Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
BERLAKU UNTUK: Premium
Isolasi jaringan adalah fitur opsional gateway ruang kerja API Management. Artikel ini menyediakan persyaratan sumber daya jaringan saat Anda mengintegrasikan atau menyuntikkan gateway Anda di jaringan virtual Azure. Beberapa persyaratan berbeda tergantung pada mode akses masuk dan keluar yang diinginkan. Mode berikut didukung:
- Integrasi jaringan virtual: akses masuk publik, akses keluar privat
- Injeksi jaringan virtual: akses masuk privat, akses keluar privat
Untuk latar belakang tentang opsi jaringan di API Management, lihat Menggunakan jaringan virtual untuk mengamankan lalu lintas masuk atau keluar untuk Azure API Management.
Catatan
- Konfigurasi jaringan gateway ruang kerja tidak bergantung pada konfigurasi jaringan instans API Management.
- Saat ini, gateway ruang kerja hanya dapat dikonfigurasi di jaringan virtual saat gateway dibuat. Anda tidak dapat mengubah konfigurasi atau pengaturan jaringan gateway nanti.
Lokasi jaringan
Jaringan virtual harus berada di wilayah dan langganan Azure yang sama dengan instans API Management.
Subnet khusus
- Subnet yang digunakan untuk integrasi atau injeksi jaringan virtual hanya dapat digunakan oleh gateway ruang kerja tunggal. Ini tidak dapat dibagikan dengan sumber daya Azure lain.
Ukuran subnet
- Minimum: /27 (32 alamat)
- Maksimum: /24 (256 alamat) - disarankan
Delegasi subnet
Subnet harus didelegasikan sebagai berikut untuk mengaktifkan akses masuk dan keluar yang diinginkan.
Untuk informasi tentang mengonfigurasi delegasi subnet, lihat Menambahkan atau menghapus delegasi subnet.
Untuk integrasi jaringan virtual, subnet perlu didelegasikan ke layanan Microsoft.Web/serverFarms .
Catatan
Penyedia Microsoft.Web sumber daya harus terdaftar dalam langganan sehingga Anda dapat mendelegasikan subnet ke layanan. Untuk langkah-langkah mendaftarkan penyedia sumber daya menggunakan portal, lihat Mendaftarkan penyedia sumber daya.
Untuk informasi selengkapnya tentang mengonfigurasi delegasi subnet, lihat Menambahkan atau menghapus delegasi subnet.
Grup keamanan jaringan
Grup keamanan jaringan (NSG) harus dikaitkan dengan subnet. Untuk menyiapkan grup keamanan jaringan, lihat Membuat grup keamanan jaringan.
- Konfigurasikan aturan dalam tabel berikut untuk mengizinkan akses keluar ke Azure Storage dan Azure Key Vault, yang merupakan dependensi untuk API Management.
- Konfigurasikan aturan keluar lainnya yang Anda butuhkan agar gateway mencapai backend API Anda.
- Konfigurasikan aturan NSG lainnya untuk memenuhi persyaratan akses jaringan organisasi Anda. Misalnya, aturan NSG juga dapat digunakan untuk memblokir lalu lintas keluar ke internet dan hanya mengizinkan akses ke sumber daya di jaringan virtual Anda.
| Petunjuk | Sumber | Rentang port sumber | Tujuan | Rentang port tujuan | Protokol | Tindakan | Tujuan |
|---|---|---|---|---|---|---|---|
| Ke Luar | VirtualNetwork | * | Storage | 443 | PKT | Izinkan | Dependensi pada Azure Storage |
| Ke Luar | VirtualNetwork | * | AzureKeyVault | 443 | PKT | Izinkan | Dependensi pada Azure Key Vault |
Penting
- Aturan NSG masuk tidak berlaku saat Anda mengintegrasikan gateway ruang kerja di jaringan virtual untuk akses keluar privat. Untuk menegakkan aturan NSG masuk, gunakan injeksi jaringan virtual alih-alih integrasi.
- Ini berbeda dari jaringan di tingkat Premium klasik, di mana aturan NSG masuk diberlakukan dalam mode injeksi jaringan virtual eksternal dan internal. Pelajari lebih lanjut
Pengaturan DNS untuk injeksi jaringan virtual
Untuk injeksi jaringan virtual, Anda harus mengelola DNS Anda sendiri untuk mengaktifkan akses masuk ke gateway ruang kerja Anda.
Meskipun Anda memiliki opsi untuk menggunakan server DNS privat atau kustom, kami sarankan:
- Konfigurasikan zona pribadi DNS Azure.
- Tautkan zona privat Azure DNS ke jaringan virtual.
Pelajari cara menyiapkan zona privat di Azure DNS.
Catatan
Jika Anda mengonfigurasi resolver DNS privat atau kustom di jaringan virtual yang digunakan untuk injeksi, Anda harus menjamin resolusi nama untuk titik akhir Azure Key Vault (*.vault.azure.net). Sebaiknya konfigurasikan zona DNS privat Azure, yang tidak memerlukan konfigurasi tambahan untuk mengaktifkannya.
Akses pada nama host default
Saat Anda membuat ruang kerja API Management, gateway ruang kerja diberi nama host default. Nama host terlihat di portal Azure di halaman Gambaran Umum gateway ruang kerja, bersama dengan alamat IP virtual privatnya. Nama host default dalam format <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net. Contoh: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.
Catatan
Gateway ruang kerja hanya merespons permintaan ke nama host yang dikonfigurasi pada titik akhirnya, bukan alamat VIP privatnya.
Mengonfigurasi catatan DNS
Buat catatan A di server DNS Anda untuk mengakses ruang kerja dari dalam jaringan virtual Anda. Petakan catatan titik akhir ke alamat VIP privat gateway ruang kerja Anda.
Untuk tujuan pengujian, Anda mungkin memperbarui file host pada komputer virtual di subnet yang terhubung ke jaringan virtual tempat API Management disebarkan. Dengan asumsi alamat IP virtual privat untuk gateway ruang kerja Anda adalah 10.1.0.5, Anda dapat memetakan file host seperti yang ditunjukkan dalam contoh berikut. File pemetaan host berada di %SystemDrive%\drivers\etc\hosts (Windows) atau /etc/hosts (Linux, macOS).
| Alamat IP virtual internal | Nama host gateway |
|---|---|
| 10.1.0.5 | teamworkspace.gateway.westus.azure-api.net |