你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

虚拟网络配置参考：API 管理

适用于：开发人员 | 高级

本参考提供了在 Azure external 或 internal 模式下部署的 API 管理实例的详细网络配置设置。

有关 VNet 连接选项、要求和注意事项，请参阅使用具有 Azure API 管理的虚拟网络。

重要

此引用仅适用于在虚拟网络中部署的经典层中的API 管理实例。有关 v2 层中的虚拟网络注入的信息，请参阅在专用虚拟网络中Azure API 管理实例 - 高级 v2 层。

所需端口

可以使用网络安全组规则控制其中部署了 API 管理的子网的入站和出站流量。如果特定的端口不可用，API 管理可能无法正常工作且不可访问。

在 VNet 中托管 API 管理服务实例时，将使用下表中的端口。

重要

“用途”列中以粗体显示的项表示成功部署和操作 API 管理服务所需的端口配置。标有“可选”的配置用于启用如前所述的特定功能。无需使用这些配置也能使服务的整体运行状况保持正常。
配置 NSG 和其他网络规则时，建议使用指定的服务标记而非使用 IP 地址来指定网络源和目标。当基础结构的改进需要对 IP 地址进行更改时，服务标记可以防止出现停机。

重要

若要使Azure 负载均衡器正常工作，需要将网络安全组分配到 VNet。有关详细信息，请参阅 Azure 负载均衡器文档。

方向	源服务标记	源端口范围	目标服务标记	目标端口范围	协议	操作	用途	VNet 类型
入站	Internet	*	虚拟网络	[80], 443	TCP	允许	客户端与 API 管理的通信	仅外部
入站	ApiManagement	*	虚拟网络	3443	TCP	允许	Azure 门户和 PowerShell 的 Management 终结点	外部和内部
出站	虚拟网络	*	Internet	80	TCP	允许	管理Microsoft托管证书和客户管理的证书	外部和内部
出站	虚拟网络	*	存储	443	TCP	允许	Azure 存储Dependency>	外部和内部
出站	虚拟网络	*	AzureActiveDirectory	443	TCP	允许	Microsoft Entra ID、Microsoft Graph、和Azure 密钥保管库依赖项（可选）	外部和内部
出站	虚拟网络	*	AzureConnectors	443	TCP	允许	API 管理凭据管理器终结点依赖项（可选）	外部和内部
出站	虚拟网络	*	SQL	1433	TCP	允许	access 到Azure SQL终结点	外部和内部
出站	虚拟网络	*	AzureKeyVault	443	TCP	允许	Access 到 Azure 密钥保管库	外部和内部
出站	虚拟网络	*	EventHub	5671, 5672, 443	TCP	允许	Log 到Azure 事件中心策略的依赖项和Azure Monitor（可选）	外部和内部
出站	虚拟网络	*	AzureMonitor	1886, 443	TCP	允许	Publish Diagnostics 日志和指标、资源运行状况和Application Insights	外部和内部
入站和出站	虚拟网络	*	虚拟网络	6380	TCP	允许	访问计算机之间的 caching 策略的外部Azure Cache for Redis服务（可选）	外部和内部
入站和出站	虚拟网络	*	虚拟网络	6381 - 6383	TCP	允许	访问计算机之间的缓存策略的内部Azure Cache for Redis服务（可选）	外部和内部
入站和出站	虚拟网络	*	虚拟网络	4290	UDP	允许	同步计算机之间的速率限制策略的计数器（可选）	外部和内部
入站	Azure负载均衡器	*	虚拟网络	6390	TCP	允许	Azure基础结构负载均衡器	外部和内部
入站	AzureTrafficManager	*	虚拟网络	443	TCP	允许	Azure 流量管理器多区域部署路由	外部
入站	Azure负载均衡器	*	VirtualNetwork 6391	TCP	允许	监视单个计算机运行状况（可选）	外部和内部

区域服务标记

NSG 规则允许与存储、SQL 和Azure 事件中心服务标记建立出站连接，可以使用与包含 API 管理实例的区域对应的这些标记的区域版本（例如，Storage.WestUS，适用于美国西部区域的 API 管理实例）。在多区域部署中，每个区域中的 NSG 应该允许发送到该区域或主要区域的服务标记的流量。

TLS 功能

若要启用 TLS/SSL 证书链生成和验证，API 管理服务需要在端口和端口80和端口上建立出站网络连接，以及443、mscrl.microsoft.comcrl.microsoft.com和 oneocsp.microsoft.comcacerts.digicert.comcrl3.digicert.com。csp.digicert.com

