Delen via

Een Azure API Management-exemplaar injecteren in een particulier virtueel netwerk - Premium v2-laag

  • Artikel

VAN TOEPASSING OP: Premium v2

In dit artikel wordt u begeleid bij de vereisten voor het injecteren van uw Azure API Management Premium v2-exemplaar (preview) in een virtueel netwerk.

Notitie

Als u een klassiek exemplaar van de Developer- of Premium-laag in een virtueel netwerk wilt injecteren, zijn de vereisten en configuratie anders. Meer informatie.

Wanneer een API Management Premium v2-exemplaar wordt geïnjecteerd in een virtueel netwerk:

  • Het EINDPUNT van de API Management-gateway is toegankelijk via het virtuele netwerk op een privé-IP-adres.
  • API Management kan uitgaande aanvragen indienen bij API-back-ends die zijn geïsoleerd in het netwerk.

Deze configuratie wordt aanbevolen voor scenario's waarin u netwerkverkeer wilt isoleren naar zowel het API Management-exemplaar als de back-end-API's.

Diagram van het injecteren van een API Management-exemplaar in een virtueel netwerk om inkomend en uitgaand verkeer te isoleren.

Zie Integreren met een virtueel netwerk voor uitgaande verbindingen als u openbare inkomende toegang tot een API Management-exemplaar in de laag Standard v2 of Premium v2 wilt inschakelen, maar uitgaande toegang tot netwerk-geïsoleerde back-ends wilt beperken.

Belangrijk

  • Virtuele netwerkinjectie die in dit artikel wordt beschreven, is alleen beschikbaar voor API Management-exemplaren in de Premium v2-laag (preview). Zie Een virtueel netwerk gebruiken met Azure API Management voor netwerkopties in de verschillende lagen.
  • Op dit moment kunt u een Premium v2-exemplaar alleen in een virtueel netwerk injecteren wanneer het exemplaar wordt gemaakt. U kunt geen bestaand Premium v2-exemplaar in een virtueel netwerk injecteren. U kunt echter de subnetinstellingen voor injectie bijwerken nadat het exemplaar is gemaakt.
  • Op dit moment kunt u niet schakelen tussen virtuele netwerkinjectie en integratie van virtuele netwerken voor een Premium v2-exemplaar.

Vereisten

  • Een Azure API Management-exemplaar in de prijscategorie Premium v2 .
  • Een virtueel netwerk waar uw client-apps en uw API Management-back-end-API's worden gehost. Zie de volgende secties voor vereisten en aanbevelingen voor het virtuele netwerk en subnet dat wordt gebruikt voor het API Management-exemplaar.

Netwerklocatie

  • Het virtuele netwerk moet zich in dezelfde regio en hetzelfde Azure-abonnement bevinden als het API Management-exemplaar.

Subnetvereisten

  • Het subnet voor het API Management-exemplaar kan niet worden gedeeld met een andere Azure-resource.

Subnetgrootte

  • Minimum: /27 (32 adressen)
  • Aanbevolen: /24 (256 adressen) - voor het schalen van het API Management-exemplaar

Netwerkbeveiligingsgroep

Er moet een netwerkbeveiligingsgroep worden gekoppeld aan het subnet.

Delegatie van subnet

Het subnet moet worden gedelegeerd aan de Service Microsoft.Web/hostingEnvironments .

Schermopname van subnetdelegering naar Microsoft.Web/hostingEnvironments in de portal.

Notitie

Mogelijk moet u de Microsoft.Web/hostingEnvironments resourceprovider registreren in het abonnement, zodat u het subnet kunt delegeren aan de service.

Zie Een subnetdelegering toevoegen of verwijderen voor meer informatie over het configureren van subnetdelegering.

addressPrefix-eigenschap

Voor virtuele netwerkinjectie in de Premium v2-laag is vereist dat de addressPrefix subneteigenschap is ingesteld op een geldig CIDR-blok.

