Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
SE APLICA A: Premium v2
Este artículo le guía por los requisitos para insertar la instancia de Azure API Management Premium v2 en una red virtual.
Nota
Para insertar una instancia clásica de nivel Desarrollador o Premium en una red virtual, los requisitos y la configuración son diferentes. Más información.
Cuando se inserta una instancia de API Management Premium v2 en una red virtual:
- El punto de conexión de puerta de enlace de API Management es accesible a través de la red virtual en una dirección IP privada.
- API Management puede realizar solicitudes salientes a los backends de API que están aislados en la red o en cualquier red emparejada, siempre que la conectividad de red esté configurada correctamente.
Esta configuración se recomienda para escenarios en los que quiera aislar el tráfico de red tanto a la instancia de API Management como a las API de back-end.
En caso de querer habilitar el acceso público de entrada a una instancia de API Management en los niveles Estándar v2 o Premium v2, pero también limitar el acceso saliente a los back-end aislados de red, consulte Integración con una red virtual para conexiones salientes.
Importante
- La inserción de red virtual descrita en este artículo solo está disponible para las instancias de API Management en el nivel Premium v2. Para conocer las opciones de red de los distintos niveles, consulte Uso de redes virtuales con Azure API Management.
- Actualmente es posible insertar instancias Premium v2 en redes virtuales solo cuando la instancia sea creada. No es posible insertar instancias de Premium v2 existentes en redes virtuales. Sin embargo, es posible actualizar la configuración de subred para la inserción después de crear la instancia.
- Actualmente, no se puede cambiar entre la inserción de red virtual y la integración de red virtual para una instancia premium v2.
Requisitos previos
- Una instancia de Azure API Management del plan de tarifa Premium v2.
- Una red virtual donde se hospedan las aplicaciones cliente y las API de back-end de API Management. Consulte las secciones siguientes para conocer los requisitos y recomendaciones de la red virtual y la subred que se usan para la instancia de API Management.
Ubicación de red
- La red virtual debe estar en la misma región y suscripción de Azure que la instancia de API Management.
Subred dedicada
- Una sola instancia de API Management solo puede usar la subred que se usa para la inserción de red virtual. No se puede compartir con otro recurso de Azure.
Tamaño de subred
- Mínimo: /27 (32 direcciones)
- Recomendado: /24 (256 direcciones): para dar cabida al escalado de la instancia de API Management
Examples
En la tabla siguiente se muestran ejemplos de ajuste de tamaño de subred para la inyección de red virtual de API Management, que ilustra cómo afectan los distintos bloques CIDR al número de unidades de escalado horizontal posibles:
| CIDR de subred | Total de direcciones IP | Direcciones IP reservadas de Azure | Direcciones IP de instancia de API Management | IP interna del equilibrador de carga | Direcciones IP restantes para el escalado horizontal | Número máximo de unidades de escalado horizontal | Total de unidades máximas |
|---|---|---|---|---|---|---|---|
| /27 | 32 | 5 | 2 | 1 | 24 | 12 | 13 |
| /26 | 64 | 5 | 2 | 1 | 56 | 28 | 29 |
| /25 | 128 | 5 | 2 | 1 | 120 | 30* | 30* |
* Límite Premium v2
Puntos clave
- Tamaño mínimo de subred: /27 (proporciona 24 direcciones IP utilizables para API Management)
- Direcciones IP reservadas de Azure: 5 direcciones por subred (primero y último para la conformidad del protocolo, más 3 para los servicios de Azure)
- Requisito de escalabilidad horizontal: cada unidad de escalado horizontal requiere 2 direcciones IP
- Equilibrador de carga interno: solo es necesario cuando API Management se implementa en modo de red virtual interna
- Límite premium V2: actualmente admite hasta 30 unidades como máximo.
Importante
- API Management es miembro de Azure Integration Services y normalmente se implementa como un servicio fundamental en arquitecturas empresariales. Es prudente optar por el extremo superior de las direcciones IP disponibles para la subred de gestión de API, ya que cambiarla más adelante puede tener un impacto significativo.
- Las direcciones IP privadas del equilibrador de carga interno y las unidades de API Management se asignan dinámicamente. Por lo tanto, es imposible prever la dirección IP privada de la instancia de API Management antes de su implementación. Además, cambiar a una subred diferente y, a continuación, devolver podría provocar un cambio en la dirección IP privada.
