Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A KÖVETKEZŐRE VONATKOZIK: Prémium v2
Ez a cikk végigvezeti az Azure API Management Premium v2-példány virtuális hálózatba történő injektálására vonatkozó követelményeken.
Feljegyzés
Ha klasszikus fejlesztői vagy prémium szintű példányt szeretne injektálni egy virtuális hálózatba, a követelmények és a konfiguráció eltérőek. További információ.
Ha egy API Management Premium v2-példányt injektál egy virtuális hálózatba:
- Az API Management-átjáró végpontja a virtuális hálózaton keresztül érhető el egy privát IP-címen.
- Az API Management kimenő kéréseket tud küldeni a hálózatban vagy bármely társhálózaton elkülönített API-háttérrendszernek, feltéve, hogy a hálózati kapcsolat megfelelően van konfigurálva.
Ez a konfiguráció olyan helyzetekben ajánlott, ahol el szeretné különíteni a hálózati forgalmat mind az API Management-példány, mind a háttér API-k felé.
Ha engedélyezni szeretné a nyilvános bejövő hozzáférést egy API Management-példányhoz a Standard v2 vagy Premium v2 szinten, de korlátozni szeretné a kimenő hozzáférést a hálózat által elkülönített háttérrendszerekhez, tekintse meg a kimenő kapcsolatok virtuális hálózattal való integrálása című témakört.
Fontos
- A cikkben ismertetett virtuális hálózati injektálás csak a Prémium v2 szintű API Management-példányokhoz érhető el. A különböző szintek hálózatkezelési lehetőségeiről a Virtuális hálózat használata az Azure API Management szolgáltatással című témakörben olvashat.
- Jelenleg csak a példány létrehozásakor lehet Prémium v2-példányt beilleszteni egy virtuális hálózatba. Meglévő Premium v2-példány nem ágyazható be virtuális hálózatba. A példány létrehozása után azonban frissítheti az alhálózati beállításokat az injektáláshoz.
- Jelenleg nem válthat a virtuális hálózati injektálás és a virtuális hálózat integrációja között egy Prémium v2-példány esetében.
Előfeltételek
- Egy Azure API Management-példány a Prémium v2 tarifacsomagban.
- Egy virtuális hálózat, ahol az ügyfélalkalmazások és az API Management háttér API-k üzemelnek. Az API Management-példányhoz használt virtuális hálózatra és alhálózatra vonatkozó követelményekről és javaslatokról az alábbi szakaszokban olvashat.
Hálózati hely
- A virtuális hálózatnak ugyanabban a régióban és Azure-előfizetésben kell lennie, mint az API Management-példány.
Dedikált alhálózat
- A virtuális hálózat injektálásához használt alhálózatot csak egyetlen API Management-példány használhatja. Nem osztható meg egy másik Azure-erőforrással.
Alhálózat mérete
- Minimum: /27 (32 cím)
- Ajánlott: /24 (256 cím) – az API Management-példány skálázásának támogatására
Példák
Az alábbi táblázat az API Management virtuális hálózatinjektálására vonatkozó alhálózat-méretezési példákat mutatja be, amely azt szemlélteti, hogy a különböző CIDR-blokkok hogyan befolyásolják a lehetséges vertikális felskálázási egységek számát:
| Alhálózati CIDR | Összes IP-cím | Azure fenntartott IP-címek | API Management-példány IP-címei | Belső terheléselosztó IP-címe | Fennmaradó IP-címek a vertikális felskálázáshoz | Felskálázási egységek maximális mérete | Maximális egységek összesen |
|---|---|---|---|---|---|---|---|
| /27 | 32 | 5 | 2 | 1 | 24 | 12 | 13 |
| /26 | 64 | 5 | 2 | 1 | 56 | 28 | 29 |
| /25 | 128 | 5 | 2 | 1 | 120 | 30* | 30* |
* Prémium v2-korlát
Kulcsfontosságú pontok
- Alhálózat minimális mérete: /27 (24 használható IP-címet biztosít az API Managementhez)
- Fenntartott Azure IP-címek: alhálózatonként 5 cím (első és utolsó a protokollmegformáláshoz, plusz 3 az Azure-szolgáltatásokhoz)
- Vertikális felskálázási követelmény: Minden felskálázási egységhez 2 IP-cím szükséges
- Belső terheléselosztó: Csak akkor szükséges, ha az API Management belső virtuális hálózati módban van üzembe helyezve
- Prémium V2-korlát: Jelenleg legfeljebb 30 egységet támogat.
Fontos
- Az API Management az Azure Integration Services tagja, és általában központi szolgáltatásként van üzembe helyezve a vállalati architektúrákban. Érdemes több IP-címet megadni az API Management alhálózathoz, mivel a későbbi módosítások messzemenő hatással lehetnek.
- A belső terheléselosztó és az API Management egységek privát IP-címei dinamikusan vannak hozzárendelve. Ezért az API Management-példány magánhálózati IP-címét nem lehet előre látni az üzembe helyezés előtt. Emellett egy másik alhálózatra való váltás, majd a visszatérés a privát IP-cím megváltozását okozhatja.
Hálózati biztonsági csoport
Az alhálózathoz hálózati biztonsági csoportot (NSG) kell társítani. Hálózati biztonsági csoport beállításához lásd: Hálózati biztonsági csoport létrehozása.
