеть | [80], 443 | Протокол tcp | Разрешить | Взаимодействие клиента с Управление API | Только внешний |
| Входящий трафик | Управление API | * | Виртуальная сеть | 3443 | Протокол tcp | Разрешить | Конечная точка управления для портал Azure и PowerShell | Внешний и внутренний |
| Исходящие | Виртуальная сеть | * | Интернет | 80 | Протокол tcp | Разрешить | Проверка и управление управляемыми корпорацией Майкрософт сертификатами, управляемыми клиентом | Внешний и внутренний |
| Исходящие | Виртуальная сеть | * | Память | 443 | Протокол tcp | Разрешить | Зависимость от службы хранилища Azure | Внешний и внутренний |
| Исходящие | Виртуальная сеть | * | AzureActiveDirectory | 443 | Протокол tcp | Разрешить | Идентификатор Microsoft Entra, Microsoft Graph и зависимость Azure Key Vault (необязательно) | Внешний и внутренний |
| Исходящие | Виртуальная сеть | * | AzureConnectors | 443 | Протокол tcp | Разрешить | зависимость управляемых подключений (необязательно) | Внешний и внутренний |
| Исходящие | Виртуальная сеть | * | SQL | 1433 | Протокол tcp | Разрешить | Доступ к конечным точкам службы SQL Azure | Внешний и внутренний |
| Исходящие | Виртуальная сеть | * | AzureKeyVault | 443 | Протокол tcp | Разрешить | Доступ к Azure Key Vault | Внешний и внутренний |
| Исходящие | Виртуальная сеть | * | Концентратор событий | 5671, 5672, 443 | Протокол tcp | Разрешить | Зависимость для входа в политику Центры событий Azure и Azure Monitor (необязательно) | Внешний и внутренний |
| Исходящие | Виртуальная сеть | * | AzureMonitor | 1886, 443 | Протокол tcp | Разрешить | Публикация журналов диагностики и метрик, Работоспособность ресурсов и Application Insights | Внешний и внутренний |
| Входящий и исходящий | Виртуальная сеть | * | Виртуальная сеть | 6380 | Протокол tcp | Разрешить | Доступ к внешней службе Кэша Azure для Redis для кэширования политик между компьютерами (необязательно) | Внешний и внутренний |
| Входящий и исходящий | Виртуальная сеть | * | Виртуальная сеть | 6381 - 6383 | Протокол tcp | Разрешить | Доступ к внутренней службе Кэша Azure для Redis для кэширования политик между компьютерами (необязательно) | Внешний и внутренний |
| Входящий и исходящий | Виртуальная сеть | * | Виртуальная сеть | 4290 | UDP | Разрешить | Счетчики синхронизации для политик ограничения скорости между компьютерами (необязательно) | Внешний и внутренний |
| Входящий трафик | Балансировщик нагрузки Azure | * | Виртуальная сеть | 6390 | Протокол tcp | Разрешить | Подсистема балансировки нагрузки инфраструктуры Azure | Внешний и внутренний |
| Входящий трафик | AzureTrafficManager | * | Виртуальная сеть | 443 | Протокол tcp | Разрешить | маршрутизация Диспетчер трафика Azure для развертывания в нескольких регионах | Внешняя. |
| Входящий трафик | Балансировщик нагрузки Azure | * | VirtualNetwork 6391 | Протокол tcp | Разрешить | Мониторинг работоспособности отдельного компьютера (необязательно) | Внешний и внутренний |
Теги региональной службы
Правила групп безопасности сети, разрешающие исходящие подключения к тегам служб хранилища, SQL и Центров событий Azure, могут использовать региональные версии этих тегов, соответствующие региону, где находится экземпляр службы "Управление API" (например, Storage.WestUS для экземпляра службе "Управление API" в регионе "Западная часть США"). В развертываниях с несколькими регионами группа безопасности сети должна разрешать трафик в теги службы для этого региона и основного региона.
Функциональность TLS
Чтобы включить сборку и проверку цепочки сертификатов TLS/SSL, служба Управление API нуждается в исходящем сетевом подключении через порты 80 и 443ocsp.msocsp.comв , oneocsp.msocsp.com, , mscrl.microsoft.comcrl.microsoft.comcacerts.digicert.comи . crl3.digicert.comcsp.digicert.com
Доступ к DNS
Исходящий доступ через порт 53 необходим для обмена данными с DNS-серверами. Если на другой стороне VPN-шлюза имеется пользовательский DNS-сервер, этот сервер должен быть доступен из подсети, в которой размещена служба управления API.
