適用対象: Developer | Premium
このリファレンスでは、 external または internal モードで Azure 仮想ネットワークにデプロイ (挿入) された API Management インスタンスの詳細なネットワーク構成設定について説明します。
VNet 接続のオプション、要件、考慮事項については、Azure API Management での仮想ネットワークの使用に関するページを参照してください。
重要
このリファレンスは、仮想ネットワークにデプロイされたクラシック 層の API Management インスタンスにのみ適用されます。 v2 レベルでの仮想ネットワークの挿入の詳細については、「 プライベート仮想ネットワーク内の Azure API Management インスタンスをデプロイする - Premium v2 レベル」を参照してください。
必要なポート
API Management がデプロイされるサブネットへの受信トラフィックと送信トラフィックは、ネットワーク セキュリティ グループのルールを使用して制御します。 利用できないポートがある場合、API Management は正しく動作しない可能性があり、アクセス不能になる場合があります。
API Management サービス インスタンスが VNet でホストされている場合は、次の表のポートが使用されます。
重要
重要
Azure Load Balancer を機能させるには、VNet にネットワーク セキュリティ グループを割り当てる必要があります。 詳細については、「Azure Load Balancer ドキュメント」を参照してください。
| 方向 | 発信元サービス タグ | ソース ポート範囲 | 宛先サービス タグ | 宛先ポート範囲 | プロトコル | アクション | 目的 | VNet の種類 |
|---|---|---|---|---|---|---|---|---|
| インバウンド | インターネット | * | 仮想ネットワーク | [80]、443 | TCP | 許可する | API Management へのクライアント通信 | 外部のみ |
| インバウンド | ApiManagement | * | 仮想ネットワーク | 3443 | TCP | 許可する | Azure Portal と PowerShell 用の管理エンドポイント | 外部 / 内部 |
| 送信 | 仮想ネットワーク | * | インターネット | 80 | TCP | 許可する | Microsoft が管理する証明書とカスタマー マネージド証明書の検証と管理 | 外部 / 内部 |
| 送信 | 仮想ネットワーク | * | ストレージ | 443 | TCP | 許可する | Azure Storage への依存関係 | 外部 / 内部 |
| 送信 | 仮想ネットワーク | * | AzureのActiveDirectory | 443 | TCP | 許可する | Microsoft Entra ID、Microsoft Graph、 、Azure Key Vault の依存関係 (省略可能) | 外部 / 内部 |
| 送信 | 仮想ネットワーク | * | AzureConnectors | 443 | TCP | 許可する | マネージド接続 の依存関係 (省略可能) | 外部 / 内部 |
| 送信 | 仮想ネットワーク | * | SQL (構造化クエリ言語) | 1433 | TCP | 許可する | Azure SQL エンドポイントへのアクセス | 外部 / 内部 |
| 送信 | 仮想ネットワーク | * | AzureKeyVault | 443 | TCP | 許可する | Azure Key Vault へのアクセス | 外部 / 内部 |
| 送信 | 仮想ネットワーク | * | イベントハブ | 5671, 5672, 443 | TCP | 許可する | Azure Event Hubs へのログ ポリシーおよび Azure Monitor の依存関係 (省略可能) | 外部 / 内部 |
| 送信 | 仮想ネットワーク | * | ストレージ | 445 | TCP | 許可する | Git のための Azure ファイル共有への依存関係 (省略可能) | 外部 / 内部 |
| 送信 | 仮想ネットワーク | * | AzureMonitor | 1886、443 | TCP | 許可する | Diagnostics のログとメトリック、Resource Health、および Application Insights を発行する | 外部 / 内部 |
| 受信および送信 | 仮想ネットワーク | * | 仮想ネットワーク | 6380 | TCP | 許可する | マシン間のキャッシュ ポリシーのために外部の Azure Cache for Redis サービスにアクセスする (省略可能) | 外部 / 内部 |
| 受信および送信 | 仮想ネットワーク | * | 仮想ネットワーク | 6381 - 6383 | TCP | 許可する | マシン間のキャッシュ ポリシーのために内部の Azure Cache for Redis サービスにアクセスする (省略可能) | 外部 / 内部 |
| 受信および送信 | 仮想ネットワーク | * | 仮想ネットワーク | 4290 | UDP(ユーザー・データグラム・プロトコル) | 許可する | マシン間のレート制限ポリシーのために同期カウンターにアクセスする (省略可能) | 外部 / 内部 |
| インバウンド | AzureLoadBalancer | * | 仮想ネットワーク | 6390 | TCP | 許可する | Azure インフラストラクチャの Load Balancer | 外部 / 内部 |
| インバウンド | AzureTrafficManager | * | 仮想ネットワーク | 443 | TCP | 許可する | 複数リージョンへのデプロイ用の Azure Traffic Manager ルーティング | 外部 |
| インバウンド | AzureLoadBalancer | * | VirtualNetwork 6391 | TCP | 許可する | 個々のマシンの正常性の監視 (省略可能) | 外部 / 内部 |
リージョン サービス タグ
サービス タグ Storage、SQL、Azure Event Hubs への送信接続を許可する NSG 規則では、API Management インスタンスを格納しているリージョンに対応する、これらのタグのリージョン別バージョンを使用できます (たとえば、米国西部リージョンの API Management インスタンス用の Storage.WestUS)。 複数リージョンのデプロイでは、各リージョンの NSG は、そのリージョンとプライマリ リージョンのサービス タグへのトラフィックを許可する必要があります。
