Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
SE APLICA A: Estándar v2 | Premium v2
Este artículo le guía por el proceso de configuración de la integración de red virtual para la instancia de Azure API Management estándar v2 o Premium v2. Con la integración de red virtual, la instancia puede realizar solicitudes salientes a las API aisladas en una sola red virtual conectada o en cualquier red virtual emparejada, siempre y cuando la conectividad de red esté configurada correctamente.
Cuando una instancia de API Management se integra con una red virtual para las solicitudes salientes, los puntos de conexión de puerta de enlace y del portal para desarrolladores permanecen accesibles públicamente. La instancia de API Management puede llegar tanto a los servicios back-end públicos como a los aislados de red.
Si desea insertar una instancia de API Management premium v2 en una red virtual para aislar el tráfico entrante y saliente, consulte Inserción de una instancia premium v2 en una red virtual.
Importante
- La integración de red virtual saliente descrita en este artículo solo está disponible para las instancias de API Management en los niveles Estándar v2 y Premium v2. Para ver las opciones de red en los distintos niveles, consulte Uso de una red virtual con Azure API Management.
- Puede habilitar la integración de red virtual al crear una instancia de API Management en el nivel Estándar v2 o Premium v2, o después de crear la instancia.
- Actualmente, no se puede cambiar entre la inserción de red virtual y la integración de red virtual para una instancia premium v2.
Requisitos previos
- Una instancia de Azure API Management en el plan de tarifa Estándar v2 o Premium v2
- (Opcional) Para las pruebas, una API de back-end de ejemplo hospedada dentro de una subred diferente en la red virtual. Por ejemplo, consulte Tutorial: Establecimiento del acceso a sitios privados de Azure Functions.
- Una red virtual con una subred donde se hospedan las API de back-end de API Management. Consulte las secciones siguientes para conocer los requisitos y recomendaciones de la red virtual y la subred.
Ubicación de red
- La red virtual debe estar en la misma región y suscripción de Azure que la instancia de API Management.
Subred dedicada
- La subred que se usa para la integración de red virtual solo se puede usar por una sola instancia de API Management. No se puede compartir con otro recurso de Azure.
Tamaño de subred
- Mínimo: /27 (32 direcciones)
- Recomendado: /24 (256 direcciones): para dar cabida al escalado de la instancia de API Management
Grupo de seguridad de red
Un grupo de seguridad de red (NSG) debe estar asociado a la subred. Para configurar un grupo de seguridad de red, consulte Creación de un grupo de seguridad de red.
- Configure las reglas de la tabla siguiente para permitir el acceso saliente a Azure Storage y Azure Key Vault, que son dependencias de API Management.
- Configura otras reglas de salida que necesites para que el gateway alcance los backends de API.
- Configure otras reglas de NSG para cumplir los requisitos de acceso de red de su organización. Por ejemplo, las reglas de NSG también se pueden usar para bloquear el tráfico saliente a Internet y permitir el acceso solo a los recursos de la red virtual.
| Dirección | Fuente | Intervalos de puertos de origen | Destino | Intervalos de puertos de destino | Protocolo | Acción | Propósito |
|---|---|---|---|---|---|---|---|
| Outbound | VirtualNetwork | * | Storage | 443 | TCP | Allow | Dependencia de Azure Storage |
| Outbound | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Allow | Dependencia en Azure Key Vault |
Importante
- Las reglas de NSG entrantes no se aplican cuando se integra una instancia de nivel v2 en una red virtual para el acceso de salida privado. Para aplicar reglas de NSG entrantes, utilice la inyección de red virtual en lugar de la integración.
- Esto difiere de la conexión de red en el nivel Premium clásico, donde las reglas de NSG para el tráfico de entrada se aplican tanto en los modos externos como internos de inyección de red virtual. Aprende más
Delegación de subred
La subred debe delegarse en el servicio Microsoft.Web/serverFarms .
Nota:
El Microsoft.Web proveedor de recursos debe registrarse en la suscripción para que pueda delegar la subred en el servicio. Para conocer los pasos para registrar un proveedor de recursos mediante el portal, consulte Registro del proveedor de recursos.
Para obtener más información sobre cómo configurar la delegación de subred, vea Agregar o quitar una delegación de subred.
Permisos
Debe tener al menos los siguientes permisos de control de acceso basado en roles en la subred o en un nivel superior para configurar la integración de red virtual:
| Acción | Descripción |
|---|---|
| Microsoft.Network/virtualNetworks/read | Leer la definición de red virtual. |
| Microsoft.Network/virtualNetworks/subnets/read | Leer una definición de subred de red virtual |
| Microsoft.Network/virtualNetworks/subnets/join/action | Se une a una red virtual |
Configurar la integración de red virtual
Esta sección le guía por el proceso para configurar la integración de red virtual externa para una instancia de Azure API Management existente. También puede configurar la integración de red virtual al crear una nueva instancia de API Management.
- En Azure Portal, vaya a la instancia de API Management.
- En el menú de la izquierda, en Implementación e infraestructura, seleccione Edición de red>.
- En la página Configuración de red, en Características salientes, seleccione Habilitar integración de red virtual.
- Seleccione la red virtual y la subred delegada que desea integrar.
- Seleccione Guardar. La red virtual está integrada.
(Opcional) Prueba de la integración de red virtual
Si tiene una API hospedada en la red virtual, puede importarla a la instancia de administración y probar la integración de red virtual. Para conocer los pasos básicos, consulte Importación y publicación de una API.