Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A KÖVETKEZŐRE VONATKOZIK: Alapszintű v2 | Standard v2 | Prémium | Prémium v2
A hálózatelkülönítés a munkaterületi átjáró erőforrásának opcionális funkciója az API Managementben. Ez a cikk hálózati erőforrás-követelményeket tartalmaz az átjáró Azure-beli virtuális hálózatba való integrálásakor vagy injektálásakor. Egyes követelmények a kívánt bejövő és kimenő hozzáférési módtól függően eltérnek. A következő módok támogatottak:
- Virtuális hálózat integrációja: nyilvános bejövő hozzáférés, privát kimenő hozzáférés
- Virtuális hálózat injektálása: privát bejövő hozzáférés, privát kimenő hozzáférés
Az API Management hálózati beállításaival kapcsolatos háttérért lásd: Az Azure API Management bejövő vagy kimenő forgalmának biztonságossá tételéhez virtuális hálózat használata.
Megjegyzés
- A munkaterület-átjáró hálózati konfigurációja független az API Management-példány hálózati konfigurációitól.
- A munkaterületi átjárók jelenleg csak az átjáró létrehozásakor konfigurálhatók virtuális hálózaton. Az átjáró hálózati konfigurációját vagy beállításait később nem módosíthatja.
Hálózati hely
A virtuális hálózatnak ugyanabban a régióban és Azure-előfizetésben kell lennie, mint az API Management-példány.
Dedikált alhálózat
- A virtuális hálózat integrációjához vagy injektálásához használt alhálózatot csak egyetlen munkaterületi átjáró használhatja. Nem osztható meg egy másik Azure-erőforrással.
Alhálózat mérete
- Minimum: /27 (32 IP-cím)
- Maximum: /24 (256 cím) – ajánlott
Alhálózat delegálása
Az alhálózatot az alábbiak szerint kell delegálni a kívánt bejövő és kimenő hozzáférés engedélyezéséhez.
További információ az alhálózat-delegálás konfigurálásáról: Alhálózat-delegálás hozzáadása vagy eltávolítása.
A virtuális hálózat integrációjához az alhálózatot delegálni kell a Microsoft.Web/serverFarms szolgáltatásba.
Megjegyzés
Az Microsoft.Web erőforrás-szolgáltatót regisztrálni kell az előfizetésben, hogy delegálhassa az alhálózatot a szolgáltatásnak. Az erőforrás-szolgáltató portálon való regisztrálásának lépéseit az erőforrás-szolgáltató regisztrálása című témakörben találja.
További információ az alhálózat-delegálás konfigurálásáról: Alhálózat-delegálás hozzáadása vagy eltávolítása.
Hálózati biztonsági csoport
Az alhálózathoz hálózati biztonsági csoportot (NSG) kell társítani. Hálózati biztonsági csoport beállításához lásd: Hálózati biztonsági csoport létrehozása.
- Konfigurálja az alábbi táblázatban szereplő szabályokat az Azure Storage-hoz és az Azure Key Vaulthoz való kimenő hozzáférés engedélyezéséhez, amelyek az API Management függőségei.
- Konfiguráljon más kimenő szabályokat, amelyekre az átjárónak szüksége van az API-háttérrendszer eléréséhez.
- Konfiguráljon más NSG-szabályokat a szervezet hálózati hozzáférési követelményeinek való megfeleléshez. Az NSG-szabályok például arra is használhatók, hogy blokkolják az internet felé irányuló kimenő forgalmat, és csak a virtuális hálózat erőforrásaihoz engedélyezzenek hozzáférést.
| Irány | Forrás | Forrásporttartományok | Cél | Célporttartományok | Protokoll | Tevékenység | Cél |
|---|---|---|---|---|---|---|---|
| Kimenő | VirtualNetwork | * | Storage | 443 | TCP | Engedélyezve | Azure tárolóra való függőség |
| Kimenő | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Engedélyezve | Függőség az Azure Key Vault iránt |
Fontos
- A bejövő NSG-szabályok nem érvényesek, ha egy munkaterületi átjárót integrál egy virtuális hálózatba a privát kimenő hozzáférés érdekében. A bejövő NSG-szabályok kényszerítéséhez integráció helyett használjon virtuális hálózati injektálást.
- Ez eltér a klasszikus prémium szintű hálózatkezeléstől, ahol a bejövő NSG-szabályok külső és belső virtuális hálózati injektálási módban is érvényesülnek. Tudj meg többet
DNS-beállítások a virtuális hálózat injektálásához
A virtuális hálózat injektálásához saját DNS-t kell kezelnie, hogy engedélyezze a bejövő hozzáférést a munkaterület-átjáróhoz.
Bár privát vagy egyéni DNS-kiszolgálót is használhat, a következőket javasoljuk:
- Azure DNS privát zóna konfigurálása.
- Csatlakoztassa az Azure DNS privát zónát a virtuális hálózathoz.
Megtudhatja, hogyan állíthat be privát zónát az Azure DNS-ben.
Megjegyzés
Ha privát vagy egyéni DNS-feloldót konfigurál az injektáláshoz használt virtuális hálózaton, biztosítania kell az Azure Key Vault-végpontok (*.vault.azure.net) névfeloldását. Javasoljuk, hogy konfiguráljon egy Azure-beli privát DNS-zónát, amelynek engedélyezéséhez nincs szükség további konfigurációra.
Hozzáférés az alapértelmezett gazdagépnéven keresztül
Amikor létrehoz egy API Management-munkaterületi átjárót, a rendszer egy alapértelmezett gazdagépnevet rendel hozzá. Az állomásnév az Azure Portalban, a munkaterület átjárójának Áttekintés lapján látható, a privát virtuális IP-címével együtt. Az alapértelmezett állomásnév formátuma: <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net. Példa: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.
Megjegyzés
A munkaterület-átjáró csak a végpontján konfigurált gazdagépnévre érkező kérésekre válaszol, a privát VIP-címére érkezőkre nem.
DNS-rekord konfigurálása
Hozzon létre egy A rekordot a DNS-kiszolgálón a munkaterület virtuális hálózaton belüli eléréséhez. Képezze le a végpontrekordot a munkaterület-átjárójának privát VIP-címére.
Tesztelési célokból frissítheti a gazdagépfájlt egy virtuális gépen egy olyan alhálózaton, amely ahhoz a virtuális hálózathoz csatlakozik, amelyben az API Management telepítve van. Feltéve, hogy a munkaterület-átjáró privát virtuális IP-címe 10.1.0.5, a hosts fájlban az alábbi példának megfelelően állíthat be hozzárendelést. A hosts megfeleltetési fájl helye: %SystemDrive%\drivers\etc\hosts (Windows) vagy /etc/hosts (Linux, macOS).
| Belső virtuális IP-cím | Átjáró gazdagépnév |
|---|---|
| 10.1.0.5 | teamworkspace.gateway.westus.azure-api.net |