TLS 機能
TLS/SSL 証明書チェーンの構築と検証を有効にするには、API Management サービスでは、ポート 80 と 443 で、 ocsp.msocsp.com、 oneocsp.msocsp.com、 mscrl.microsoft.com、 crl.microsoft.com、 cacerts.digicert.com、 crl3.digicert.com 、 csp.digicert.comへの送信ネットワーク接続が必要です。
DNS アクセス
DNS サーバーとの通信には、ポート 53 での発信アクセスが必要です。 カスタム DNS サーバーが VPN ゲートウェイの相手側にある場合、DNS サーバーは API Management をホストしているサブネットから到達できる必要があります。
Microsoft Entra の統合
適切に動作するには、API Management サービスに、Microsoft Entra ID に関連付けられている <region>.login.microsoft.com および login.microsoftonline.com のエンドポイントにポート 443 での送信接続が必要です。
メトリックと正常性の監視
次のドメインで解決される Azure Monitoring エンドポイントへの送信ネットワーク接続は、ネットワーク セキュリティ グループで使用するために、AzureMonitor サービス タグの下に表示されます。
| Azure 環境 | エンドポイント |
|---|---|
| Azure パブリック |
|
| Azure Government(アジュール・ガバメント) |
|
| 21Vianet が運用する Microsoft Azure |
|
開発者ポータル CAPTCHA
開発者ポータルの CAPTCHA 用の送信ネットワーク接続を許可します。これは、ホスト client.hip.live.com と partner.hip.live.com で解決されます。
開発者ポータルを発行する
Azure Storage への送信接続を許可することで、VNet 内の API Management インスタンスの 開発者ポータル の発行を有効にします。 たとえば、NSG ルールでストレージ サービス タグを使用します。 現在、任意の API Management インスタンスの開発者ポータルを発行するには、グローバルまたはリージョンのサービス エンドポイントを介した Azure Storage への接続が必要です。
Azure portal の診断
VNet 内から API Management 診断拡張機能を使用しているときに、Azure portal から診断ログのフローを有効にするには、ポート dc.services.visualstudio.com での 443 への送信アクセスが必要です。 このアクセスは、拡張機能の使用時に発生する可能性がある問題のトラブルシューティングに役立ちます。
Azure Load Balancer
Developer SKU では、その背後にデプロイされるコンピューティング ユニットは 1 つだけであるため、サービス タグ AzureLoadBalancer からの受信要求を許可する必要はありません。 ただし、上位の SKU (Premium など) にスケーリングするときは、ロード バランサーからの正常性プローブのエラーによってコントロール プレーンやデータ プレーンへのすべての受信アクセスがブロックされるため、AzureLoadBalancer からの受信接続が重要になります。
アプリケーションインサイト
API Management で Azure Application Insights の監視を有効にしている場合は、VNet からテレメトリ エンドポイントへの送信接続を許可します。
KMS エンドポイント
Windows を実行する仮想マシンを VNet に追加する場合は、クラウド内の 1688へのポート 上の送信接続を許可します。 この構成では、Windows のアクティブ化を完了するために Windows VM トラフィックが Azure キー管理サービス (KMS) サーバーにルーティングされます。
内部インフラストラクチャと診断
API Management の内部コンピューティング インフラストラクチャを維持および診断するには、次の設定と FQDN が必要です。
- NTP のポート
123で送信 UDP アクセスを許可します。 - 診断のポート
12000で送信 TCP アクセスを許可します。 - 内部診断に対して、次のエンドポイントへのポート
443への送信アクセスを許可します:azurewatsonanalysis-prod.core.windows.net、*.data.microsoft.com、azureprofiler.trafficmanager.net、shavamanifestazurecdnprod1.azureedge.net、shavamanifestcdnprod1.azureedge.net。 - 内部 PKI に対して、次のエンドポイントへのポート
443への送信アクセスを許可します:issuer.pki.azure.com。 - Windows Updateのポート
80と443の次のエンドポイントへの送信アクセスを許可します:*.update.microsoft.com、*.ctldl.windowsupdate.com、ctldl.windowsupdate.com、download.windowsupdate.com。 - ポート
80と443のエンドポイントgo.microsoft.comへの送信アクセスを許可します。 - Windows Defender のポート
443の次のエンドポイントへの送信アクセスを許可します:wdcp.microsoft.com、wdcpalt.microsoft.com。
コントロール プレーンの IP アドレス
重要
Azure API Management のコントロール プレーン IP アドレスは、特定のネットワーク シナリオで必要な場合にのみ、ネットワーク アクセス規則用に構成する必要があります。 インフラストラクチャの改善で IP アドレスの変更が必要な場合のダウンタイムを防ぐために、コントロール プレーンの IP アドレスの代わりに ApiManagementservice タグ を使用することをお勧めします。
関連するコンテンツ
各項目の詳細情報
構成の問題に関する詳細なガイダンスについては、次を参照してください。