Freigeben über

Einfügen einer Azure API Management-Instanz in ein privates virtuelles Netzwerk – Premium v2-Ebene

  • Artikel

GILT FÜR: Premium v2

Dieser Artikel führt Sie durch die Anforderungen zum Einfügen Ihrer Premium v2-Instanz von Azure API Management (Vorschau) in ein virtuelles Netzwerk.

Hinweis

Die Anforderungen und die Konfiguration beim Einfügen einer klassischen Instanz der Developer- oder Premium-Ebene in ein virtuelles Netzwerk unterscheiden sich. Weitere Informationen

Wenn eine API Management Premium v2-Instanz in ein virtuelles Netzwerk eingefügt wird:

  • Auf den Endpunkt des API Management-Gateways kann über das virtuelle Netzwerk an einer privaten IP-Adresse zugegriffen werden.
  • API Management kann ausgehende Anforderungen an API-Back-Ends vornehmen, die im Netzwerk isoliert sind.

Diese Konfiguration wird für Szenarien empfohlen, in denen Sie Netzwerkdatenverkehr sowohl an die API Management-Instanz als auch die Back-End-APIs isolieren möchten.

Diagramm zum Einschleusen einer API Management-Instanz in ein virtuelles Netzwerk, um eingehenden und ausgehenden Datenverkehr zu isolieren.

Wenn Sie den öffentlichen eingehenden Zugriff auf eine API Management-Instanz der Ebene Standard v2 oder Premium v2 aktivieren, den ausgehenden Zugriff jedoch auf netzwerkisolierte Back-Ends beschränken möchten, finden Sie entsprechende Informationen unter Integrieren einer Azure API Management-Instanz in ein privates VNet für ausgehende Verbindungen.

Wichtig

  • Die in diesem Artikel beschriebene Einfügung virtueller Netzwerke ist nur für API Management-Instanzen auf der Premium v2-Ebene (Vorschau) verfügbar. Informationen zu Netzwerkoptionen in den verschiedenen Ebenen finden Sie unter Verwenden eines virtuellen Netzwerks zum Sichern von eingehendem oder ausgehendem Datenverkehr für Azure API Management.
  • Derzeit können Sie eine Premium v2-Instanz nur dann in ein virtuelles Netzwerk einfügen, wenn die Instanz erstellt wird. Sie können keine vorhandene Premium v2-Instanz in ein virtuelles Netzwerk einfügen. Sie können jedoch die Subnetzeinstellungen für die Einfügung aktualisieren, nachdem die Instanz erstellt wurde.
  • Derzeit können Sie für eine Premium v2-Instanz nicht zwischen der Einfügung in ein virtuelles Netzwerks und der Integration in ein virtuelles Netzwerks wechseln.

Voraussetzungen

  • Eine Azure API Management-Instanz im Premium v2-Tarif.
  • Ein virtuelles Netzwerk, in dem Ihre Client-Apps und Ihre API Management-Back-End-APIs gehostet werden. In den folgenden Abschnitten finden Sie Anforderungen und Empfehlungen für das virtuelle Netzwerk und das Subnetz, das für die API Management-Instanz verwendet wird.

Netzwerkadresse

  • Das virtuelle Netzwerk muss sich in derselben Region und im gleichen Azure-Abonnement wie die API Management-Instanz befinden.

Subnetzanforderungen

  • Das Subnetz für die API Management-Instanz kann nicht für eine andere Azure-Ressource freigegeben werden.

Subnetzgröße

  • Minimum: /27 (32 Adressen)
  • Empfohlen: /24 (256 Adressen) – um die Skalierung der API Management-Instanz zu berücksichtigen

Netzwerksicherheitsgruppe

Dem Subnetz muss eine Netzwerksicherheitsgruppe zugeordnet sein.

Subnetzdelegierung

Das Subnetz muss an den Dienst Microsoft.Web/hostingEnvironments delegiert werden.

Screenshot der Subnetzdelegierung an Microsoft.Web/hostingEnvironments im Portal.

Hinweis

Möglicherweise müssen Sie den Microsoft.Web/hostingEnvironments-Ressourcenanbieter im Abonnement registrieren, damit Sie das Subnetz an den Dienst delegieren können.

Weitere Informationen zum Konfigurieren der Subnetzdelegierung finden Sie unter Hinzufügen oder Entfernen einer Subnetzdelegierung.

addressPrefix-Eigenschaft

Für die VNet-Injektion in der Premium v2-Ebene muss die Subnetzeigenschaft addressPrefix auf einen gültigen CIDR-Block festgelegt werden.

