你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将 Azure API 管理实例与用于出站连接的专用虚拟网络集成

适用于:标准 v2 |高级 v2

本文将指导你完成为标准 v2 或高级 v2(预览版)Azure API 管理实例配置虚拟网络集成的过程。 通过虚拟网络集成,实例可以向托管在单个已连接虚拟网络的委派子网中的 API 发出出站请求。

当 API 管理实例与用于出站请求的虚拟网络集成时,网关和开发人员门户终结点将保持可公开访问状态。 API 管理实例可以同时访问公共和网络隔离的后端服务。

将 API 管理实例与用于出站流量的虚拟网络集成的关系图。

如果要将高级 v2 API 管理实例注入虚拟网络以隔离入站和出站流量,请参阅将高级 v2 实例注入虚拟网络

重要

  • 本文中所述的出站虚拟网络集成仅适用于标准 v2 层和高级 v2 层中的 API 管理实例。 有关不同层中的网络选项,请参阅将虚拟网络与 Azure API 管理配合使用
  • 可以在标准 v2 或高级 v2 层中创建 API 管理实例时,或在创建实例后启用虚拟网络集成。
  • 目前,对于高级 v2 实例,无法在虚拟网络注入和虚拟网络集成之间切换。

先决条件

  • 标准 v2 或高级 v2 定价层中的 Azure API 管理实例
  • (可选)若要进行测试,示例后端 API 托管在虚拟网络中的不同子网中。 例如,请参阅教程:建立 Azure Functions 专用站点访问
  • 包含托管 API 管理后端 API 的子网的虚拟网络。 有关虚拟网络和子网的要求和建议,请参阅以下部分。

网络位置

  • 虚拟网络必须与 API 管理实例位于同一区域和 Azure 订阅中。

子网要求

  • 子网无法与其他 Azure 资源共享。

子网大小

  • 最小值:/27(32 个地址)
  • 建议:/24(256 个地址)- 以适应 API 管理实例的缩放

网络安全组

网络安全组必须与该子网关联。

子网委托

需要将该子网委派给 Microsoft.Web/serverFarms 服务。

屏幕截图显示了子网在门户中委托给 Microsoft.Web/serverFarms。

注意

可能需要在订阅中注册 Microsoft.Web/serverFarms 资源提供程序,以便可以将子网委托给服务。

要详细了解如何配置子网委派,请参阅添加或删除子网委派

权限

必须至少具有子网的以下基于角色的访问控制权限或更高级别权限,才能配置虚拟网络集成:

操作 说明
Microsoft.Network/virtualNetworks/read 读取虚拟网络定义
Microsoft.Network/virtualNetworks/subnets/read 读取虚拟网络子网定义
Microsoft.Network/virtualNetworks/subnets/join/action 加入虚拟网络

配置虚拟网络集成

本部分将指导你完成为现有 Azure API 管理实例配置外部虚拟网络集成的过程。

  1. Azure 门户,导航到 API 管理实例。

  2. 在左侧菜单中的“部署 + 基础结构”下,选择“网络”。

  3. 在“出站流量”卡片中,选择“虚拟网络集成”。

    门户中虚拟网络集成的屏幕截图。

  4. 在“虚拟网络”边栏选项卡中,启用“虚拟网络”复选框。

  5. 选择 API 管理实例的位置。

  6. 在“虚拟网络”中,选择要集成的虚拟网络和委派子网。

  7. 选择“应用”,然后选择“保存”。 虚拟网络已集成。

    门户中虚拟网络设置的屏幕截图。

(可选)测试虚拟网络集成

如果在虚拟网络中托管了 API,则可以将其导入管理实例并测试虚拟网络集成。 有关基本步骤,请参阅导入和发布 API