Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
VAN TOEPASSING OP: Premium v2
In dit artikel wordt u begeleid bij de vereisten voor het injecteren van uw Azure API Management Premium v2-exemplaar in een virtueel netwerk.
Notitie
Als u een klassiek exemplaar van de Developer- of Premium-laag in een virtueel netwerk wilt injecteren, zijn de vereisten en configuratie anders. Meer informatie.
Wanneer een API Management Premium v2-exemplaar wordt geïnjecteerd in een virtueel netwerk:
- Het EINDPUNT van de API Management-gateway is toegankelijk via het virtuele netwerk op een privé-IP-adres.
- API Management kan uitgaande aanvragen indienen bij API-back-ends die zijn geïsoleerd in het netwerk of een peernetwerk, zolang de netwerkverbinding juist is geconfigureerd.
Deze configuratie wordt aanbevolen voor scenario's waarin u netwerkverkeer wilt isoleren naar zowel het API Management-exemplaar als de back-end-API's.
Zie Integreren met een virtueel netwerk voor uitgaande verbindingen als u openbare inkomende toegang tot een API Management-exemplaar in de laag Standard v2 of Premium v2 wilt inschakelen, maar uitgaande toegang tot netwerk-geïsoleerde back-ends wilt beperken.
Belangrijk
- Virtuele netwerkinjectie die in dit artikel wordt beschreven, is alleen beschikbaar voor API Management-exemplaren in de Premium v2-laag. Zie Een virtueel netwerk gebruiken met Azure API Management voor netwerkopties in de verschillende lagen.
- Op dit moment kunt u een Premium v2-exemplaar alleen in een virtueel netwerk injecteren wanneer het exemplaar wordt gemaakt. U kunt geen bestaand Premium v2-exemplaar in een virtueel netwerk injecteren. U kunt echter de subnetinstellingen voor injectie bijwerken nadat de instantie is gemaakt.
- Op dit moment kunt u niet schakelen tussen virtuele netwerkinjectie en integratie van virtuele netwerken voor een Premium v2-exemplaar.
Vereisten
- Een Azure API Management-exemplaar in de prijscategorie Premium v2 .
- Een virtueel netwerk waar uw client-apps en uw API Management-back-end-API's worden gehost. Zie de volgende secties voor vereisten en aanbevelingen voor het virtuele netwerk en subnet dat wordt gebruikt voor het API Management-exemplaar.
Netwerklocatie
- Het virtuele netwerk moet zich in dezelfde regio en hetzelfde Azure-abonnement bevinden als het API Management-exemplaar.
Toegewezen subnet
- Het subnet dat wordt gebruikt voor virtuele netwerkinjectie, kan alleen worden gebruikt door één API Management-exemplaar. Het kan niet worden gedeeld met een andere Azure-resource.
Subnetgrootte
- Minimum: /27 (32 adressen)
- Aanbevolen: /24 (256 adressen) - voor het schalen van het API Management-exemplaar
Netwerkbeveiligingsgroep
Er moet een netwerkbeveiligingsgroep (NSG) zijn gekoppeld aan het subnet. Zie Een netwerkbeveiligingsgroep maken om een netwerkbeveiligingsgroep in te stellen.
- Configureer de regels in de volgende tabel om uitgaande toegang tot Azure Storage en Azure Key Vault toe te staan. Dit zijn afhankelijkheden voor API Management.
- Configureer andere uitgaande regels die u nodig hebt voor de gateway om uw API-back-ends te bereiken.
- Configureer andere NSG-regels om te voldoen aan de netwerktoegangsvereisten van uw organisatie. NSG-regels kunnen bijvoorbeeld ook worden gebruikt om uitgaand verkeer naar internet te blokkeren en alleen toegang tot resources in uw virtuele netwerk toe te staan.
| Richting | Bron | Poortbereiken van bron | Bestemming | Poortbereiken van bestemming | protocol | Actie | Purpose |
|---|---|---|---|---|---|---|---|
| Vertrekkend | VirtualNetwork | * | Storage | 443 | TCP | Allow | Afhankelijkheid van Azure Storage |
| Vertrekkend | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Allow | Afhankelijkheid van Azure Key Vault |
Delegatie van subnet
Het subnet moet worden gedelegeerd aan de Service Microsoft.Web/hostingEnvironments .
