問題描述
APIM服務(wù)在配置網(wǎng)絡(luò)之后微宝,查看網(wǎng)絡(luò)狀態(tài)發(fā)現(xiàn)Management Endpoint是不健康狀態(tài)岳守, 提示無法連接到3443端口。
錯誤消息:
Failed to connect to management endpoint at xxxxxxxx.management.azure-api.cn:3443 for a service deployed in a virtual network. Make sure to follow guidance at https://aka.ms/apim-vnet-common-issues.
問題解答
因為APIM集成虛擬網(wǎng)絡(luò)之后狠怨,需要配置NSG(網(wǎng)絡(luò)安全組)中對固定的端口需要訪問允許。如果APIM服務(wù)所用的子網(wǎng)根本沒有配置NSG的情況下萎胰,按照常理來說榔组,是放通的铅歼。不應(yīng)該出現(xiàn)3443端口報錯的。
但是堤瘤,經(jīng)過測試老虫,如果沒有配置NSG的情況下,也是會出現(xiàn) Failed to connect to management endpoint at xxxxxxxx.management.azure-api.cn:3443 錯誤斑唬。
解決辦法就是:添加NSG并放通3443端口的入站流量弓千。因為沒有關(guān)聯(lián)網(wǎng)絡(luò)安全組的子網(wǎng),所有的入站流量都被阻止了。
VM入站流量解答
下圖描述了如何使用不同的方案來部署網(wǎng)絡(luò)安全組公罕,以便網(wǎng)絡(luò)流量通過 TCP 端口 80 出入 Internet:
image.png對于入站流量掌腰,Azure 先處理與某個子網(wǎng)相關(guān)聯(lián)的網(wǎng)絡(luò)安全組(如果有)中的規(guī)則,然后處理與網(wǎng)絡(luò)接口相關(guān)聯(lián)的網(wǎng)絡(luò)安全組(如果有)中的規(guī)則缓苛。 此過程也包括子網(wǎng)內(nèi)流量。
- VM1:系統(tǒng)會處理 NSG1 中的安全規(guī)則,因為它與 Subnet1 關(guān)聯(lián)绊起,而 VM1位于 Subnet1 中荡碾。 除非已創(chuàng)建允許端口 80 入站的規(guī)則哆姻,否則 DenyAllInbound默認安全規(guī)則會拒絕流量。 NSG2 不會評估這些被阻止的流量货抄,因為它們與網(wǎng)絡(luò)接口相關(guān)聯(lián)。 但是,如果 NSG1 在其安全規(guī)則中允許端口 80倾哺,NSG2 會處理該流量。 若要允許從端口 80 到虛擬機的流量,NSG1 和 NSG2 必須指定一條規(guī)則來允許從 Internet 到端口 80 的流量胰默。
- VM2:系統(tǒng)會處理 NSG1 中的規(guī)則喧半,因為 VM2 也在 Subnet1 中浩村。 VM2 沒有關(guān)聯(lián)到其網(wǎng)絡(luò)接口的網(wǎng)絡(luò)安全組,因此會接收 NSG1 所允許的所有流量之众,或者會受到 NSG1 所拒絕的所有流量拒絕。 當網(wǎng)絡(luò)安全組關(guān)聯(lián)到子網(wǎng)時古胆,對于同一子網(wǎng)中的所有資源,流量要么被允許棺牧,要么被拒絕檩小。
- VM3:由于沒有網(wǎng)絡(luò)安全組關(guān)聯(lián)到 Subnet2筐付,系統(tǒng)允許流量進入子網(wǎng)并由 NSG2 處理瓦戚,因為 NSG2 關(guān)聯(lián)到已附加到 VM3 的網(wǎng)絡(luò)接口。
- VM4:阻止流量發(fā)往 VM4,因為網(wǎng)絡(luò)安全組沒有關(guān)聯(lián)到 Subnet3 或虛擬機中的網(wǎng)絡(luò)接口金顿。 如果沒有關(guān)聯(lián)的網(wǎng)絡(luò)安全組辩恼,則阻止所有網(wǎng)絡(luò)流量通過子網(wǎng)和網(wǎng)絡(luò)接口聘萨。
參考資料
APIM虛擬網(wǎng)絡(luò)配置所需端口 : https://learn.microsoft.com/zh-cn/azure/api-management/virtual-network-reference?tabs=stv2#required-ports
網(wǎng)絡(luò)安全組如何篩選網(wǎng)絡(luò)流量 : https://learn.microsoft.com/zh-cn/azure/virtual-network/network-security-group-how-it-works#inbound-traffic
當在復(fù)雜的環(huán)境中面臨問題,格物之道需:濁而靜之徐清冯袍,安以動之徐生匈挖。 云中碾牌,恰是如此!
