Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
VAN TOEPASSING OP: Standard v2 | Premium v2
In dit artikel wordt u begeleid bij het configureren van integratie van virtuele netwerken voor uw Azure API Management-exemplaar van Standard v2 of Premium v2. Met integratie van virtuele netwerken kan uw exemplaar uitgaande aanvragen indienen bij API's die zijn geïsoleerd in één verbonden virtueel netwerk of een virtueel peernetwerk, zolang de netwerkverbinding juist is geconfigureerd.
Wanneer een API Management-exemplaar is geïntegreerd met een virtueel netwerk voor uitgaande aanvragen, blijven de eindpunten van de gateway- en ontwikkelaarsportal openbaar toegankelijk. Het API Management-exemplaar kan zowel openbare als netwerk-geïsoleerde back-endservices bereiken.
Als u een Premium v2 API Management-exemplaar in een virtueel netwerk wilt injecteren om zowel inkomend als uitgaand verkeer te isoleren, raadpleegt u Een Premium v2-exemplaar in een virtueel netwerk injecteren.
Belangrijk
- Integratie van uitgaande virtuele netwerken die in dit artikel wordt beschreven, is alleen beschikbaar voor API Management-exemplaren in de lagen Standard v2 en Premium v2. Zie Een virtueel netwerk gebruiken met Azure API Management voor netwerkopties in de verschillende lagen.
- U kunt integratie van virtuele netwerken inschakelen wanneer u een API Management-exemplaar maakt in de standard v2- of Premium v2-laag of nadat het exemplaar is gemaakt.
- Op dit moment kunt u niet schakelen tussen virtuele netwerkinjectie en integratie van virtuele netwerken voor een Premium v2-exemplaar.
Vereisten
- Een Azure API Management-exemplaar in de prijscategorie Standard v2 of Premium v2
- (Optioneel) Voor het testen wordt een voorbeeld van een back-end-API gehost in een ander subnet in het virtuele netwerk. Zie bijvoorbeeld Zelfstudie: Toegang tot privésites in Azure Functions tot stand brengen.
- Een virtueel netwerk met een subnet waar uw API Management-back-end-API's worden gehost. Zie de volgende secties voor vereisten en aanbevelingen voor het virtuele netwerk en subnet.
Netwerklocatie
- Het virtuele netwerk moet zich in dezelfde regio en hetzelfde Azure-abonnement bevinden als het API Management-exemplaar.
Toegewezen subnet
- Het subnet dat wordt gebruikt voor integratie van virtuele netwerken, kan alleen worden gebruikt door één API Management-exemplaar. Het kan niet worden gedeeld met een andere Azure-resource.
Subnetgrootte
- Minimum: /27 (32 adressen)
- Aanbevolen: /24 (256 adressen) - voor het schalen van het API Management-exemplaar
Netwerkbeveiligingsgroep
Er moet een netwerkbeveiligingsgroep (NSG) zijn gekoppeld aan het subnet. Om een netwerkbeveiligingsgroep in te stellen, zie Een netwerkbeveiligingsgroep maken.
- Configureer de regels in de volgende tabel om uitgaande toegang tot Azure Storage en Azure Key Vault toe te staan. Dit zijn afhankelijkheden voor API Management.
- Configureer andere uitgaande regels die u nodig hebt voor de gateway om uw API-back-ends te bereiken.
- Configureer andere NSG-regels om te voldoen aan de netwerktoegangsvereisten van uw organisatie. NSG-regels kunnen bijvoorbeeld ook worden gebruikt om uitgaand verkeer naar internet te blokkeren en alleen toegang tot resources in uw virtuele netwerk toe te staan.
| Richting | Bron | Poortbereiken van bron | Bestemming | Poortbereiken van bestemming | protocol | Actie | Purpose |
|---|---|---|---|---|---|---|---|
| Vertrekkend | VirtualNetwork | * | Storage | 443 | TCP | Allow | Afhankelijkheid van Azure Storage |
| Vertrekkend | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Allow | Afhankelijkheid van Azure Key Vault |
Belangrijk
- Inkomende NSG-regels zijn niet van toepassing wanneer een exemplaar van de v2-laag is geïntegreerd in een virtueel netwerk voor privé-uitgaande toegang. Als u binnenkomende NSG-regels wilt afdwingen, gebruikt u virtuele netwerkinjectie in plaats van integratie.
- Dit verschilt van netwerken in de klassieke 'Premium'-versie, waarbij inkomende NSG-regels (Network Security Group-regels) zowel in externe als in interne modi voor virtuele netwerkinjectie worden afgedwongen. Meer informatie
Delegatie van subnet
Het subnet moet worden gedelegeerd aan de Service Microsoft.Web/serverFarms .
Notitie
De Microsoft.Web resourceprovider moet zijn geregistreerd in het abonnement, zodat u het subnet kunt delegeren aan de service. Zie Resourceprovider registreren voor stappen voor het registreren van een resourceprovider via de portal.
Zie Een subnetdelegering toevoegen of verwijderen voor meer informatie over het configureren van subnetdelegering.
Machtigingen
U moet ten minste de volgende machtigingen voor op rollen gebaseerd toegangsbeheer hebben voor het subnet of op een hoger niveau om de integratie van virtuele netwerken te configureren:
| Actie | Beschrijving |
|---|---|
| Microsoft.Network/virtueleNetwerken/lezen | De definitie van het virtuele netwerk lezen |
| Microsoft.Network/virtualNetworks/subnetten/read | Een subnetdefinitie voor een virtueel netwerk lezen |
| Microsoft.Network/virtualNetworks/subnetten/join/action | Maakt verbinding met een virtueel netwerk |
Integratie van virtuele netwerken configureren
In deze sectie wordt u begeleid bij het proces voor het configureren van integratie van externe virtuele netwerken voor een bestaand Azure API Management-exemplaar. U kunt ook integratie van virtuele netwerken configureren wanneer u een nieuw API Management-exemplaar maakt.
- Blader in Azure Portal naar uw API Management-exemplaar.
- Selecteer In het linkermenu onder Implementatie en infrastructuur de optie Netwerk>bewerken.
- Selecteer op de pagina Netwerkconfiguratie onder Uitgaande functies de optie Integratie van virtueel netwerk inschakelen .
- Selecteer het virtuele netwerk en het gedelegeerde subnet dat u wilt integreren.
- Selecteer Opslaan. Het virtuele netwerk is geïntegreerd.
(Optioneel) Integratie van virtueel netwerk testen
Als u een API hebt die wordt gehost in het virtuele netwerk, kunt u deze importeren in uw beheerexemplaren en de integratie van het virtuele netwerk testen. Zie Een API importeren en publiceren voor basisstappen.