Dela via

Krav för nätverksresurser för att integrera eller mata in en arbetsytegateway i ett virtuellt nätverk

GÄLLER FÖR: Premium

Nätverksisolering är en valfri funktion i en API Management-arbetsytegateway. Den här artikeln innehåller krav på nätverksresurser när du integrerar eller matar in din gateway i ett virtuellt Azure-nätverk. Vissa krav varierar beroende på önskat inkommande och utgående åtkomstläge. Följande lägen stöds:

  • Integrering av virtuellt nätverk: offentlig inkommande åtkomst, privat utgående åtkomst
  • Inmatning av virtuellt nätverk: privat inkommande åtkomst, privat utgående åtkomst

Bakgrund om nätverksalternativ i API Management finns i Använda ett virtuellt nätverk för att skydda inkommande eller utgående trafik för Azure API Management.

Kommentar

  • Nätverkskonfigurationen för en arbetsytegateway är oberoende av nätverkskonfigurationen för API Management-instansen.
  • För närvarande kan en arbetsytegateway bara konfigureras i ett virtuellt nätverk när gatewayen skapas. Du kan inte ändra gatewayens nätverkskonfiguration eller inställningar senare.

Nätverksplats

Det virtuella nätverket måste finnas i samma region och Azure-prenumeration som API Management-instansen.

Dedikerat undernät

  • Det undernät som används för integrering eller inmatning av virtuella nätverk kan bara användas av en enda arbetsytegateway. Det kan inte delas med en annan Azure-resurs.

Storlek på undernät

  • Minimum: /27 (32 adresser)
  • Max: /24 (256 adresser) – rekommenderas

Delegering av undernät

Undernätet måste delegeras enligt följande för att aktivera önskad inkommande och utgående åtkomst.

Information om hur du konfigurerar delegering av undernät finns i Lägga till eller ta bort en delegering av undernät.

För integrering av virtuella nätverk måste undernätet delegeras till tjänsten Microsoft.Web/serverFarms .

Skärmbild som visar delegering av undernät till Microsoft.Web/serverFarms i portalen.

Kommentar

Resursprovidern Microsoft.Web måste vara registrerad i prenumerationen så att du kan delegera undernätet till tjänsten. Anvisningar för hur du registrerar en resursprovider med hjälp av portalen finns i Registrera resursprovider.

Mer information om hur du konfigurerar delegering av undernät finns i Lägga till eller ta bort en delegering av undernät.

Nätverkssäkerhetsgrupp

En nätverkssäkerhetsgrupp (NSG) måste vara associerad med undernätet. Information om hur du konfigurerar en nätverkssäkerhetsgrupp finns i Skapa en nätverkssäkerhetsgrupp.

  • Konfigurera reglerna i följande tabell för att tillåta utgående åtkomst till Azure Storage och Azure Key Vault, som är beroenden för API Management.
  • Konfigurera andra regler för utgående trafik som du behöver för att gatewayen ska nå dina API-serverdelar.
  • Konfigurera andra NSG-regler för att uppfylla organisationens krav på nätverksåtkomst. Till exempel kan NSG-regler också användas för att blockera utgående trafik till Internet och endast tillåta åtkomst till resurser i ditt virtuella nätverk.
Riktning Källa Källportsintervall Mål Intervall för målportar Protokoll Åtgärd Syfte
Utgående Virtuellt nätverk * Förvaring 443 TCP Tillåt Beroende av Azure Storage
Utgående Virtuellt nätverk * AzureKeyVault (på engelska) 443 TCP Tillåt Beroende av Azure Key Vault

Viktigt!

  • Regler för inkommande NSG gäller inte när du integrerar en arbetsytegateway i ett virtuellt nätverk för privat utgående åtkomst. Använd inmatning av virtuella nätverk i stället för integrering för att framtvinga inkommande NSG-regler.
  • Detta skiljer sig från nätverk på den klassiska Premium-nivån, där inkommande NSG-regler tillämpas i både externa och interna inmatningslägen för virtuella nätverk. Läs mer

DNS-inställningar för virtuell nätverksinmatning

För inmatning av ett virtuellt nätverk måste du hantera din egen DNS för att aktivera inkommande åtkomst till din arbetsyte-gateway.

Även om du har möjlighet att använda en privat eller anpassad DNS-server rekommenderar vi:

  1. Konfigurera en privat Azure DNS-zon.
  2. Länka den privata Azure DNS-zonen till det virtuella nätverket.

Lär dig hur du konfigurerar en privat zon i Azure DNS.

Kommentar

Om du konfigurerar en privat eller anpassad DNS-resolver i det virtuella nätverk som används för injicering måste du säkerställa namnupplösning för Azure Key Vault-slutpunkter (*.vault.azure.net). Vi rekommenderar att du konfigurerar en privat DNS-zon i Azure, som inte kräver ytterligare konfiguration för att aktivera den.

Åtkomst på standardvärdnamn

När du skapar en API Management-arbetsyta tilldelas arbetsytegatewayen ett standardvärdnamn. Värdnamnet visas i Azure Portal på arbetsytegatewayens översiktssida, tillsammans med dess privata virtuella IP-adress. Standardvärdens namn är i formatet <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net. Exempel: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.

Kommentar

Arbetsytegatewayen svarar bara på begäranden till värdnamnet som konfigurerats på dess slutpunkt, inte dess privata VIP-adress.

Konfigurera DNS-post

Skapa en A-post i DNS-servern för att komma åt arbetsytan inifrån det virtuella nätverket. Mappa slutpunktsposten till den privata VIP-adressen för din arbetsytegateway.

I testsyfte kan du uppdatera värdfilen på en virtuell dator i ett undernät som är anslutet till det virtuella nätverk där API Management distribueras. Om den privata virtuella IP-adressen för din arbetsytegateway är 10.1.0.5 kan du mappa värdfilen enligt följande exempel. Värdmappningsfilen finns i %SystemDrive%\drivers\etc\hosts (Windows) eller /etc/hosts (Linux, macOS).

Intern virtuell IP-adress Gateway-värdnamn
10.1.0.5 teamworkspace.gateway.westus.azure-api.net

Relaterat innehåll

  • Last updated on