Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
DOTYCZY: Premium v2
W tym artykule przedstawiono wymagania dotyczące wdrożenia wystąpienia usługi Azure API Management Premium v2 w wirtualną sieć.
Uwaga
Aby wdrożyć klasyczne wystąpienie typu Developer lub Premium w sieci wirtualnej, wymagania i konfiguracja są inne. Dowiedz się więcej.
Po umieszczeniu wirtualnej sieci wystąpienia usługi API Management Premium w wersji 2:
- Punkt końcowy bramy usługi API Management jest dostępny za pośrednictwem sieci wirtualnej pod prywatnym adresem IP.
- Usługa API Management może wysyłać żądania wychodzące do zapleczy interfejsu API, które są izolowane w sieci lub dowolnej sieci równorzędnej, o ile łączność sieciowa jest prawidłowo skonfigurowana.
Ta konfiguracja jest zalecana w scenariuszach, w których chcesz odizolować ruch sieciowy zarówno do instancji API Management, jak i do API backendu.
Jeśli chcesz włączyć publiczny dostęp przychodzący do wystąpienia usługi API Management na poziomie Standard v2 lub Premium v2, ale ograniczyć dostęp wychodzący do sieciowo odizolowanych zapleczy, zobacz Integracja z siecią wirtualną dla połączeń wychodzących.
Ważne
- Iniekcja sieci wirtualnej opisana w tym artykule jest dostępna tylko dla wystąpień usługi API Management w warstwie Premium w wersji 2. Aby uzyskać informacje o opcjach sieciowych w różnych warstwach, zobacz Używanie sieci wirtualnej z usługą Azure API Management.
- Obecnie można wstrzyknąć wystąpienie Premium v2 do sieci wirtualnej tylko wtedy, gdy wystąpienie zostanie utworzone. Nie można dodać istniejącego wystąpienia Premium v2 do sieci wirtualnej. Można jednak zaktualizować ustawienia podsieci po utworzeniu wystąpienia.
- Obecnie nie można przełączać się między iniekcją sieci wirtualnej a integracją sieci wirtualnej dla wystąpienia premium w wersji 2.
Wymagania wstępne
- Instancja usługi Azure API Management w warstwie cenowej Premium v2.
- Sieć wirtualna, w której są hostowane aplikacje klienckie i interfejsy API zaplecza usługi API Management. Zapoznaj się z poniższymi sekcjami, aby zapoznać się z wymaganiami i zaleceniami dotyczącymi sieci wirtualnej i podsieci używanej dla wystąpienia usługi API Management.
Lokalizacja sieciowa
- Sieć wirtualna musi znajdować się w tym samym regionie i subskrypcji platformy Azure co wystąpienie usługi API Management.
Dedykowana podsieć
- Podsieć używana do integracji z siecią wirtualną może być używana tylko przez jedną instancję usługi API Management. Nie można go udostępnić innemu zasobowi platformy Azure.
Rozmiar podsieci
- Minimum: /27 (32 adresy)
- Zalecane: /24 (256 adresów) — aby dostosować skalowanie instancji usługi API Management
Przykłady
W poniższej tabeli przedstawiono przykłady rozmiarów podsieci dla iniekcji wirtualnej sieci API Management, pokazujące, jak różne bloki CIDR wpływają na liczbę możliwych jednostek skalowania.
| Podsieć CIDR | Łączna liczba adresów IP | Zastrzeżone adresy IP platformy Azure | Adresy IP instancji usługi API Management | Wewnętrzny adres IP modułu równoważenia obciążenia | Pozostałe adresy IP dla scale-out | Maksymalna liczba jednostek skalowania horyzontalnego | Całkowita maksymalna liczba jednostek |
|---|---|---|---|---|---|---|---|
| /27 | 32 | 5 | 2 | 1 | 24 | 12 | 13 |
| /26 | 64 | 5 | 2 | 1 | 56 | 28 | 29 |
| /25 | 128 | 5 | 2 | 1 | 120 | 30* | 30* |
* Limit premium w wersji 2
Kwestie kluczowe
- Minimalny rozmiar podsieci: /27 (udostępnia 24 adresy IP do użycia dla usługi API Management)
- Zastrzeżone adresy IP platformy Azure: 5 adresów na podsieć (pierwsza i ostatnia w przypadku zgodności protokołu oraz 3 dla usług platformy Azure)
- Wymaganie skalowania w poziomie: każda jednostka skalowania w poziomie wymaga 2 adresów IP
- Wewnętrzny moduł równoważenia obciążenia: wymagany tylko w przypadku wdrożenia usługi API Management w wewnętrznym trybie sieci wirtualnej
- Limit Premium V2: obecnie obsługuje maksymalnie 30 jednostek.
Ważne
- Usługa API Management jest członkiem usług Azure Integration Services i jest zwykle wdrażana jako kluczowa usługa w architekturach przedsiębiorstwa. Rozsądnie jest wybrać wyższą stronę dostępnych adresów IP dla podsieci API Management, ponieważ zmiana jej później może mieć daleko idące konsekwencje.
- Prywatne adresy IP wewnętrznych modułów równoważenia obciążenia i jednostek usługi API Management są przypisywane dynamicznie. W związku z tym nie można przewidzieć prywatnego adresu IP instancji usługi API Management przed jej wdrożeniem. Ponadto zmiana na inną podsieć, a następnie zwrócenie może spowodować zmianę prywatnego adresu IP.
