Nätverksresurskrav för integrering av en arbetsytegateway i ett virtuellt nätverk
GÄLLER FÖR: Premium
Nätverksisolering är en valfri funktion i en API Management-arbetsytegateway. Den här artikeln innehåller krav på nätverksresurser när du integrerar din gateway i ett virtuellt Azure-nätverk. Vissa krav varierar beroende på önskat inkommande och utgående åtkomstläge. Följande lägen stöds:
- Offentlig inkommande åtkomst, privat utgående åtkomst (offentlig/privat)
- Privat inkommande åtkomst, privat utgående åtkomst (privat/privat)
Information om nätverksalternativ i API Management finns i Använda ett virtuellt nätverk för att skydda inkommande eller utgående trafik för Azure API Management.
Kommentar
Nätverksplats
- Det virtuella nätverket måste finnas i samma region och Azure-prenumeration som API Management-instansen.
Krav för undernät
- Det går inte att dela undernätet med en annan Azure-resurs, inklusive en annan arbetsytegateway.
Storlek på undernät
- Minimum: /27 (32 adresser)
- Max: /24 (256 adresser) – rekommenderas
Delegering av undernät
Undernätet måste delegeras enligt följande för att aktivera önskad inkommande och utgående åtkomst.
Information om hur du konfigurerar delegering av undernät finns i Lägga till eller ta bort en delegering av undernät.
För offentligt/privat läge måste undernätet delegeras till tjänsten Microsoft.Web/serverFarms .
Kommentar
Du kan behöva registrera Microsoft.Web/serverFarms resursprovidern i prenumerationen så att du kan delegera undernätet till tjänsten.
Regler för nätverkssäkerhetsgrupper (NSG)
En nätverkssäkerhetsgrupp (NSG) måste vara ansluten till undernätet för att uttryckligen tillåta inkommande anslutningar. Konfigurera följande regler i NSG. Ange prioriteten för dessa regler som är högre än standardreglernas.
| Käll-/målportar | Riktning | Transportprotokoll | Källa | Mål | Syfte |
|---|---|---|---|---|---|
| */80 | Inkommande | TCP | AzureLoadBalancer | Undernätsintervall för arbetsytegateway | Tillåt intern hälso-ping-trafik |
| */80,443 | Inkommande | TCP | Internet | Undernätsintervall för arbetsytegateway | Tillåt inkommande trafik |
DNS-inställningar för privat/privat konfiguration
I konfigurationen privat/privat nätverk måste du hantera din egen DNS för att aktivera inkommande åtkomst till din arbetsytegateway.
Vi rekommenderar följande åtgärder:
- Konfigurera en privat Azure DNS-zon.
- Länka den privata Azure DNS-zonen till det virtuella nätverk som du har distribuerat din arbetsytegateway till.
Lär dig hur du konfigurerar en privat zon i Azure DNS.
Åtkomst på standardvärdnamn
När du skapar en API Management-arbetsyta tilldelas arbetsytegatewayen ett standardvärdnamn. Värdnamnet visas i Azure Portal på arbetsytegatewayens översiktssida, tillsammans med dess privata virtuella IP-adress. Standardvärdens namn är i formatet <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net. Exempel: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.
Kommentar
Arbetsytegatewayen svarar bara på begäranden till värdnamnet som konfigurerats på dess slutpunkt, inte dess privata VIP-adress.
Konfigurera DNS-post
Skapa en A-post i DNS-servern för att komma åt arbetsytan inifrån ditt virtuella nätverk. Mappa slutpunktsposten till den privata VIP-adressen för din arbetsytegateway.
I testsyfte kan du uppdatera värdfilen på en virtuell dator i ett undernät som är anslutet till det virtuella nätverk där API Management distribueras. Om den privata virtuella IP-adressen för din arbetsytegateway är 10.1.0.5 kan du mappa värdfilen enligt följande exempel. Värdmappningsfilen finns i %SystemDrive%\drivers\etc\hosts (Windows) eller /etc/hosts (Linux, macOS).
| Intern virtuell IP-adress | Gateway-värdnamn |
|---|---|
| 10.1.0.5 | teamworkspace.gateway.westus.azure-api.net |