Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
GEÇERLİDİR: Premium v2
Bu makale, Azure API Management Premium v2 örneğinizi bir sanal ağa ekleme gereksinimlerinde size yol gösterir.
Not
Bir sanal ağa klasik Geliştirici veya Premium katman örneği eklemek için gereksinimler ve yapılandırma farklıdır. Daha fazla bilgi edinin.
Sanal ağa bir API Management Premium v2 örneği eklendiğinde:
- API Management ağ geçidi uç noktasına sanal ağ üzerinden özel bir IP adresinden erişilebilir.
- API Management, ağ bağlantısı düzgün yapılandırıldığı sürece, ağda veya eşlenmiş herhangi bir ağda yalıtılmış API arka uçlarına giden isteklerde bulunabilir.
Bu yapılandırma, ağ trafiğini hem API Management örneğine hem de arka uç API'lerine yalıtmak istediğiniz senaryolar için önerilir.
Standart v2 veya Premium v2 katmanında bir API Management örneğine genel gelen erişimi etkinleştirmek ancak ağdan yalıtılmış arka uçlara giden erişimi sınırlamak istiyorsanız, bkz. Giden bağlantılar için sanal ağ ile tümleştirme.
Önemli
- Bu makalede açıklanan sanal ağ ekleme yalnızca Premium v2 katmanındaki API Management örnekleri için kullanılabilir. Farklı katmanlardaki ağ seçenekleri için bkz. Azure API Management ile sanal ağ kullanma.
- Şu anda bir Premium v2 örneğini sanal ağa yalnızca örnek oluşturulduğunda ekleyebilirsiniz. Mevcut bir Premium v2 örneğini sanal ağa ekleyemezsiniz. Ancak, örneğiniz oluşturulduktan sonra enjeksiyon için alt ağ ayarlarını güncelleştirebilirsiniz.
- Şu anda Premium v2 örneği için sanal ağ ekleme ve sanal ağ tümleştirmesi arasında geçiş yapamazsınız.
Önkoşullar
- Premium v2 fiyatlandırma katmanında bir Azure API Management örneği.
- İstemci uygulamalarınızın ve API Management arka uç API'lerinizin barındırıldığı bir sanal ağ. API Management örneği için kullanılan sanal ağ ve alt ağ gereksinimleri ve önerileri için aşağıdaki bölümlere bakın.
Ağ konumu
- Sanal ağ, API Management örneğiyle aynı bölgede ve Azure aboneliğinde olmalıdır.
Ayrılmış alt ağ
- Sanal ağ ekleme için kullanılan alt ağ yalnızca tek bir API Management örneği tarafından kullanılabilir. Başka bir Azure kaynağıyla paylaşılamaz.
Alt ağ boyutu
- Minimum: /27 (32 adresler)
- Önerilen: API Management örneğinin ölçeklenmesi için /24 (256 adres) -
Örnekler
Aşağıdaki tabloda, API Management sanal ağ ekleme için alt ağ boyutlandırma örnekleri verilmiştir ve farklı CIDR bloklarının, olası ölçeklendirme birimlerinin sayısını nasıl etkilediği gösterilmektedir.
| Alt ağ CIDR | Toplam IP adresleri | Azure rezerve IP'ler | API Management örneği IP'leri | İç yük dengeleyici IP'si | Ölçek genişlemesi için kalan IP'ler | En fazla ölçek genişletme birimi | Toplam maksimum birim sayısı |
|---|---|---|---|---|---|---|---|
| /27 | 32 | 5 | 2 | 1 | yirmi dört | 12 | 13 |
| /26 | 64 | 5 | 2 | 1 | 56 | 28 | 29 |
| /25 | 128 | 5 | 2 | 1 | 120 | 30* | 30* |
* Premium v2 sınırı
Önemli noktalar
- En düşük alt ağ boyutu: /27 (API Management için 24 kullanılabilir IP adresi sağlar)
- Azure ayrılmış IP'leri: Alt ağ başına 5 adres (protokol uyumluluğu için ilk ve son, Azure hizmetleri için 3 adres)
- Ölçeği genişletme gereksinimi: Her ölçek genişletme birimi 2 IP adresi gerektirir
- İç yük dengeleyici: Yalnızca API Management iç sanal ağ modunda dağıtıldığında gereklidir
- Premium V2 sınırı: Şu anda en fazla 30 birim destekler.
Önemli
- API Management, Azure Integration Services'ın bir üyesidir ve genellikle kurumsal mimarilerde merkezi hizmet olarak dağıtılır. API Management alt ağı için mevcut IP'lerin daha geniş bir aralığını seçmek akıllıca olur, çünkü daha sonra yapılan bir değişiklik geniş kapsamlı etkilere neden olabilir.
- İç yük dengeleyici ve API Management birimlerinin özel IP adresleri dinamik olarak atanır. Bu nedenle, API Management örneğinin özel IP'sini dağıtımından önce tahmin etmek mümkün değildir. Ayrıca, farklı bir alt ağa geçmek ve sonra geri dönmek özel IP adresinde bir değişikliğe neden olabilir.
Ağ güvenlik grubu
Alt ağ ile bir ağ güvenlik grubu (NSG) ilişkilendirilmelidir. Ağ güvenlik grubu ayarlamak için bkz. Ağ güvenlik grubu oluşturma.
