Anmerkung
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
GILT FÜR: Premium
Die Netzwerkisolation ist ein optionales Feature eines API Management-Arbeitsbereichs-Gateways. Dieser Artikel enthält Netzwerkressourcenanforderungen, wenn Sie Ihr Gateway in ein virtuelles Azure-Netzwerk integrieren oder einfügen. Einige Anforderungen unterscheiden sich je nach dem gewünschten Modus für den Zugriff auf eingehenden und ausgehenden Datenverkehr. Die folgenden Modi werden unterstützt:
- Integration des virtuellen Netzwerks: öffentlicher eingehender Zugriff, privater ausgehender Zugriff
- Einfügung virtueller Netzwerke: privater eingehender Zugriff, privater ausgehender Zugriff
Hintergrundinformationen zu Netzwerkoptionen in der API-Verwaltung finden Sie unter Verwenden eines virtuellen Netzwerks zum Sichern von eingehendem oder ausgehendem Datenverkehr für Azure API Management.
Hinweis
- Die Netzwerkkonfiguration eines Arbeitsbereichs-Gateways ist unabhängig von der Netzwerkkonfiguration der API Management-Instanz.
- Derzeit kann ein Arbeitsbereichs-Gateway nur in einem virtuellen Netzwerk konfiguriert werden, wenn das Gateway erstellt wird. Sie können weder die Netzwerkkonfiguration noch die Netzwerkeinstellungen des Gateways später ändern.
Netzwerkadresse
Das virtuelle Netzwerk muss sich in derselben Region und im gleichen Azure-Abonnement wie die API Management-Instanz befinden.
Dediziertes Subnetz
- Das für die VNet-Integration oder Injektion verwendete Subnetz darf nur von einem einzigen Arbeitsbereichs-Gateway verwendet werden. Es kann nicht für eine andere Azure-Ressource freigegeben werden.
Subnetzgröße
- Minimum: /27 (32 Adressen)
- Maximum: /24 (256 Adressen) – empfohlen
Subnetzdelegierung
Das Subnetz muss wie folgt delegiert werden, um den gewünschten Zugriff auf eingehenden und ausgehenden Datenverkehr zu aktivieren.
Weitere Informationen zum Konfigurieren der Subnetzdelegierung finden Sie unter Hinzufügen oder Entfernen einer Subnetzdelegierung.
Für die Integration virtueller Netzwerke muss das Subnetz an den Microsoft.Web/serverFarms-Dienst delegiert werden.
Hinweis
Der Microsoft.Web Ressourcenanbieter muss im Abonnement registriert sein, damit Sie das Subnetz an den Dienst delegieren können. Schritte zum Registrieren eines Ressourcenanbieters mithilfe des Portals finden Sie unter Registrieren des Ressourcenanbieters.
Weitere Informationen zum Konfigurieren der Subnetzdelegierung finden Sie unter Hinzufügen oder Entfernen einer Subnetzdelegierung.
Netzwerksicherheitsgruppe
Eine Netzwerksicherheitsgruppe (Network Security Group, NSG) muss dem Subnetz zugeordnet sein. Informationen zum Einrichten einer Netzwerksicherheitsgruppe finden Sie unter Erstellen einer Netzwerksicherheitsgruppe.
- Konfigurieren Sie die Regeln in der folgenden Tabelle, um ausgehenden Zugriff auf Azure Storage und Azure Key Vault zu ermöglichen, die Abhängigkeiten für die API-Verwaltung sind.
- Konfigurieren Sie andere ausgehende Regeln, die Sie für das Gateway benötigen, um Ihre API-Back-Ends zu erreichen.
