مشاركة عبر

مرجع تكوين الشبكة الظاهرية: APIM

  • مقالة

ينطبق على: المطور | قسط

يوفر هذا المرجع إعدادات تكوين الشبكة التفصيلية لمثيل APIM المنشور (المحقون) في شبكة Azure الظاهرية في الوضع الخارجي أو الداخلي .

للحصول على خيارات اتصال VNet ومتطلباته واعتباراته، راجع استخدام شبكة افتراضية مع إدارة APIM.

هام

ينطبق هذا المرجع فقط على مثيلات APIM في المستويات الكلاسيكية المنشورة في شبكة ظاهرية. للحصول على معلومات حول حقن الشبكة الظاهرية في مستويات v2، راجع إدخال مثيل Azure API Management في شبكة ظاهرية خاصة - الطبقة Premium v2.

المنافذ المطلوبة

التحكم في نسبة استخدام الشبكة الواردة والصادرة في الشبكة الفرعية التي يوزع فيها APIM باستخدام قواعد مجموعة أمان الشبكة. في حالة عدم توفر منافذ معينة، فقد لا تعمل APIM بشكل صحيح وقد يتعذر الوصول إليها.

عند استضافة مثيل خدمة APIM في شبكة ظاهرية، تُستخدم المنافذ الواردة في الجدول الآتي. تختلف بعض المتطلبات وفقاً للإصدار (stv2أوstv1) من النظام الأساسي للحوسبة الذي يستضيف مثيل APIM.

هام

  • تشير العناصر الغامقة في عمود Purpose إلى تكوينات المنفذ المطلوبة لتوزيع خدمة APIM وتشغيلها بنجاح. تمكن التكوينات المسماة "optional" ميزات محددة، على النحو المدون. ولا تتُطلب من أجل الحماية الكلية للخدمة.

  • نوصي باستخدام علامات الخدمة المشار إليها بدلا من عناوين IP في NSG وقواعد الشبكة الأخرى لتحديد مصادر الشبكة والوجهات. تمنع علامات الخدمة وقت التعطل عندما تستوجب تحسينات البنية الأساسية تغيير عنوان IP.

هام

عند استخدام stv2، يلزم تعيين مجموعة أمان شبكة إلى VNet لكي يعمل موازن تحميل Azure. تعرف على المزيد في وثائق Azure Load Balancer.

الاتجاه علامة خدمة المصدر نطاقات منافذ المصادر علامة خدمة الوجهة نطاقات المنفذ الوجهات البروتوكول الإجراء الغرض نوع الشبكة الظاهرية
وارد الإنترنت * VirtualNetwork [80], 443 TCP السماح اتصال العميل بإدارة واجهة برمجة التطبيقات خارجي فقط
وارد ApiManagement * VirtualNetwork 3443 TCP السماح نقطة نهاية الإدارة لمدخل Azure وPowerShell خارجي وداخلي
صادر VirtualNetwork * التخزين 443 TCP السماح التبعية على Azure Storage خارجي وداخلي
صادر VirtualNetwork * AzureActiveDirectory 443 TCP السماح معرف Microsoft Entra وMicrosoft Graph وتبعية Azure Key Vault (اختياري) خارجي وداخلي
صادر VirtualNetwork * AzureConnectors 443 TCP السماح تبعية الاتصالات المدارة (اختياري) خارجي وداخلي
صادر VirtualNetwork * Sql 1433 TCP السماح الوصول إلى نقاط نهاية Azure SQL خارجي وداخلي
صادر VirtualNetwork * AzureKeyVault 443 TCP السماح الوصول إلى Azure Key Vault خارجي وداخلي
صادر VirtualNetwork * EventHub 5671, 5672, 443 TCP السماح التبعية لنهج Log to Azure Event Hubs وAzure Monitor (اختياري) خارجي وداخلي
صادر VirtualNetwork * التخزين 445 TCP السماح التبعية بشأن مشاركة ملف Azure لبرنامج GIT (اختياري) خارجي وداخلي
صادر VirtualNetwork * AzureMonitor 1886, 443 TCP السماح نشر سجلات التشخيص والمقاييس وصحة الموارد وApplication Insights خارجي وداخلي
الواردة والصادرة VirtualNetwork * شبكة ظاهرية 6380 TCP السماح الوصول إلى خدمة Azure Cache for Redis الخارجية لنهج التخزين المؤقت بين الأجهزة (اختياري) خارجي وداخلي
الواردة والصادرة VirtualNetwork * VirtualNetwork 6381 - 6383 TCP السماح الوصول إلى Azure Cache الداخلي لخدمة Redis لنهج التخزين المؤقت بين الأجهزة (اختياري) خارجي وداخلي
الواردة والصادرة VirtualNetwork * VirtualNetwork 4290 بروتوكول مخطط بيانات المستخدم السماح عدادات المزامنة لسياسات حد السعر بين الأجهزة (اختياري) خارجي وداخلي
وارد AzureLoadBalancer * VirtualNetwork 6390 TCP السماح موازن تحميل البنية الأساسية ل Azure خارجي وداخلي
وارد AzureTrafficManager * VirtualNetwork 443 TCP السماح توجيه Azure Traffic Manager للنشر متعدد المناطق خارجي
وارد AzureLoadBalancer * VirtualNetwork 6391 TCP السماح مراقبة صحة الجهاز الفردية (اختياري) خارجي وداخلي

