Sdílet prostřednictvím

Vložení instance služby Azure API Management do privátní virtuální sítě – úroveň Premium v2

  • Článek

PLATÍ PRO: Premium v2

Tento článek vás provede požadavky na vložení instance Azure API Management Premium v2 (Preview) do virtuální sítě.

Poznámka:

Pokud chcete do virtuální sítě vložit instanci klasické úrovně Developer nebo Premium, požadavky a konfigurace se liší. Další informace.

Když se instance API Management Premium v2 vloží do virtuální sítě:

  • Koncový bod brány služby API Management je přístupný prostřednictvím virtuální sítě na privátní IP adrese.
  • Služba API Management může provádět odchozí požadavky na back-endy rozhraní API, které jsou izolované v síti.

Tato konfigurace se doporučuje pro scénáře, ve kterých chcete izolovat síťový provoz do instance služby API Management i back-endových rozhraní API.

Diagram vložení instance služby API Management do virtuální sítě za účelem izolace příchozího a odchozího provozu

Pokud chcete povolit veřejný příchozí přístup k instanci služby API Management na úrovni Standard v2 nebo Premium v2, ale omezit odchozí přístup k back-endům izolovaným sítím, přečtěte si téma Integrace s virtuální sítí pro odchozí připojení.

Důležité

  • Injektáž virtuální sítě popsaná v tomto článku je dostupná jenom pro instance služby API Management na úrovni Premium v2 (Preview). Možnosti sítě v různých úrovních najdete v tématu Použití virtuální sítě se službou Azure API Management.
  • V současné době můžete instanci Premium v2 vložit do virtuální sítě pouze při vytvoření instance. Existující instanci Premium v2 nemůžete vložit do virtuální sítě. Po vytvoření instance ale můžete aktualizovat nastavení podsítě pro injektáž.
  • V současné době nemůžete přepínat mezi injektáží virtuální sítě a integrací virtuální sítě pro instanci Premium v2.

Požadavky

  • Instance služby Azure API Management v cenové úrovni Premium v2 .
  • Virtuální síť, kde se hostují vaše klientské aplikace a back-endová rozhraní API služby API Management. V následujících částech najdete požadavky a doporučení pro virtuální síť a podsíť používanou pro instanci služby API Management.

Umístění v síti

  • Virtuální síť musí být ve stejné oblasti a předplatném Azure jako instance služby API Management.

Požadavky na podsíť

  • Podsíť instance služby API Management nejde sdílet s jiným prostředkem Azure.

Velikost podsítě

  • Minimum: /27 (32 adres)
  • Doporučeno: /24 (256 adres) – pro přizpůsobení škálování instance služby API Management

Skupina zabezpečení sítě

Skupina zabezpečení sítě musí být přidružená k podsíti.

Delegování podsítě

Podsíť je potřeba delegovat na službu Microsoft.Web/hostingEnvironments .

Snímek obrazovky znázorňující delegování podsítě na webu Microsoft.Web/hostingEnvironments na portálu

Poznámka:

Možná budete muset zaregistrovat Microsoft.Web/hostingEnvironments poskytovatele prostředků v předplatném, abyste mohli delegovat podsíť na službu.

Další informace o konfiguraci delegování podsítě najdete v tématu Přidání nebo odebrání delegování podsítě.

addressPrefix – vlastnost

Injektáž virtuální sítě na úrovni Premium v2 vyžaduje, aby addressPrefix vlastnost podsítě byla nastavena na platný blok CIDR.

Pokud nakonfigurujete podsíť pomocí webu Azure Portal, nastaví addressPrefixes podsíť vlastnost (množné číslo) sestávající ze seznamu předpon adres. Služba API Management však jako hodnotu addressPrefix vlastnosti vyžaduje jeden blok CIDR.

K vytvoření nebo aktualizaci podsítě addressPrefixpoužijte nástroj, jako je Azure PowerShell, šablona Azure Resource Manageru nebo rozhraní REST API. Například aktualizujte podsíť pomocí rutiny Set-AzVirtualNetworkSubnetConfig Azure PowerShellu:

# Set values for the variables that are appropriate for your environment.

$resourceGroupName = "MyResourceGroup"
$virtualNetworkName = "MyVirtualNetwork"
$subnetName = "ApimSubnet"
$addressPrefix = "10.0.3.0/24"


$virtualNetwork = Get-AzVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName

Set-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $virtualNetwork -AddressPrefix $addressPrefix

$virtualNetwork | Set-AzVirtualNetwork

Oprávnění

Abyste mohli nakonfigurovat injektáž virtuální sítě, musíte mít alespoň následující oprávnění řízení přístupu na základě role v podsíti nebo na vyšší úrovni:

Akce Popis
Microsoft.Network/virtualNetworks/read Čtení definice virtuální sítě
Microsoft.Network/virtualNetworks/subnets/read Čtení definice podsítě virtuální sítě
Microsoft.Network/virtualNetworks/subnets/join/action Připojí virtuální síť.

Vložení služby API Management do virtuální sítě

Když vytvoříte instanci Premium v2 pomocí webu Azure Portal, můžete volitelně nakonfigurovat nastavení pro injektáž virtuální sítě.

  1. V průvodci vytvořením služby API Management vyberte kartu Sítě .
  2. V typu připojení vyberte Virtuální síť.
  3. V možnosti Typ vyberte injektáž virtuální sítě.
  4. V části Konfigurace virtuálních sítí vyberte virtuální síť a delegovanou podsíť, kterou chcete vložit.
  5. Dokončete průvodce a vytvořte instanci služby API Management.

Nastavení DNS pro přístup k privátní IP adrese

Když se instance SLUŽBY API Management úrovně Premium v2 vloží do virtuální sítě, musíte spravovat vlastní DNS, abyste povolili příchozí přístup ke službě API Management.

I když máte možnost použít vlastní server DNS, doporučujeme:

  1. Nakonfigurujte privátní zónu Azure DNS.
  2. Propojte privátní zónu Azure DNS s virtuální sítí.

Zjistěte, jak nastavit privátní zónu v Azure DNS.

Přístup ke koncovému bodu u výchozího názvu hostitele

Při vytváření instance služby API Management na úrovni Premium v2 se následujícímu koncovému bodu přiřadí výchozí název hostitele:

  • Brána – příklad: contoso-apim.azure-api.net

Konfigurace záznamu DNS

Vytvořte záznam A na serveru DNS pro přístup k instanci služby API Management z vaší virtuální sítě. Namapujte záznam koncového bodu na privátní IP adresu vaší instance služby API Management.

Pro účely testování můžete aktualizovat soubor hostitelů na virtuálním počítači v podsíti připojené k virtuální síti, ve které je služba API Management nasazená. Za předpokladu, že privátní virtuální IP adresa vaší instance služby API Management je 10.1.0.5, můžete namapovat soubor hostitelů, jak je znázorněno v následujícím příkladu. Soubor mapování hostitelů je v %SystemDrive%\drivers\etc\hosts systému (Windows) nebo /etc/hosts (Linux, macOS). Příklad:

Interní virtuální IP adresa Název hostitele brány
10.1.0.5 contoso-apim.portal.azure-api.net

Související obsah