Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
SI APPLICA A: Standard v2 | Premium v2
Questo articolo illustra il processo di configurazione dell'integrazione della rete virtuale per l'istanza di Gestione API di Azure Standard v2 o Premium v2. Con l'integrazione della rete virtuale, l'istanza può effettuare richieste in uscita alle API isolate in una singola rete virtuale connessa o in qualsiasi rete virtuale con peering, purché la connettività di rete sia configurata correttamente.
Quando un'istanza di Gestione API è integrata con una rete virtuale per le richieste in uscita, gli endpoint del gateway e del portale per sviluppatori rimangono accessibili pubblicamente. L'istanza di Gestione API può raggiungere servizi back-end pubblici e isolati dalla rete.
Per inserire un'istanza di Gestione API Premium v2 in una rete virtuale per isolare il traffico in ingresso e in uscita, vedere Inserire un'istanza Premium v2 in una rete virtuale.
Importante
- L'integrazione della rete virtuale in uscita descritta in questo articolo è disponibile solo per le istanze di Gestione API nei livelli Standard v2 e Premium v2. Per le opzioni di rete nei diversi livelli, vedere Usare una rete virtuale con Gestione API di Azure.
- È possibile abilitare l'integrazione della rete virtuale quando si crea un'istanza di Gestione API nel livello Standard v2 o Premium v2 o dopo la creazione dell'istanza.
- Attualmente non è possibile passare dall'inserimento della rete virtuale all'integrazione della rete virtuale per un'istanza Premium v2.
Prerequisiti
- Un'istanza di Gestione API di Azure nel piano tariffario Standard v2 o Premium v2
- (Facoltativo) Per i test, un'API back-end campione ospitata all'interno di un’altra subnet nella rete virtuale. Ad esempio, vedere Esercitazione: Stabilire l'accesso al sito privato di Funzioni di Azure.
- Una rete virtuale con una subnet in cui sono ospitate le API back-end di Gestione API. Per i requisiti e le gli elementi consigliati per la rete virtuale e la subnet, vedere le sezioni seguenti.
Percorso di rete
- La rete virtuale deve trovarsi nella stessa area e nella stessa sottoscrizione di Azure dell'istanza di Gestione API.
Subnet dedicata
- La subnet usata per l'integrazione della rete virtuale può essere usata solo da una singola istanza di Gestione API. Non può essere condivisa con un'altra risorsa di Azure.
Dimensioni della subnet
- Minimo: /27 (32 indirizzi)
- Consigliato: /24 (256 indirizzi): per supportare il ridimensionamento dell'istanza di Gestione API
Gruppo di sicurezza di rete
Un gruppo di sicurezza di rete (NSG) deve essere associato alla subnet. Per configurare un gruppo di sicurezza di rete, vedere Creare un gruppo di sicurezza di rete.
- Configurare le regole nella tabella seguente per consentire l'accesso in uscita ad Azure Storage e ad Azure Key Vault, che sono dipendenze per la Gestione delle API.
- Configurare altre regole di uscita necessarie affinché il gateway raggiunga i sistemi di back-end dell'API.
- Configurare altre regole dell'NSG per soddisfare i requisiti di accesso alla rete dell'organizzazione. Ad esempio, le regole del gruppo di sicurezza di rete possono essere usate anche per bloccare il traffico in uscita verso Internet e consentire l'accesso solo alle risorse nella rete virtuale.
| Direction | Fonte | Intervalli di porte di origine | Destinazione | Intervalli di porte di destinazione | Protocollo | Azione | Scopo |
|---|---|---|---|---|---|---|---|
| Outbound | VirtualNetwork | * | Storage | 443 | TCP | Allow | Dipendenza da Archiviazione Azure |
| Outbound | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Allow | Dipendenza da Azure Key Vault |
Importante
- Le regole del gruppo di sicurezza di rete in ingresso non si applicano quando un'istanza del livello v2 è integrata in una rete virtuale per l'accesso in uscita privato. Per applicare le regole del gruppo di sicurezza di rete in ingresso, utilizzare l'iniezione della rete virtuale anziché l'integrazione.
- Questo differisce dal networking nel livello Premium classico, dove le regole NSG in ingresso vengono applicate in entrambe le modalità di iniezione della rete virtuale esterna e interna. Ulteriori informazioni
Delegazione subnet
La subnet deve essere delegata al servizio Microsoft.Web/serverFarms .
Note
Il provider di risorse Microsoft.Web deve essere registrato nella sottoscrizione in modo che sia possibile delegare la subnet al servizio. Per la procedura per registrare un provider di risorse tramite il portale, vedere Registrare il provider di risorse.
Per altre informazioni sulla configurazione della delega della subnet, vedere Aggiungere o rimuovere una delega di subnet.
Autorizzazioni
Per configurare l'integrazione della rete virtuale, è necessario disporre almeno delle seguenti autorizzazioni di controllo degli accessi basate sul ruolo nella subnet o a un livello superiore:
| Azione | Descrizione |
|---|---|
| Microsoft.Network/virtualNetworks/read | Leggere la definizione della rete virtuale |
| Microsoft.Network/virtualNetworks/subnets/read | Leggere una definizione di subnet della rete virtuale |
| Microsoft.Network/virtualNetworks/subnets/join/action | Aggiunge una rete virtuale |
Configurare l'integrazione della rete virtuale
Questa sezione illustra il processo per configurare l'integrazione della rete virtuale esterna per un'istanza di Gestione API di Azure esistente. È anche possibile configurare l'integrazione della rete virtuale quando si crea una nuova istanza di Gestione API.
- Nel portale di Azure passare all'istanza di Gestione API.
- Nel menu a sinistra, in Distribuzione e infrastruttura selezionare Modifica rete>.
- Nella pagina Configurazione di rete , in Funzionalità in uscita selezionare Abilita integrazione rete virtuale.
- Selezionare la rete virtuale e la subnet delegata da integrare.
- Selezionare Salva. La rete virtuale è integrata.
(Facoltativo) Testare l'integrazione della rete virtuale
Se si dispone di un'API ospitata nella rete virtuale, è possibile importarla nell'istanza di gestione e testare l'integrazione della rete virtuale. Per i passaggi di base, vedere Importare e pubblicare un'API.