Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
PLATÍ PRO: Premium v2
Tento článek vás provede požadavky na vložení instance Azure API Management Premium v2 do virtuální sítě.
Poznámka:
Pokud chcete do virtuální sítě vložit instanci klasické úrovně Developer nebo Premium, požadavky a konfigurace se liší. Další informace
Když se instance API Management Premium v2 vloží do virtuální sítě:
- Koncový bod brány služby API Management je přístupný prostřednictvím virtuální sítě na privátní IP adrese.
- Služba API Management může provádět odchozí požadavky na back-endy rozhraní API, které jsou izolované v síti nebo jakékoli partnerské síti, pokud je správně nakonfigurované síťové připojení.
Tato konfigurace se doporučuje pro scénáře, ve kterých chcete izolovat síťový provoz do instance služby API Management i back-endových rozhraní API.
Pokud chcete povolit veřejný příchozí přístup k instanci služby API Management na úrovni Standard v2 nebo Premium v2, ale omezit odchozí přístup k back-endům izolovaným sítím, přečtěte si téma Integrace s virtuální sítí pro odchozí připojení.
Důležité
- Injektáž virtuální sítě popsaná v tomto článku je k dispozici pouze pro instance služby API Management na úrovni Premium v2. Možnosti sítě v různých úrovních najdete v tématu Použití virtuální sítě se službou Azure API Management.
- V současné době můžete instanci Premium v2 vložit do virtuální sítě pouze při vytvoření instance. Existující instanci Premium v2 nemůžete vložit do virtuální sítě. Po vytvoření instance ale můžete aktualizovat nastavení podsítě pro injektáž.
- V současné době nemůžete přepínat mezi injektáží virtuální sítě a integrací virtuální sítě pro instanci Premium v2.
Požadavky
- Instance služby Azure API Management v cenové úrovni Premium v2 .
- Virtuální síť, kde se hostují vaše klientské aplikace a back-endová rozhraní API služby API Management. V následujících částech najdete požadavky a doporučení pro virtuální síť a podsíť používanou pro instanci služby API Management.
Umístění v síti
- Virtuální síť musí být ve stejné oblasti a předplatném Azure jako instance služby API Management.
Vyhrazená podsíť
- Podsíť používaná pro injektáž virtuální sítě může používat pouze jedna instance služby API Management. Nejde ho sdílet s jiným prostředkem Azure.
Velikost podsítě
- Minimum: /27 (32 adres)
- Doporučeno: /24 (256 adres) – pro přizpůsobení škálování instance služby API Management
Skupina zabezpečení sítě
Skupina zabezpečení sítě (NSG) musí být přidružená k dané podsíti. Pokud chcete nastavit skupinu zabezpečení sítě, přečtěte si téma Vytvoření skupiny zabezpečení sítě.
- Nakonfigurujte pravidla v následující tabulce tak, aby umožňovala odchozí přístup ke službě Azure Storage a azure Key Vault, což jsou závislosti pro službu API Management.
- Nakonfigurujte další odchozí pravidla, která potřebujete k tomu, aby brána dosáhla back-endů rozhraní API.
- Nakonfigurujte další pravidla NSG tak, aby splňovala požadavky vaší organizace na přístup k síti. Pravidla NSG se dají použít také k blokování odchozího provozu do internetu a povolení přístupu jenom k prostředkům ve vaší virtuální síti.
| Směr | Zdroj | Rozsahy zdrojových portů | Cíl | Rozsahy cílových portů | Protokol | Činnost | Účel |
|---|---|---|---|---|---|---|---|
| Odchozí | Virtuální síť | * | Storage | 443 | protokol TCP | Allow | Závislost na azure Storage |
| Odchozí | Virtuální síť | * | Trezor klíčů Azure. | 443 | protokol TCP | Allow | Závislost na službě Azure Key Vault |
Delegování podsítě
Podsíť je potřeba delegovat na službu Microsoft.Web/hostingEnvironments .
Poznámka:
Možná budete muset zaregistrovat Microsoft.Web/hostingEnvironments poskytovatele prostředků v předplatném, abyste mohli delegovat podsíť na službu.
Další informace o konfiguraci delegování podsítě najdete v tématu Přidání nebo odebrání delegování podsítě.
Povolení
Abyste mohli nakonfigurovat injektáž virtuální sítě, musíte mít alespoň následující oprávnění řízení přístupu na základě role v podsíti nebo na vyšší úrovni:
| Činnost | Popis |
|---|---|
| Microsoft.Network/virtualNetworks/read | Přečtěte si definici virtuální sítě |
| Microsoft.Network/virtualNetworks/subnets/read | Přečtěte si definici podsítě virtuální sítě |
| Microsoft.Network/virtuálníSítě/podsítě/připojit/akce | Připojí se k virtuální síti. |
Vložení služby API Management do virtuální sítě
Když vytvoříte instanci Premium v2 pomocí webu Azure Portal, můžete volitelně nakonfigurovat nastavení pro injektáž virtuální sítě.
- V průvodci vytvořením služby API Management vyberte kartu Sítě .
- V typu připojení vyberte Virtuální síť.
- V možnosti Typ vyberte injektáž virtuální sítě.
- V části Konfigurace virtuálních sítí vyberte virtuální síť a delegovanou podsíť, kterou chcete vložit.
- Dokončete průvodce pro vytvoření instance služby API Management.
Nastavení DNS pro přístup k privátní IP adrese
Když se instance SLUŽBY API Management úrovně Premium v2 vloží do virtuální sítě, musíte spravovat vlastní DNS, abyste povolili příchozí přístup ke službě API Management.
I když máte možnost použít privátní nebo vlastní server DNS, doporučujeme:
- Nakonfigurujte privátní zónu Azure DNS.
- Propojte privátní zónu Azure DNS s virtuální sítí.
Zjistěte, jak nastavit privátní zónu v Azure DNS.
Poznámka:
Pokud ve virtuální síti používané k injektáži nakonfigurujete privátní nebo vlastní překladač DNS, musíte zajistit překlad názvů pro koncové body služby Azure Key Vault (*.vault.azure.net). Doporučujeme nakonfigurovat privátní zónu DNS Azure, která nevyžaduje další konfiguraci pro její povolení.
Přístup ke koncovému bodu u výchozího názvu hostitele
Při vytváření instance služby API Management na úrovni Premium v2 se následujícímu koncovému bodu přiřadí výchozí název hostitele:
-
Brána – příklad:
contoso-apim.azure-api.net
Konfigurace záznamu DNS
Vytvořte záznam A na serveru DNS pro přístup k instanci služby API Management z vaší virtuální sítě. Namapujte záznam koncového bodu na privátní VIP adresu instance vaší služby API Management.
Pro účely testování můžete aktualizovat soubor hostitelů na virtuálním počítači v podsíti připojené k virtuální síti, ve které je služba API Management nasazená. Za předpokladu, že privátní virtuální IP adresa vaší instance služby API Management je 10.1.0.5, můžete namapovat soubor hostitelů, jak je znázorněno v následujícím příkladu. Soubor mapování hostitelů je v %SystemDrive%\drivers\etc\hosts systému (Windows) nebo /etc/hosts (Linux, macOS). Například:
| Interní virtuální IP adresa | Název hostitele brány |
|---|---|
| 10.1.0.5 | contoso-apim.portal.azure-api.net |