Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
APLICA-SE A: Desenvolvedor | Premium
Esta referência fornece definições de configuração de rede detalhadas para uma instância de Gerenciamento de API implantada (injetada) em uma rede virtual do Azure no modo externo ou interno .
Para obter as opções de conectividade VNET, os requisitos e as considerações, confira Como usar uma rede virtual com o Gerenciamento de API do Azure.
Importante
Essa referência se aplica somente a instâncias de Gerenciamento de API nas camadas clássicas implantadas em uma rede virtual. Para obter informações sobre a injeção de rede virtual nas camadas v2, consulte Injetar uma instância de Gerenciamento de API do Azure em uma rede virtual privada – camada Premium v2.
Portas obrigatórias
Controle o tráfego de entrada e saída na sub-rede na qual o Gerenciamento de API é implantado usando regras de grupos de segurança de rede. Se determinadas portas estiver indisponível, o Gerenciamento de API poderá não funcionar corretamente e poderá se tornar inacessível.
Quando uma instância do serviço Gerenciamento de API está hospedada em uma VNet, as portas na tabela a seguir são usadas.
Importante
Os itens em negrito na coluna Finalidade indicam as configurações de porta necessárias para a implantação e operação bem-sucedidas do serviço de Gerenciamento de API. As configurações rotuladas como "opcionais" habilitam recursos específicos, conforme observado. Elas não são necessárias para a integridade geral do serviço.
Recomendamos usar as marcas de serviço indicadas em vez de endereços IP no NSG e em outras regras de rede para especificar origens e destinos de rede. As marcas de serviço impedem o tempo de inatividade quando as melhorias de infraestrutura exigem alterações de endereço IP.
Importante
É necessário atribuir um Grupo de Segurança de Rede à sua VNet para que o Azure Load Balancer funcione. Saiba mais na documentação do Azure Load Balancer.
| Direção | Marca de serviço de origem | Intervalos de portas de origem | Marca de serviço de destino | Intervalos de portas de destino | Protocolo | Ação | Finalidade | Tipo de VNet |
|---|---|---|---|---|---|---|---|---|
| Entrada | Internet | * | Rede Virtual | [80], 443 | TCP | Permitir | Comunicação do cliente com o Gerenciamento de API | Apenas externo |
| Entrada | ApiManagement | * | Rede Virtual | 3443 | TCP | Permitir | Ponto de extremidade de gerenciamento para o Portal do Azure e o Powershell | Interno e externo |
| Saída | Rede Virtual | * | Internet | 80 | TCP | Permitir | Validação e gerenciamento de certificados gerenciados pela Microsoft e gerenciados pelo cliente | Interno e externo |
| Saída | Rede Virtual | * | Armazenamento | 443 | TCP | Permitir | Dependência no Armazenamento do Microsoft Azure | Interno e externo |
| Saída | Rede Virtual | * | AzureActiveDirectory | 443 | TCP | Permitir | Dependência da ID do Microsoft Entra, do Microsoft Graph e do Azure Key Vault (opcional) | Interno e externo |
| Saída | Rede Virtual | * | AzureConnectors | 443 | TCP | Permitir | Dependência de conexões gerenciadas(opcional) | Interno e externo |
| Saída | Rede Virtual | * | SQL | 1433 | TCP | Permitir | Acesso aos pontos de extremidade do SQL do Azure | Interno e externo |
| Saída | Rede Virtual | * | AzureKeyVault | 443 | TCP | Permitir | Acesso ao Azure Key Vault | Interno e externo |
| Saída | Rede Virtual | * | Hub de Eventos | 5671, 5672, 443 | TCP | Permitir | Dependência da política Registrar nos Hubs de Eventos do Azure e Azure Monitor (opcional) | Interno e externo |
| Saída | Rede Virtual | * | Armazenamento | 445 | TCP | Permitir | Dependência do compartilhamento de arquivo do Azure para GIT (opcional) | Interno e externo |
| Saída | Rede Virtual | * | AzureMonitor | 1886, 443 | TCP | Permitir | Publicar logs e métricas de diagnóstico, integridade de recursos e Application Insights | Interno e externo |
| Entrada e Saída | Rede Virtual | * | Rede Virtual | 6380 | TCP | Permitir | Acessar o serviço de Cache do Azure para Redis externo para políticas de cache entre computadores (opcional) | Interno e externo |
| Entrada e Saída | Rede Virtual | * | Rede Virtual | 6381 - 6383 | TCP | Permitir | Acessar o serviço de Cache do Azure para Redis interno para políticas de cache entre computadores (opcional) | Interno e externo |
| Entrada e Saída | Rede Virtual | * | Rede Virtual | 4290 | UDP | Permitir | Sincronizar os contadores para políticas de Limite de Taxa entre computadores (opcional) | Interno e externo |
| Entrada | Balanceador de Carga do Azure | * | Rede Virtual | 6390 | TCP | Permitir | Balanceador de carga de infraestrutura do Azure | Interno e externo |
| Entrada | AzureTrafficManager | * | Rede Virtual | 443 | TCP | Permitir | Roteamento do Gerenciador de Tráfego do Azure para implantação em várias regiões | Externo |
| Entrada | Balanceador de Carga do Azure | * | Rede Virtual 6391 | TCP | Permitir | Monitoramento da integridade individual da máquina (opcional) | Interno e externo |
Marcas de serviço regional
As regras de NSG que permitem a conectividade de saída para as marcas de serviço de armazenamento, SQL e Hubs de Eventos do Azure podem usar as versões regionais dessas marcas correspondentes à região que contém a instância de Gerenciamento de API (por exemplo, Storage.WestUS para uma instância de gerenciamento de API na região Oeste dos EUA). Em implantações de várias regiões, o NSG em cada região deve permitir o tráfego para as marcas de serviço para essa região e a região primária.