Als u het subnet configureert met behulp van Azure Portal, stelt het subnet een addressPrefixes (meervoud) eigenschap in die bestaat uit een lijst met adresvoorvoegsels. API Management vereist echter één CIDR-blok als de waarde van de addressPrefix eigenschap.

Als u een subnet wilt maken of bijwerken met addressPrefix, gebruikt u een hulpprogramma zoals Azure PowerShell, een Azure Resource Manager-sjabloon of de REST API. Werk bijvoorbeeld een subnet bij met behulp van de Azure PowerShell-cmdlet Set-AzVirtualNetworkSubnetConfig :

# Set values for the variables that are appropriate for your environment.

$resourceGroupName = "MyResourceGroup"
$virtualNetworkName = "MyVirtualNetwork"
$subnetName = "ApimSubnet"
$addressPrefix = "10.0.3.0/24"


$virtualNetwork = Get-AzVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName

Set-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $virtualNetwork -AddressPrefix $addressPrefix

$virtualNetwork | Set-AzVirtualNetwork

Machtigingen

U moet ten minste de volgende op rollen gebaseerde toegangsbeheermachtigingen voor het subnet of op een hoger niveau hebben om virtuele netwerkinjectie te configureren:

Actie Beschrijving
Microsoft.Network/virtualNetworks/read De definitie van het virtuele netwerk lezen
Microsoft.Network/virtualNetworks/subnets/read Een subnetdefinitie voor een virtueel netwerk lezen
Microsoft.Network/virtualNetworks/subnets/join/action Hiermee wordt een virtueel netwerk samengevoegd

API Management in een virtueel netwerk injecteren

Wanneer u een Premium v2-exemplaar maakt met behulp van Azure Portal, kunt u eventueel instellingen configureren voor virtuele netwerkinjectie.

  1. Selecteer in de wizard API Management-service maken het tabblad Netwerken .
  2. Selecteer Virtueel netwerk bij Connectiviteitstype.
  3. Selecteer in Type De injectie van het virtuele netwerk.
  4. Selecteer in Virtuele netwerken configureren het virtuele netwerk en het gedelegeerde subnet dat u wilt injecteren.
  5. Voltooi de wizard om het API Management-exemplaar te maken.

DNS-instellingen voor toegang tot privé-IP-adres

Wanneer een Premium v2 API Management-exemplaar wordt geïnjecteerd in een virtueel netwerk, moet u uw eigen DNS beheren om binnenkomende toegang tot API Management in te schakelen.

Hoewel u de mogelijkheid hebt om uw eigen aangepaste DNS-server te gebruiken, raden we het volgende aan:

  1. Configureer een privézone van Azure DNS.
  2. Koppel de privézone van Azure DNS aan het virtuele netwerk.

Meer informatie over het instellen van een privézone in Azure DNS.

Eindpunttoegang op standaardhostnaam

Wanneer u een API Management-exemplaar in de Premium v2-laag maakt, wordt aan het volgende eindpunt een standaardhostnaam toegewezen:

  • Gateway - voorbeeld: contoso-apim.azure-api.net

DNS-record configureren

Maak een A-record op uw DNS-server voor toegang tot het API Management-exemplaar vanuit uw virtuele netwerk. Wijs de eindpuntrecord toe aan het privé-VIP-adres van uw API Management-exemplaar.

Voor testdoeleinden kunt u het hosts-bestand bijwerken op een virtuele machine in een subnet dat is verbonden met het virtuele netwerk waarin API Management wordt geïmplementeerd. Ervan uitgaande dat het privé-VIRTUELE IP-adres voor uw API Management-exemplaar 10.1.0.5 is, kunt u het hostbestand toewijzen, zoals wordt weergegeven in het volgende voorbeeld. Het toewijzingsbestand voor hosts bevindt zich in %SystemDrive%\drivers\etc\hosts (Windows) of /etc/hosts (Linux, macOS). Voorbeeld:

Intern virtueel IP-adres Hostnaam van gateway
10.1.0.5 contoso-apim.portal.azure-api.net

Gerelateerde inhoud