DNS 访问

需要端口 53 上的出站访问权限才能与 DNS 服务器通信。如果 VPN 网关的另一端存在自定义 DNS 服务器，则该 DNS 服务器必须可从承载 API 管理的子网访问。

Microsoft Entra集成

若要正常运行，API 管理服务需要在端口 443 上与Microsoft Entra ID关联的以下终结点建立出站连接：<region>.login.microsoft.com 和 login.microsoftonline.com。

指标和运行状况监视

与Azure监视终结点（在以下域下解析）的出站网络连接在 AzureMonitor 服务标记下表示，用于网络安全组。

Azure环境	终结点
Azure公共	gcs.prod.monitoring.core.windows.net global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-black.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.com
Azure 政府	fairfax.warmpath.usgovcloudapi.net global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-black.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com prod5.prod.microsoftmetrics.com prod5-black.prod.microsoftmetrics.com prod5-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.us
由世纪互联运营的Microsoft Azure	mooncake.warmpath.chinacloudapi.cn global.prod.microsoftmetrics.com shoebox2.prod.microsoftmetrics.com shoebox2-red.prod.microsoftmetrics.com shoebox2-black.prod.microsoftmetrics.com prod3.prod.microsoftmetrics.com prod3-red.prod.microsoftmetrics.com prod5.prod.microsoftmetrics.com prod5-black.prod.microsoftmetrics.com prod5-red.prod.microsoftmetrics.com gcs.prod.warm.ingestion.monitoring.azure.cn

开发人员门户验证码

允许在主机 client.hip.live.com 和 partner.hip.live.com 下解析的开发人员门户 CAPTCHA 的出站网络连接。

发布开发人员门户

通过允许出站连接Azure 存储，为 VNet 中的 API 管理实例启用发布 developer 门户。例如，在 NSG 规则中使用存储服务标记。目前，需要通过全局或区域服务终结点连接到Azure 存储，才能发布任何 API 管理实例的开发人员门户。

Azure门户诊断

从 VNet 内部使用 API 管理诊断扩展时，需要对端口 dc.services.visualstudio.com 上的 443 进行出站访问，才能从 Azure 门户启用诊断日志流。此访问有助于排查你在使用扩展时可能遇到的问题。

Azure负载均衡器

无需允许来自开发人员 SKU 的 AzureLoadBalancer 服务标记的入站请求，因为其后只部署了一个计算单位。但是，当扩展到更高 SKU（例如“高级”）时，来自 AzureLoadBalancer 的入站连接将变得关键，因为负载均衡器运行状况探测失败会阻止对控制平面和数据平面的所有入站访问。

Application Insights

如果对 API 管理启用了 Azure 应用程序 Insights 监视，请允许从 VNet 到 telemetry 终结点进行出站连接。

KMS 终结点

将运行Windows的虚拟机添加到 VNet 时，允许端口 1688 上的出站连接连接到云中的 KMS 终结点。此配置将Windows VM 流量路由到 Azure 密钥管理服务（KMS）服务器以完成Windows激活。

内部基础结构和诊断

维护和诊断 API 管理的内部计算基础结构需要以下设置和 FQDN。

允许在端口 123 上进行出站 TCP 访问，以便支持 NTP。
允许在端口 12000 上进行出站 TCP 访问，以便支持诊断。
允许在端口 443 上对以下终结点进行出站访问，以便支持内部诊断：azurewatsonanalysis-prod.core.windows.net、*.data.microsoft.com、azureprofiler.trafficmanager.net、shavamanifestazurecdnprod1.azureedge.net、shavamanifestcdnprod1.azureedge.net。
允许在端口 443 上对以下终结点进行出站访问，以便支持内部 PKI：issuer.pki.azure.com。
允许对端口80和 443 进行出站访问，Windows 更新的以下终结点：*.update.microsoft.com、*.ctldl.windowsupdate.com、ctldl.windowsupdate.com、download.windowsupdate.com。
允许在端口 80 和 443 上对终结点 go.microsoft.com 进行出站访问。
允许对端口 443 进行出站访问Windows Defender的以下终结点：wdcp.microsoft.com，wdcpalt.microsoft.com 。

控制平面 IP 地址

重要

仅当某些网络方案需要时，才应为网络访问规则配置Azure API 管理的控制平面 IP 地址。建议使用 ApiManagement 服务标记而不是控制平面 IP 地址，以防止基础结构改进要求更改 IP 地址时停机。

了解有关以下方面的详细信息：

有关配置问题的更多指南，请参阅：

反馈

此页面是否有帮助？

Last updated on 2026-04-15