Injecter une instance de la Gestion des API Azure dans un réseau virtuel privé : niveau Premium v2
S’applique à : Premium v2
Cet article vous guide tout au long des conditions requises pour injecter votre instance Azure Premium v2 (préversion) de la Gestion des API dans un réseau virtuel.
Remarque
Pour injecter une instance de niveau Développeur ou Premium classique dans un réseau virtuel, les exigences et la configuration sont différentes. Plus d’informations
Lorsqu’une instance Premium v2 de la Gestion des API est injectée dans un réseau virtuel :
- Le point de terminaison de passerelle de la Gestion des API est accessible via le réseau virtuel à une adresse IP privée.
- La Gestion des API peut effectuer des requêtes sortantes vers des back-ends d’API qui sont isolés dans le réseau.
Cette configuration est recommandée pour les scénarios où vous souhaitez isoler le trafic réseau vers l’instance de la Gestion des API et vers les API du back-end.
Si vous souhaitez activer l’accès entrant public à une instance de la Gestion des API dans le niveau Standard v2 ou Premium v2, mais limiter l’accès sortant aux back-ends isolés du réseau, consultez Intégrer à un réseau virtuel pour les connexions sortantes.
Important
- L’injection de réseau virtuel décrite dans cet article est disponible uniquement pour les instances de la Gestion des API du niveau Premium v2 (préversion). Pour connaître les options de mise en réseau des différents niveaux, consultez Utiliser un réseau virtuel avec la Gestion des API Azure.
- Actuellement, vous pouvez injecter une instance Premium v2 dans un réseau virtuel uniquement à la création de l’instance. Vous ne pouvez pas injecter une instance Premium v2 existante dans un réseau virtuel. Toutefois, vous pouvez mettre à jour les paramètres de sous-réseau pour l’injection après la création de l’instance.
- Actuellement, vous ne pouvez pas basculer entre l’injection de réseau virtuel et l’intégration de réseau virtuel pour une instance Premium v2.
Prérequis
- Une instance de la Gestion des API Azure dans le niveau tarifaire Premium v2.
- Un réseau virtuel où vos applications clientes et les API de back-end de votre instance de la Gestion des API sont hébergées. Consultez les sections suivantes pour connaître les exigences et les recommandations relatives au réseau virtuel et au sous-réseau utilisés pour l’instance de la Gestion des API.
Emplacement réseau
- Le réseau virtuel doit être dans la même région et le même abonnement Azure que l’instance Gestion des API.
Configuration requise du sous-réseau
- Le sous-réseau de l’instance de la Gestion des API ne peut pas être partagé avec une autre ressource Azure.
Taille du sous-réseau
- Minimum : /27 (32 adresses)
- Recommandé : /24 (256 adresses) pour prendre en charge la mise à l’échelle de l’instance de la Gestion des API
Groupe de sécurité réseau
Un groupe de sécurité réseau doit être associé au sous-réseau.
Délégation de sous-réseau
Le sous-réseau doit être délégué au service Microsoft.Web/hostingEnvironments.
Remarque
Vous devrez peut-être enregistrer le fournisseur de ressources Microsoft.Web/hostingEnvironments dans l’abonnement afin de pouvoir déléguer le sous-réseau au service.
Pour plus d’informations sur la configuration de la délégation de sous-réseau, consultez Ajouter ou supprimer une délégation de sous-réseau.
addressPrefix, propriété
L’injection de réseau virtuel dans le niveau Premium v2 nécessite que la propriété de sous-réseau addressPrefix soit définie sur un bloc CIDR valide.
Si vous configurez le sous-réseau à l’aide du portail Azure, le sous-réseau définit une propriété addressPrefixes (plural) composée d’une liste de préfixes d’adresses. Toutefois, Gestion des API nécessite un seul bloc CIDR comme valeur de la propriété addressPrefix.
Pour créer ou mettre à jour un sous-réseau avec addressPrefix, utilisez un outil tel qu’Azure PowerShell, un modèle Azure Resource Manager ou l’API REST. Par exemple, mettez à jour un sous-réseau à l’aide de l’applet de commande Set-AzVirtualNetworkSubnetConfig Azure PowerShell :
# Set values for the variables that are appropriate for your environment.
$resourceGroupName = "MyResourceGroup"
$virtualNetworkName = "MyVirtualNetwork"
$subnetName = "ApimSubnet"
$addressPrefix = "10.0.3.0/24"
$virtualNetwork = Get-AzVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName
Set-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $virtualNetwork -AddressPrefix $addressPrefix
$virtualNetwork | Set-AzVirtualNetwork
autorisations
Vous devez disposer au minimum des autorisations de contrôle d'accès en fonction du rôle suivantes sur le sous-réseau ou à un niveau supérieur pour configurer l'injection de réseau virtuel :
| Action | Description |
|---|---|
| Microsoft.Network/virtualNetworks/read | Lire la définition de réseau virtuel |
| Microsoft.Network/virtualNetworks/subnets/read | Lire la définition de sous-réseau de réseau virtuel |
| Microsoft.Network/virtualNetworks/subnets/join/action | Joint un réseau virtuel. |
Injecter la Gestion des API dans un réseau virtuel
Lorsque vous créez une instance Premium v2 à l’aide du Portail Azure, vous pouvez éventuellement configurer des paramètres pour l’injection de réseau virtuel.
- Dans l’Assistant Créer un service Gestion des API, sélectionnez l’onglet Mise en réseau.
- Dans Type de connectivité, sélectionnez Réseau virtuel.
- Dans Type, sélectionnez Injection de réseau virtuel.
- Dans Configurer des réseaux virtuels, sélectionnez le réseau virtuel et le sous-réseau délégué que vous voulez injecter.
- Terminez l’Assistant pour créer l’instance de la Gestion des API.
Paramètres DNS pour l’accès à l’adresse IP privée
Lorsqu’une instance Premium v2 de la Gestion des API est injectée dans un réseau virtuel, vous devez gérer votre propre DNS pour activer l’accès entrant à la Gestion des API.
Bien que vous ayez la possibilité d’utiliser votre propre serveur DNS personnalisé, nous vous recommandons :
- Configurez une zone privée Azure DNS.
- Liez la zone privée Azure DNS au réseau virtuel.
Apprenez à configurer une zone privée dans Azure DNS.
Accès au point de terminaison sur le nom d’hôte par défaut
Lorsque vous créez une instance de la Gestion des API dans le niveau Premium v2, le point de terminaison suivant se voit attribuer un nom d’hôte par défaut :
- Passerelle : exemple :
contoso-apim.azure-api.net
Configurer l’enregistrement DNS
Créez un enregistrement A dans votre serveur DNS pour accéder à l’instance de la Gestion des API à partir de votre réseau virtuel. Mappez l’enregistrement de point de terminaison à l’adresse IP virtuelle privée de votre instance de la Gestion des API.
À des fins de test, vous pouvez mettre à jour le fichier hosts sur une machine virtuelle dans un sous-réseau connecté au réseau virtuel dans lequel la Gestion des API est déployée. En supposant que l’adresse IP virtuelle privée de votre instance de la Gestion des API est 10.1.0.5, vous pouvez mapper le fichier hosts, comme illustré dans l’exemple suivant. Le fichier de mappage des hôtes se trouve à l’adresse %SystemDrive%\drivers\etc\hosts (Windows) ou /etc/hosts (Linux, macOS). Par exemple :
| Adresse IP virtuelle interne | Nom d’hôte de passerelle |
|---|---|
| 10.1.0.5 | contoso-apim.portal.azure-api.net |