Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
SI APPLICA A: Premium
L'isolamento rete è una funzionalità facoltativa di un gateway dell'area di lavoro di Gestione API. Questo articolo fornisce i requisiti delle risorse di rete quando si integra o si inserisce il gateway in una rete virtuale di Azure. Alcuni requisiti variano a seconda della modalità di accesso in ingresso e in uscita desiderata. Sono supportate le modalità seguenti:
- Integrazione della rete virtuale: accesso in ingresso pubblico, accesso in uscita privato
- Inserimento della rete virtuale: accesso in ingresso privato, accesso in uscita privato
Per informazioni generali sulle opzioni di rete in Gestione API, vedere Usare una rete virtuale per proteggere il traffico in ingresso o in uscita per Gestione API di Azure.
Annotazioni
- La configurazione di rete di un gateway dell'area di lavoro è indipendente dalla configurazione di rete dell'istanza di Gestione API.
- Attualmente, un gateway dell'area di lavoro può essere configurato solo in una rete virtuale quando viene creato. Non è possibile modificare la configurazione di rete o le impostazioni del gateway in un secondo momento.
Percorso di rete
La rete virtuale deve trovarsi nella stessa area e nella stessa sottoscrizione di Azure dell'istanza di Gestione API.
Subnet dedicata
- La subnet usata per l'integrazione o l'inserimento della rete virtuale può essere usata solo da un singolo gateway dell'area di lavoro. Non può essere condivisa con un'altra risorsa di Azure.
Dimensioni della subnet
- Minimo: /27 (32 indirizzi)
- Massimo: /24 (256 indirizzi) - scelta consigliata
Delegazione subnet
La subnet deve essere delegata come indicato di seguito per abilitare l'accesso in ingresso e in uscita desiderato.
Per informazioni sulla configurazione della delega della subnet, vedere Aggiungere o rimuovere una delega della subnet.
Per l'integrazione della rete virtuale, la subnet deve essere delegata al servizio Microsoft.Web/serverFarms .
Annotazioni
Il provider di risorse Microsoft.Web deve essere registrato nella sottoscrizione in modo che sia possibile delegare la subnet al servizio. Per la procedura per registrare un provider di risorse tramite il portale, vedere Registrare il provider di risorse.
Per altre informazioni sulla configurazione della delega della subnet, vedere Aggiungere o rimuovere una delega di subnet.
Gruppo di sicurezza di rete
Un gruppo di sicurezza di rete (NSG) deve essere associato alla subnet. Per configurare un gruppo di sicurezza di rete, vedere Creare un gruppo di sicurezza di rete.
- Configurare le regole nella tabella seguente per consentire l'accesso in uscita ad Azure Storage e Azure Key Vault, che sono dipendenze per API Management.
- Configurare altre regole di uscita necessarie affinché il gateway raggiunga i sistemi di back-end dell'API.
- Configurare altre regole dell'NSG per soddisfare i requisiti di accesso alla rete dell'organizzazione. Ad esempio, le regole del gruppo di sicurezza di rete possono essere usate anche per bloccare il traffico in uscita verso Internet e consentire l'accesso solo alle risorse nella rete virtuale.
| Direzione | Source (Sorgente) | Intervalli di porte di origine | Destinazione | Intervalli di porte di destinazione | Protocollo | Azione | Scopo |
|---|---|---|---|---|---|---|---|
| In uscita | VirtualNetwork | * | Immagazzinamento | 443 | TCP | Allow | Dipendenza da Azure Storage |
| In uscita | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Allow | Dipendenza da Azure Key Vault |
Importante
- Le regole del gruppo di sicurezza di rete in ingresso non si applicano quando si integra un gateway dell'area di lavoro in una rete virtuale per l'accesso in uscita privato. Per applicare le regole del gruppo di sicurezza di rete in ingresso, utilizzare l'iniezione della rete virtuale anziché l'integrazione.
- Questo differisce dal networking nel livello Premium classico, dove le regole NSG in ingresso vengono applicate in entrambe le modalità di iniezione della rete virtuale esterna e interna. Ulteriori informazioni
Impostazioni DNS per l'inserimento della rete virtuale
Per l'inserimento della rete virtuale, è necessario gestire il proprio DNS per abilitare l'accesso in ingresso al gateway dell'area di lavoro.
Anche se è possibile usare un server DNS privato o personalizzato, è consigliabile:
- Configurare una zona DNS privata di Azure.
- Collegare la zona privata DNS di Azure alla rete virtuale.
Di seguito viene descritto come configurare una zona privata in DNS di Azure.
Annotazioni
Se si configura un resolver DNS privato o personalizzato nella rete virtuale usata per l'inserimento, è necessario garantire la risoluzione dei nomi per gli endpoint di Azure Key Vault (*.vault.azure.net). È consigliabile configurare una zona DNS privata di Azure, che non richiede una configurazione aggiuntiva per abilitarla.
Accesso con il nome host predefinito
Quando si crea un'area di lavoro di Gestione API, al gateway dell'area di lavoro viene assegnato un nome host predefinito. Il nome host è visibile nel portale di Azure nella pagina Panoramica del gateway dell'area di lavoro, insieme al relativo indirizzo IP virtuale privato. Il nome host predefinito è nel formato <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net. Esempio: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.
Annotazioni
Il gateway dell'area di lavoro risponde solo alle richieste al nome host configurato nel relativo endpoint, non all'indirizzo VIP privato.
Configurare record DNS
Creare un record A nel server DNS per accedere all'area di lavoro dall'interno della rete virtuale. Eseguire il mapping del record dell'endpoint all'indirizzo VIP privato del gateway dell'area di lavoro.
A scopo di test, è possibile aggiornare il file hosts in una macchina virtuale in una subnet connessa alla rete virtuale in cui viene distribuito Gestione API. Supponendo che l'indirizzo IP virtuale privato per il gateway dell'area di lavoro sia 10.1.0.5, è possibile eseguire il mapping del file hosts come illustrato nell'esempio seguente. Il file di mapping hosts si trova in %SystemDrive%\drivers\etc\hosts (Windows) o /etc/hosts (Linux, macOS).
| Indirizzo IP virtuale interno | Nome host del gateway |
|---|---|
| 10.1.0.5 | teamworkspace.gateway.westus.azure-api.net |