- Konfigurieren Sie andere NSG-Regeln, um die Netzwerkzugriffsanforderungen Ihrer Organisation zu erfüllen. Beispielsweise können NSG-Regeln auch verwendet werden, um ausgehenden Datenverkehr im Internet zu blockieren und den Zugriff nur auf Ressourcen in Ihrem virtuellen Netzwerk zuzulassen.
| Richtung | Quelle | Quellportbereiche | Ziel | Zielportbereiche | Protokoll | Maßnahme | Zweck |
|---|---|---|---|---|---|---|---|
| Ausgehend | VirtualNetwork | * | Lagerung | 443 | TCP | Zulassen | Abhängigkeit von Azure Storage |
| Ausgehend | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Zulassen | Abhängigkeit von Azure Key Vault |
Von Bedeutung
- Eingehende NSG-Regeln gelten nicht, wenn Sie ein Workspace-Gateway in ein virtuelles Netzwerk integrieren, um privaten ausgehenden Zugriff zu ermöglichen. Um eingehende NSG-Regeln zu erzwingen, verwenden Sie anstelle der Integration die virtuelle Netzwerkinjektion.
- Diese unterscheidet sich von Netzwerken in der klassischen Premium-Stufe, bei der eingehende NSG-Regeln sowohl im externen als auch im internen Modus für die Einfügung virtueller Netzwerke erzwungen werden. Weitere Informationen
DNS-Einstellungen für die Einbindung virtueller Netzwerke
Für die Einfügung virtueller Netzwerke müssen Sie Ihr eigenes DNS verwalten, um den eingehenden Zugriff auf Ihr Arbeitsbereichsgateway zu ermöglichen.
Während Sie die Möglichkeit haben, einen privaten oder benutzerdefinierten DNS-Server zu verwenden, empfehlen wir Folgendes:
- Konfigurieren Sie eine private Azure DNS-Zone.
- Verknüpfen Sie die private Azure DNS-Zone mit dem virtuellen Netzwerk.
Erfahren Sie mehr über das Einrichten einer privaten Zone in Azure DNS.
Hinweis
Wenn Sie einen privaten oder benutzerdefinierten DNS-Resolver im virtuellen Netzwerk konfigurieren, das zum Einfügen verwendet wird, müssen Sie die Namensauflösung für Azure Key Vault-Endpunkte (*.vault.azure.net) sicherstellen. Es wird empfohlen, eine private Azure-DNS-Zone zu konfigurieren, die keine zusätzliche Konfiguration erfordert, um sie zu aktivieren.
Zugriff auf Standardhostnamen
Wenn Sie einen API Management-Arbeitsbereich erstellen, wird dem Arbeitsbereichs-Gateway ein Standardhostname zugewiesen. Der Hostname wird im Azure-Portal auf der Seite Übersicht des Arbeitsbereichs-Gateways zusammen mit seiner privaten virtuellen IP-Adresse angezeigt. Der Hostname hat das Format <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net. Beispiel: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.
Hinweis
Das Arbeitsbereichs-Gateway antwortet nur auf Anforderungen für den Hostnamen, der für seinen Endpunkt konfiguriert ist, nicht für seine private VIP-Adresse.
Konfigurieren eines DNS-Eintrags
Erstellen Sie einen A-Eintrag in Ihrem DNS-Server, um von Ihrem virtuellen Netzwerk aus auf den Arbeitsbereich zuzugreifen. Ordnen Sie den Endpunktdatensatz der privaten VIP-Adresse Ihres Arbeitsbereichs-Gateways zu.
Zu Testzwecken können Sie die Hostdatei auf einem virtuellen Computer in einem Subnetz aktualisieren, das mit dem virtuellen Netzwerk, in dem API Management bereitgestellt wird, verbunden ist. Wenn die private virtuelle IP-Adresse für Ihr Arbeitsbereichs-Gateway 10.1.0.5 lautet, können Sie die Hostdatei zuordnen, wie im folgenden Beispiel gezeigt. Die Hosts-Zuordnungsdatei befindet sich unter %SystemDrive%\drivers\etc\hosts (Windows) oder /etc/hosts (Linux, macOS).
| Interne virtuelle IP-Adresse | Gatewayhostname |
|---|---|
| 10.1.0.5 | teamworkspace.gateway.westus.azure-api.net |