Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
GILT FÜR: Premium
Die Netzwerkisolation ist ein optionales Feature eines API Management-Arbeitsbereichs-Gateways. Dieser Artikel enthält Netzwerkressourcenanforderungen, wenn Sie Ihr Gateway in ein virtuelles Azure-Netzwerk integrieren oder einfügen. Einige Anforderungen unterscheiden sich je nach dem gewünschten Modus für den Zugriff auf eingehenden und ausgehenden Datenverkehr. Die folgenden Modi werden unterstützt:
- Integration des virtuellen Netzwerks: öffentlicher eingehender Zugriff, privater ausgehender Zugriff
- Einfügung virtueller Netzwerke: privater eingehender Zugriff, privater ausgehender Zugriff
Hintergrundinformationen zu Netzwerkoptionen in der API-Verwaltung finden Sie unter Verwenden eines virtuellen Netzwerks zum Sichern von eingehendem oder ausgehendem Datenverkehr für Azure API Management.
Hinweis
- Die Netzwerkkonfiguration eines Arbeitsbereichs-Gateways ist unabhängig von der Netzwerkkonfiguration der API Management-Instanz.
- Derzeit kann ein Arbeitsbereichs-Gateway nur in einem virtuellen Netzwerk konfiguriert werden, wenn das Gateway erstellt wird. Sie können weder die Netzwerkkonfiguration noch die Netzwerkeinstellungen des Gateways später ändern.
Netzwerkadresse
Das virtuelle Netzwerk muss sich in derselben Region und im gleichen Azure-Abonnement wie die API Management-Instanz befinden.
Dediziertes Subnetz
- Das für die VNet-Integration oder Injektion verwendete Subnetz darf nur von einem einzigen Arbeitsbereichs-Gateway verwendet werden. Es kann nicht für eine andere Azure-Ressource freigegeben werden.
Subnetzgröße
- Minimum: /27 (32 Adressen)
- Maximum: /24 (256 Adressen) – empfohlen
Subnetzdelegierung
Das Subnetz muss wie folgt delegiert werden, um den gewünschten Zugriff auf eingehenden und ausgehenden Datenverkehr zu aktivieren.
Weitere Informationen zum Konfigurieren der Subnetzdelegierung finden Sie unter Hinzufügen oder Entfernen einer Subnetzdelegierung.
Für die Integration virtueller Netzwerke muss das Subnetz an den Microsoft.Web/serverFarms-Dienst delegiert werden.
Hinweis
Möglicherweise müssen Sie den Microsoft.Web/serverFarms-Ressourcenanbieter im Abonnement registrieren, damit Sie das Subnetz an den Dienst delegieren können.
Regeln für die Netzwerksicherheitsgruppe (Network Security Group, NSG)
Eine Netzwerksicherheitsgruppe (Network Security Group, NSG) muss an das Subnetz angefügt werden, um bestimmte eingehende oder ausgehende Verbindungen explizit zuzulassen. Konfigurieren Sie die folgenden Regeln in der NSG. Legen Sie für diese Regeln eine höhere Priorität als für die Standardregeln fest.
Konfigurieren Sie andere NSG-Regeln, um die Netzwerkzugriffsanforderungen Ihrer Organisation zu erfüllen.
| Richtung | Quelle | Quellportbereiche | Ziel | Zielportbereiche | Protokoll | Maßnahme | Zweck |
|---|---|---|---|---|---|---|---|
| Eingehend | Azure-Lastenausgleicher | * | Arbeitsbereichs-Gateway-Subnetzbereich | 80 | TCP | Zulassen | Zulassen von internem Integritäts-Ping-Datenverkehr |
| Eingehend | Internet | * | Arbeitsbereichs-Gateway-Subnetzbereich | 80.443 | TCP | Zulassen | Zulassen von eingehendem Datenverkehr |
DNS-Einstellungen für die Einbindung virtueller Netzwerke
Für die Einfügung virtueller Netzwerke müssen Sie Ihr eigenes DNS verwalten, um den eingehenden Zugriff auf Ihr Arbeitsbereichsgateway zu ermöglichen.
Während Sie die Möglichkeit haben, einen privaten oder benutzerdefinierten DNS-Server zu verwenden, empfehlen wir Folgendes:
- Konfigurieren Sie eine private Azure DNS-Zone.
- Verknüpfen Sie die private Azure DNS-Zone mit dem virtuellen Netzwerk.
Erfahren Sie mehr über das Einrichten einer privaten Zone in Azure DNS.
Hinweis
Wenn Sie einen privaten oder benutzerdefinierten DNS-Resolver im virtuellen Netzwerk konfigurieren, das zum Einfügen verwendet wird, müssen Sie die Namensauflösung für Azure Key Vault-Endpunkte (*.vault.azure.net) sicherstellen. Es wird empfohlen, eine private Azure-DNS-Zone zu konfigurieren, die keine zusätzliche Konfiguration erfordert, um sie zu aktivieren.
Zugriff auf Standardhostnamen
Wenn Sie einen API Management-Arbeitsbereich erstellen, wird dem Arbeitsbereichs-Gateway ein Standardhostname zugewiesen. Der Hostname wird im Azure-Portal auf der Seite Übersicht des Arbeitsbereichs-Gateways zusammen mit seiner privaten virtuellen IP-Adresse angezeigt. Der Hostname hat das Format <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net. Beispiel: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.
Hinweis
Das Arbeitsbereichs-Gateway antwortet nur auf Anforderungen für den Hostnamen, der für seinen Endpunkt konfiguriert ist, nicht für seine private VIP-Adresse.
Konfigurieren eines DNS-Eintrags
Erstellen Sie einen A-Eintrag in Ihrem DNS-Server, um von Ihrem virtuellen Netzwerk aus auf den Arbeitsbereich zuzugreifen. Ordnen Sie den Endpunktdatensatz der privaten VIP-Adresse Ihres Arbeitsbereichs-Gateways zu.
Zu Testzwecken können Sie die Hostdatei auf einem virtuellen Computer in einem Subnetz aktualisieren, das mit dem virtuellen Netzwerk, in dem API Management bereitgestellt wird, verbunden ist. Wenn die private virtuelle IP-Adresse für Ihr Arbeitsbereichs-Gateway 10.1.0.5 lautet, können Sie die Hostdatei zuordnen, wie im folgenden Beispiel gezeigt. Die Hosts-Zuordnungsdatei befindet sich unter %SystemDrive%\drivers\etc\hosts (Windows) oder /etc/hosts (Linux, macOS).
| Interne virtuelle IP-Adresse | Gatewayhostname |
|---|---|
| 10.1.0.5 | teamworkspace.gateway.westus.azure-api.net |