علامات الخدمة الإقليمية

قد تستخدم قواعد مجموعة أمان الشبكة التي تسمح بالاتصال الخارجي من أجل التخزين، ولغة الاستعلامات المركبة، وعلامات خدمة مراكز الأحداث الإصدارات الإقليمية لتلك العلامات المقابلة للمنطقة التي تحتوي على مثيل إدارة واجهة برمجة التطبيقات (على سبيل المثال، Storage.WestUS لمثيل APIM في منطقة غرب الولايات المتحدة). في عمليات النشر متعددة المناطق، يجب أن تسمح مجموعة أمان الشبكة في كل منطقة بالمرور إلى علامات الخدمة لتلك المنطقة والمنطقة الأساسية.

وظائف بروتوكول أمان طبقة النقل

لتمكين إنشاء سلسلة شهادات TLS/SSL والتحقق من صحتها، تحتاج خدمة APIM إلى اتصال الشبكة الصادرة على المنافذ 80 و و oneocsp.msocsp.comcrl.microsoft.com443mscrl.microsoft.comcacerts.digicert.comocsp.msocsp.comcrl3.digicert.com و.csp.digicert.com

الوصول إلى نظام أسماء المجالات

يُطلب الوصول إلى الصادر على المنفذ 53 للاتصال بخوادم DNS. في حالة وجود خادم نظام أسماء المجالات مخصص على الطرف الآخر من بوابة شبكة ظاهرية خاصة، يجب أن يكون خادم نظام أسماء المجالات قابلاً للوصول من الشبكة الفرعية التي تستضيف إدارة واجهة برمجة التطبيقات.

تكامل Microsoft Entra

للعمل بشكل صحيح، تحتاج خدمة APIM إلى اتصال صادر على المنفذ 443 بنقاط النهاية التالية المقترنة بمعرف Microsoft Entra: <region>.login.microsoft.com و login.microsoftonline.com.

المقاييس والمراقبة الصحية

يُمثل اتصال الشبكة الصادرة بنقاط نهاية مراقبة Azure التي تُحل أسفل المجالات الآتية أسفل علامة خدمة AzureMonitor للاستخدام مع مجموعات أمان الشبكة.

بيئة Azure نقاط النهاية
Azure العامة
  • gcs.prod.monitoring.core.windows.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.com
Azure Government
  • fairfax.warmpath.usgovcloudapi.net
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-black.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.us
Microsoft Azure مُشغل بواسطة 21Vianet
  • mooncake.warmpath.chinacloudapi.cn
  • global.prod.microsoftmetrics.com
  • shoebox2.prod.microsoftmetrics.com
  • shoebox2-red.prod.microsoftmetrics.com
  • shoebox2-black.prod.microsoftmetrics.com
  • prod3.prod.microsoftmetrics.com
  • prod3-red.prod.microsoftmetrics.com
  • prod5.prod.microsoftmetrics.com
  • prod5-black.prod.microsoftmetrics.com
  • prod5-red.prod.microsoftmetrics.com
  • gcs.prod.warm.ingestion.monitoring.azure.cn

بوابة المطور CAPTCHA

السماح باتصال الشبكة الصادرة ل CAPTCHA الخاص بمدخل المطور، والذي يحل تحت المضيفين client.hip.live.com و partner.hip.live.com.

