Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
DOTYCZY: Standard, wersja 2 | Premium, wersja 2
Ten artykuł przeprowadzi Cię przez proces konfigurowania integracji sieci wirtualnej dla Twojego wystąpienia usługi Azure API Management w wersji Standardowa v2 lub wersji Premium v2. Dzięki integracji z siecią wirtualną wystąpienie może wysyłać żądania wychodzące do interfejsów API, które są izolowane w jednej połączonej sieci wirtualnej lub dowolnej równorzędnej sieci wirtualnej, o ile łączność sieciowa jest prawidłowo skonfigurowana.
Gdy wystąpienie usługi API Management jest zintegrowane z siecią wirtualną dla żądań wychodzących, punkty końcowe bramy i portalu deweloperów będą pozostawać publicznie dostępne. Wystąpienie usługi API Management może uzyskać dostęp zarówno do usług backendowych publicznych, jak i izolowanych przez sieć.
Jeśli chcesz zainicjować wystąpienie usługi API Management Premium v2 do sieci wirtualnej w celu odizolowania ruchu przychodzącego i wychodzącego, zobacz Wstrzykiwanie wystąpienia Premium v2 do sieci wirtualnej.
Ważne
- Integracja wychodzącej sieci wirtualnej opisana w artykule jest dostępna wyłącznie dla instancji API Management w wersjach Standardowa v2 i Premium v2. Aby uzyskać informacje o opcjach sieciowych w różnych warstwach, zobacz Używanie sieci wirtualnej z usługą Azure API Management.
- Integrację z siecią wirtualną można włączyć podczas tworzenia wystąpienia usługi API Management w warstwie Standard v2 lub Premium v2, lub po utworzeniu wystąpienia.
- Obecnie nie można przełączać się między wdrażaniem sieci wirtualnej a integracją sieci wirtualnej dla wystąpienia Premium v2.
Wymagania wstępne
- Wystąpienie usługi Azure API Management w warstwie cenowej Standard v2 lub Premium v2
- (Opcjonalnie) Dla potrzeb testowania, przykładowy interfejs API zaplecza jest hostowany w innej podsieci w sieci wirtualnej. Na przykład zobacz Samouczek: konfigurowanie dostępu do prywatnej witryny usługi Azure Functions.
- Sieć wirtualna z podsiecią, w której są hostowane interfejsy API zaplecza usługi API Management. Zapoznaj się z poniższymi sekcjami, aby zapoznać się z wymaganiami i zaleceniami dotyczącymi sieci wirtualnej i podsieci.
Lokalizacja sieciowa
- Sieć wirtualna musi znajdować się w tym samym regionie i tej samej subskrypcji Azure co wystąpienie usługi API Management.
Dedykowana podsieć
- Podsieć używana do integracji sieci wirtualnej może być używana tylko przez pojedyncze wystąpienie usługi API Management. Nie można go udostępnić innemu zasobowi platformy Azure.
Rozmiar podsieci
- Minimum: /27 (32 adresów)
- Zalecane: /24 (256 adresów); aby uwzględnić skalowanie zarządzania interfejsem API.
Sieciowa grupa zabezpieczeń
Sieciowa grupa zabezpieczeń musi być skojarzona z podsiecią. Aby skonfigurować sieciową grupę zabezpieczeń, zobacz Tworzenie sieciowej grupy zabezpieczeń.
- Skonfiguruj reguły w poniższej tabeli, aby zezwolić na dostęp wychodzący do usług Azure Storage i Azure Key Vault, które są zależnościami usługi API Management.
- Skonfiguruj inne reguły ruchu wychodzącego, których potrzebujesz, aby brama mogła dotrzeć do zaplecza API.
- Skonfiguruj inne reguły grupy zabezpieczeń sieciowych, aby spełnić wymagania dotyczące dostępu do sieci w organizacji. Na przykład reguły NSG (Network Security Group) mogą również służyć do blokowania ruchu wychodzącego do Internetu i zezwalania na dostęp tylko do zasobów w twojej sieci wirtualnej.
| Direction | Źródło | Zakresy portów źródłowych | Destynacja | Zakresy portów docelowych | Protokół | Akcja | Przeznaczenie |
|---|---|---|---|---|---|---|---|
| Outbound | Sieć wirtualna | * | Magazyn | 443 | TCP | Allow | Zależność od usługi Azure Storage |
| Outbound | Sieć wirtualna | * | AzureKeyVault | 443 | TCP | Allow | Zależność od usługi Azure Key Vault |
Ważne
- Reguły NSG przychodzące nie mają zastosowania, gdy instancja warstwy w wersji 2 jest zintegrowana w sieci wirtualnej dla prywatnego dostępu wychodzącego. Aby wymusić reguły sieciowej grupy zabezpieczeń dla ruchu przychodzącego, należy użyć iniekcji sieci wirtualnej zamiast integracji.
- Różni się to od sieciowania w klasycznym poziomie Premium, gdzie reguły sieciowej grupy zabezpieczeń dla ruchu przychodzącego są wymuszane zarówno w trybach iniekcji zewnętrznej, jak i wewnętrznej sieci wirtualnej. Dowiedz się więcej
Delegowanie podsieci
Podsieć musi zostać delegowana do usługi Microsoft.Web/serverFarms .
Uwaga
Dostawca Microsoft.Web zasobów musi być zarejestrowany w subskrypcji, aby można było delegować podsieć do usługi. Aby uzyskać instrukcje rejestrowania dostawcy zasobów przy użyciu portalu, zobacz Rejestrowanie dostawcy zasobów.
Aby uzyskać więcej informacji na temat konfigurowania delegowania podsieci, zobacz Dodawanie lub usuwanie delegowania podsieci.
Uprawnienia
Aby skonfigurować integrację sieci wirtualnej, musisz mieć co najmniej następujące uprawnienia kontroli dostępu opartej na rolach w podsieci lub na wyższym poziomie:
| Akcja | opis |
|---|---|
| Microsoft.Network/virtualNetworks/odczyt (read) | Odczytywanie definicji sieci wirtualnej |
| Microsoft.Network/virtualNetworks/subnets/read | Odczytywanie definicji podsieci sieci wirtualnej |
| Microsoft.Network/virtualNetworks/subnets/dołączenie/akcja | Dołącza do sieci wirtualnej |
Konfigurowanie integracji z siecią wirtualną
Ta sekcja przeprowadzi Cię przez proces konfigurowania integracji zewnętrznej sieci wirtualnej dla istniejącego wystąpienia usługi Azure API Management. Integrację z siecią wirtualną można również skonfigurować podczas tworzenia nowego wystąpienia usługi API Management.
- W portalu Azure przejdź do swojej instancji zarządzania API.
- W menu po lewej stronie w obszarze Wdrażanie i infrastruktura wybierz pozycjęEdytuj>.
- Na stronie Konfiguracja sieci w obszarze Funkcje ruchu wychodzącego wybierz pozycję Włącz integrację sieci wirtualnej.
- Wybierz sieć wirtualną i podsieć delegowana, którą chcesz zintegrować.
- Wybierz pozycję Zapisz. Sieć wirtualna jest zintegrowana.
(Opcjonalnie) Testowanie integracji z siecią wirtualną
Jeśli masz interfejs API hostowany w sieci wirtualnej, możesz zaimportować go do wystąpienia usługi Management i przetestować integrację sieci wirtualnej. Aby uzyskać podstawowe kroki, zobacz Importowanie i publikowanie interfejsu API.