Поделиться через

Внедрение экземпляра Azure Управление API в частной виртуальной сети — уровень "Премиум" версии 2

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ: Премиум версии 2

В этой статье описаны требования к внедрению экземпляра Azure Управление API Premium версии 2 (предварительная версия) в виртуальной сети.

Примечание.

Чтобы внедрить классический экземпляр разработчика или уровня Premium в виртуальную сеть, требования и конфигурация отличаются. Подробнее.

При внедрении экземпляра Управление API Premium версии 2 в виртуальную сеть:

  • Конечная точка шлюза Управление API доступна через виртуальную сеть по частному IP-адресу.
  • Управление API могут выполнять исходящие запросы к серверным службам API, изолированным в сети.

Эта конфигурация рекомендуется использовать для сценариев, в которых необходимо изолировать сетевой трафик как для экземпляра Управление API, так и для внутренних API.

Схема внедрения экземпляра Управление API в виртуальную сеть для изоляции входящего и исходящего трафика.

Если вы хотите включить общедоступный входящий доступ к экземпляру Управление API на уровне "Стандартный" версии 2 или "Премиум" версии 2, но ограничить исходящий доступ к изолированным от сети серверным серверам, см. статью "Интеграция с виртуальной сетью для исходящих подключений".

Внимание

  • Внедрение виртуальной сети, описанное в этой статье, доступно только для Управление API экземпляров уровня Premium версии 2 (предварительная версия). Параметры сети в разных уровнях см. в статье "Использование виртуальной сети с Управление API Azure".
  • В настоящее время экземпляр Premium версии 2 можно внедрить в виртуальную сеть только при создании экземпляра. Невозможно внедрить существующий экземпляр Premium версии 2 в виртуальную сеть. Однако можно обновить параметры подсети для внедрения после создания экземпляра.
  • В настоящее время нельзя переключаться между внедрением виртуальной сети и интеграцией виртуальной сети для экземпляра Premium версии 2.

Необходимые компоненты

  • Экземпляр Azure Управление API в ценовой категории Premium версии 2.
  • Виртуальная сеть, в которой размещаются клиентские приложения и Управление API серверные API. Дополнительные сведения о требованиях и рекомендациях по виртуальной сети и подсети, используемой для экземпляра Управление API.

Сетевое расположение

  • Виртуальная сеть должна находиться в том же регионе и подписке Azure, что и экземпляр Управление API.

Требования к подсети

  • Подсеть для экземпляра Управление API не может быть предоставлена другому ресурсу Azure.

Размер подсети

  • Минимум: /27 (32 адреса)
  • Рекомендуется: /24 (256 адресов) для масштабирования экземпляра Управление API

группу безопасности сети;

Группа безопасности сети должна быть связана с подсетью.

Делегирование подсети

Подсеть необходимо делегировать службе Microsoft.Web/hostingEnvironments .

Снимок экрана: делегирование подсети в Microsoft.Web/hostingEnvironments на портале.

Примечание.

Возможно, потребуется зарегистрировать Microsoft.Web/hostingEnvironments поставщика ресурсов в подписке, чтобы можно было делегировать подсеть службе.

Дополнительные сведения о настройке делегирования подсети см. в разделе "Добавление или удаление делегирования подсети".

Свойство addressPrefix

Внедрение виртуальной сети на уровне Premium версии 2 требует, чтобы addressPrefix свойство подсети было задано в допустимый блок CIDR.

Если настроить подсеть с помощью портал Azure, подсеть задает addressPrefixes свойство (plural), состоящее из списка префиксов адресов. Однако для Управление API требуется один блок CIDR в качестве значения addressPrefix свойства.

Чтобы создать или обновить подсеть, addressPrefixиспользуйте средство, например Azure PowerShell, шаблон Azure Resource Manager или REST API. Например, обновите подсеть с помощью командлета Set-AzVirtualNetworkSubnetConfig Azure PowerShell:

# Set values for the variables that are appropriate for your environment.

$resourceGroupName = "MyResourceGroup"
$virtualNetworkName = "MyVirtualNetwork"
$subnetName = "ApimSubnet"
$addressPrefix = "10.0.3.0/24"


$virtualNetwork = Get-AzVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName

Set-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $virtualNetwork -AddressPrefix $addressPrefix

$virtualNetwork | Set-AzVirtualNetwork

Разрешения

Для настройки внедрения виртуальной сети необходимо иметь по крайней мере следующие разрешения на управление доступом на основе ролей в подсети или на более высоком уровне:

Действие Description
Microsoft.Network/virtualNetworks/read Чтение определения виртуальной сети
Microsoft.Network/virtualNetworks/subnets/read Чтение определения подсети виртуальной сети
Microsoft.Network/virtualNetworks/subnets/join/action Присоединяет виртуальную сеть.

Внедрение Управление API в виртуальной сети

При создании экземпляра Premium версии 2 с помощью портал Azure можно при необходимости настроить параметры внедрения виртуальной сети.

  1. В мастере создания служб Управление API выберите вкладку "Сеть".
  2. В типе подключения выберите виртуальную сеть.
  3. В поле "Тип" выберите виртуальная сеть внедрения.
  4. В разделе "Настройка виртуальных сетей" выберите виртуальную сеть и делегированную подсеть, которую требуется внедрить.
  5. Завершите работу мастера, чтобы создать экземпляр Управление API.

Параметры DNS для доступа к частному IP-адресу

Когда экземпляр Управление API класса Premium версии 2 внедряется в виртуальную сеть, необходимо управлять собственным DNS, чтобы включить входящий доступ к Управление API.

Хотя у вас есть возможность использовать собственный пользовательский DNS-сервер, рекомендуется:

  1. Настройка частной зоны Azure DNS.
  2. Связывание частной зоны Azure DNS с виртуальной сетью.

Узнайте, как настроить частную зону в Azure DNS.

Доступ к конечной точке по имени узла по умолчанию

При создании экземпляра Управление API на уровне Premium версии 2 для следующей конечной точки назначается имя узла по умолчанию:

  • Шлюз — пример: contoso-apim.azure-api.net

Настройка записи DNS

Создайте запись A на DNS-сервере, чтобы получить доступ к Управление API экземпляру из виртуальной сети. Сопоставите запись конечной точки с частным ВИРТУАЛЬНЫм IP-адресом экземпляра Управление API.

В целях тестирования можно обновить файл узлов на виртуальной машине в подсети, подключенной к виртуальной сети, в которой развернуты Управление API. Если для экземпляра Управление API используется частный виртуальный IP-адрес 10.1.0.5, можно сопоставить файл узлов, как показано в следующем примере. Файл сопоставления узлов находится в %SystemDrive%\drivers\etc\hosts (Windows) или /etc/hosts (Linux, macOS). Например:

Внутренний виртуальный IP-адрес Имя узла шлюза
10.1.0.5 contoso-apim.portal.azure-api.net

Связанный контент