إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
ينطبق على: Premium
عزل الشبكة هو ميزة اختيارية لبوابة مساحة عمل APIM. توفر هذه المقالة متطلبات موارد الشبكة عند دمج البوابة أو إدخالها في شبكة Azure الظاهرية. تختلف بعض المتطلبات اعتمادا على وضع الوصول الوارد والصادر المطلوب. يتم دعم الأوضاع التالية:
- تكامل الشبكة الظاهرية: الوصول العام الوارد، الوصول الصادر الخاص
- حقن الشبكة الظاهرية: الوصول الداخلي الخاص، الوصول الصادر الخاص
للحصول على خلفية حول خيارات الشبكات في APIM، راجع استخدام شبكة ظاهرية لتأمين نسبة استخدام الشبكة الواردة أو الصادرة لإدارة واجهة برمجة تطبيقات Azure.
إشعار
- تكوين الشبكة لبوابة مساحة العمل مستقل عن تكوين الشبكة لمثيل APIM.
- حاليا، لا يمكن تكوين بوابة مساحة العمل إلا في شبكة ظاهرية عند إنشاء البوابة. لا يمكنك تغيير تكوين شبكة البوابة أو إعداداتها لاحقا.
موقع الشبكة
يجب أن تكون الشبكة الظاهرية في نفس المنطقة واشتراك Azure مثل مثيل APIM.
شبكة فرعية مخصصة
- يمكن استخدام الشبكة الفرعية المستخدمة لتكامل الشبكة الظاهرية أو الحقن فقط بواسطة بوابة مساحة عمل واحدة. لا يمكن مشاركته مع مورد Azure آخر.
حجم الشبكة الفرعية
- الحد الأدنى: /27 (32 عنوانا)
- الحد الأقصى: /24 (256 عنوانا) - مستحسن
تفويض الشبكة الفرعية
يجب تفويض الشبكة الفرعية على النحو التالي لتمكين الوصول الوارد والصادر المطلوب.
للحصول على معلومات حول تكوين تفويض الشبكة الفرعية، راجع إضافة تفويض شبكة فرعية أو إزالته.
لتكامل الشبكة الظاهرية، يجب تفويض الشبكة الفرعية إلى خدمة Microsoft.Web/serverFarms .
إشعار
يجب أن Microsoft.Web يكون مزود الموارد مسجلا في الاشتراك حتى تتمكن من تفويض الشبكة الفرعية للخدمة. للاطلاع على خطوات تسجيل مزود الموارد باستخدام البوابة، راجع سجل مزود الموارد.
لمزيد من المعلومات حول تكوين تفويض الشبكة الفرعية، راجع إضافة تفويض شبكة فرعية أو إزالته.
مجموعة أمان الشبكة
يجب أن تكون مجموعة أمان الشبكة (NSG) مقترنة بالشبكة الفرعية. لإعداد مجموعة أمان شبكة، راجع إنشاء مجموعة أمان شبكة.
- قم بتكوين القواعد في الجدول التالي للسماح بالوصول الصادر إلى Azure Storage و Azure Key Vault، وهما تبعيات لإدارة API.
- تكوين القواعد الصادرة الأخرى التي تحتاجها للبوابة للوصول إلى الواجهات الخلفية لواجهة برمجة التطبيقات.
- تكوين قواعد NSG الأخرى لتلبية متطلبات الوصول إلى الشبكة لمؤسستك. على سبيل المثال، يمكن أيضا استخدام قواعد NSG لحظر نسبة استخدام الشبكة الصادرة إلى الإنترنت والسماح بالوصول فقط إلى الموارد الموجودة في شبكتك الظاهرية.
| الاتجاه | المصدر | نطاقات منافذ المصادر | الوجهة | نطاقات المنفذ الوجهات | البروتوكول | فعل | الغرض |
|---|---|---|---|---|---|---|---|
| صادر | الشبكة الظاهرية | * | التخزين | 443 | TCP | السماح | التبعية على Azure Storage |
| صادر | الشبكة الظاهرية | * | AzureKeyVault | 443 | TCP | السماح | Dependency on Azure Key Vault |
هام
- قواعد NSG الواردة لا تنطبق عند دمج بوابة مساحة العمل في شبكة افتراضية للوصول الصادر الخاص. لفرض قواعد NSG الواردة، استخدم حقن الشبكة الظاهرية بدلا من التكامل.
- يختلف هذا عن الشبكات في المستوى المميز الكلاسيكي، حيث يتم فرض قواعد NSG الواردة في كل من أوضاع إدخال الشبكة الظاهرية الخارجية والداخلية. معرفة المزيد
إعدادات DNS لإدخال الشبكة الظاهرية
لإدخال الشبكة الظاهرية، يجب عليك إدارة DNS الخاص بك لتمكين الوصول الوارد إلى بوابة مساحة العمل الخاصة بك.
بينما يتوفر لديك خيار استخدام خادم DNS خاص أو مخصص، نوصي بما يلي:
- تكوين منطقة خاصة بـ DNS لدى Azure.
- ربط المنطقة الخاصة ل Azure DNS بالشبكة الظاهرية.
تعرف على كيفية إعداد منطقة خاصة في Azure DNS.
إشعار
إذا قمت بتكوين محلل DNS خاص أو مخصص في الشبكة الظاهرية المستخدمة للحقن، يجب التأكد من تحليل الاسم لنقاط نهاية Azure Key Vault (*.vault.azure.net). نوصي بتكوين منطقة DNS خاصة ب Azure، والتي لا تتطلب تكوينا إضافيا لتمكينها.
الوصول إلى اسم المضيف الافتراضي
عند إنشاء مساحة عمل APIM، يتم تعيين اسم مضيف افتراضي لبوابة مساحة العمل. يكون اسم المضيف مرئيا في مدخل Microsoft Azure في صفحة نظرة عامة على بوابة مساحة العمل، جنبا إلى جنب مع عنوان IP الظاهري الخاص به. اسم المضيف الافتراضي بالتنسيق <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net. مثال:team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.
إشعار
تستجيب بوابة مساحة العمل فقط للطلبات إلى اسم المضيف الذي تم تكوينه على نقطة النهاية الخاصة به، وليس عنوان VIP الخاص به.
تكوين سجل DNS
إنشاء سجل A في خادم DNS الخاص بك للوصول إلى مساحة العمل من داخل الشبكة الظاهرية. تعيين سجل نقطة النهاية إلى عنوان VIP الخاص لبوابة مساحة العمل الخاصة بك.
لأغراض الاختبار، يمكنك تحديث ملف المضيفين على جهاز ظاهري في شبكة فرعية متصلة بالشبكة الظاهرية التي يتم فيها نشر APIM. بافتراض أن عنوان IP الظاهري الخاص لبوابة مساحة العمل الخاصة بك هو 10.1.0.5، يمكنك تعيين ملف المضيفين كما هو موضح في المثال التالي. يوجد ملف تعيين المضيفين في %SystemDrive%\drivers\etc\hosts (Windows) أو /etc/hosts (Linux وmacOS).
| عنوان IP الظاهري الداخلي | اسم مضيف البوابة |
|---|---|
| 10.1.0.5 | teamworkspace.gateway.westus.azure-api.net |