Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
S’APPLIQUE À : premium
L’isolation réseau est une fonctionnalité facultative d’une passerelle d’espace de travail Gestion des API. Cet article fournit des exigences en ressources réseau lorsque vous intégrez ou injectez votre passerelle dans un réseau virtuel Azure. Certaines exigences diffèrent selon le mode d’accès entrant et sortant souhaité. Les modes suivants sont pris en charge :
- Intégration de réseau virtuel : accès entrant public, accès sortant privé
- Injection de réseau virtuel : accès entrant privé, accès sortant privé
Pour plus d’informations sur les options de mise en réseau dans Gestion des API, consultez Utiliser un réseau virtuel pour sécuriser le trafic entrant ou sortant pour Gestion des API Azure.
Remarque
- La configuration réseau d’une passerelle d’espace de travail est indépendante de la configuration réseau de l’instance Gestion des API.
- Actuellement, une passerelle d’espace de travail ne peut être configurée que dans un réseau virtuel lorsque la passerelle est créée. Vous ne pouvez pas modifier la configuration réseau ou les paramètres de la passerelle ultérieurement.
Emplacement du réseau
Le réseau virtuel doit être dans la même région et le même abonnement Azure que l’instance Gestion des API.
Sous-réseau dédié
- Le sous-réseau utilisé pour l’intégration ou l’injection de réseau virtuel ne peut être utilisé que par une seule passerelle d’espace de travail. Il ne peut pas être partagé avec une autre ressource Azure.
Taille du sous-réseau
- Minimum : /27 (32 adresses)
- Maximum : /24 (256 adresses) – recommandé
Délégation de sous-réseau
Le sous-réseau doit être délégué comme suit pour activer l’accès entrant et sortant souhaité.
Pour plus d’informations sur la configuration de la délégation de sous-réseau, consultez Ajouter ou supprimer une délégation de sous-réseau.
Pour l’intégration de réseau virtuel, le sous-réseau doit être délégué au service Microsoft.Web/serverFarms .
Remarque
Le Microsoft.Web fournisseur de ressources doit être inscrit dans l’abonnement afin de pouvoir déléguer le sous-réseau au service. Pour connaître les étapes d’inscription d’un fournisseur de ressources à l’aide du portail, consultez Inscrire un fournisseur de ressources.
Pour plus d’informations sur la configuration de la délégation de sous-réseau, consultez Ajouter ou supprimer une délégation de sous-réseau.
Groupe de sécurité réseau
Un groupe de sécurité réseau (NSG) doit être associé au sous-réseau. Pour configurer un groupe de sécurité réseau, voir Créer un groupe de sécurité réseau.
- Configurez les règles du tableau suivant pour autoriser l’accès sortant au stockage Azure et à Azure Key Vault, qui sont des dépendances pour gestion des API.
- Configurez d’autres règles de trafic sortant dont vous avez besoin pour que la passerelle atteigne vos back-ends d’API.
- Configurez d'autres règles de groupe de sécurité réseau afin de satisfaire aux exigences en matière d'accès réseau de votre organisation. Par exemple, les règles de groupe de sécurité réseau peuvent également être utilisées pour bloquer le trafic sortant vers Internet et autoriser l’accès uniquement aux ressources de votre réseau virtuel.
| Sens | Origine | Plages de ports sources | Destination | Plages de ports de destination | Protocole | Action | Objectif |
|---|---|---|---|---|---|---|---|
| Sortant | VirtualNetwork | * | Stockage | 443 | TCP | Autoriser | Dépendance sur le Stockage Azure |
| Sortant | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Autoriser | Dépendance sur Azure Key Vault |
Important
- Les règles de groupe de sécurité réseau entrantes ne s’appliquent pas lorsque vous intégrez une passerelle d’espace de travail dans un réseau virtuel pour l’accès sortant privé. Pour imposer les règles NSG entrantes, utilisez l'insertion dans le réseau virtuel plutôt que l'intégration.
- Ceci diffère de la mise en réseau dans le niveau Premium classique, où les règles NSG entrantes sont appliquées aussi bien dans les modes d'injection de réseau virtuel externe qu'interne. En savoir plus
Paramètres DNS pour l’injection de réseau virtuel
Pour l’injection de réseau virtuel, vous devez gérer votre propre DNS pour activer l’accès entrant à votre passerelle d’espace de travail.
Bien que vous ayez la possibilité d’utiliser un serveur DNS privé ou personnalisé, nous vous recommandons :
- Configurez une zone privée Azure DNS.
- Liez la zone privée Azure DNS au réseau virtuel.
Apprenez à configurer une zone privée dans Azure DNS.
Remarque
Si vous configurez un résolveur DNS privé ou personnalisé dans le réseau virtuel utilisé pour l’injection, vous devez garantir la résolution de noms pour les points de terminaison Azure Key Vault (*.vault.azure.net). Nous vous recommandons de configurer une zone DNS privée Azure, qui ne nécessite pas de configuration supplémentaire pour l’activer.
Accès sur le nom d’hôte par défaut
Lorsque vous créez un espace de travail Gestion des API, la passerelle d’espace de travail reçoit un nom d’hôte par défaut. Le nom d’hôte est visible dans le Portail Azure sur la page Vue d’ensemble de la passerelle d’espace de travail, accompagné de son adresse IP virtuelle privée. Le nom d’hôte par défaut est au format <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net. Exemple : team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.
Remarque
La passerelle d’espace de travail répond uniquement aux requêtes adressées au nom d’hôte configuré sur son point de terminaison, et non sur son adresse IP virtuelle privée.
Configurer l’enregistrement DNS
Créez un enregistrement A dans votre serveur DNS pour accéder à l’espace de travail à partir de votre réseau virtuel. Mappez l’enregistrement de point de terminaison à l’adresse IP virtuelle privée de votre passerelle d’espace de travail.
À des fins de test, vous pouvez mettre à jour le fichier hosts sur une machine virtuelle dans un sous-réseau connecté au réseau virtuel dans lequel la Gestion des API est déployée. En supposant que l’adresse IP virtuelle privée de votre passerelle d’espace de travail est 10.1.0.5, vous pouvez mapper le fichier hôte, comme illustré dans l’exemple suivant. Le fichier de mappage des hôtes se trouve à l’adresse %SystemDrive%\drivers\etc\hosts (Windows) ou /etc/hosts (Linux, macOS).
| Adresse IP virtuelle interne | Nom d’hôte de passerelle |
|---|---|
| 10.1.0.5 | teamworkspace.gateway.westus.azure-api.net |