Události
Vytváření inteligentních aplikací
17. 3. 21 - 21. 3. 10
Připojte se k řadě meetupů a vytvořte škálovatelná řešení AI založená na skutečných případech použití s kolegy vývojáři a odborníky.
ZaregistrovatPožadavky na síťové prostředky pro integraci brány pracovního prostoru do virtuální sítě
PLATÍ PRO: Premium
Izolace sítě je volitelná funkce brány pracovního prostoru služby API Management. Tento článek obsahuje požadavky na síťové prostředky při integraci brány do virtuální sítě Azure. Některé požadavky se liší v závislosti na požadovaném režimu příchozího a odchozího přístupu. Podporují se následující režimy:
- Veřejný příchozí přístup, privátní odchozí přístup (veřejný/soukromý)
- Privátní příchozí přístup, privátní odchozí přístup (privátní/privátní)
Informace o možnostech sítí ve službě API Management najdete v tématu Použití virtuální sítě k zabezpečení příchozího nebo odchozího provozu pro Azure API Management.
Poznámka
- Síťová konfigurace brány pracovního prostoru je nezávislá na síťové konfiguraci instance služby API Management.
- V současné době je možné bránu pracovního prostoru nakonfigurovat pouze ve virtuální síti při vytvoření brány. Konfiguraci nebo nastavení sítě brány nemůžete později změnit.
- Virtuální síť musí být ve stejné oblasti a předplatném Azure jako instance služby API Management.
- Podsíť používaná pro integraci virtuální sítě může používat jenom jedna brána pracovního prostoru. Nejde ho sdílet s jiným prostředkem Azure.
- Minimum: /27 (32 adres)
- Maximum: /24 (256 adres) – doporučeno
Aby bylo možné povolit požadovaný příchozí a odchozí přístup, musí být podsíť delegovaná následujícím způsobem.
Informace o konfiguraci delegování podsítě najdete v tématu Přidání nebo odebrání delegování podsítě.
V případě veřejného nebo privátního režimu musí být podsíť delegovaná do služby Microsoft.Web/serverFarms .
Poznámka
Možná budete muset zaregistrovat Microsoft.Web/serverFarms poskytovatele prostředků v předplatném, abyste mohli delegovat podsíť na službu.
Aby bylo možné explicitně povolit příchozí připojení, musí být k podsíti připojená skupina zabezpečení sítě (NSG). V NSG nakonfigurujte následující pravidla. Nastavte prioritu těchto pravidel vyšší než výchozí pravidla.
| Zdrojové / cílové porty | Směr | Přenosový protokol | Zdroj | Cíl | Účel |
|---|---|---|---|---|---|
| */80 | Příchozí | TCP | AzureLoadBalancer | Rozsah podsítí brány pracovního prostoru | Povolit provoz příkazu ping s interním stavem |
| */80,443 | Příchozí | TCP | Internet | Rozsah podsítí brány pracovního prostoru | Povolit příchozí provoz |
V konfiguraci privátní/privátní sítě musíte spravovat vlastní DNS, abyste povolili příchozí přístup k bráně pracovního prostoru.
Naše doporučení:
- Nakonfigurujte privátní zónu Azure DNS.
- Propojte privátní zónu Azure DNS s virtuální sítí, do které jste nasadili bránu pracovního prostoru.
Zjistěte, jak nastavit privátní zónu v Azure DNS.
Při vytváření pracovního prostoru služby API Management se bráně pracovního prostoru přiřadí výchozí název hostitele. Název hostitele se zobrazuje na webu Azure Portal na stránce Přehled brány pracovního prostoru spolu s jeho privátní virtuální IP adresou. Výchozí název hostitele je ve formátu <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net. Příklad: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.
Poznámka
Brána pracovního prostoru reaguje pouze na požadavky na název hostitele nakonfigurovaný v jeho koncovém bodu, nikoli na jeho privátní IP adresu.
Vytvořte záznam A na serveru DNS pro přístup k pracovnímu prostoru z vaší virtuální sítě. Namapujte záznam koncového bodu na privátní IP adresu vaší brány pracovního prostoru.
Pro účely testování můžete aktualizovat soubor hostitelů na virtuálním počítači v podsíti připojené k virtuální síti, ve které je služba API Management nasazená. Za předpokladu, že privátní virtuální IP adresa vaší brány pracovního prostoru je 10.1.0.5, můžete namapovat soubor hostitelů, jak je znázorněno v následujícím příkladu. Soubor mapování hostitelů je v %SystemDrive%\drivers\etc\hosts systému (Windows) nebo /etc/hosts (Linux, macOS).
| Interní virtuální IP adresa | Název hostitele brány |
|---|---|
| 10.1.0.5 | teamworkspace.gateway.westus.azure-api.net |
Další materiály
Školení
Modul
Configure the network for your virtual machines - Training
Learn how to connect your local on-premises networks into Azure using virtual networks, VPN gateways, and Azure ExpressRoute.
Certifikace
Microsoft Certified: Azure Network Engineer Associate - Certifications
Demonstrate the design, implementation, and maintenance of Azure networking infrastructure, load balancing traffic, network routing, and more.
Dokumentace
-
Integrate API Management in private network
Learn how to integrate an Azure API Management instance in the Standard v2 or Premium v2 tier with a virtual network to access backend APIs in the network.
-
Azure API Management with an Azure virtual network
Learn about scenarios and requirements to secure inbound or outbound traffic for your API Management instance using an Azure virtual network.
-
Inject API Management in virtual network - Premium v2
Learn how to deploy (inject) an Azure API Management instance in the Premium v2 tier in a virtual network to isolate inbound and outbound traffic.