نشر مدخل المطور

تمكين نشر بوابة المطورين لمثيل APIM في شبكة ظاهرية بالسماح للاتصال الصادر بتخزين كائن ثنائي كبير الحجم في منطقة غرب الولايات المتحدة. على سبيل المثال، استخدم علامة خدمة Storage.WestUS في قاعدة NSG. حالياً، يلزم الاتصال بتخزين blob في منطقة غرب الولايات المتحدة لنشر بوابة المطور لأي مثيل إدارة واجهة برمجة التطبيقات.

تشخيصات مدخل Azure

عند استخدام ملحق تشخيص APIM من داخل شبكة ظاهرية، يُطلب الوصول إلى الصادر dc.services.visualstudio.com على المنفذ 443 لتمكين تدفق سجلات التشخيص من مدخل Microsoft Azure. مما يساعد في استكشاف الأخطاء وإصلاحها التي قد تواجهها عند استخدام الملحق.

موازنة تحميل Azure

لست مطالباً بسماح الطلبات الواردة من علامة الخدمة AzureLoadBalancer لوحدة حفظ مخزون المطور، نظراً إلى توزيع وحدة حساب واحدة فقط خلفها. ومع ذلك، فإن الاتصال الداخلي من AzureLoadBalancer يصبح حرجاً عند التحجيم إلى وحدة حفظ مخزون أعلى، مثل المتميز لأن فشل فحص الحماية من موازن التحميل في هذه الحالة يحظر كل الوصول الوارد إلى وحدتي التحكم والبيانات.

Application Insights

في حال تمكينك لمراقبة Azure Application Insights في APIM، اسمح بالاتصال الخارجي بنقطة نهاية بيانات تتبع الاستخدام من الشبكة الظاهرية.

نقطة نهاية خدمات الإدارة الرئيسية

عند إضافة أجهزة افتراضية تعمل بنظام Windows إلى شبكة ظاهرية، اسمح بالاتصال الصادر على المنفذ 1688 بـ نقطة نهاية KMS في سحابتك. يقوم هذا التكوين بتوجيه ناقل الجهاز الظاهري لـ Windows إلى الخادم الخاص بخدمات إدارة Azure الرئيسية لإكمال تنشيط Windows.

البنية التحتية الداخلية والتشخيصات

الإعدادات التالية وFQDNs مطلوبة للحفاظ على البنية الأساسية للحوسبة الداخلية لإدارة واجهة برمجة التطبيقات وتشخيصها.

  • السماح بالوصول إلى UDP الصادر على المنفذ 123 ل NTP.
  • السماح بالوصول إلى TCP الصادر على المنفذ 12000 للتشخيص.
  • السماح بالوصول الصادر على المنفذ 443 إلى نقاط النهاية التالية للتشخيصات الداخلية: azurewatsonanalysis-prod.core.windows.net، *.data.microsoft.com، azureprofiler.trafficmanager.net، shavamanifestazurecdnprod1.azureedge.net، shavamanifestcdnprod1.azureedge.net.
  • السماح بالوصول الصادر على المنفذ 443 إلى نقطة النهاية التالية ل PKI الداخلي: issuer.pki.azure.com.
  • السماح بالوصول الصادر على المنافذ 80 وإلى 443 نقاط النهاية التالية ل Windows Update: *.update.microsoft.com، ، *.ctldl.windowsupdate.com، ctldl.windowsupdate.com. download.windowsupdate.com
  • السماح بالوصول الصادر على المنافذ 80 وإلى 443 نقطة go.microsoft.comالنهاية .
  • السماح بالوصول الصادر على المنفذ 443 إلى نقاط النهاية التالية ل Windows Defender: wdcp.microsoft.com، . wdcpalt.microsoft.com

عناوين بروتوكول الإنترنت لمستوى التحكم

هام

يجب تكوين عناوين IP لمستوى التحكم لإدارة واجهة برمجة تطبيقات Azure لقواعد الوصول إلى الشبكة فقط عند الحاجة في سيناريوهات شبكة معينة. نوصي باستخدام علامة خدمة ApiManagementبدلا من عناوين IP لمستوى التحكم لمنع التوقف عن العمل عندما تتطلب تحسينات البنية الأساسية تغييرات عنوان IP.

المحتوى ذو الصلة

تعلم المزيد عن:

لمزيد من الإرشادات حول مشكلات التكوين، راجع: