Udostępnij za pośrednictwem


Wstrzykiwanie wystąpienia usługi Azure API Management w prywatnej sieci wirtualnej — warstwa Premium v2

DOTYCZY: Premium v2

W tym artykule przedstawiono wymagania dotyczące wstrzykiwania wystąpienia usługi Azure API Management w wersji 2 (wersja zapoznawcza) w sieci wirtualnej.

Uwaga

Aby wstrzyknąć klasyczne wystąpienie dewelopera lub warstwy Premium w sieci wirtualnej, wymagania i konfiguracja są inne. Dowiedz się więcej.

Po wstrzyknięciu wystąpienia usługi API Management w wersji 2 w wersji 2 w sieci wirtualnej:

  • Punkt końcowy bramy usługi API Management jest dostępny za pośrednictwem sieci wirtualnej pod prywatnym adresem IP.
  • Usługa API Management może wysyłać żądania wychodzące do zapleczy interfejsu API, które są izolowane w sieci.

Ta konfiguracja jest zalecana w scenariuszach, w których chcesz odizolować ruch sieciowy zarówno do wystąpienia usługi API Management, jak i interfejsów API zaplecza.

Diagram przedstawiający wstrzykiwanie wystąpienia usługi API Management w sieci wirtualnej w celu odizolowania ruchu przychodzącego i wychodzącego.

Jeśli chcesz włączyć publiczny dostęp przychodzący do wystąpienia usługi API Management w warstwie Standardowa w wersji 2 lub Premium w wersji 2, ale ograniczyć dostęp wychodzący do zapleczy odizolowanych od sieci, zobacz Integracja z siecią wirtualną dla połączeń wychodzących.

Ważne

  • Iniekcja sieci wirtualnej opisana w tym artykule jest dostępna tylko dla wystąpień usługi API Management w warstwie Premium v2 (wersja zapoznawcza). Aby uzyskać informacje o opcjach sieciowych w różnych warstwach, zobacz Używanie sieci wirtualnej z usługą Azure API Management.
  • Obecnie można wstrzyknąć wystąpienie Premium v2 do sieci wirtualnej tylko wtedy, gdy wystąpienie zostanie utworzone. Nie można wstrzyknąć istniejącego wystąpienia Premium v2 do sieci wirtualnej. Można jednak zaktualizować ustawienia podsieci podsieci po utworzeniu wystąpienia.
  • Obecnie nie można przełączać się między iniekcją sieci wirtualnej a integracją sieci wirtualnej dla wystąpienia premium w wersji 2.

Wymagania wstępne

  • Wystąpienie usługi Azure API Management w warstwie cenowej Premium v2 .
  • Sieć wirtualna, w której są hostowane aplikacje klienckie i interfejsy API zaplecza usługi API Management. Zapoznaj się z poniższymi sekcjami, aby zapoznać się z wymaganiami i zaleceniami dotyczącymi sieci wirtualnej i podsieci używanej dla wystąpienia usługi API Management.

Lokalizacja sieciowa

  • Sieć wirtualna musi znajdować się w tym samym regionie i subskrypcji platformy Azure co wystąpienie usługi API Management.

Wymagania dotyczące podsieci

  • Podsieć wystąpienia usługi API Management nie może być udostępniona innemu zasobowi platformy Azure.

Rozmiar podsieci

  • Minimum: /27 (32 adresy)
  • Zalecane: /24 (256 adresów) — aby uwzględnić skalowanie wystąpienia usługi API Management

Sieciowa grupa zabezpieczeń

Sieciowa grupa zabezpieczeń musi być skojarzona z podsiecią.

Delegowanie podsieci

Podsieć musi być delegowana do usługi Microsoft.Web/hostingEnvironments .

Zrzut ekranu przedstawiający delegowanie podsieci do witryny Microsoft.Web/hostingŚrodowisko w portalu.

Uwaga

Może być konieczne zarejestrowanie dostawcy Microsoft.Web/hostingEnvironments zasobów w subskrypcji, aby można było delegować podsieć do usługi.

Aby uzyskać więcej informacji na temat konfigurowania delegowania podsieci, zobacz Dodawanie lub usuwanie delegowania podsieci.

addressPrefix, właściwość

Iniekcja sieci wirtualnej w warstwie Premium v2 wymaga ustawienia addressPrefix właściwości podsieci na prawidłowy blok CIDR.

Jeśli skonfigurujesz podsieć przy użyciu witryny Azure Portal, podsieć ustawia właściwość (mnoga) składającą addressPrefixes się z listy prefiksów adresów. Jednak usługa API Management wymaga pojedynczego bloku CIDR jako wartości addressPrefix właściwości.

Aby utworzyć lub zaktualizować podsieć addressPrefixza pomocą polecenia , użyj narzędzia, takiego jak program Azure PowerShell, szablon usługi Azure Resource Manager lub interfejs API REST. Na przykład zaktualizuj podsieć przy użyciu polecenia cmdlet Set-AzVirtualNetworkSubnetConfig programu Azure PowerShell:

# Set values for the variables that are appropriate for your environment.

$resourceGroupName = "MyResourceGroup"
$virtualNetworkName = "MyVirtualNetwork"
$subnetName = "ApimSubnet"
$addressPrefix = "10.0.3.0/24"


$virtualNetwork = Get-AzVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName

Set-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $virtualNetwork -AddressPrefix $addressPrefix

$virtualNetwork | Set-AzVirtualNetwork

Uprawnienia

Aby skonfigurować iniekcję sieci wirtualnej, musisz mieć co najmniej następujące uprawnienia kontroli dostępu opartej na rolach w podsieci lub na wyższym poziomie:

Akcja opis
Microsoft.Network/virtualNetworks/read Odczytywanie definicji sieci wirtualnej
Microsoft.Network/virtualNetworks/subnets/read Odczytywanie definicji podsieci sieci wirtualnej
Microsoft.Network/virtualNetworks/subnets/join/action Dołącza do sieci wirtualnej

Wstrzykiwanie usługi API Management w sieci wirtualnej

Podczas tworzenia wystąpienia w wersji Premium w wersji 2 przy użyciu witryny Azure Portal można opcjonalnie skonfigurować ustawienia iniekcji sieci wirtualnej.

  1. W kreatorze Tworzenie usługi API Management wybierz kartę Sieć.
  2. W obszarze Typ połączenia wybierz pozycję Sieć wirtualna.
  3. W polu Typ wybierz pozycję Iniekcja sieci wirtualnej.
  4. W obszarze Konfigurowanie sieci wirtualnych wybierz sieć wirtualną i podsieć delegowana, którą chcesz wstrzyknąć.
  5. Ukończ pracę kreatora, aby utworzyć wystąpienie usługi API Management.

Ustawienia DNS na potrzeby dostępu do prywatnego adresu IP

Po wstrzyknięciu wystąpienia usługi API Management w wersji Premium w wersji 2 w sieci wirtualnej należy zarządzać własnym systemem DNS, aby umożliwić dostęp przychodzący do usługi API Management.

Chociaż masz możliwość korzystania z własnego niestandardowego serwera DNS, zalecamy:

  1. Konfigurowanie strefy prywatnej usługi Azure DNS.
  2. Połącz strefę prywatną usługi Azure DNS z siecią wirtualną.

Dowiedz się, jak skonfigurować strefę prywatną w usłudze Azure DNS.

Dostęp do punktu końcowego w domyślnej nazwie hosta

Podczas tworzenia wystąpienia usługi API Management w warstwie Premium w wersji 2 do domyślnej nazwy hosta jest przypisywany następujący punkt końcowy:

  • Brama — przykład: contoso-apim.azure-api.net

Konfigurowanie rekordu DNS

Utwórz rekord A na serwerze DNS, aby uzyskać dostęp do wystąpienia usługi API Management z poziomu sieci wirtualnej. Zamapuj rekord punktu końcowego na prywatny adres VIP wystąpienia usługi API Management.

W celach testowych można zaktualizować plik hostów na maszynie wirtualnej w podsieci połączonej z siecią wirtualną, w której wdrożono usługę API Management. Zakładając, że prywatny wirtualny adres IP wystąpienia usługi API Management to 10.1.0.5, możesz mapować plik hosts, jak pokazano w poniższym przykładzie. Plik mapowania hostów znajduje się w systemie %SystemDrive%\drivers\etc\hosts (Windows) lub /etc/hosts (Linux, macOS). Na przykład:

Wewnętrzny wirtualny adres IP Nazwa hosta bramy
10.1.0.5 contoso-apim.portal.azure-api.net