- Konfigurálja az alábbi táblázatban szereplő szabályokat az Azure Storage-hoz és az Azure Key Vaulthoz való kimenő hozzáférés engedélyezéséhez, amelyek az API Management függőségei.
- Konfiguráljon más kimenő szabályokat, amelyekre az átjárónak szüksége van az API-háttérrendszer eléréséhez.
- Konfiguráljon más NSG-szabályokat a szervezet hálózati hozzáférési követelményeinek való megfeleléshez. Az NSG-szabályok például arra is használhatók, hogy blokkolják az internet felé irányuló kimenő forgalmat, és csak a virtuális hálózat erőforrásaihoz engedélyezzenek hozzáférést.
| Irány | Forrás | Forrásporttartományok | Úti cél | Célporttartományok | Protokoll | Művelet | Cél |
|---|---|---|---|---|---|---|---|
| Kimenő | VirtualNetwork | * | Storage | 443 | TCP | Allow | Az Azure Storage-től való függőség |
| Kimenő | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Allow | Függőség az Azure Key Vault iránt |
Alhálózat delegálása
Az alhálózatot delegálni kell a Microsoft.Web/hostingEnvironments szolgáltatásba .
Feljegyzés
Az Microsoft.Web erőforrás-szolgáltatót regisztrálni kell az előfizetésben, hogy delegálhassa az alhálózatot a szolgáltatásnak. Az erőforrás-szolgáltató portálon való regisztrálásának lépéseit az erőforrás-szolgáltató regisztrálása című témakörben találja.
További információ az alhálózat-delegálás konfigurálásáról: Alhálózat-delegálás hozzáadása vagy eltávolítása.
Engedélyek
A virtuális hálózat injektálásának konfigurálásához legalább az alábbi szerepköralapú hozzáférés-vezérlési engedélyekkel kell rendelkeznie az alhálózaton vagy magasabb szinten:
| Művelet | Leírás |
|---|---|
| Microsoft.Network/virtualNetworks/read | A virtuális hálózat definíciójának olvasása |
| Microsoft.Network/virtualNetworks/alhálózatok/lekérés | Virtuális hálózati alhálózat definíciójának olvasása |
| Microsoft.Network/virtualNetworks/alhálózatok/csatlakozás/művelet | Virtuális hálózat csatlakoztatása |
API Management injektálása virtuális hálózaton
Ha prémium v2-példányt hoz létre az Azure Portal használatával, igény szerint konfigurálhatja a virtuális hálózat injektálásának beállításait.
- Az API Management szolgáltatás létrehozása varázslóban válassza a Hálózatkezelés lapot.
- Kapcsolattípus esetén válassza a Virtuális hálózat lehetőséget.
- A Típus mezőben válassza a Virtuális hálózat injektálása lehetőséget.
- A Virtuális hálózatok konfigurálása területen válassza ki a virtuális hálózatot és az injektálni kívánt delegált alhálózatot.
- Az API Management-példány létrehozásához végezze el a varázslót.
DNS-beállítások a privát IP-címhez való hozzáféréshez
Ha egy Premium v2 API Management-példányt injektál egy virtuális hálózatba, saját DNS-t kell kezelnie az API Management bejövő hozzáférésének engedélyezéséhez.
Bár privát vagy egyéni DNS-kiszolgálót is használhat, a következőket javasoljuk:
- Azure DNS privát zóna konfigurálása.
- Csatlakoztassa az Azure DNS privát zónát a virtuális hálózathoz.
Megtudhatja, hogyan állíthat be privát zónát az Azure DNS-ben.
Feljegyzés
Ha privát vagy egyéni DNS-feloldót konfigurál az injektáláshoz használt virtuális hálózaton, biztosítania kell az Azure Key Vault-végpontok (*.vault.azure.net) névfeloldását. Javasoljuk, hogy konfiguráljon egy Azure-beli privát DNS-zónát, amelynek engedélyezéséhez nincs szükség további konfigurációra.
Végpont-hozzáférés az alapértelmezett gazdagépnéven
Amikor létrehoz egy API Management-példányt a Prémium v2 szinten, egy alapértelmezett gazdagépnevet kap a következő végpont:
-
Átjáró – példa:
contoso-apim.azure-api.net
DNS-rekord konfigurálása
Hozzon létre egy A rekordot a DNS-kiszolgálón, hogy hozzáférjen az API Management-példányhoz a virtuális hálózaton belülről. Térképezze fel a végpontrekordot az API Management példányának privát VIP-címére.
Tesztelési célokból frissítheti a gazdagépfájlt egy virtuális gépen egy olyan alhálózaton, amely ahhoz a virtuális hálózathoz csatlakozik, amelyben az API Management telepítve van. Feltéve, hogy az API Management-példány privát virtuális IP-címe 10.1.0.5, az alábbi példában látható módon megfeleltetheti a hosts fájlt. A gazdagépek leképezési fájlja a %SystemDrive%\drivers\etc\hosts Windows vagy a /etc/hosts Linux, macOS rendszereken található. Példa:
| Belső virtuális IP-cím | Átjáró gazdagépneve |
|---|---|
| 10.1.0.5 | contoso-apim.portal.azure-api.net |