Vereisten voor netwerkresources voor de integratie van een werkruimtegateway in een virtueel netwerk

VAN TOEPASSING OP: Premium

Netwerkisolatie is een optionele functie van een API Management-werkruimtegateway. Dit artikel bevat vereisten voor netwerkresources wanneer u uw gateway integreert in een virtueel Azure-netwerk. Sommige vereisten verschillen, afhankelijk van de gewenste inkomende en uitgaande toegangsmodus. De volgende modi worden ondersteund:

• Openbare binnenkomende toegang, privé-uitgaande toegang (openbaar/privé)
• Privé-binnenkomende toegang, privé-uitgaande toegang (privé/privé)

Zie Een virtueel netwerk gebruiken om inkomend of uitgaand verkeer voor Azure API Management te beveiligen voor informatie over netwerkopties in API Management.

Notitie

• De netwerkconfiguratie van een werkruimtegateway is onafhankelijk van de netwerkconfiguratie van het API Management-exemplaar.
• Op dit moment kan een werkruimtegateway alleen worden geconfigureerd in een virtueel netwerk wanneer de gateway wordt gemaakt. U kunt de netwerkconfiguratie of -instellingen van de gateway later niet wijzigen.

Netwerklocatie

• Het virtuele netwerk moet zich in dezelfde regio en hetzelfde Azure-abonnement bevinden als het API Management-exemplaar.

Subnetvereisten

• Het subnet kan niet worden gedeeld met een andere Azure-resource, inclusief een andere werkruimtegateway.

Subnetgrootte

• Minimum: /27 (32 adressen)
• Maximum: /24 (256 adressen) - aanbevolen

Delegatie van subnet

Het subnet moet als volgt worden gedelegeerd om de gewenste binnenkomende en uitgaande toegang in te schakelen.

Zie Een subnetdelegering toevoegen of verwijderen voor meer informatie over het configureren van subnetdelegering.

Openbaar/privé

Voor de openbare/privémodus moet het subnet worden gedelegeerd aan de Service Microsoft.Web/serverFarms .

Notitie

Mogelijk moet u de Microsoft.Web/serverFarms resourceprovider registreren in het abonnement, zodat u het subnet kunt delegeren aan de service.

Privé/privé

Voor de privé-/privémodus moet het subnet worden gedelegeerd aan de Service Microsoft.Web/hostingEnvironments .

Notitie

Mogelijk moet u de Microsoft.Web/hostingEnvironments resourceprovider registreren in het abonnement, zodat u het subnet kunt delegeren aan de service.

NSG-regels (netwerkbeveiligingsgroep)

Een netwerkbeveiligingsgroep (NSG) moet worden gekoppeld aan het subnet om binnenkomende connectiviteit expliciet toe te staan. Configureer de volgende regels in de NSG. Stel de prioriteit van deze regels hoger in dan die van de standaardregels.

Openbaar/privé

Bron-/doelpoort(en)	Richting	Transportprotocol	Bron	Doel	Doel
*/80	Inkomend	TCP	AzureLoadBalancer	Subnetbereik werkruimtegateway	Intern status pingverkeer toestaan
*/80,443	Inkomend	TCP	Internet	Subnetbereik werkruimtegateway	Binnenkomend verkeer toestaan

Privé/privé

Bron-/doelpoort(en)	Richting	Transportprotocol	Bron	Doel	Doel
*/80	Inkomend	TCP	AzureLoadBalancer	Subnetbereik werkruimtegateway	Intern status pingverkeer toestaan
*/80,443	Inkomend	TCP	Virtueel netwerk	Subnetbereik werkruimtegateway	Binnenkomend verkeer toestaan

DNS-instellingen voor privé-/privéconfiguratie

In de configuratie van het privé-/privénetwerk moet u uw eigen DNS beheren om binnenkomende toegang tot uw werkruimtegateway in te schakelen.

We raden het volgende aan:

1. Configureer een privézone van Azure DNS.
2. Koppel de privézone van Azure DNS aan het VNet waarin u uw werkruimtegateway hebt geïmplementeerd.

Meer informatie over het instellen van een privézone in Azure DNS.

Toegang op standaardhostnaam

Wanneer u een API Management-werkruimte maakt, wordt aan de werkruimtegateway een standaardhostnaam toegewezen. De hostnaam is zichtbaar in Azure Portal op de overzichtspagina van de werkruimtegateway, samen met het privé-VIRTUELE IP-adres. De standaardhostnaam heeft de indeling <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net. Voorbeeld: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.

Notitie

De werkruimtegateway reageert alleen op aanvragen voor de hostnaam die is geconfigureerd op het eindpunt, niet op het privé-VIP-adres.

DNS-record configureren

Maak een A-record op uw DNS-server voor toegang tot de werkruimte vanuit uw VNet. Wijs de eindpuntrecord toe aan het privé-VIP-adres van uw werkruimtegateway.

Voor testdoeleinden kunt u het hosts-bestand bijwerken op een virtuele machine in een subnet dat is verbonden met het VNet waarin API Management wordt geïmplementeerd. Ervan uitgaande dat het privé-VIRTUELE IP-adres voor uw werkruimtegateway 10.1.0.5 is, kunt u het hostbestand toewijzen, zoals wordt weergegeven in het volgende voorbeeld. Het toewijzingsbestand voor hosts bevindt zich in %SystemDrive%\drivers\etc\hosts (Windows) of /etc/hosts (Linux, macOS).

Intern virtueel IP-adres	Hostnaam van gateway
10.1.0.5	teamworkspace.gateway.westus.azure-api.net

Gerelateerde inhoud

• Een virtueel netwerk gebruiken om inkomend of uitgaand verkeer voor Azure API Management te beveiligen
• Werkruimten in Azure API Management