Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
PLATÍ PRO: Standard v2 | Premium v2
Tento článek vás provede procesem konfigurace integrace virtuální sítě pro instanci Azure API Management úrovně Standard v2 nebo Premium v2. Díky integraci virtuální sítě může vaše instance provádět odchozí požadavky na rozhraní API izolovaná v jedné připojené virtuální síti nebo jakékoli partnerské virtuální síti, pokud je správně nakonfigurované síťové připojení.
Když je instance služby API Management integrovaná s virtuální sítí pro odchozí požadavky, zůstanou koncové body brány a portálu pro vývojáře veřejně přístupné. Instance služby API Management může přistupovat k veřejným i síťovým back-endovým službám.
Pokud chcete do virtuální sítě vložit instanci služby API Management úrovně Premium v2, abyste izolovali příchozí i odchozí provoz, přečtěte si téma Vložení instance Premium v2 do virtuální sítě.
Důležité
- Integrace odchozí virtuální sítě popsaná v tomto článku je dostupná jenom pro instance služby API Management na úrovních Standard v2 a Premium v2. Možnosti sítě v různých úrovních najdete v tématu Použití virtuální sítě se službou Azure API Management.
- Integraci virtuální sítě můžete povolit při vytváření instance služby API Management ve vrstvě Standard v2 nebo Premium v2 nebo po vytvoření instance.
- V současné době nemůžete přepínat mezi injektáží virtuální sítě a integrací virtuální sítě pro instanci Premium v2.
Požadavky
- Instance služby Azure API Management na cenové úrovni Standard v2 nebo Premium v2
- (Volitelné) Pro účely testování je ukázkové back-endové rozhraní API hostované v jiné podsíti ve virtuální síti. Příklad najdete v kurzu : Vytvoření privátního přístupu k privátnímu webu Azure Functions.
- Virtuální síť s podsítí, ve které jsou hostovaná back-endová rozhraní API služby API Management. Požadavky a doporučení pro virtuální síť a podsíť najdete v následujících částech.
Umístění v síti
- Virtuální síť musí být ve stejné oblasti a předplatném Azure jako instance služby API Management.
Vyhrazená podsíť
- Podsíť používaná pro integraci virtuální sítě může používat jenom jedna instance služby API Management. Nejde ho sdílet s jiným prostředkem Azure.
Velikost podsítě
- Minimum: /27 (32 adres)
- Doporučeno: /24 (256 adres) – pro přizpůsobení škálování instance služby API Management
Skupina zabezpečení sítě
Skupina zabezpečení sítě (NSG) musí být přidružená k dané podsíti. Pokud chcete nastavit skupinu zabezpečení sítě, přečtěte si téma Vytvoření skupiny zabezpečení sítě.
- Nakonfigurujte pravidla v následující tabulce tak, aby umožňovala odchozí přístup ke službě Azure Storage a azure Key Vault, což jsou závislosti pro službu API Management.
- Nakonfigurujte další odchozí pravidla, která potřebujete k tomu, aby brána dosáhla back-endů rozhraní API.
- Nakonfigurujte další pravidla NSG tak, aby splňovala požadavky vaší organizace na přístup k síti. Pravidla NSG se dají použít také k blokování odchozího provozu do internetu a povolení přístupu jenom k prostředkům ve vaší virtuální síti.
| Směr | Zdroj | Rozsahy zdrojových portů | Cíl | Rozsahy cílových portů | Protokol | Akce | Účel |
|---|---|---|---|---|---|---|---|
| Odchozí | Virtuální síť | * | Storage | 443 | protokol TCP | Allow | Závislost na azure Storage |
| Odchozí | Virtuální síť | * | Trezor klíčů Azure. | 443 | protokol TCP | Allow | Závislost na službě Azure Key Vault |
Důležité
- Příchozí pravidla NSG se nevztahují, pokud je instance vrstvy v2 integrovaná do virtuální sítě pro privátní odchozí přístup. Pokud chcete vynutit příchozí pravidla NSG, použijte místo integrace injektáž virtuální sítě.
- To se liší od sítí v klasické úrovni Premium, kde se pravidla příchozí skupiny zabezpečení sítě vynucují v externích i interních režimech injektáže virtuální sítě. Další informace
Delegování podsítě
Podsíť musí být delegována do služby Microsoft.Web/serverFarms .
Poznámka:
Poskytovatel Microsoft.Web prostředků musí být zaregistrovaný v předplatném, abyste mohli delegovat podsíť na službu. Postup registrace poskytovatele prostředků pomocí portálu najdete v tématu Registrace poskytovatele prostředků.
Další informace o konfiguraci delegování podsítě najdete v tématu Přidání nebo odebrání delegování podsítě.
Oprávnění
Abyste mohli nakonfigurovat integraci virtuální sítě, musíte mít alespoň následující oprávnění řízení přístupu na základě role v podsíti nebo na vyšší úrovni:
| Akce | Popis |
|---|---|
| Microsoft.Network/virtualNetworks/read | Přečtěte si definici virtuální sítě |
| Microsoft.Network/virtualNetworks/subnets/read | Přečtěte si definici podsítě virtuální sítě |
| Microsoft.Network/virtuálníSítě/podsítě/připojit/akce | Připojí se k virtuální síti. |
Konfigurace integrace virtuální sítě
Tato část vás provede procesem konfigurace integrace externí virtuální sítě pro existující instanci služby Azure API Management. Integraci virtuální sítě můžete nakonfigurovat také při vytváření nové instance služby API Management.
- Na webu Azure Portal přejděte k vaší instanci služby API Management.
- V nabídce vlevo v části Nasazení a infrastruktura vyberte Síť>Upravit.
- Na stránce Konfigurace sítě v části Odchozí funkce vyberte Povolit integraci virtuální sítě.
- Vyberte virtuální síť a delegovanou podsíť, kterou chcete integrovat.
- Vyberte Uložit. Virtuální síť je integrovaná.
(Volitelné) Testování integrace virtuální sítě
Pokud máte ve virtuální síti hostované rozhraní API, můžete ho importovat do instance správy a otestovat integraci virtuální sítě. Základní kroky najdete v tématu Import a publikování rozhraní API.