Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : Premium v2
Cet article vous guide tout au long des conditions requises pour injecter votre instance Azure API Management Premium v2 dans un réseau virtuel.
Remarque
Pour injecter une instance de niveau Développeur ou Premium classique dans un réseau virtuel, les exigences et la configuration sont différentes. En savoir plus.
Lorsqu’une instance Premium v2 de la Gestion des API est injectée dans un réseau virtuel :
- Le point de terminaison de passerelle de la Gestion des API est accessible via le réseau virtuel à une adresse IP privée.
- Gestion des API peut effectuer des requêtes sortantes vers des back-ends d’API isolés dans le réseau ou dans tout réseau appairé, tant que la connectivité réseau est correctement configurée.
Cette configuration est recommandée pour les scénarios où vous souhaitez isoler le trafic réseau vers l’instance de la Gestion des API et vers les API du back-end.
Si vous souhaitez activer l’accès entrant public à une instance de la Gestion des API dans le niveau Standard v2 ou Premium v2, mais limiter l’accès sortant aux back-ends isolés du réseau, consultez Intégrer à un réseau virtuel pour les connexions sortantes.
Important
- L’injection de réseau virtuel décrite dans cet article est disponible uniquement pour les instances gestion des API du niveau Premium v2. Pour connaître les options de mise en réseau des différents niveaux, consultez Utiliser un réseau virtuel avec la Gestion des API Azure.
- Actuellement, vous pouvez injecter une instance Premium v2 dans un réseau virtuel uniquement à la création de l’instance. Vous ne pouvez pas injecter une instance Premium v2 existante dans un réseau virtuel. Toutefois, vous pouvez mettre à jour les paramètres de sous-réseau pour l’injection après la création de l’instance.
- Actuellement, vous ne pouvez pas basculer entre l’injection de réseau virtuel et l’intégration de réseau virtuel pour une instance Premium v2.
Prérequis
- Une instance de la Gestion des API Azure dans le niveau tarifaire Premium v2.
- Un réseau virtuel où vos applications clientes et les API de back-end de votre instance de la Gestion des API sont hébergées. Consultez les sections suivantes pour connaître les exigences et les recommandations relatives au réseau virtuel et au sous-réseau utilisés pour l’instance de la Gestion des API.
Emplacement du réseau
- Le réseau virtuel doit être dans la même région et le même abonnement Azure que l’instance Gestion des API.
Sous-réseau dédié
- Le sous-réseau utilisé pour l’injection de réseau virtuel peut être utilisé uniquement par une seule instance de gestion de l’API. Il ne peut pas être partagé avec une autre ressource Azure.
Taille du sous-réseau
- Minimum : /27 (32 adresses)
- Recommandé : /24 (256 adresses) pour prendre en charge la mise à l’échelle de l’instance de la Gestion des API
Examples
Le tableau suivant présente des exemples de dimensionnement de sous-réseau pour l’injection de réseau virtuel gestion des API, illustrant comment différents blocs CIDR affectent le nombre d’unités de scale-out possibles :
| CIDR de sous-réseau | Nombre total d’adresses IP | Adresses IP réservées Azure | Adresses IP de l'instance de gestion des API | Adresse IP de l’équilibreur de charge interne | Adresses IP restantes pour le scale-out | Nombre maximal d’unités d'extension | Nombre total d’unités maximales |
|---|---|---|---|---|---|---|---|
| /27 | 32 | 5 | 2 | 1 | Vingt-quatre | 12 | 13 |
| /26 | 64 | 5 | 2 | 1 | 56 | 28 | 29 |
| /25 | 128 | 5 | 2 | 1 | 120 | 30* | 30* |
Points clés
- Taille minimale du sous-réseau : /27 (fournit 24 adresses IP utilisables pour gestion des API)
- Adresses IP réservées Azure : 5 adresses par sous-réseau (première et dernière pour la conformité du protocole, plus 3 pour les services Azure)
- Exigence de scale-out : chaque unité de scale-out nécessite 2 adresses IP
- Équilibreur de charge interne : obligatoire uniquement lorsque la gestion des API est déployée en mode réseau virtuel interne
- Limite Premium V2 : * Prend actuellement en charge jusqu’à 30 unités maximum.
Important
Gestion des API est membre d’Azure Integration Services et est généralement déployé en tant que service essentiel dans les architectures d’entreprise. Il est prudent d’errer sur le côté supérieur des adresses IP disponibles pour le sous-réseau Gestion des API, car la modification ultérieure peut avoir un impact considérable. Les adresses IP privées de l’équilibreur de charge interne et des unités gestion des API sont attribuées dynamiquement. Par conséquent, il est impossible d’anticiper l’adresse IP privée de l’instance Gestion des API avant son déploiement. En outre, la modification vers un autre sous-réseau, puis le retour peut entraîner une modification de l’adresse IP privée.
Groupe de sécurité réseau
Un groupe de sécurité réseau (NSG) doit être associé au sous-réseau. Pour configurer un groupe de sécurité réseau, voir Créer un groupe de sécurité réseau.
