Požadavky na síťové prostředky pro integraci brány pracovního prostoru do virtuální sítě
PLATÍ PRO: Premium
Izolace sítě je volitelná funkce brány pracovního prostoru služby API Management. Tento článek obsahuje požadavky na síťové prostředky při integraci brány do virtuální sítě Azure. Některé požadavky se liší v závislosti na požadovaném režimu příchozího a odchozího přístupu. Podporují se následující režimy:
- Veřejný příchozí přístup, privátní odchozí přístup (veřejný/soukromý)
- Privátní příchozí přístup, privátní odchozí přístup (privátní/privátní)
Informace o možnostech sítí ve službě API Management najdete v tématu Použití virtuální sítě k zabezpečení příchozího nebo odchozího provozu pro Azure API Management.
Poznámka:
- Síťová konfigurace brány pracovního prostoru je nezávislá na síťové konfiguraci instance služby API Management.
- V současné době je možné bránu pracovního prostoru nakonfigurovat pouze ve virtuální síti při vytvoření brány. Konfiguraci nebo nastavení sítě brány nemůžete později změnit.
Umístění v síti
- Virtuální síť musí být ve stejné oblasti a předplatném Azure jako instance služby API Management.
Požadavky na podsíť
- Podsíť nejde sdílet s jiným prostředkem Azure, včetně jiné brány pracovního prostoru.
Velikost podsítě
- Minimum: /27 (32 adres)
- Maximum: /24 (256 adres) – doporučeno
Delegování podsítě
Aby bylo možné povolit požadovaný příchozí a odchozí přístup, musí být podsíť delegovaná následujícím způsobem.
Informace o konfiguraci delegování podsítě najdete v tématu Přidání nebo odebrání delegování podsítě.
V případě veřejného nebo privátního režimu musí být podsíť delegovaná do služby Microsoft.Web/serverFarms .
Poznámka:
Možná budete muset zaregistrovat Microsoft.Web/serverFarms poskytovatele prostředků v předplatném, abyste mohli delegovat podsíť na službu.
Pravidla skupin zabezpečení sítě (NSG)
Aby bylo možné explicitně povolit příchozí připojení, musí být k podsíti připojená skupina zabezpečení sítě (NSG). V NSG nakonfigurujte následující pravidla. Nastavte prioritu těchto pravidel vyšší než výchozí pravidla.
| Zdrojové / cílové porty | Směr | Přenosový protokol | Zdroj | Cíl | Účel |
|---|---|---|---|---|---|
| */80 | Příchozí | TCP | AzureLoadBalancer | Rozsah podsítí brány pracovního prostoru | Povolit provoz příkazu ping s interním stavem |
| */80,443 | Příchozí | TCP | Internet | Rozsah podsítí brány pracovního prostoru | Povolit příchozí provoz |
Nastavení DNS pro privátní/privátní konfiguraci
V konfiguraci privátní/privátní sítě musíte spravovat vlastní DNS, abyste povolili příchozí přístup k bráně pracovního prostoru.
Naše doporučení:
- Nakonfigurujte privátní zónu Azure DNS.
- Propojte privátní zónu Azure DNS s virtuální sítí, do které jste nasadili bránu pracovního prostoru.
Zjistěte, jak nastavit privátní zónu v Azure DNS.
Přístup k výchozímu názvu hostitele
Při vytváření pracovního prostoru služby API Management se bráně pracovního prostoru přiřadí výchozí název hostitele. Název hostitele se zobrazuje na webu Azure Portal na stránce Přehled brány pracovního prostoru spolu s jeho privátní virtuální IP adresou. Výchozí název hostitele je ve formátu <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net. Příklad: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.
Poznámka:
Brána pracovního prostoru reaguje pouze na požadavky na název hostitele nakonfigurovaný v jeho koncovém bodu, nikoli na jeho privátní IP adresu.
Konfigurace záznamu DNS
Vytvořte záznam A na serveru DNS pro přístup k pracovnímu prostoru z vaší virtuální sítě. Namapujte záznam koncového bodu na privátní IP adresu vaší brány pracovního prostoru.
Pro účely testování můžete aktualizovat soubor hostitelů na virtuálním počítači v podsíti připojené k virtuální síti, ve které je služba API Management nasazená. Za předpokladu, že privátní virtuální IP adresa vaší brány pracovního prostoru je 10.1.0.5, můžete namapovat soubor hostitelů, jak je znázorněno v následujícím příkladu. Soubor mapování hostitelů je v %SystemDrive%\drivers\etc\hosts systému (Windows) nebo /etc/hosts (Linux, macOS).
| Interní virtuální IP adresa | Název hostitele brány |
|---|---|
| 10.1.0.5 | teamworkspace.gateway.westus.azure-api.net |