Çalışma alanı ağ geçidinin sanal ağa tümleştirilmesi için ağ kaynağı gereksinimleri
ŞUNLAR IÇIN GEÇERLIDIR: Premium
Ağ yalıtımı, API Management çalışma alanı ağ geçidinin isteğe bağlı bir özelliğidir. Bu makalede ağ geçidinizi bir Azure sanal ağıyla tümleştirdiğinizde ağ kaynağı gereksinimleri sağlanır. Bazı gereksinimler istenen gelen ve giden erişim moduna bağlı olarak farklılık gösterir. Aşağıdaki modlar desteklenir:
- Genel gelen erişim, özel giden erişim (Genel/Özel)
- Özel gelen erişim, özel giden erişim (Özel/Özel)
API Management'taki ağ seçenekleri hakkında bilgi için bkz . Azure API Management için gelen veya giden trafiğin güvenliğini sağlamak için sanal ağ kullanma.
Not
- Çalışma alanı ağ geçidinin ağ yapılandırması, API Management örneğinin ağ yapılandırmasından bağımsızdır.
- Şu anda, bir çalışma alanı ağ geçidi yalnızca ağ geçidi oluşturulduğunda sanal ağda yapılandırılabilir. Ağ geçidinin ağ yapılandırmasını veya ayarlarını daha sonra değiştiremezsiniz.
Ağ konumu
- Sanal ağ, API Management örneğiyle aynı bölgede ve Azure aboneliğinde olmalıdır.
Alt ağ gereksinimleri
- Alt ağ, başka bir çalışma alanı ağ geçidi de dahil olmak üzere başka bir Azure kaynağıyla paylaşılamaz.
Alt ağ boyutu
- Minimum: /27 (32 adres)
- Maksimum: /24 (256 adres) - önerilir
Alt ağ temsilcisi
İstenen gelen ve giden erişimi etkinleştirmek için alt ağın aşağıdaki gibi temsilci olarak atanması gerekir.
Alt ağ temsilcisini yapılandırma hakkında bilgi için bkz . Alt ağ temsilcisi ekleme veya kaldırma.
Genel/Özel mod için alt ağın Microsoft.Web/serverFarms hizmetine temsilci olarak atanması gerekir.
Not
Alt ağı hizmete devredebilmek için kaynak sağlayıcısını aboneliğe kaydetmeniz Microsoft.Web/serverFarms
gerekebilir.
Ağ güvenlik grubu (NSG) kuralları
Gelen bağlantıya açıkça izin vermek için alt ağa bir ağ güvenlik grubu (NSG) eklenmelidir. NSG'de aşağıdaki kuralları yapılandırın. Bu kuralların önceliğini varsayılan kurallardan daha yüksek ayarlayın.
Kaynak / Hedef Bağlantı Noktaları | Yön | Aktarım protokolü | Kaynak | Hedef | Purpose |
---|---|---|---|---|---|
*/80 | Gelen | TCP | AzureLoadBalancer | Çalışma alanı ağ geçidi alt ağ aralığı | İç sistem durumu ping trafiğine izin ver |
*/80,443 | Gelen | TCP | İnternet | Çalışma alanı ağ geçidi alt ağ aralığı | Gelen trafiğe izin ver |
Özel/Özel yapılandırma için DNS ayarları
Özel/Özel ağ yapılandırmasında, çalışma alanı ağ geçidinize gelen erişimi etkinleştirmek için kendi DNS'nizi yönetmeniz gerekir.
Şunları öneririz:
- Azure DNS özel bölgesini yapılandırma.
- Azure DNS özel bölgesini çalışma alanı ağ geçidinizi dağıtmış olduğunuz sanal ağa bağlayın.
Azure DNS'de özel bölge ayarlamayı öğrenin.
Varsayılan ana bilgisayar adına erişim
BIR API Management çalışma alanı oluşturduğunuzda, çalışma alanı ağ geçidine varsayılan bir konak adı atanır. Konak adı, çalışma alanı ağ geçidinin Genel Bakış sayfasındaki Azure portalında ve özel sanal IP adresinde görünür. Varsayılan konak adı biçimindedir <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net
. Örnek: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net
.
Not
Çalışma alanı ağ geçidi, özel VIP adresi yerine yalnızca uç noktasında yapılandırılan konak adına yönelik isteklere yanıt verir.
DNS kaydını yapılandırma
Çalışma alanına sanal ağınızdan erişmek için DNS sunucunuzda bir A kaydı oluşturun. Uç nokta kaydını çalışma alanı ağ geçidinizin özel VIP adresine eşleyin.
Test amacıyla, API Management'ın dağıtıldığı sanal ağa bağlı bir alt ağda bulunan bir sanal makinede konak dosyasını güncelleştirebilirsiniz. Çalışma alanı ağ geçidinizin özel sanal IP adresinin 10.1.0.5 olduğunu varsayarsak, aşağıdaki örnekte gösterildiği gibi konak dosyasını eşleyebilirsiniz. Konak eşleme dosyası (Windows) veya /etc/hosts
(Linux, macOS) konumundadır %SystemDrive%\drivers\etc\hosts
.
İç sanal IP adresi | Ağ geçidi ana bilgisayar adı |
---|---|
10.1.0.5 | teamworkspace.gateway.westus.azure-api.net |