送信接続のためにプライベート VNet と Azure API Management インスタンスを統合する
適用対象: Standard v2
この記事では、Azure API Management インスタンスの VNet 統合を構成して、API Management インスタンスがネットワーク内で分離された API バックエンドへの送信要求を行えるようにするプロセスについて説明します。
API Management インスタンスが送信要求のために仮想ネットワークと統合されている場合、API Management 自体は VNet にデプロイされません。ゲートウェイとその他のエンドポイントには引き続きパブリックにアクセスできます。 この構成では、API Management インスタンスは、パブリックとネットワーク分離バックエンド サービスの両方に到達できます。
前提条件
- Standard v2 価格レベルの Azure API Management インスタンス
- API Management バックエンド API がホストされているサブネットを持つ仮想ネットワーク
- ネットワークは、API Management インスタンスと同じリージョンとサブスクリプションにデプロイする必要があります。
- サブネットは VNet 統合専用である必要があります。
- 新しいサブネットを作成するときは、
/26または/27の最小サブネット サイズをお勧めします。/28は、既存のサブネットと共に使用できます。
- (省略可能) テストを行う場合は、仮想ネットワークの別のサブネット内でホストされているサンプル バックエンド API。 例については、「チュートリアル: Azure Functions のプライベート サイト アクセスを設定する」を参照してください。
アクセス許可
仮想ネットワーク統合を構成するには、サブネットまたは上位レベルで少なくとも次のロールベースのアクセス制御のアクセス許可を持っている必要があります。
| アクション | 説明 |
|---|---|
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を読み取ります |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を読み取ります |
| Microsoft.Network/virtualNetworks/subnets/join/action | 仮想ネットワークに参加します。 |
Microsoft.Web リソース プロバイダーを登録する
仮想ネットワークのサブスクリプションが、Microsoft.Web リソース プロバイダーに登録されていることを確認します。 このドキュメントに従って、プロバイダーを明示的に登録できます。
サブネットを委任する
統合に使用するサブネットは、Microsoft.Web/serverFarms サービスに委任する必要があります。 サブネットを別のサービスに委任することはできません。 サブネット設定では、[サービスへのサブネットの委任] で [Microsoft.Web/serverFarms] を選択します。
VNet 統合を有効にする
このセクションでは、Azure API Management インスタンスの VNet 統合を有効にするプロセスについて説明します。
Azure portal で、API Management インスタンスに移動します。
左側のメニューの [デプロイとインフラストラクチャ] で、[ネットワーク] を選択します。
[送信トラフィック] カードで、[VNET 統合] を選択します。
[仮想ネットワーク] ブレードで、[仮想ネットワーク] チェック ボックスをオンにします。
API Management インスタンスの場所を選択します。
[仮想ネットワーク] で、統合する仮想ネットワークと委任されたサブネットを選択します。
[適用]、[保存] の順に選択します。 VNet が統合されます。
(省略可能) VNet 統合をテストする
仮想ネットワークでホストされている API がある場合は、それを Management インスタンスにインポートし、VNet 統合をテストできます。 基本的な手順については、「API をインポートおよび発行する」を参照してください。