Notitie
De Microsoft.Web resourceprovider moet zijn geregistreerd in het abonnement, zodat u het subnet kunt delegeren aan de service. Zie Resourceprovider registreren voor stappen voor het registreren van een resourceprovider via de portal.
Zie Een subnetdelegering toevoegen of verwijderen voor meer informatie over het configureren van subnetdelegering.
Machtigingen
U moet ten minste de volgende op rollen gebaseerde toegangsbeheermachtigingen voor het subnet of op een hoger niveau hebben om virtuele netwerkinjectie te configureren:
| Actie | Beschrijving |
|---|---|
| Microsoft.Network/virtueleNetwerken/lezen | De definitie van het virtuele netwerk lezen |
| Microsoft.Network/virtualNetworks/subnetten/read | Een subnetdefinitie voor een virtueel netwerk lezen |
| Microsoft.Network/virtualNetworks/subnetten/join/action | Verbinden met een virtueel netwerk |
API Management in een virtueel netwerk injecteren
Wanneer u een Premium v2-exemplaar maakt met behulp van Azure Portal, kunt u eventueel instellingen configureren voor virtuele netwerkinjectie.
- Selecteer in de wizard API Management-service aanmaken het tabblad Netwerk.
- Selecteer Virtueel netwerk bij Connectiviteitstype.
- Selecteer in TypeDe injectie van het virtuele netwerk.
- Selecteer in Virtuele netwerken configureren het virtuele netwerk en het gedelegeerde subnet dat u wilt injecteren.
- Voltooi de wizard om het API Management-exemplaar te maken.
DNS-instellingen voor toegang tot privé-IP-adres
Wanneer een Premium v2 API Management-exemplaar wordt geïnjecteerd in een virtueel netwerk, moet u uw eigen DNS beheren om binnenkomende toegang tot API Management in te schakelen.
Hoewel u de mogelijkheid hebt om een privé- of aangepaste DNS-server te gebruiken, raden we u aan:
- Configureer een privézone van Azure DNS.
- Koppel de privézone van Azure DNS aan het virtuele netwerk.
Meer informatie over het instellen van een privézone in Azure DNS.
Notitie
Als u een privé- of aangepaste DNS-resolver configureert in het virtuele netwerk dat wordt gebruikt voor injectie, moet u de naamomzetting voor Azure Key Vault-eindpunten (*.vault.azure.net) controleren. U wordt aangeraden een privé-DNS-zone van Azure te configureren. Hiervoor is geen aanvullende configuratie vereist om deze in te schakelen.
Eindpunttoegang op standaardhostnaam
Wanneer u een API Management-exemplaar in de Premium v2-laag maakt, wordt aan het volgende eindpunt een standaardhostnaam toegewezen:
-
Gateway - voorbeeld:
contoso-apim.azure-api.net
DNS-record configureren
Maak een A-record op uw DNS-server voor toegang tot het API Management-exemplaar vanuit uw virtuele netwerk. Koppel de record van het eindpunt aan het privé-VIP-adres van uw API Management-exemplaar.
Voor testdoeleinden kunt u het hosts-bestand bijwerken op een virtuele machine in een subnet dat is verbonden met het virtuele netwerk waarin API Management wordt geïmplementeerd. Ervan uitgaande dat het privé-virtuele IP-adres voor uw API Management-instantie 10.1.0.5 is, kunt u het hostbestand toewijzen, zoals in het volgende voorbeeld te zien is. Het toewijzingsbestand voor hosts bevindt zich in %SystemDrive%\drivers\etc\hosts (Windows) of /etc/hosts (Linux, macOS). Voorbeeld:
| Interne virtueel IP-adres | Hostnaam van gateway |
|---|---|
| 10.1.0.5 | contoso-apim.portal.azure-api.net |