Dela via

Mata in en Azure API Management-instans i ett privat virtuellt nätverk – Premium v2-nivå

  • Artikel

GÄLLER FÖR: Premium v2

Den här artikeln vägleder dig genom kraven för att mata in din Azure API Management Premium v2-instans (förhandsversion) i ett virtuellt nätverk.

Kommentar

För att mata in en klassisk instans av developer- eller Premium-nivå i ett virtuellt nätverk är kraven och konfigurationen olika. Läs mer.

När en API Management Premium v2-instans matas in i ett virtuellt nätverk:

  • API Management-gatewayens slutpunkt är tillgänglig via det virtuella nätverket på en privat IP-adress.
  • API Management kan göra utgående begäranden till API-serverdelar som är isolerade i nätverket.

Den här konfigurationen rekommenderas för scenarier där du vill isolera nätverkstrafik till både API Management-instansen och serverdels-API:erna.

Diagram över att mata in en API Management-instans i ett virtuellt nätverk för att isolera inkommande och utgående trafik.

Om du vill aktivera offentlig inkommande åtkomst till en API Management-instans på nivån Standard v2 eller Premium v2, men begränsa utgående åtkomst till nätverksisolerade serverdelar, se Integrera med ett virtuellt nätverk för utgående anslutningar.

Viktigt!

  • Virtuell nätverksinmatning som beskrivs i den här artikeln är endast tillgänglig för API Management-instanser på Premium v2-nivån (förhandsversion). Nätverksalternativ på de olika nivåerna finns i Använda ett virtuellt nätverk med Azure API Management.
  • För närvarande kan du bara mata in en Premium v2-instans i ett virtuellt nätverk när instansen skapas. Du kan inte mata in en befintlig Premium v2-instans i ett virtuellt nätverk. Du kan dock uppdatera undernätsinställningarna för inmatning när instansen har skapats.
  • För närvarande kan du inte växla mellan virtuell nätverksinmatning och integrering av virtuella nätverk för en Premium v2-instans.

Förutsättningar

  • En Azure API Management-instans på prisnivån Premium v2 .
  • Ett virtuellt nätverk där dina klientappar och API Management-serverdels-API:er finns. Se följande avsnitt för krav och rekommendationer för det virtuella nätverket och undernätet som används för API Management-instansen.

Nätverksplats

  • Det virtuella nätverket måste finnas i samma region och Azure-prenumeration som API Management-instansen.

Krav för undernät

  • Undernätet för API Management-instansen kan inte delas med en annan Azure-resurs.

Storlek på undernät

  • Minimum: /27 (32 adresser)
  • Rekommenderas: /24 (256 adresser) – för skalning av API Management-instans

Nätverkssäkerhetsgrupp

En nätverkssäkerhetsgrupp måste vara associerad med undernätet.

Delegering av undernät

Undernätet måste delegeras till tjänsten Microsoft.Web/hostingEnvironments .

Skärmbild som visar delegering av undernät till Microsoft.Web/hostingEnvironments i portalen.

Kommentar

Du kan behöva registrera Microsoft.Web/hostingEnvironments resursprovidern i prenumerationen så att du kan delegera undernätet till tjänsten.

Mer information om hur du konfigurerar delegering av undernät finns i Lägga till eller ta bort en delegering av undernät.

Behörigheter

Du måste ha minst följande rollbaserade behörigheter för åtkomstkontroll i undernätet eller på en högre nivå för att konfigurera integrering av virtuella nätverk:

Åtgärd beskrivning
Microsoft.Network/virtualNetworks/read Läs definitionen för virtuellt nätverk
Microsoft.Network/virtualNetworks/subnets/read Läsa en undernätsdefinition för virtuellt nätverk
Microsoft.Network/virtualNetworks/subnets/join/action Ansluter till ett virtuellt nätverk

Mata in API Management i ett virtuellt nätverk

När du skapar en Premium v2-instans med hjälp av Azure Portal kan du välja att konfigurera inställningar för virtuell nätverksinmatning.

  1. I guiden Skapa API Management-tjänst väljer du fliken Nätverk.

  2. I Anslutningstyp väljer du Virtuellt nätverk.

  3. I Typ väljer du Internt.

  4. I Konfigurera virtuella nätverk väljer du det virtuella nätverket och det delegerade undernät som du vill integrera.

    Du kan också ange en offentlig IP-adressresurs om du vill äga och styra en IP-adress som endast används för utgående anslutning till Internet.

  5. Slutför guiden för att skapa API Management-instansen.

DNS-inställningar för integrering med privat IP-adress

När en Premium v2 API Management-instans matas in i ett virtuellt nätverk måste du hantera din egen DNS för att aktivera inkommande åtkomst till API Management.

Även om du har möjlighet att använda din egen anpassade DNS-server rekommenderar vi:

  1. Konfigurera en privat Azure DNS-zon.
  2. Länka den privata Azure DNS-zonen till det virtuella nätverket.

Lär dig hur du konfigurerar en privat zon i Azure DNS.

Slutpunktsåtkomst på standardvärdnamn

När du skapar en API Management-instans på Premium v2-nivån tilldelas följande slutpunkt ett standardvärdnamn:

  • Gateway – exempel: contoso-apim.azure-api.net

Konfigurera DNS-post

Skapa en A-post på DNS-servern för att komma åt API Management-instansen inifrån ditt virtuella nätverk. Mappa slutpunktsposten till den privata VIP-adressen för din API Management-instans.

I testsyfte kan du uppdatera värdfilen på en virtuell dator i ett undernät som är anslutet till det virtuella nätverk där API Management distribueras. Om den privata virtuella IP-adressen för din API Management-instans är 10.1.0.5 kan du mappa värdfilen enligt följande exempel. Värdmappningsfilen finns i %SystemDrive%\drivers\etc\hosts (Windows) eller /etc/hosts (Linux, macOS). Till exempel:

Intern virtuell IP-adress Gateway-värdnamn
10.1.0.5 contoso-apim.portal.azure-api.net

Relaterat innehåll