Dela via

Mata in en Azure API Management-instans i ett privat virtuellt nätverk – Premium v2-nivå

  • Artikel

GÄLLER FÖR: Premium v2

Den här artikeln vägleder dig genom kraven för att mata in din Azure API Management Premium v2-instans (förhandsversion) i ett virtuellt nätverk.

Kommentar

För att mata in en klassisk instans av developer- eller Premium-nivå i ett virtuellt nätverk är kraven och konfigurationen olika. Läs mer.

När en API Management Premium v2-instans matas in i ett virtuellt nätverk:

  • API Management-gatewayens slutpunkt är tillgänglig via det virtuella nätverket på en privat IP-adress.
  • API Management kan göra utgående begäranden till API-serverdelar som är isolerade i nätverket.

Den här konfigurationen rekommenderas för scenarier där du vill isolera nätverkstrafik till både API Management-instansen och serverdels-API:erna.

Diagram över att mata in en API Management-instans i ett virtuellt nätverk för att isolera inkommande och utgående trafik.

Om du vill aktivera offentlig inkommande åtkomst till en API Management-instans på nivån Standard v2 eller Premium v2, men begränsa utgående åtkomst till nätverksisolerade serverdelar, se Integrera med ett virtuellt nätverk för utgående anslutningar.

Viktigt!

  • Virtuell nätverksinmatning som beskrivs i den här artikeln är endast tillgänglig för API Management-instanser på Premium v2-nivån (förhandsversion). Nätverksalternativ på de olika nivåerna finns i Använda ett virtuellt nätverk med Azure API Management.
  • För närvarande kan du bara mata in en Premium v2-instans i ett virtuellt nätverk när instansen skapas. Du kan inte mata in en befintlig Premium v2-instans i ett virtuellt nätverk. Du kan dock uppdatera undernätsinställningarna för inmatning när instansen har skapats.
  • För närvarande kan du inte växla mellan virtuell nätverksinmatning och integrering av virtuella nätverk för en Premium v2-instans.

Förutsättningar

  • En Azure API Management-instans på prisnivån Premium v2 .
  • Ett virtuellt nätverk där dina klientappar och API Management-serverdels-API:er finns. Se följande avsnitt för krav och rekommendationer för det virtuella nätverket och undernätet som används för API Management-instansen.

Nätverksplats

  • Det virtuella nätverket måste finnas i samma region och Azure-prenumeration som API Management-instansen.

Krav för undernät

  • Undernätet för API Management-instansen kan inte delas med en annan Azure-resurs.

Storlek på undernät

  • Minimum: /27 (32 adresser)
  • Rekommenderas: /24 (256 adresser) – för skalning av API Management-instans

Nätverkssäkerhetsgrupp

En nätverkssäkerhetsgrupp måste vara associerad med undernätet.

Delegering av undernät

Undernätet måste delegeras till tjänsten Microsoft.Web/hostingEnvironments .

Skärmbild som visar delegering av undernät till Microsoft.Web/hostingEnvironments i portalen.

Kommentar

Du kan behöva registrera Microsoft.Web/hostingEnvironments resursprovidern i prenumerationen så att du kan delegera undernätet till tjänsten.

Mer information om hur du konfigurerar delegering av undernät finns i Lägga till eller ta bort en delegering av undernät.

addressPrefix-egenskap

Virtuell nätverksinmatning på Premium v2-nivån kräver att undernätsegenskapen addressPrefix är inställd på ett giltigt CIDR-block.

Om du konfigurerar undernätet med hjälp av Azure Portal anger undernätet en addressPrefixes (plural) egenskap som består av en lista med adressprefix. API Management kräver dock ett enda CIDR-block som värdet för addressPrefix egenskapen.

Om du vill skapa eller uppdatera ett undernät med addressPrefixanvänder du ett verktyg som Azure PowerShell, en Azure Resource Manager-mall eller REST-API:et. Du kan till exempel uppdatera ett undernät med hjälp av Azure PowerShell-cmdleten Set-AzVirtualNetworkSubnetConfig :

# Set values for the variables that are appropriate for your environment.

$resourceGroupName = "MyResourceGroup"
$virtualNetworkName = "MyVirtualNetwork"
$subnetName = "ApimSubnet"
$addressPrefix = "10.0.3.0/24"


$virtualNetwork = Get-AzVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName

Set-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $virtualNetwork -AddressPrefix $addressPrefix

$virtualNetwork | Set-AzVirtualNetwork

Behörigheter

Du måste ha minst följande rollbaserade behörigheter för åtkomstkontroll i undernätet eller på en högre nivå för att konfigurera virtuell nätverksinmatning:

Åtgärd beskrivning
Microsoft.Network/virtualNetworks/read Läs definitionen för virtuellt nätverk
Microsoft.Network/virtualNetworks/subnets/read Läsa en undernätsdefinition för virtuellt nätverk
Microsoft.Network/virtualNetworks/subnets/join/action Ansluter till ett virtuellt nätverk

Mata in API Management i ett virtuellt nätverk

När du skapar en Premium v2-instans med hjälp av Azure Portal kan du välja att konfigurera inställningar för virtuell nätverksinmatning.

  1. I guiden Skapa API Management-tjänst väljer du fliken Nätverk.
  2. I Anslutningstyp väljer du Virtuellt nätverk.
  3. I Typ väljer du Virtuell nätverksinmatning.
  4. I Konfigurera virtuella nätverk väljer du det virtuella nätverket och det delegerade undernät som du vill mata in.
  5. Slutför guiden för att skapa API Management-instansen.

DNS-inställningar för åtkomst till privat IP-adress

När en Premium v2 API Management-instans matas in i ett virtuellt nätverk måste du hantera din egen DNS för att aktivera inkommande åtkomst till API Management.

Även om du har möjlighet att använda din egen anpassade DNS-server rekommenderar vi:

  1. Konfigurera en privat Azure DNS-zon.
  2. Länka den privata Azure DNS-zonen till det virtuella nätverket.

Lär dig hur du konfigurerar en privat zon i Azure DNS.

Slutpunktsåtkomst på standardvärdnamn

När du skapar en API Management-instans på Premium v2-nivån tilldelas följande slutpunkt ett standardvärdnamn:

  • Gateway – exempel: contoso-apim.azure-api.net

Konfigurera DNS-post

Skapa en A-post på DNS-servern för att komma åt API Management-instansen inifrån ditt virtuella nätverk. Mappa slutpunktsposten till den privata VIP-adressen för din API Management-instans.

I testsyfte kan du uppdatera värdfilen på en virtuell dator i ett undernät som är anslutet till det virtuella nätverk där API Management distribueras. Om den privata virtuella IP-adressen för din API Management-instans är 10.1.0.5 kan du mappa värdfilen enligt följande exempel. Värdmappningsfilen finns i %SystemDrive%\drivers\etc\hosts (Windows) eller /etc/hosts (Linux, macOS). Till exempel:

Intern virtuell IP-adress Gateway-värdnamn
10.1.0.5 contoso-apim.portal.azure-api.net

Relaterat innehåll