Condividi tramite

Inserire un'istanza di Azure Gestione API in una rete virtuale privata - Livello Premium v2

  • Articolo

SI APPLICA A: Premium v2

Questo articolo illustra i requisiti per inserire l'istanza di Azure Gestione API Premium v2 (anteprima) in una rete virtuale.

Nota

Per inserire un'istanza classica del livello Developer o Premium in una rete virtuale, i requisiti e la configurazione sono diversi. Altre informazioni.

Quando un'istanza di Gestione API Premium v2 viene inserita in una rete virtuale:

  • L'endpoint del gateway Gestione API è accessibile tramite la rete virtuale in un indirizzo IP privato.
  • Gestione API possibile effettuare richieste in uscita ai back-end dell'API isolati nella rete.

Questa configurazione è consigliata per gli scenari in cui si vuole isolare il traffico di rete sia all'istanza di Gestione API che alle API back-end.

Diagramma dell'inserimento di un'istanza di Gestione API in una rete virtuale per isolare il traffico in ingresso e in uscita.

Se si vuole abilitare l'accesso in ingresso pubblico a un'istanza di Gestione API nel livello Standard v2 o Premium v2, ma limitare l'accesso in uscita ai back-end isolati dalla rete, vedere Integrare con una rete virtuale per le connessioni in uscita.

Importante

  • L'inserimento della rete virtuale descritto in questo articolo è disponibile solo per le istanze di Gestione API nel livello Premium v2 (anteprima). Per le opzioni di rete nei diversi livelli, vedere Usare una rete virtuale con Azure Gestione API.
  • Attualmente, è possibile inserire un'istanza Premium v2 in una rete virtuale solo quando viene creata l'istanza. Non è possibile inserire un'istanza Premium v2 esistente in una rete virtuale. Tuttavia, è possibile aggiornare le impostazioni della subnet per l'inserimento dopo la creazione dell'istanza.
  • Attualmente non è possibile passare dall'inserimento della rete virtuale all'integrazione della rete virtuale per un'istanza Premium v2.

Prerequisiti

  • Un'istanza di Azure Gestione API nel piano tariffario Premium v2.
  • Una rete virtuale in cui sono ospitate le app client e le API back-end Gestione API. Per i requisiti e le raccomandazioni per la rete virtuale e la subnet usata per l'istanza di Gestione API, vedere le sezioni seguenti.

Percorso di rete

  • La rete virtuale deve trovarsi nella stessa area e nella stessa sottoscrizione di Azure dell'istanza di Gestione API.

Requisiti della subnet

  • La subnet per l'istanza di Gestione API non può essere condivisa con un'altra risorsa di Azure.

Dimensioni della subnet

  • Minimo: /27 (32 indirizzi)
  • Consigliato: /24 (256 indirizzi): per supportare il ridimensionamento dell'istanza di Gestione API

Gruppo di sicurezza di rete

Un gruppo di sicurezza di rete deve essere associato alla subnet.

Delega subnet

La subnet deve essere delegata al servizio Microsoft.Web/hostingEnvironments .

Screenshot che mostra la delega della subnet a Microsoft.Web/hostingEnvironments nel portale.

Nota

Potrebbe essere necessario registrare il provider di risorse Microsoft.Web/hostingEnvironments nella sottoscrizione in modo da poter delegare la subnet al servizio.

Per altre informazioni sulla configurazione della delega della subnet, vedere Aggiungere o rimuovere una delega di subnet.

Autorizzazioni

Per configurare l'integrazione della rete virtuale, è necessario disporre almeno delle seguenti autorizzazioni di controllo degli accessi basate sul ruolo nella subnet o a un livello superiore:

Azione Descrizione
Microsoft.Network/virtualNetworks/read Leggere la definizione della rete virtuale
Microsoft.Network/virtualNetworks/subnets/read Leggere la definizione di subnet di rete virtuale
Microsoft.Network/virtualNetworks/subnets/join/action Aggiunge una rete virtuale

Inserire Gestione API in una rete virtuale

Quando si crea un'istanza Premium v2 usando il portale di Azure, è possibile configurare facoltativamente le impostazioni per l'inserimento della rete virtuale.

  1. Nella procedura guidata Crea Gestione API servizio selezionare la scheda Rete.

  2. In Tipo di connettività selezionare Rete virtuale.

  3. In Tipo selezionare Interno.

  4. In Configura reti virtuali selezionare la rete virtuale e la subnet delegata che si vuole integrare.

    Facoltativamente, specificare una risorsa indirizzo IP pubblico se si vuole possedere e controllare un indirizzo IP usato solo per la connessione in uscita a Internet.

  5. Completare la procedura guidata per creare l'istanza di Gestione API.

Impostazioni DNS per l'integrazione con indirizzo IP privato

Quando un'istanza di Gestione API Premium v2 viene inserita in una rete virtuale, è necessario gestire il proprio DNS per abilitare l'accesso in ingresso alle Gestione API.

Anche se è possibile usare il proprio server DNS personalizzato, è consigliabile:

  1. Configurare una zona DNS privata di Azure.
  2. Collegare la zona privata DNS di Azure alla rete virtuale.

Di seguito viene descritto come configurare una zona privata in DNS di Azure.

Accesso all'endpoint in nome host predefinito

Quando si crea un'istanza di Gestione API nel livello Premium v2, all'endpoint seguente viene assegnato un nome host predefinito:

  • Gateway - Esempio: contoso-apim.azure-api.net

Configurare record DNS

Creare un record A nel server DNS per accedere all'istanza Gestione API dall'interno della rete virtuale. Eseguire il mapping del record dell'endpoint all'indirizzo VIP privato dell'istanza di Gestione API.

A scopo di test, è possibile aggiornare il file hosts in una macchina virtuale in una subnet connessa alla rete virtuale in cui viene distribuito Gestione API. Supponendo che l'indirizzo IP virtuale privato per l'istanza di Gestione API sia 10.1.0.5, è possibile eseguire il mapping del file hosts come illustrato nell'esempio seguente. Il file di mapping hosts si trova in %SystemDrive%\drivers\etc\hosts (Windows) o /etc/hosts (Linux, macOS). Ad esempio:

Indirizzo IP virtuale interno Nome host del gateway
10.1.0.5 contoso-apim.portal.azure-api.net

Contenuto correlato