- Aşağıdaki tabloda yer alan kuralları, API Management bağımlılıkları olan Azure Depolama ve Azure Key Vault'a giden erişime izin verecek şekilde yapılandırın.
- Ağ geçidinin API arka uçlarınıza erişmesi için ihtiyaç duyduğunuz diğer çıkış kurallarını yapılandırın.
- Kuruluşunuzun ağ erişim gereksinimlerini karşılamak için diğer NSG kurallarını yapılandırın. Örneğin NSG kuralları, İnternet'e giden trafiği engellemek ve yalnızca sanal ağınızdaki kaynaklara erişime izin vermek için de kullanılabilir.
| Yön | Kaynak | Kaynak bağlantı noktası aralıkları | Varış Yeri | Hedef bağlantı noktası aralıkları | Protokol | Eylem | Amaç |
|---|---|---|---|---|---|---|---|
| Dışa Dönük | Sanal Ağ | * | Storage | 443 | TCP | Allow | Azure Depolama'ya bağımlılık |
| Dışa Dönük | Sanal Ağ | * | AzureKeyVault | 443 | TCP | Allow | Azure Key Vault bağımlılığı |
Alt ağ temsilcisi
Alt ağın Microsoft.Web/hostingEnvironments hizmetine temsilci olarak atanması gerekir.
Not
Alt Microsoft.Web ağı hizmete devredebilmeniz için kaynak sağlayıcısının aboneliğe kayıtlı olması gerekir. Portalı kullanarak bir kaynak sağlayıcısını kaydetme adımları için bkz. Kaynak sağlayıcısını kaydetme.
Alt ağ temsilcisini yapılandırma hakkında daha fazla bilgi için bkz. Alt ağ temsilcisi ekleme veya kaldırma.
İzinler
Sanal ağ eklemeyi yapılandırmak için alt ağda veya daha yüksek bir düzeyde en az aşağıdaki rol tabanlı erişim denetimi izinlerine sahip olmanız gerekir:
| Eylem | Açıklama |
|---|---|
| Microsoft.Network/virtualNetworks/read | Sanal ağ tanımını okuyun |
| Microsoft.Network/virtualNetworks/subnets/read | Sanal ağ alt ağ tanımını okuma |
| Microsoft.Network/virtualNetworks/subnets/join/action | Bir sanal ağa katılır |
Sanal ağa API Yönetimini yerleştirme
Azure portalını kullanarak bir Premium v2 örneği oluşturduğunuzda , isteğe bağlı olarak sanal ağ ekleme ayarlarını yapılandırabilirsiniz.
- API Management hizmeti oluşturma sihirbazında Ağ sekmesini seçin.
- Bağlantı türü'ndeSanal ağ'ı seçin.
- Tür bölümünde Sanal Ağ ekleme'yi seçin.
- Sanal ağları yapılandırma bölümünde, eklemek istediğiniz sanal ağı ve temsilci alt ağını seçin.
- API Management örneğini oluşturmak için sihirbazı tamamlayın.
Özel IP adresine erişim için DNS ayarları
Sanal ağa Premium v2 API Management örneği eklenirken, API Management'a gelen erişimi etkinleştirmek için kendi DNS'nizi yönetmeniz gerekir.
Özel veya özel DNS sunucusu kullanma seçeneğiniz olsa da şunları öneririz:
- Azure DNS özel bölgesini yapılandırma.
- Azure DNS özel bölgesini sanal ağa bağlayın.
Azure DNS'de özel bölge ayarlamayı öğrenin.
Not
Ekleme için kullanılan sanal ağda bir özel veya özel DNS çözümleyicisi yapılandırıyorsanız, Azure Key Vault uç noktaları*.vault.azure.net () için ad çözümlemesini sağlamanız gerekir. Etkinleştirmek için ek yapılandırma gerektirmeyen bir Azure özel DNS bölgesi yapılandırmanızı öneririz.
Varsayılan ana bilgisayar adında uç nokta erişimi
Premium v2 katmanında bir API Management örneği oluşturduğunuzda, aşağıdaki uç noktaya varsayılan bir konak adı atanır:
-
Ağ geçidi - örnek:
contoso-apim.azure-api.net
DNS kaydını yapılandırma
SANAL ağınızın içinden API Management örneğine erişmek için DNS sunucunuzda bir A kaydı oluşturun. Uç nokta kaydını API Management örneğinizin özel VIP adresine eşleyin.
Test amacıyla, API Management'ın dağıtıldığı sanal ağa bağlı bir alt ağdaki bir sanal makinede konak dosyasını güncelleştirebilirsiniz. API Management örneğinizin özel sanal IP adresinin 10.1.0.5 olduğunu varsayarsak, aşağıdaki örnekte gösterildiği gibi host dosyasını yapılandırabilirsiniz. Hosts eşleme dosyası %SystemDrive%\drivers\etc\hosts (Windows) veya /etc/hosts (Linux, macOS) konumundadır. Örneğin:
| İç sanal IP adresi | Ağ geçidi hostname'i |
|---|---|
| 10.1.0.5 | contoso-apim.portal.azure-api.net |