Интеграция с Microsoft Entra
Для правильной работы службы Управление API требуется исходящее подключение через порт 443 к следующим конечным точкам, связанным с идентификатором Microsoft Entra: <region>.login.microsoft.com и login.microsoftonline.com.
Наблюдение за работоспособностью системы и метриками
Исходящее сетевое подключение к конечным точкам мониторинга Azure, которые разрешаются в следующих доменах, представленных в теге службы AzureMonitor для использования с группами безопасности сети.
| Среда Azure | Конечные точки |
|---|---|
| Общедоступная служба Azure |
|
| Azure для государственных организаций |
|
| Microsoft Azure под управлением 21Vianet |
|
CAPTCHA на портале разработчика
Допустить исходящее сетевое подключение для CAPTCHA на портале разработчика, которое разрешается в узлах client.hip.live.com и partner.hip.live.com.
Публикация портала разработчика
Включите публикацию портала разработчика для экземпляра службы управления API в виртуальной сети, разрешая исходящее подключение к службе хранилища Azure. Например, используйте тег службы хранилища в правиле NSG. В настоящее время для публикации портала разработчика для любого экземпляра управления API требуется подключение к службе хранилища Azure через глобальные или региональные конечные точки службы.
Диагностика на портале Azure
При использовании расширения диагностики службы "Управление API" из виртуальной сети требуется исходящий доступ к dc.services.visualstudio.com через порт 443, чтобы обеспечить поток журналов диагностики с портала Azure. Это помогает в устранении неполадок, которые могут возникнуть при использовании расширения.
Azure Load Balancer
Разрешение входящего запроса из тега службы AzureLoadBalancer для SKU разработчика не является обязательным, так как за ним развертывается только одна единица вычислений. Однако входящий трафик из AzureLoadBalancer становится критически важным при масштабировании до более высокого SKU, например, "Премиум", поскольку сбой пробы работоспособности из подсистемы балансировки нагрузки после этого блокирует весь входящий доступ к уровню управления и плоскости данных.
Application Insights
Если в службе "Управление API" включена функция мониторинга Azure Application Insights, необходимо разрешить исходящее подключение к конечной точке телеметрии из виртуальной сети.
Конечная точка KMS
При добавлении виртуальных машин, работающих на Windows, к виртуальной сети, разрешите исходящее подключение через порт 1688 к конечной точке KMS в облаке. Эта конфигурация направляет трафик виртуальной машины Windows на сервер служб управления ключами Azure (KMS) для завершения активации Windows.
Внутренняя инфраструктура и диагностика
Для обслуживания и диагностики внутренней вычислительной инфраструктуры Управление API требуются следующие параметры и полные доменные имена.
- Разрешить исходящий доступ UDP через порт
123для NTP. - Разрешить исходящий TCP-доступ через порт
12000для диагностика. - Разрешить исходящий доступ через порт
443к следующим конечным точкам для внутренних диагностика:azurewatsonanalysis-prod.core.windows.net, ,*.data.microsoft.comazureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.netshavamanifestcdnprod1.azureedge.net. - Разрешить исходящий доступ через порт
443к следующей конечной точке для внутреннего PKI:issuer.pki.azure.com - Разрешить исходящий доступ к портам
80и443следующим конечным точкам для Обновл. Windows:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com.download.windowsupdate.com - Разрешить исходящий доступ к портам
80и443конечной точкеgo.microsoft.com. - Разрешить исходящий доступ через порт
443к следующим конечным точкам в Защитнике Windows:wdcp.microsoft.com,wdcpalt.microsoft.com.
IP-адреса уровня управления
Внимание
IP-адреса плоскости управления для Azure Управление API должны быть настроены только в тех случаях, когда это необходимо в определенных сетевых сценариях. Мы рекомендуем использовать тег службы ApiManagement вместо IP-адресов плоскости управления, чтобы предотвратить простой, когда улучшения инфраструктуры требуют изменения IP-адресов.
Связанный контент
Дополнительные сведения:
- Подключение виртуальной сети к серверу с помощью VPN-шлюза
- Подключение виртуальной сети из различных моделей развертывания
- Виртуальная сеть: часто задаваемые вопросы
- Теги служб
Дополнительные рекомендации по проблемам конфигурации см. в следующем разделе: