Requisitos de recursos de rede para a integração de um gateway do espaço de trabalho em uma rede virtual
APLICA-SE A: Premium
O isolamento da rede é um recurso opcional de um gateway do espaço de trabalho do Gerenciamento de API. Este artigo fornece os requisitos de recursos de rede quando você integra seu gateway em uma rede virtual do Azure. Alguns requisitos diferem dependendo do modo de acesso de entrada e saída desejado. Os seguintes modos são suportados:
- Acesso público de entrada, acesso privado de saída (Público/Privado)
- Acesso privado de entrada, acesso privado de saída (Privado/Privado)
Para obter informações sobre as opções de rede no Gerenciamento de API, consulte Usar uma rede virtual para proteger o tráfego de entrada ou de saída do Gerenciamento de API do Azure.
Observação
- A configuração de rede de um gateway do workspace é independente da configuração de rede da instância do Gerenciamento de API.
- Atualmente, um gateway de workspace só pode ser configurado em uma rede virtual quando o gateway é criado. Você não pode alterar a configuração ou as definições de rede do gateway posteriormente.
Local da rede
- A rede virtual deve estar na mesma região e assinatura do Azure que a instância do Gerenciamento de API.
Requisitos de sub-rede
- A sub-rede não pode ser compartilhada com outro recurso do Azure, incluindo outro gateway do espaço de trabalho.
Tamanho da sub-rede
- Mínimo: /27 (32 endereços)
- Máximo: /24 (256 endereços) – recomendado
Delegação de sub-rede
A sub-rede deve ser delegada da seguinte forma para habilitar o acesso de entrada e saída desejado.
Para obter informações sobre como configurar a delegação de sub-rede, consulte Adicionar ou remover uma delegação de sub-rede.
Para o modo Público/Privado, a sub-rede precisa ser delegada ao serviço Microsoft.Web/serverFarms.
Observação
Talvez seja necessário registrar o provedor de recursos Microsoft.Web/serverFarms na assinatura para que você possa delegar a sub-rede ao serviço.
Regras de NSG (Grupo de segurança de rede)
Um grupo de segurança de rede (NSG) deve ser conectado à sub-rede para permitir explicitamente a conectividade de entrada. Configure as seguintes regras no NSG. Defina a prioridade dessas regras como maior do que as regras padrão.
| Porta(s) de Origem/Destino | Direção | Protocolo de transporte | Origem | Destino | Finalidade |
|---|---|---|---|---|---|
| */80 | Entrada | TCP | AzureLoadBalancer | Intervalo de sub-rede do gateway do espaço de trabalho | Permitir tráfego de ping de integridade interno |
| */80,443 | Entrada | TCP | Internet | Intervalo de sub-rede do gateway do espaço de trabalho | Permitir o tráfego de entrada |
Configurações de DNS para configuração Privado/Privado
Na configuração de rede Privado/Privado, você precisa gerenciar seu próprio DNS para permitir o acesso de entrada ao gateway do seu espaço de trabalho.
Recomendações:
- Configurar uma zona privada DNS do Azure.
- Vincule a zona privada do DNS do Azure à VNet na qual você implantou seu gateway do espaço de trabalho.
Saiba como configurar uma zona privada no DNS do Azure.
Acesso no nome do host padrão
Quando você cria um espaço de trabalho do Gerenciamento de API, o gateway do espaço de trabalho recebe um nome de host padrão. O nome do host fica visível no portal do Azure na página Visão Geral do gateway do espaço de trabalho, juntamente com seu endereço IP virtual privado. O nome do host padrão está no formato <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net. Exemplo: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.
Observação
O gateway do espaço de trabalho responde apenas a solicitações para o nome do host configurado em seu ponto de extremidade, não para seu endereço VIP privado.
Configurar registro DNS
Crie um registro A no seu servidor DNS para acessar o espaço de trabalho a partir da sua VNet. Mapeie o registro do ponto de extremidade para o endereço VIP privado do gateway do seu espaço de trabalho.
Para fins de teste, você pode atualizar o arquivo de hosts em uma máquina virtual em uma sub-rede conectada à VNet na qual o Gerenciamento de API está implantado. Supondo que o endereço IP virtual privado do gateway do seu espaço de trabalho seja 10.1.0.5, você pode mapear o arquivo hosts conforme mostrado no exemplo a seguir. O arquivo de mapeamento de hosts está em %SystemDrive%\drivers\etc\hosts (Windows) ou /etc/hosts (Linux, macOS).
| Endereço IP virtual interno | Nome do host do gateway |
|---|---|
| 10.1.0.5 | teamworkspace.gateway.westus.azure-api.net |