Funcionalidade de TLS
Para habilitar a criação e a validação da cadeia de certificados TLS/SSL, o serviço de Gerenciamento de API precisa de conectividade de rede de saída nas portas e para , , , , , 80443 e ocsp.msocsp.com. oneocsp.msocsp.commscrl.microsoft.comcrl.microsoft.comcacerts.digicert.comcrl3.digicert.comcsp.digicert.com
Acesso DNS
O acesso de saída na porta 53 é necessário para a comunicação com servidores DNS. Se houver um servidor DNS personalizado na outra extremidade de um gateway de VPN, o servidor DNS deverá estar acessível pela sub-rede que hospeda o Gerenciamento de API.
Integração do Microsoft Entra
Para operar corretamente, o serviço de Gerenciamento de API precisa de conectividade de saída na porta 443 para os seguintes pontos de extremidade associados ao Microsoft Entra ID: <region>.login.microsoft.com e login.microsoftonline.com.
Métricas e monitoramento de integridade
Conectividade de rede de saída com pontos de extremidade de Monitoramento do Azure, que são resolvidos nos domínios a seguir e são representados na marca de serviço AzureMonitor para uso com Grupos de Segurança de Rede.
| Ambiente do Azure | Pontos de extremidade |
|---|---|
| Público do Azure |
|
| Azure Governamental |
|
| Microsoft Azure operado pela 21Vianet |
|
CAPTCHA do portal do desenvolvedor
Permita conectividade de rede de saída para o CAPTCHA do portal do desenvolvedor, que é resolvido sob os hosts client.hip.live.com e partner.hip.live.com.
Publicar o portal do desenvolvedor
Habilite a publicação do portal do desenvolvedor para uma instância de Gerenciamento de API em uma VNet permitindo a conectividade de saída com o Armazenamento do Azure. Por exemplo, use a marca de serviço de armazenamento em uma regra NSG. Atualmente, a conectividade com o Armazenamento do Azure por meio de pontos de extremidade de serviço globais ou regionais é necessária para publicar o portal do desenvolvedor para qualquer instância de Gerenciamento de API.
Diagnósticos do portal do Azure
Ao usar a extensão de diagnóstico de Gerenciamento de API em uma VNet, é necessário ter o acesso de saída de dc.services.visualstudio.com na porta 443 a fim de habilitar o fluxo de logs de diagnóstico no portal do Azure. Esse acesso ajuda na solução de problemas que podem ocorrer ao usar a extensão.
Azure Load Balancer
Você não precisa permitir solicitações de entrada da marca de serviço AzureLoadBalancer para o SKU Desenvolvedor, uma vez que somente uma unidade de computação é implantada nela. No entanto, a conectividade de entrada de AzureLoadBalancer se torna crítica ao ajuste da escala para um SKU mais alto, como Premium, pois uma falha da investigação de integridade do balanceador de carga bloqueia todo o acesso de entrada ao painel de controle e ao plano de dados.
Insights de aplicativos
Se você tiver habilitado o monitoramento do Azure Application Insights no Gerenciamento de API, permita a conectividade de saída com o ponto de extremidade de telemetria da VNet.
Ponto de extremidade KMS
Ao adicionar máquinas virtuais que executam Windows à VNet, permita a conectividade de saída na porta 1688 para o ponto de extremidade de KMS em sua nuvem. Essa configuração roteia o tráfego da VM do Windows para o servidor do KMS (serviços de gerenciamento de chaves) do Azure para concluir a ativação do Windows.
Infraestrutura interna e diagnóstico
As configurações e os FQDNs a seguir são necessários para manter e diagnosticar a infraestrutura de computação interna do Gerenciamento de API.
- Permitir o acesso UDP de saída na porta
123para NTP. - Permitir o acesso TCP de saída na porta
12000para diagnóstico. - Permitir o acesso de saída na porta
443aos seguintes pontos de extremidade para diagnóstico interno:azurewatsonanalysis-prod.core.windows.net,*.data.microsoft.com,azureprofiler.trafficmanager.net,shavamanifestazurecdnprod1.azureedge.net,shavamanifestcdnprod1.azureedge.net. - Permitir o acesso de saída na porta
443ao seguinte ponto de extremidade para PKI interna:issuer.pki.azure.com. - Permitir o acesso de saída nas portas
80e443aos seguintes pontos de extremidade do Windows Update:*.update.microsoft.com,*.ctldl.windowsupdate.com,ctldl.windowsupdate.com,download.windowsupdate.com. - Permitir o acesso de saída nas portas
80e443ao ponto de extremidadego.microsoft.com. - Permitir o acesso de saída na porta
443aos seguintes pontos de extremidade do Windows Defender:wdcp.microsoft.com,wdcpalt.microsoft.com.
Controlar endereços IP planos
Importante
Os endereços IP do painel de controle para o Gerenciamento de API do Azure devem ser configurados para regras de acesso à rede somente quando necessário em determinados cenários de rede. Recomendamos usar a marca de serviço ApiManagementem vez de endereços IP do painel de controle para evitar o tempo de inatividade quando as melhorias de infraestrutura exigirem alterações de endereço IP.
Conteúdo relacionado
Saiba mais sobre:
- Conectar uma rede virtual ao back-end usando o Gateway de VPN
- Conectar uma rede virtual de diferentes modelos de implantação
- Perguntas frequentes sobre rede virtual
- Marcas de serviço
Para obter mais diretrizes sobre problemas de configuração, consulte: