你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 Azure API 管理实例与用于出站连接的专用虚拟网络集成
适用于:标准 v2 |高级 v2
本文将指导你完成为标准 v2 或高级 v2(预览版)Azure API 管理实例配置虚拟网络集成的过程。 通过虚拟网络集成,实例可以向托管在单个已连接虚拟网络的委派子网中的 API 发出出站请求。
当 API 管理实例与用于出站请求的虚拟网络集成时,网关和开发人员门户终结点将保持可公开访问状态。 API 管理实例可以同时访问公共和网络隔离的后端服务。
如果要将高级 v2 API 管理实例注入虚拟网络以隔离入站和出站流量,请参阅将高级 v2 实例注入虚拟网络。
重要
- 本文中所述的出站虚拟网络集成仅适用于标准 v2 层和高级 v2 层中的 API 管理实例。 有关不同层中的网络选项,请参阅将虚拟网络与 Azure API 管理配合使用。
- 可以在标准 v2 或高级 v2 层中创建 API 管理实例时,或在创建实例后启用虚拟网络集成。
- 目前,对于高级 v2 实例,无法在虚拟网络注入和虚拟网络集成之间切换。
先决条件
- 标准 v2 或高级 v2 定价层中的 Azure API 管理实例
- (可选)若要进行测试,示例后端 API 托管在虚拟网络中的不同子网中。 例如,请参阅教程:建立 Azure Functions 专用站点访问。
- 包含托管 API 管理后端 API 的子网的虚拟网络。 有关虚拟网络和子网的要求和建议,请参阅以下部分。
网络位置
- 虚拟网络必须与 API 管理实例位于同一区域和 Azure 订阅中。
子网要求
- 子网无法与其他 Azure 资源共享。
子网大小
- 最小值:/27(32 个地址)
- 建议:/24(256 个地址)- 以适应 API 管理实例的缩放
网络安全组
网络安全组必须与该子网关联。
子网委托
需要将该子网委派给 Microsoft.Web/serverFarms 服务。
注意
可能需要在订阅中注册 Microsoft.Web/serverFarms
资源提供程序,以便可以将子网委托给服务。
要详细了解如何配置子网委派,请参阅添加或删除子网委派。
权限
必须至少具有子网的以下基于角色的访问控制权限或更高级别权限,才能配置虚拟网络集成:
操作 | 说明 |
---|---|
Microsoft.Network/virtualNetworks/read | 读取虚拟网络定义 |
Microsoft.Network/virtualNetworks/subnets/read | 读取虚拟网络子网定义 |
Microsoft.Network/virtualNetworks/subnets/join/action | 加入虚拟网络 |
配置虚拟网络集成
本部分将指导你完成为现有 Azure API 管理实例配置外部虚拟网络集成的过程。
在 Azure 门户,导航到 API 管理实例。
在左侧菜单中的“部署 + 基础结构”下,选择“网络”。
在“出站流量”卡片中,选择“虚拟网络集成”。
在“虚拟网络”边栏选项卡中,启用“虚拟网络”复选框。
选择 API 管理实例的位置。
在“虚拟网络”中,选择要集成的虚拟网络和委派子网。
选择“应用”,然后选择“保存”。 虚拟网络已集成。
(可选)测试虚拟网络集成
如果在虚拟网络中托管了 API,则可以将其导入管理实例并测试虚拟网络集成。 有关基本步骤,请参阅导入和发布 API。