- Configurez les règles du tableau suivant pour autoriser l’accès sortant au stockage Azure et à Azure Key Vault, qui sont des dépendances pour gestion des API.
- Configurez d’autres règles de trafic sortant dont vous avez besoin pour que la passerelle atteigne vos back-ends d’API.
- Configurez d'autres règles de groupe de sécurité réseau afin de satisfaire aux exigences en matière d'accès réseau de votre organisation. Par exemple, les règles de groupe de sécurité réseau peuvent également être utilisées pour bloquer le trafic sortant vers Internet et autoriser l’accès uniquement aux ressources de votre réseau virtuel.
| Direction | Origine | Plages de ports sources | Destination | Plages de ports de destination | Protocole | Action | Objectif |
|---|---|---|---|---|---|---|---|
| Sortant | VirtualNetwork | * | Storage | 443 | TCP | Allow | Dépendance sur stockage Azure |
| Sortant | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Allow | Dépendance sur Azure Key Vault |
Délégation de sous-réseau
Le sous-réseau doit être délégué au service Microsoft.Web/hostingEnvironments.
Remarque
Le Microsoft.Web fournisseur de ressources doit être inscrit dans l’abonnement afin de pouvoir déléguer le sous-réseau au service. Pour connaître les étapes d’inscription d’un fournisseur de ressources à l’aide du portail, consultez Inscrire un fournisseur de ressources.
Pour plus d’informations sur la configuration de la délégation de sous-réseau, consultez Ajouter ou supprimer une délégation de sous-réseau.
Autorisations
Vous devez disposer au minimum des autorisations de contrôle d'accès en fonction du rôle suivantes sur le sous-réseau ou à un niveau supérieur pour configurer l'injection de réseau virtuel :
| Action | Descriptif |
|---|---|
| Microsoft.Network/virtualNetworks/read | Lire la définition de réseau virtuel |
| Microsoft.Network/virtualNetworks/subnets/read | Lire la définition de sous-réseau de réseau virtuel |
| Microsoft.Network/virtualNetworks/subnets/join/action | Joint un réseau virtuel. |
Injecter la Gestion des API dans un réseau virtuel
Lorsque vous créez une instance Premium v2 à l’aide du Portail Azure, vous pouvez éventuellement configurer des paramètres pour l’injection de réseau virtuel.
- Dans l’Assistant Créer un service Gestion des API, sélectionnez l’onglet Mise en réseau.
- Dans Type de connectivité, sélectionnez Réseau virtuel.
- Dans Type, sélectionnez Injection de réseau virtuel.
- Dans Configurer des réseaux virtuels, sélectionnez le réseau virtuel et le sous-réseau délégué que vous voulez injecter.
- Terminez l’Assistant pour créer l’instance de la Gestion des API.
Paramètres DNS pour l’accès à l’adresse IP privée
Lorsqu’une instance Premium v2 de la Gestion des API est injectée dans un réseau virtuel, vous devez gérer votre propre DNS pour activer l’accès entrant à la Gestion des API.
Bien que vous ayez la possibilité d’utiliser un serveur DNS privé ou personnalisé, nous vous recommandons :
- Configurez une zone privée Azure DNS.
- Liez la zone privée Azure DNS au réseau virtuel.
Apprenez à configurer une zone privée dans Azure DNS.
Remarque
Si vous configurez un résolveur DNS privé ou personnalisé dans le réseau virtuel utilisé pour l’injection, vous devez assurer la résolution des noms pour les points de terminaison Azure Key Vault (*.vault.azure.net). Nous vous recommandons de configurer une zone DNS privée Azure, qui ne nécessite pas de configuration supplémentaire pour l’activer.
Accès au point de terminaison sur le nom d’hôte par défaut
Lorsque vous créez une instance de la Gestion des API dans le niveau Premium v2, le point de terminaison suivant se voit attribuer un nom d’hôte par défaut :
-
Passerelle : exemple :
contoso-apim.azure-api.net
Configurer l’enregistrement DNS
Créez un enregistrement A dans votre serveur DNS pour accéder à l’instance de la Gestion des API à partir de votre réseau virtuel. Mappez l’enregistrement de point de terminaison à l’adresse IP virtuelle privée de votre instance de la Gestion des API.
À des fins de test, vous pouvez mettre à jour le fichier hosts sur une machine virtuelle dans un sous-réseau connecté au réseau virtuel dans lequel la Gestion des API est déployée. En supposant que l’adresse IP virtuelle privée de votre instance de la Gestion des API est 10.1.0.5, vous pouvez mapper le fichier hosts, comme illustré dans l’exemple suivant. Le fichier de mappage des hôtes se trouve à l’adresse %SystemDrive%\drivers\etc\hosts (Windows) ou /etc/hosts (Linux, macOS). Exemple :
| Adresse IP virtuelle interne | Nom d’hôte de passerelle |
|---|---|
| 10.1.0.5 | contoso-apim.portal.azure-api.net |