Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
ОБЛАСТЬ ПРИМЕНЕНИЯ: Premium
Сетевая изоляция является необязательной функцией шлюза Управление API рабочей области. В этой статье приводятся требования к сетевым ресурсам при интеграции или внедрении шлюза в виртуальной сети Azure. Некоторые требования различаются в зависимости от требуемого режима входящего и исходящего доступа. Поддерживаются следующие режимы:
- Интеграция виртуальной сети: общедоступный входящий доступ, частный исходящий доступ
- Внедрение виртуальной сети: частный входящий доступ, частный исходящий доступ
Общие сведения о параметрах сети в службе "Управление API" см. в статье "Использование виртуальной сети для защиты входящего или исходящего трафика для управления API Azure".
Примечание.
- Сетевая конфигурация шлюза рабочей области не зависит от конфигурации сети экземпляра Управление API.
- В настоящее время шлюз рабочей области можно настроить только в виртуальной сети при создании шлюза. Вы не можете изменить конфигурацию сети или параметры шлюза позже.
Сетевое расположение
Виртуальная сеть должна находиться в том же регионе и подписке Azure, что и экземпляр Управление API.
Выделенная подсеть
- Подсеть, используемая для интеграции или внедрения виртуальной сети, может использоваться только одним шлюзом рабочей области. Его нельзя предоставить другому ресурсу Azure.
Размер подсети
- Минимум: /27 (32 адреса)
- Максимум: /24 (256 адресов) — рекомендуется
Делегирование подсети
Подсеть должна быть делегирована следующим образом, чтобы включить требуемый входящий и исходящий доступ.
Сведения о настройке делегирования подсети см. в разделе "Добавление или удаление делегирования подсети".
Для интеграции виртуальной сети подсеть должна быть делегирована службе Microsoft.Web/serverFarms .
Примечание.
Поставщик Microsoft.Web ресурсов должен быть зарегистрирован в подписке, чтобы можно было делегировать подсеть службе. Инструкции по регистрации поставщика ресурсов на портале см. в разделе "Регистрация поставщика ресурсов".
Дополнительные сведения о настройке делегирования подсети см. в разделе "Добавление или удаление делегирования подсети".
группу безопасности сети;
Группа безопасности сети (NSG) должна быть связана с подсетью. Сведения о настройке группы безопасности сети см. в статье "Создание группы безопасности сети".
- Настройте правила в следующей таблице, чтобы разрешить исходящий доступ к службе хранилища Azure и Azure Key Vault, которые являются зависимостями для управления API.
- Настройте другие правила исходящего трафика, необходимые шлюзу для доступа к серверным службам API.
- Настройте другие правила NSG для удовлетворения требований к сетевому доступу вашей организации. Например, правила NSG также можно использовать для блокировки исходящего трафика в Интернет и разрешения доступа только к ресурсам в виртуальной сети.
| Направление | Источник | Диапазоны исходных портов | Назначение | Диапазоны портов назначения | Протокол | Действие | Характер использования |
|---|---|---|---|---|---|---|---|
| исходящий | Виртуальная сеть | * | Хранение | 443 | Протокол tcp | Разрешить | Зависимость от службы хранилища Azure |
| исходящий | Виртуальная сеть | * | AzureKeyVault | 443 | Протокол tcp | Разрешить | Зависимость от Azure Key Vault |
Это важно
- Правила NSG для входящего трафика не применяются при интеграции шлюза рабочей области в виртуальную сеть для частного исходящего доступа. Чтобы применить правила NSG для входящего трафика, используйте внедрение виртуальной сети вместо интеграции.
- Это отличается от сети на классическом уровне "Премиум", где правила NSG входящего трафика применяются как во внешних, так и во внутренних режимах внедрения виртуальной сети. Подробнее
Параметры DNS для внедрения виртуальной сети
Для интеграции виртуальной сети необходимо управлять собственным DNS, чтобы обеспечить входящий доступ к шлюзу рабочего пространства.
Хотя у вас есть возможность использовать частный или пользовательский DNS-сервер, рекомендуется:
- Настройка частной зоны Azure DNS.
- Связывание частной зоны Azure DNS с виртуальной сетью.
Узнайте, как настроить частную зону в Azure DNS.
Примечание.
Если вы настраиваете частный или настраиваемый сопоставитель DNS в программной виртуальной сети, необходимо обеспечить разрешение имен для конечных точек Azure Key Vault (*.vault.azure.net). Мы рекомендуем настроить частную зону DNS Azure, которая не требует дополнительной настройки для включения.
Доступ к имени узла по умолчанию
При создании рабочей области Управление API шлюз рабочей области назначается имя узла по умолчанию. Имя узла отображается на странице обзора шлюза рабочей области портал Azure вместе с частным виртуальным IP-адресом. Имя узла по умолчанию находится в формате <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net. Пример: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.
Примечание.
Шлюз рабочей области отвечает только на запросы к имени узла, настроенного на конечной точке, а не к частному IP-адресу.
Настройка записи DNS
Создайте запись A на DNS-сервере для доступа к рабочей области из виртуальной сети. Сопоставите запись конечной точки с частным ВИРТУАЛЬНЫМ IP-адресом шлюза рабочей области.
Для тестирования можно обновить файл hosts на виртуальной машине в подсети, подключенной к виртуальной сети, в которой развернута служба управления API. Если для шлюза рабочей области используется частный виртуальный IP-адрес 10.1.0.5, можно сопоставить файл узлов, как показано в следующем примере. Файл сопоставления узлов находится в %SystemDrive%\drivers\etc\hosts (Windows) или /etc/hosts (Linux, macOS).
| Внутренний виртуальный IP-адрес | Имя узла шлюза |
|---|---|
| 10.1.0.5 | teamworkspace.gateway.westus.azure-api.net |