Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
PLATÍ PRO: Premium
Izolace sítě je volitelná funkce brány pracovního prostoru služby API Management. Tento článek obsahuje požadavky na síťové prostředky při integraci nebo vložení brány do virtuální sítě Azure. Některé požadavky se liší v závislosti na požadovaném režimu příchozího a odchozího přístupu. Podporují se následující režimy:
- Integrace virtuální sítě: veřejný příchozí přístup, privátní odchozí přístup
- Injektáž virtuální sítě: privátní příchozí přístup, privátní odchozí přístup
Základní informace o možnostech sítí ve službě API Management najdete v tématu Použití virtuální sítě k zabezpečení příchozího nebo odchozího provozu pro Azure API Management.
Poznámka:
- Síťová konfigurace brány pracovního prostoru je nezávislá na síťové konfiguraci instance služby API Management.
- V současné době je možné bránu pracovního prostoru nakonfigurovat pouze ve virtuální síti při vytvoření brány. Konfiguraci nebo nastavení sítě brány nemůžete později změnit.
Umístění v síti
Virtuální síť musí být ve stejné oblasti a předplatném Azure jako instance služby API Management.
Vyhrazená podsíť
- Podsíť používaná pro integraci nebo injektování virtuální sítě může používat pouze jedna brána pracovního prostoru. Nejde ho sdílet s jiným prostředkem Azure.
Velikost podsítě
- Minimum: /27 (32 adres)
- Maximum: /24 (256 adres) – doporučeno
Delegování podsítě
Aby bylo možné povolit požadovaný příchozí a odchozí přístup, musí být podsíť delegovaná následujícím způsobem.
Informace o konfiguraci delegování podsítě najdete v tématu Přidání nebo odebrání delegování podsítě.
Pro integraci virtuální sítě je potřeba podsíť delegovat na službu Microsoft.Web/serverFarms .
Poznámka:
Poskytovatel Microsoft.Web prostředků musí být zaregistrovaný v předplatném, abyste mohli delegovat podsíť na službu. Postup registrace poskytovatele prostředků pomocí portálu najdete v tématu Registrace poskytovatele prostředků.
Další informace o konfiguraci delegování podsítě najdete v tématu Přidání nebo odebrání delegování podsítě.
Skupina zabezpečení sítě
Skupina zabezpečení sítě (NSG) musí být přidružená k dané podsíti. Pokud chcete nastavit skupinu zabezpečení sítě, přečtěte si téma Vytvoření skupiny zabezpečení sítě.
- Nakonfigurujte pravidla v následující tabulce tak, aby umožňovala odchozí přístup ke službě Azure Storage a azure Key Vault, což jsou závislosti pro službu API Management.
- Nakonfigurujte další odchozí pravidla, která potřebujete k tomu, aby brána dosáhla back-endů rozhraní API.
- Nakonfigurujte další pravidla NSG tak, aby splňovala požadavky vaší organizace na přístup k síti. Pravidla NSG se dají použít také k blokování odchozího provozu do internetu a povolení přístupu jenom k prostředkům ve vaší virtuální síti.
| Směr | Zdroj | Rozsahy zdrojových portů | Cíl | Rozsahy cílových portů | Protokol | Činnost | Účel |
|---|---|---|---|---|---|---|---|
| Odchozí | Virtuální síť | * | Storage | 443 | protokol TCP | Povolit | Závislost na azure Storage |
| Odchozí | Virtuální síť | * | Trezor klíčů Azure. | 443 | protokol TCP | Povolit | Závislost na službě Azure Key Vault |
Důležité
- Příchozí pravidla NSG se nevztahují při integraci brány pracovního prostoru do virtuální sítě pro privátní odchozí přístup. Pokud chcete vynutit příchozí pravidla NSG, použijte místo integrace injektáž virtuální sítě.
- To se liší od sítí v klasické úrovni Premium, kde se pravidla příchozí skupiny zabezpečení sítě vynucují v externích i interních režimech injektáže virtuální sítě. Další informace
Nastavení DNS pro injektáž virtuální sítě
Pro injektáž virtuální sítě musíte spravovat vlastní DNS, abyste povolili příchozí přístup k bráně pracovního prostoru.
I když máte možnost použít privátní nebo vlastní server DNS, doporučujeme:
- Nakonfigurujte privátní zónu Azure DNS.
- Propojte privátní zónu Azure DNS s virtuální sítí.
Zjistěte, jak nastavit privátní zónu v Azure DNS.
Poznámka:
Pokud ve virtuální síti používané k injektáži nakonfigurujete privátní nebo vlastní překladač DNS, musíte zajistit překlad názvů pro koncové body služby Azure Key Vault (*.vault.azure.net). Doporučujeme nakonfigurovat privátní zónu DNS Azure, která nevyžaduje další konfiguraci pro její povolení.
Přístup k výchozímu názvu hostitele
Při vytváření pracovního prostoru služby API Management se bráně pracovního prostoru přiřadí výchozí název hostitele. Název hostitele se zobrazuje na webu Azure Portal na stránce Přehled brány pracovního prostoru spolu s jeho privátní virtuální IP adresou. Výchozí název hostitele je ve formátu <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net. Příklad: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.
Poznámka:
Brána pracovního prostoru reaguje pouze na požadavky na název hostitele nakonfigurovaný v jeho koncovém bodu, nikoli na jeho privátní IP adresu.
Konfigurace záznamu DNS
Vytvořte záznam A na serveru DNS pro přístup k pracovnímu prostoru z vaší virtuální sítě. Namapujte záznam koncového bodu na privátní IP adresu vaší brány pracovního prostoru.
Pro účely testování můžete aktualizovat soubor hostitelů na virtuálním počítači v podsíti připojené k virtuální síti, ve které je služba API Management nasazená. Za předpokladu, že privátní virtuální IP adresa vaší brány pracovního prostoru je 10.1.0.5, můžete namapovat soubor hostitelů, jak je znázorněno v následujícím příkladu. Soubor mapování hostitelů je v %SystemDrive%\drivers\etc\hosts systému (Windows) nebo /etc/hosts (Linux, macOS).
| Interní virtuální IP adresa | Název hostitele brány |
|---|---|
| 10.1.0.5 | teamworkspace.gateway.westus.azure-api.net |