Grupo de seguridad de red
Un grupo de seguridad de red (NSG) debe estar asociado a la subred. Para configurar un grupo de seguridad de red, consulte Creación de un grupo de seguridad de red.
- Configure las reglas de la tabla siguiente para permitir el acceso saliente a Azure Storage y Azure Key Vault, que son dependencias de API Management.
- Configure otras reglas de salida que necesite para que la puerta de enlace pueda llegar a los backends de API.
- Configure otras reglas de NSG para cumplir los requisitos de acceso de red de su organización. Por ejemplo, las reglas de NSG también se pueden usar para bloquear el tráfico saliente a Internet y permitir el acceso solo a los recursos de la red virtual.
| Dirección | Fuente | Intervalos de puertos de origen | Destino | Intervalos de puertos de destino | Protocolo | Acción | Propósito |
|---|---|---|---|---|---|---|---|
| Outbound | VirtualNetwork | * | Storage | 443 | TCP | Allow | Dependencia de Azure Storage |
| Outbound | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Allow | Dependencia en Azure Key Vault |
Delegación de subred
La subred debe delegarse al servicio Microsoft.Web/hostingEnvironments.
Nota
El Microsoft.Web proveedor de recursos debe registrarse en la suscripción para que pueda delegar la subred en el servicio. Para conocer los pasos para registrar un proveedor de recursos mediante el portal, consulte Registro del proveedor de recursos.
Para obtener más información sobre cómo configurar la delegación de subredes, consulteAgregar o quitar una delegación de subred.
Permisos
Debe tener al menos los siguientes permisos de control de acceso basado en rol en la subred o en un nivel superior para configurar la inyección de red virtual:
| Acción | Descripción |
|---|---|
| Microsoft.Network/virtualNetworks/read | Leer la definición de red virtual. |
| Microsoft.Network/virtualNetworks/subnets/read | Leer una definición de subred de red virtual |
| Microsoft.Network/virtualNetworks/subnets/join/action | Se une a una red virtual |
Inserción de API Management en una red virtual
Al crear una instancia de Premium v2 mediante Azure Portal, se pueden configurar opcionalmente las opciones de inserción de red virtual.
- En el asistente Crear servicio de API Management, seleccione la pestaña Redes.
- En Tipo de conectividad, seleccione Red virtual.
- En Tipo, seleccione Inyección de red virtual.
- En Configurar redes virtuales, seleccione la red virtual y la subred delegada que desea insertar.
- Complete el asistente para crear la instancia de API Management.
Configuración de DNS para el acceso a la dirección IP privada
Cuando se inserta una instancia de API Management premium v2 en una red virtual, debe administrar su propio DNS para habilitar el acceso entrante a API Management.
Aunque tiene la opción de usar un servidor DNS privado o personalizado, se recomienda:
- Configure una Zona privada de Azure DNS.
- Vincule la zona privada de Azure DNS a la red virtual.
Aprenda a configurar una zona privada en Azure DNS.
Nota
Si configura una resolución DNS privada o personalizada en la red virtual que se usa para la inserción, debe asegurarse de que la resolución de nombres de los puntos de conexión de Azure Key Vault (*.vault.azure.net). Se recomienda configurar una zona DNS privada de Azure, que no requiere configuración adicional para habilitarla.
Acceso al punto de conexión en el nombre de host predeterminado
Al crear una instancia de API Management en el nivel Premium v2, al siguiente punto de conexión se le asigna un nombre de host predeterminado:
-
Puerta de enlace- Ejemplo:
contoso-apim.azure-api.net
Configuración del registro DNS
Cree un registro A en el servidor DNS para acceder a la instancia de API Management desde la red virtual. Asigne el registro del punto de conexión a la dirección VIP privada de la instancia de API Management.
Con fines de prueba, actualice el archivo de hosts en una máquina virtual de una subred conectada a la red virtual en la que se implementa API Management. Suponiendo que la dirección IP virtual privada de la instancia de API Management sea 10.1.0.5, puede asignar el archivo de hosts como se muestra en el ejemplo siguiente. El archivo de asignación de hosts está en %SystemDrive%\drivers\etc\hosts (Windows) o/etc/hosts (Linux, macOS). Por ejemplo:
| Dirección IP virtual interna | Nombre de host de la puerta de enlace |
|---|---|
| 10.1.0.5 | contoso-apim.portal.azure-api.net |