Wenn Sie das Subnetz mithilfe des Azure-Portals konfigurieren, legt das Subnetz eine addressPrefixes-Eigenschaft (Plural) fest, die aus einer Liste von Adresspräfixen besteht. API Management erfordert jedoch einen einzelnen CIDR-Block als Wert der addressPrefix-Eigenschaft.

Um ein Subnetz mit addressPrefix zu erstellen oder zu aktualisieren, verwenden Sie ein Tool wie Azure PowerShell, eine Azure Resource Manager-Vorlage oder die REST-API. Aktualisieren Sie beispielsweise ein Subnetz mit dem Azure PowerShell-Cmdlet Set-AzVirtualNetworkSubnetConfig:

# Set values for the variables that are appropriate for your environment.

$resourceGroupName = "MyResourceGroup"
$virtualNetworkName = "MyVirtualNetwork"
$subnetName = "ApimSubnet"
$addressPrefix = "10.0.3.0/24"


$virtualNetwork = Get-AzVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName

Set-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $virtualNetwork -AddressPrefix $addressPrefix

$virtualNetwork | Set-AzVirtualNetwork

Berechtigungen

Sie müssen mindestens über die folgenden Berechtigungen der rollenbasierten Zugriffssteuerung für das Subnetz oder auf einer höheren Ebene verfügen, um die VNet-Injektion zu konfigurieren:

Aktion BESCHREIBUNG
Microsoft.Network/virtualNetworks/read Liest die Definition des virtuellen Netzwerks
Microsoft.Network/virtualNetworks/subnets/read Liest eine Subnetzdefinition für virtuelle Netzwerke aus
Microsoft.Network/virtualNetworks/subnets/join/action Verknüpft ein virtuelles Netzwerk.

Einfügen von API Management in ein virtuelles Netzwerk

Wenn Sie eine Premium v2-Instanz mithilfe des Azure-Portals erstellen, können Sie optional Einstellungen für die Einfügung virtueller Netzwerke konfigurieren.

  1. Wählen Sie im Assistenten zum Erstellen des API Management-Diensts die Registerkarte Netzwerk aus.
  2. Wählen Sie unter Verbindungstyp die Option Virtuelles Netzwerk aus.
  3. Wählen Sie unter Typ die Option Einbindung virtueller Netzwerke aus.
  4. Wählen Sie unter Virtuelle Netzwerke konfigurieren das virtuelle Netzwerk und das delegierte Subnetz aus, das Sie einfügen möchten.
  5. Schließen Sie den Assistenten ab, um die API Management-Instanz zu erstellen.

DNS-Einstellungen für den Zugriff auf private IP-Adressen

Wenn eine Premium v2-Instanz von API Management in ein virtuelles Netzwerk eingefügt wird, müssen Sie Ihr eigenes DNS verwalten, um den eingehenden Zugriff auf API Management zu ermöglichen.

Während Sie die Möglichkeit haben, Ihren eigenen benutzerdefinierten DNS-Server zu verwenden, empfehlen wir Folgendes:

  1. Konfigurieren Sie eine private Azure DNS-Zone.
  2. Verknüpfen Sie die private Azure DNS-Zone mit dem virtuellen Netzwerk.

Erfahren Sie mehr über das Einrichten einer privaten Zone in Azure DNS.

Endpunktzugriff auf Standardhostname

Wenn Sie eine API Management-Instanz auf der Premium v2-Ebene erstellen, wird dem folgenden Endpunkt ein Standardhostname zugewiesen:

  • Gateway – Beispiel: contoso-apim.azure-api.net

Konfigurieren eines DNS-Eintrags

Erstellen Sie einen A-Datensatz in Ihrem DNS-Server, um über Ihr virtuelles Netzwerk auf die API Management-Instanz zuzugreifen. Ordnen Sie den Endpunktdatensatz der privaten VIP-Adresse Ihrer API Management-Instanz zu.

Zu Testzwecken können Sie die Hostdatei auf einem virtuellen Computer in einem Subnetz aktualisieren, das mit dem virtuellen Netzwerk verbunden ist, in dem API Management bereitgestellt wird. Wenn die private virtuelle IP-Adresse für Ihre API Management-Instanz 10.1.0.5 lautet, können Sie die Hostdatei zuordnen, wie im folgenden Beispiel gezeigt. Die Hosts-Zuordnungsdatei befindet sich unter %SystemDrive%\drivers\etc\hosts (Windows) oder /etc/hosts (Linux, macOS). Zum Beispiel:

Interne virtuelle IP-Adresse Gatewayhostname
10.1.0.5 contoso-apim.portal.azure-api.net

Zugehöriger Inhalt