Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
APLICA-SE A: Premium v2
Este artigo orienta-o pelos requisitos para injetar a sua instância Azure API Management Premium v2 numa rede virtual.
Nota
Para injetar uma instância clássica de camada Developer ou Premium em uma rede virtual, os requisitos e a configuração são diferentes. Saiba mais.
Quando uma instância do API Management Premium v2 é injetada em uma rede virtual:
- O ponto de extremidade do gateway de Gerenciamento de API é acessível através da rede virtual em um endereço IP privado.
- O Gerenciamento de API pode fazer solicitações de saída para back-ends de API isolados na rede ou em qualquer rede emparelhada, desde que a conectividade de rede esteja configurada corretamente.
Essa configuração é recomendada para cenários em que você deseja isolar o tráfego de rede para a instância de Gerenciamento de API e as APIs de back-end.
Se você quiser habilitar o acesso público de entrada a uma instância de Gerenciamento de API na camada Standard v2 ou Premium v2, mas limitar o acesso de saída a back-ends isolados de rede, consulte Integrar com uma rede virtual para conexões de saída.
Importante
- A injeção de rede virtual descrita neste artigo está disponível apenas para instâncias de Gestão de APIs no nível Premium v2. Para obter opções de rede nas diferentes camadas, consulte Usar uma rede virtual com o Gerenciamento de API do Azure.
- Atualmente, você pode injetar uma instância Premium v2 em uma rede virtual somente quando a instância é criada. Não é possível injetar uma instância Premium v2 existente em uma rede virtual. No entanto, você pode atualizar as configurações de sub-rede para injeção depois que a instância for criada.
- Atualmente, não é possível alternar entre injeção de rede virtual e integração de rede virtual para uma instância Premium v2.
Pré-requisitos
- Uma instância de Gerenciamento de API do Azure na camada de preço Premium v2 .
- Uma rede virtual onde seus aplicativos cliente e suas APIs de back-end de Gerenciamento de API estão hospedados. Consulte as seções a seguir para obter requisitos e recomendações para a rede virtual e a sub-rede usadas para a instância de Gerenciamento de API.
Local da rede
- A rede virtual deve estar na mesma região e assinatura do Azure que a instância de Gerenciamento de API.
Sub-rede dedicada
- A sub-rede usada para injeção de rede virtual só pode ser usada por uma única instância de Gerenciamento de API. Ele não pode ser compartilhado com outro recurso do Azure.
Tamanho da sub-rede
- Mínimo: /27 (32 endereços)
- Recomendado: /24 (256 endereços) - para acomodar o dimensionamento da instância de Gerenciamento de API
Grupo de segurança de rede
Um NSG (grupo de segurança de rede) deve estar associado à sub-rede. Para configurar um grupo de segurança de rede, consulte Criar um grupo de segurança de rede.
- Configure as regras na tabela seguinte para permitir o acesso de saída ao Azure Storage e Azure Key Vault, que são dependências para a Gestão de APIs.
- Configure outras regras de saída necessárias para que o gateway alcance seus back-ends de API.
- Configure outras regras do NSG para atender aos requisitos de acesso à rede da sua organização. Por exemplo, as regras NSG também podem ser usadas para bloquear o tráfego de saída para a Internet e permitir o acesso apenas a recursos em sua rede virtual.
| Direction | Fonte | Intervalos de portas de origem | Destino | Intervalos de portas de destino | Protocolo | Ação | Propósito |
|---|---|---|---|---|---|---|---|
| Direção exterior | Rede virtual | * | Armazenamento | 443 | TCP | Allow | Dependência do Armazenamento do Azure |
| Direção exterior | Rede virtual | * | AzureKeyVault | 443 | TCP | Allow | Dependência no Azure Key Vault |
Delegação de sub-rede
A sub-rede precisa ser delegada ao serviço Microsoft.Web/hostingEnvironments .
Nota
O Microsoft.Web fornecedor de recursos deve estar registado na subscrição para que possa delegar a sub-rede ao serviço. Para os passos para registar um fornecedor de recursos através do portal, consulte Registar fornecedor de recursos.
Para obter mais informações sobre como configurar a delegação de sub-rede, consulte Adicionar ou remover uma delegação de sub-rede.
Permissões
Você deve ter pelo menos as seguintes permissões de controle de acesso baseado em função na sub-rede ou em um nível superior para configurar a injeção de rede virtual:
| Ação | Descrição |
|---|---|
| Microsoft.Network/virtualNetworks/ler | Leia a definição de rede virtual |
| Microsoft.Network/virtualNetworks/sub-redes/leitura | Ler uma definição de sub-rede de rede virtual |
| Ação de união de sub-redes em redes virtuais Microsoft | Junta-se a uma rede virtual |
Injetar gerenciamento de API em uma rede virtual
Ao criar uma instância Premium v2 usando o portal do Azure, você pode, opcionalmente, definir configurações para injeção de rede virtual.
- No assistente Criar serviço de Gerenciamento de API , selecione a guia Rede .
- Em Tipo de conectividade, selecione Rede virtual.
- Em Tipo, selecione Injeção de rede virtual.
- Em Configurar redes virtuais, selecione a rede virtual e a sub-rede delegada que você deseja injetar.
- Conclua o assistente para criar a instância de Gestão de API.
Configurações de DNS para acesso ao endereço IP privado
Quando uma instância de Gerenciamento de API Premium v2 é injetada em uma rede virtual, você precisa gerenciar seu próprio DNS para habilitar o acesso de entrada ao Gerenciamento de API.
Embora você tenha a opção de usar um servidor DNS privado ou personalizado, recomendamos:
- Configure uma zona privada do DNS do Azure.
- Vincule a zona privada do DNS do Azure à rede virtual.
Saiba como configurar uma zona privada no DNS do Azure.
Nota
Caso configures um resolvedor de DNS privado ou personalizado na rede virtual utilizada para a injeção, deves garantir a resolução de nomes para os pontos de extremidade do Azure Key Vault (*.vault.azure.net). Recomendamos configurar uma zona DNS privada do Azure, que não requer configuração adicional para habilitá-la.
Acesso ao ponto de extremidade no nome de host padrão
Quando você cria uma instância de Gerenciamento de API na camada Premium v2, o seguinte ponto de extremidade recebe um nome de host padrão:
-
Gateway - exemplo:
contoso-apim.azure-api.net
Configurar registro DNS
Crie um registro A em seu servidor DNS para acessar a instância de Gerenciamento de API de dentro de sua rede virtual. Mapeie o registo do endpoint para o endereço VIP privado da sua instância de Gestão de API.
Para fins de teste, você pode atualizar o arquivo hosts em uma máquina virtual em uma sub-rede conectada à rede virtual na qual o Gerenciamento de API está implantado. Supondo que o endereço IP virtual privado para sua instância de Gerenciamento de API seja 10.1.0.5, você pode mapear o arquivo hosts conforme mostrado no exemplo a seguir. O arquivo de mapeamento de hosts está em %SystemDrive%\drivers\etc\hosts (Windows) ou /etc/hosts (Linux, macOS). Por exemplo:
| Endereço IP virtual interno | Nome do host do gateway |
|---|---|
| 10.1.0.5 | contoso-apim.portal.azure-api.net |