Compartir vía

Inserción de instancias de Azure API Management en redes virtuales privadas: nivel Premium v2

  • Artículo

SE APLICA A: Premium v2

En este artículo se le guiará por los requisitos para insertar instancias de Azure API Management Premium v2 (versión preliminar) en una red virtual.

Nota:

Para insertar instancias de los niveles clásicos Premium o Desarrollador en una red virtual, los requisitos y la configuración son diferentes. Más información.

Al insertar una instancia de API Management Premium v2 en una red virtual:

  • El punto de conexión de la puerta de enlace de API Management es accesible a través de la red virtual en una dirección IP privada.
  • API Management puede realizar solicitudes salientes a los back-end de API que estén aislados en la red.

Esta configuración se recomienda para escenarios en los que se quiera aislar el tráfico de red tanto para la instancia de API Management como para las API de back-end.

Diagrama de inserción de una instancia de API Management en una red virtual para aislar el tráfico entrante y saliente.

En caso de querer habilitar el acceso público de entrada a una instancia de API Management en los niveles Estándar v2 o Premium v2, pero también limitar el acceso saliente a los back-end aislados de red, consulte Integración con una red virtual para conexiones salientes.

Importante

  • La inserción de redes virtuales descrita en este artículo solo está disponible para las instancias de API Management del nivel Premium v2 (versión preliminar). Para conocer las opciones de red de los distintos niveles, consulte Uso de redes virtuales con Azure API Management.
  • Actualmente es posible insertar instancias Premium v2 en redes virtuales solo cuando la instancia sea creada. No es posible insertar instancias de Premium v2 existentes en redes virtuales. Sin embargo, es posible actualizar la configuración de subred para la inserción después de crear la instancia.
  • Actualmente no es posible cambiar entre la inserción de red virtual y la integración de red virtual para instancias Premium v2.

Requisitos previos

  • Una instancia de Azure API Management del plan de tarifa Premium v2.
  • Una red virtual donde se hospedan las aplicaciones cliente y las API de back-end de API Management. Consulte las secciones siguientes para conocer los requisitos y recomendaciones de la red virtual y la subred que se usa para la instancia de API Management.

Ubicación de red

  • La red virtual debe estar en la misma región y suscripción de Azure que la instancia de API Management.

Requisitos de subred

  • La subred de la instancia de API Management no se puede compartir con otro recurso de Azure.

Tamaño de la subred

  • Mínimo: /27 (32 direcciones)
  • Recomendado: /24 (256 direcciones): para dar cabida al escalado de la instancia de API Management

Grupo de seguridad de red

Un grupo de seguridad de red debe estar asociado a la subred.

Delegación de subred

La subred debe delegarse al servicio Microsoft.Web/hostingEnvironments.

Captura de pantalla que muestra la delegación de subred a Microsoft.Web/hostingEnvironments en el portal.

Nota:

Es posible que tenga que registrar el proveedor de recursos Microsoft.Web/hostingEnvironments en la suscripción para que pueda delegar la subred en el servicio.

Para obtener más información sobre cómo configurar la delegación de subredes, consulte Agregar o quitar una delegación de subred.

propiedad addressPrefix

La inserción de red virtual en el nivel Premium v2 requiere que la propiedad de subred addressPrefix esté establecida en un bloque CIDR válido.

Si configura la subred mediante Azure Portal, la subred establece una propiedad addressPrefixes (plural) que consta de una lista de prefijos de dirección. Sin embargo, API Management requiere un único bloque CIDR como valor de la propiedad addressPrefix.

Para crear o actualizar una subred con addressPrefix, use una herramienta como Azure PowerShell, una plantilla de Azure Resource Manager o la API de REST. Por ejemplo, actualice una subred mediante el cmdlet de Azure PowerShell Set-AzVirtualNetworkSubnetConfig: 

# Set values for the variables that are appropriate for your environment.

$resourceGroupName = "MyResourceGroup"
$virtualNetworkName = "MyVirtualNetwork"
$subnetName = "ApimSubnet"
$addressPrefix = "10.0.3.0/24"


$virtualNetwork = Get-AzVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName

Set-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $virtualNetwork -AddressPrefix $addressPrefix

$virtualNetwork | Set-AzVirtualNetwork

Permisos

Debe tener al menos los siguientes permisos de control de acceso basado en rol en la subred o en un nivel superior para configurar la inyección de red virtual:

Acción Descripción
Microsoft.Network/virtualNetworks/read Leer la definición de red virtual.
Microsoft.Network/virtualNetworks/subnets/read Leer una definición de subred de red virtual.
Microsoft.Network/virtualNetworks/subnets/join/action Se une a una red virtual

Inserción de API Management en redes virtuales

Al crear una instancia de Premium v2 mediante Azure Portal, se pueden configurar opcionalmente las opciones de inserción de red virtual.

  1. En el asistente Crear servicio de API Management, seleccione la pestaña Redes.
  2. En Tipo de conectividad, seleccione Red virtual.
  3. En Tipo, seleccione Inyección de red virtual.
  4. En Configurar redes virtuales, seleccione la red virtual y la subred delegada que desea insertar.
  5. Complete el asistente para crear la instancia de API Management.

Configuración de DNS para el acceso a la dirección IP privada

Al insertar una instancia Premium v2 de API Management en una red virtual, es necesario que administre su propio DNS para habilitar el acceso entrante a API Management.

Aunque tenga la opción de usar su propio servidor DNS personalizado, se recomienda:

  1. Configure una zona privada de Azure DNS.
  2. Vincular la zona privada de Azure DNS a la red virtual.

Aprenda a configurar una zona privada en Azure DNS.

El acceso al punto de conexión de nombre de host predeterminado

Al crear una instancia de API Management en el nivel Premium v2, al siguiente punto de conexión se le asignará un nombre de host predeterminado:

  • Puerta de enlace. Ejemplo: contoso-apim.azure-api.net

Configuración del registro de DNS

Cree un registro A en el servidor DNS para acceder a la instancia de API Management desde la red virtual. Asigne el registro del punto de conexión a la dirección VIP privada de la instancia de API Management.

Con fines de prueba, actualice el archivo de hosts en una máquina virtual de una subred conectada a la red virtual en la que se implementa API Management. En caso de que la dirección IP virtual privada de la instancia de API Management sea 10.1.0.5, asigne el archivo de hosts como se indica en el ejemplo siguiente. El archivo de asignación de hosts está en %SystemDrive%\drivers\etc\hosts (Windows) /etc/hosts o (Linux, macOS). Por ejemplo:

Dirección IP virtual interna Nombre de host de la puerta de enlace
10.1.0.5 contoso-apim.portal.azure-api.net

Contenido relacionado