將工作區閘道整合到虛擬網路的網路資源需求

適用於：進階版

網路隔離是 APIM 工作區閘道的選用功能。 本文提供在 Azure 虛擬網路中整合或插入閘道時的網路資源需求。 部分需求會根據所需的輸入和輸出存取模式而有所不同。 下列為支援的模式：

• 虛擬網路整合：公用輸入存取、私人輸出存取
• 虛擬網路注入：私人入站存取、私人出站存取

如需 API 管理中網路選項的背景，請參閱 使用虛擬網路來保護 Azure API 管理的輸入和輸出流量。

附註

• 工作區閘道的網路設定與 APIM 執行個體的網路設定無關。
• 目前，只有在建立閘道時，才能在虛擬網路中設定工作區閘道。 您無法在稍後變更閘道的網路設定或其他設定。

網路位置

虛擬網路必須位於與 APIM 執行個體相同的區域與 Azure 訂用帳戶中。

專用子網路

• 用於虛擬網路整合或插入的子網只能由單一工作區閘道使用。 無法與另一個 Azure 資源共用。

子網路大小

• 最小值：/27 (32 個位址)
• 最大值：/24 (256 個位址) - 建議

子網路委派

子網路必須遵循下列方式進行委派，才能啟用所需的輸入和輸出存取。

如需設定子網路委派的相關資訊，請參閱新增或移除子網路委派。

虛擬網路整合

針對虛擬網路整合，子網必須委派給 Microsoft.Web/serverFarms 服務。

附註

Microsoft.Web資源提供者必須在訂閱中註冊，這樣你才能將子網路委派給服務。 關於如何透過入口網站註冊資源提供者的步驟，請參見 註冊資源提供者。

如需設定子網委派的詳細資訊，請參閱 新增或移除子網委派。

虛擬網路注入

針對虛擬網路插入，子網必須委派給 Microsoft.Web/hostingEnvironments 服務。

附註

Microsoft.Web資源提供者必須在訂閱中註冊，這樣你才能將子網路委派給服務。 關於如何透過入口網站註冊資源提供者的步驟，請參見 註冊資源提供者。

如需設定子網委派的詳細資訊，請參閱 新增或移除子網委派。

網路安全性群組

虛擬網路整合

網路安全組 （NSG） 必須與子網相關聯。 若要設定網路安全組，請參閱 建立網路安全組。

• 請設定下表的規則，允許對 Azure Storage 和 Azure Key Vault 進行外站存取，這兩個是 API 管理的相依關係。
• 設定閘道器觸達您 API 後端所需的其他輸出規則。
• 設定其他 NSG 規則以符合您組織的網路存取需求。 例如，NSG 規則也可以用來封鎖對因特網的輸出流量，並只允許存取虛擬網路中的資源。

方向	來源	來源連接埠範圍	目的地	目的地連接埠範圍	協定	動作	目的
輸出	虛擬網路	*	儲存體	443	TCP	Allow	Azure 儲存體上的相依性
輸出	虛擬網路	*	AzureKeyVault	443	TCP	Allow	Azure Key Vault 上的相依性

虛擬網路注入

網路安全組 （NSG） 必須與子網相關聯。 若要設定網路安全組，請參閱 建立網路安全組。

• 請在 NSG 中設定下列規則。 將這些規則的優先順序設定為高於預設規則的優先順序。
• 設定閘道器觸達您 API 後端所需的其他輸出規則。
• 設定其他 NSG 規則以符合您組織的網路存取需求。 例如，NSG 規則也可以用來封鎖對因特網的輸出流量，並只允許存取虛擬網路中的資源。

方向	來源	來源連接埠範圍	目的地	目的地連接埠範圍	協定	動作	目的
輸入	Azure負載平衡器 (AzureLoadBalancer)	*	工作區閘道子網路範圍	80	TCP	Allow	允許內部健康情況 Ping 流量
輸入	虛擬網路	*	工作區閘道子網路範圍	80,443	TCP	Allow	允許輸入流量
輸出	虛擬網路	*	儲存體	443	TCP	Allow	Azure 儲存體上的相依性
輸出	虛擬網路	*	AzureKeyVault	443	TCP	Allow	Azure Key Vault 上的相依性

這很重要

• 當你在虛擬網路中整合工作區閘道器以進行私有出廠存取時，不適用入站 NSG 規則。 若要強制執行輸入 NSG 規則，請使用虛擬網路插入，而不是整合。
• 這與傳統進階服務層級中的網路不同，其中輸入 NSG 規則會在外部和內部虛擬網路插入模式中強制執行。 瞭解更多資訊

虛擬網路注入的 DNS 設定

針對虛擬網路插入，您必須管理自己的 DNS，才能啟用工作區閘道的輸入存取。

雖然您可以選擇使用私人或自定義 DNS 伺服器，但建議您：

1. 設定 Azure DNS 私人區域。
2. 將 Azure DNS 私人區域連結至虛擬網路。

了解如何在 Azure DNS 中設定私人區域。

附註

如果您在用於插入的虛擬網路中設定私人或自定義 DNS 解析程式，您必須確定 Azure Key Vault 端點的名稱解析 （*.vault.azure.net）。 建議您設定 Azure 私人 DNS 區域，而不需要額外的設定才能啟用它。

預設主機名稱上的存取

當您建立 APIM 工作區時，工作區閘道會獲指派預設主機名稱。 主機名稱及其私人虛擬 IP 位址會顯示在 Azure 入口網站中的工作區閘道 [概觀] 頁面。 預設主機名稱格式為 <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net。 範例：team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net。

附註

工作區網關只會回應傳送至其端點上設定之主機名稱的要求，而不是回應其私人 VIP 位址的要求。

設定 DNS 記錄

在 DNS 伺服器中建立 A 記錄，以從虛擬網路存取工作區。 將端點記錄對應至工作區閘道的私人 VIP 位址。

基於測試目的，您可以在連線虛擬網路之子網路的虛擬機器上更新 hosts 檔案，而此虛擬網路中已部署 APIM。 假設工作區閘道的私人虛擬 IP 位址是 10.1.0.5，則您可以對應 hosts 檔案，如下列範例所示。 hosts 對應檔案位於 %SystemDrive%\drivers\etc\hosts (Windows) 或 /etc/hosts (Linux、macOS)。

內部虛擬 IP 網路	閘道主機名稱
10.1.0.5	teamworkspace.gateway.westus.azure-api.net

相關內容

• 使用虛擬網路來保護 Azure APIM 的輸入和輸出流量 (機器翻譯)
• Azure APIM 中的工作區