Azure API Management-példány integrálása privát virtuális hálózattal kimenő kapcsolatokhoz

A KÖVETKEZŐRE VONATKOZIK: Standard v2 | Prémium v2

Ez a cikk végigvezeti a Standard v2 vagy Prémium v2 Azure API Management-példány virtuális hálózati integrációjának konfigurálásának folyamatán. A virtuális hálózat integrációjával a példány kimenő kéréseket intézhet az olyan API-khoz, amelyek egyetlen csatlakoztatott virtuális hálózaton vagy társhálózaton vannak elkülönítve, mindaddig, amíg a hálózati kapcsolat megfelelően van konfigurálva.

Ha egy API Management-példány integrálva van egy virtuális hálózattal a kimenő kérelmekhez, az átjáró és a fejlesztői portál végpontjai nyilvánosan elérhetők maradnak. Az API Management-példány elérheti a nyilvános és a hálózat által elkülönített háttérszolgáltatásokat is.

Ha prémium v2 API Management-példányt szeretne injektálni egy virtuális hálózatba a bejövő és a kimenő forgalom elkülönítéséhez, olvassa el a Premium v2-példányok injektálása egy virtuális hálózatba című témakört.

Fontos

• A cikkben ismertetett kimenő virtuális hálózati integráció csak a Standard v2 és Prémium v2 szintű API Management-példányokhoz érhető el. A különböző szintek hálózatkezelési lehetőségeiről a Virtuális hálózat használata az Azure API Management szolgáltatással című témakörben olvashat.
• Engedélyezheti a virtuális hálózati integrációt, ha létrehoz egy API Management-példányt a Standard v2 vagy Premium v2 szinten, vagy a példány létrehozása után.
• Jelenleg nem válthat a virtuális hálózati injektálás és a virtuális hálózat integrációja között egy Prémium v2-példány esetében.

Előfeltételek

• Azure API Management-példány a Standard v2 vagy Premium v2 tarifacsomagban
• (Nem kötelező) Teszteléshez egy minta háttér API, amely a virtuális hálózat egy másik alhálózatán van üzemeltetve. Lásd például az Oktatóanyagot: Azure Functions privát helyhozzáférés létrehozása.
• Egy alhálózattal rendelkező virtuális hálózat, ahol az API Management háttér API-k üzemelnek. A virtuális hálózatra és alhálózatra vonatkozó követelményekről és javaslatokról az alábbi szakaszokban olvashat.

Hálózati hely

• A virtuális hálózatnak ugyanabban a régióban és Azure-előfizetésben kell lennie, mint az API Management-példány.

Dedikált alhálózat

• A virtuális hálózati integrációhoz használt alhálózatot csak egyetlen API Management-példány használhatja. Nem osztható meg egy másik Azure-erőforrással.

Alhálózat mérete

• Minimum: /27 (32 címek)
• Ajánlott: /24 (256 cím) – az API Management-példány skálázásának támogatására

Hálózati biztonsági csoport

Az alhálózathoz hálózati biztonsági csoportot (NSG) kell társítani. Hálózati biztonsági csoport beállításához lásd: Hálózati biztonsági csoport létrehozása.

• Konfigurálja az alábbi táblázatban szereplő szabályokat az Azure Storage-hoz és az Azure Key Vaulthoz való kimenő hozzáférés engedélyezéséhez, amelyek az API Management függőségei.
• Konfiguráljon más kimenő szabályokat, amelyekre az átjárónak szüksége van az API-háttérrendszer eléréséhez.
• Konfiguráljon más NSG-szabályokat a szervezet hálózati hozzáférési követelményeinek való megfeleléshez. Az NSG-szabályok például arra is használhatók, hogy blokkolják az internet felé irányuló kimenő forgalmat, és csak a virtuális hálózat erőforrásaihoz engedélyezzenek hozzáférést.

Irány	Forrás	Forrásporttartományok	Úti cél	Célporttartományok	Protokoll	Művelet	Cél
Kimenő	VirtualNetwork	*	Storage	443	TCP	Allow	Az Azure Storage-től való függőség
Kimenő	VirtualNetwork	*	AzureKeyVault	443	TCP	Allow	Függőség az Azure Key Vault iránt

Fontos

• A bejövő NSG-szabályok nem érvényesek, ha egy v2 szintű példány integrálva van egy virtuális hálózatba a privát kimenő hozzáférés érdekében. A bejövő NSG-szabályok kényszerítéséhez integráció helyett használjon virtuális hálózati injektálást.
• Ez eltér a klasszikus prémium szintű hálózatkezeléstől, ahol a bejövő NSG-szabályok külső és belső virtuális hálózati injektálási módban is érvényesülnek. Tudj meg többet

Alhálózat delegálása

Az alhálózatot delegálni kell a Microsoft.Web/serverFarms szolgáltatásba.

Megjegyzés

Az Microsoft.Web erőforrás-szolgáltatót regisztrálni kell az előfizetésben, hogy delegálhassa az alhálózatot a szolgáltatásnak. Az erőforrás-szolgáltató portálon való regisztrálásának lépéseit az erőforrás-szolgáltató regisztrálása című témakörben találja.

További információ az alhálózat-delegálás konfigurálásáról: Alhálózat-delegálás hozzáadása vagy eltávolítása.

Engedélyek

A virtuális hálózati integráció konfigurálásához legalább az alábbi szerepköralapú hozzáférés-vezérlési engedélyekkel kell rendelkeznie az alhálózaton vagy magasabb szinten:

Művelet	Leírás
Microsoft.Network/virtualNetworks/read	A virtuális hálózat definíciójának olvasása
Microsoft.Network/virtualNetworks/alhálózatok/lekérdezés	Virtuális hálózati alhálózat definíciójának olvasása
Microsoft.Network/virtualNetworks/hálózati alhálózatok/csatlakozás/művelet	Virtuális hálózat csatlakoztatása

Virtuális hálózati integráció konfigurálása

Ez a szakasz végigvezeti a meglévő Azure API Management-példány külső virtuális hálózati integrációjának konfigurálására irányuló folyamaton. Új API Management-példány létrehozásakor a virtuális hálózati integrációt is konfigurálhatja.

1. Az Azure Portalon keresse meg az API Management-példányt.
2. A bal oldali menü Üzembe helyezés + Infrastruktúra területén válassza a Hálózat>szerkesztése lehetőséget.
3. A Hálózatkonfiguráció lap Kimenő szolgáltatások területén válassza a Virtuális hálózat integrációjának engedélyezése lehetőséget .
4. Válassza ki az integrálni kívánt virtuális hálózatot és delegált alhálózatot.
5. Válassza a Mentés lehetőséget. A virtuális hálózat integrálva van.

(Nem kötelező) Virtuális hálózati integráció tesztelése

Ha rendelkezik a virtuális hálózaton üzemeltetett API-val, importálhatja azt a felügyeleti példányba, és tesztelheti a virtuális hálózati integrációt. Az alapvető lépésekért tekintse meg az API importálását és közzétételét ismertető témakört.

Kapcsolódó tartalom

• Virtuális hálózat használata az Azure API Managementtel