Sieciowa grupa zabezpieczeń
Sieciowa grupa zabezpieczeń musi być skojarzona z podsiecią. Aby skonfigurować sieciową grupę zabezpieczeń, zobacz Tworzenie sieciowej grupy zabezpieczeń.
- Skonfiguruj reguły w poniższej tabeli, aby zezwolić na dostęp wychodzący do usług Azure Storage i Azure Key Vault, które są zależnościami usługi API Management.
- Skonfiguruj inne reguły ruchu wychodzącego, których potrzebujesz, aby brama mogła dotrzeć do zaplecza API.
- Skonfiguruj inne reguły grupy zabezpieczeń sieciowych, aby spełnić wymagania dotyczące dostępu do sieci w organizacji. Na przykład reguły NSG (Network Security Group) mogą również służyć do blokowania ruchu wychodzącego do Internetu i zezwalania na dostęp tylko do zasobów w twojej sieci wirtualnej.
| Direction | Źródło | Zakresy portów źródłowych | Destynacja | Zakresy portów docelowych | Protokół | Akcja | Przeznaczenie |
|---|---|---|---|---|---|---|---|
| Outbound | Sieć wirtualna | * | Magazyn | 443 | TCP | Allow | Zależność od usługi Azure Storage |
| Outbound | Sieć wirtualna | * | AzureKeyVault | 443 | TCP | Allow | Zależność od usługi Azure Key Vault |
Delegowanie podsieci
Podsieć musi być delegowana do usługi Microsoft.Web/hostingEnvironments .
Uwaga
Dostawca Microsoft.Web zasobów musi być zarejestrowany w subskrypcji, aby można było delegować podsieć do usługi. Aby uzyskać instrukcje rejestrowania dostawcy zasobów przy użyciu portalu, zobacz Rejestrowanie dostawcy zasobów.
Aby uzyskać więcej informacji na temat konfigurowania delegowania podsieci, zobacz Dodawanie lub usuwanie delegowania podsieci.
Uprawnienia
Aby skonfigurować iniekcję sieci wirtualnej, musisz mieć co najmniej następujące uprawnienia kontroli dostępu opartej na rolach w podsieci lub na wyższym poziomie:
| Akcja | opis |
|---|---|
| Microsoft.Network/virtualNetworks/odczyt (read) | Odczytywanie definicji sieci wirtualnej |
| Microsoft.Network/virtualNetworks/subnets/read | Odczytywanie definicji podsieci sieci wirtualnej |
| Microsoft.Network/virtualNetworks/subnets/dołączenie/akcja | Dołącza do sieci wirtualnej |
Wdrożenie API Management w sieć wirtualną
Podczas tworzenia wystąpienia Premium v2 przy użyciu portalu Azure, można opcjonalnie skonfigurować ustawienia integracji z siecią wirtualną.
- W kreatorze Tworzenie usługi API Management wybierz kartę Sieć .
- W obszarze Typ połączenia wybierz pozycję Sieć wirtualna.
- W polu Typ wybierz pozycję Iniekcja sieci wirtualnej.
- W Konfigurowaniu sieci wirtualnych wybierz sieć wirtualną i delegowaną podsieć, które chcesz wdrożyć.
- Ukończ pracę kreatora, aby utworzyć wystąpienie usługi API Management.
Ustawienia DNS na potrzeby dostępu do prywatnego adresu IP
Po umieszczeniu wystąpienia usługi API Management w wersji Premium v2 w sieci wirtualnej, należy zarządzać własnym systemem DNS, aby umożliwić dostęp przychodzący do API Management.
Chociaż masz możliwość korzystania z prywatnego lub niestandardowego serwera DNS, zalecamy:
- Konfigurowanie strefy prywatnej usługi Azure DNS.
- Połącz strefę prywatną usługi Azure DNS z siecią wirtualną.
Dowiedz się, jak skonfigurować strefę prywatną w usłudze Azure DNS.
Uwaga
Jeśli skonfigurujesz prywatny lub niestandardowy resolver DNS w sieci wirtualnej używanej w procesie iniekcji, musisz upewnić się, że rozpoznawanie nazw dla punktów końcowych usługi Azure Key Vault (*.vault.azure.net). Zalecamy skonfigurowanie prywatnej strefy DNS platformy Azure, która nie wymaga dodatkowej konfiguracji w celu jej włączenia.
Dostęp do punktu końcowego w domyślnej nazwie hosta
Podczas tworzenia instancji usługi API Management w warstwie Premium w wersji 2, do domyślnej nazwy hosta przypisywany jest następujący punkt końcowy:
-
Brama — przykład:
contoso-apim.azure-api.net
Konfigurowanie rekordu DNS
Utwórz rekord A na serwerze DNS, aby uzyskać dostęp do wystąpienia usługi API Management z poziomu sieci wirtualnej. Przypisz rekord końcowy do prywatnego adresu VIP Twojej instancji usługi API Management.
W celach testowych można zaktualizować plik hostów na maszynie wirtualnej w podsieci połączonej z siecią wirtualną, w której wdrożono usługę API Management. Zakładając, że prywatny wirtualny adres IP wystąpienia usługi API Management to 10.1.0.5, możesz zmapować plik hosts, jak pokazano w poniższym przykładzie. Plik mapowania hostów znajduje się w systemie %SystemDrive%\drivers\etc\hosts (Windows) lub /etc/hosts (Linux, macOS). Na przykład:
| Wewnętrzny wirtualny adres IP | Nazwa hosta bramy |
|---|---|
| 10.1.0.5 | contoso-apim.portal.azure-api.net |