Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
APLICA-SE A: Premium v2
Este artigo orienta você pelos requisitos para injetar sua instância do Azure API Management Premium v2 em uma rede virtual.
Observação
Para injetar uma instância de camada Premium ou Desenvolvedor clássica em uma rede virtual, os requisitos e a configuração são diferentes. Saiba mais.
Quando uma instância do Gerenciamento de API Premium v2 é injetada em uma rede virtual:
- O ponto de extremidade do gateway de Gerenciamento de API é acessível por meio da rede virtual em um endereço IP privado.
- O Gerenciamento de API pode fazer solicitações de saída para back-ends de API isolados na rede ou em qualquer rede emparelhada, desde que a conectividade de rede esteja configurada corretamente.
Essa configuração é recomendada para cenários em que você deseja isolar o tráfego de rede para a instância de Gerenciamento de API e as APIs de back-end.
Se você quiser habilitar acesso público de entrada a uma instância de Gerenciamento de API na camada Standard v2 ou Premium v2, mas limitar o acesso de saída a back-ends isolados pela rede, consulte Integrar com uma rede virtual para conexões de saída.
Importante
- A injeção de rede virtual descrita neste artigo está disponível apenas para instâncias de Gerenciamento de API na camada Premium v2. Para obter opções de rede nas diferentes camadas, consulte Usar uma rede virtual com o Gerenciamento de API do Azure.
- Atualmente, você pode injetar uma instância Premium v2 em uma rede virtual somente quando a instância é criada. Você não pode injetar uma instância Premium v2 existente em uma rede virtual. No entanto, você pode atualizar as configurações de sub-rede para injeção depois que a instância é criada.
- Atualmente, você não pode alternar entre a injeção de rede virtual e a integração de rede virtual para uma instância Premium v2.
Pré-requisitos
- Uma instância do Gerenciamento de API do Azure no tipo de preço Premium v2.
- Uma rede virtual em que seus aplicativos cliente e suas APIs de back-end do Gerenciamento de API estão hospedados. Consulte as seções a seguir para obter requisitos e recomendações para a rede virtual e a sub-rede usadas para a instância de Gerenciamento de API.
Local de rede
- A rede virtual precisa estar na mesma região e assinatura do Azure da instância do Gerenciamento de API.
Sub-rede dedicada
- A sub-rede usada para injeção de rede virtual só pode ser usada por uma única instância do Gerenciamento de API. Não pode ser compartilhada com outro recurso do Azure.
Tamanho da sub-rede
- Mínimo: /27 (32 endereços)
- Recomendado: /24 (256 endereços) – para acomodar o dimensionamento da instância de Gerenciamento de API
Grupo de segurança de rede
Um NSG (grupo de segurança de rede) deve ser associado à sub-rede. Para configurar um grupo de segurança de rede, consulte Criar um grupo de segurança de rede.
- Configure as regras na tabela a seguir para permitir o acesso de saída ao Armazenamento do Azure e ao Azure Key Vault, que são dependências do Gerenciamento de API.
- Configure outras regras de saída necessárias para que o gateway alcance seus back-ends de API.
- Configure outras regras de NSG para atender aos requisitos de acesso à rede da sua organização. Por exemplo, as regras de NSG também podem ser usadas para bloquear o tráfego de saída para a Internet e permitir o acesso apenas aos recursos em sua rede virtual.
| Direção | Source | Intervalos de portas de origem | Destino | Intervalos de portas de destino | Protocolo | Ação | Propósito |
|---|---|---|---|---|---|---|---|
| Saída | Rede Virtual | * | Armazenamento | 443 | TCP | Allow | Dependência no Armazenamento do Azure |
| Saída | Rede Virtual | * | AzureKeyVault | 443 | TCP | Allow | Dependência do Azure Key Vault |
Delegação de sub-rede
A sub-rede precisa ser delegada ao serviço Microsoft.Web/hostingEnvironments.
Observação
O Microsoft.Web provedor de recursos deve ser registrado na assinatura para que você possa delegar a sub-rede ao serviço. Para obter etapas para registrar um provedor de recursos usando o portal, consulte Registrar provedor de recursos.
Para obter mais informações sobre como configurar a delegação de sub-rede, consulte Adicionar ou remover uma delegação de sub-rede.
Permissões
Você deve ter pelo menos as seguintes permissões de controle de acesso baseado em função na sub-rede ou em um nível superior para configurar a injeção de rede virtual:
| Ação | Descrição |
|---|---|
| Microsoft.Network/virtualNetworks/read | Ler a definição de rede virtual |
| Microsoft.Network/virtualNetworks/subnets/read | Ler uma definição de sub-rede de rede virtual |
| Microsoft.Network/virtualNetworks/subnets/join/action | Ingressar em uma rede virtual |
Injetar o Gerenciamento de API em uma rede virtual
Ao criar uma instância Premium v2 usando o portal do Azure, opcionalmente, você pode definir configurações para injeção de rede virtual.
- No assistente Criar serviço de Gerenciamento de API, selecione a guia de Rede.
- No tipo Conectividade, selecione Rede virtual.
- Em Tipo, selecione Injeção de Rede Virtual.
- Em Configurar redes virtuais, selecione a rede virtual e a sub-rede delegada que você deseja injetar.
- Conclua o assistente para criar a instância de Gerenciamento de API.
Configurações de DNS para acesso ao endereço IP privado
Quando uma instância de Gerenciamento de API Premium v2 é injetada em uma rede virtual, você precisa gerenciar seu próprio DNS para habilitar o acesso de entrada ao Gerenciamento de API.
Embora você tenha a opção de usar um servidor DNS privado ou personalizado, recomendamos:
- Configurar uma zona privada DNS do Azure.
- Vincule a zona privada DNS do Azure à rede virtual.
Saiba como configurar uma zona privada no DNS do Azure.
Observação
Se você configurar um resolvedor DNS privado ou personalizado na rede virtual usada para injeção, deverá garantir a resolução de nomes para pontos de extremidade do Azure Key Vault (*.vault.azure.net). Recomendamos configurar uma zona DNS privada do Azure, que não requer configuração adicional para habilitá-la.
Acesso ao ponto de extremidade no nome do host padrão
Quando você cria uma instância de Gerenciamento de API na camada Premium v2, o seguinte ponto de extremidade recebe um nome de host padrão:
-
Gateway – exemplo:
contoso-apim.azure-api.net
Configurar registro DNS
Crie um registro A no servidor DNS para acessar a instância de Gerenciamento de API de dentro de sua rede virtual. Mapeie o registro de ponto de extremidade para o endereço VIP privado da instância de Gerenciamento de API.
Para fins de teste, você pode atualizar o arquivo de hosts em uma máquina virtual em uma sub-rede conectada à rede virtual na qual o Gerenciamento de API é implantado. Supondo que o endereço IP virtual privado para sua instância de Gerenciamento de API seja 10.1.0.5, você pode mapear o arquivo de hosts, conforme mostrado no exemplo a seguir. O arquivo de mapeamento de hosts está em %SystemDrive%\drivers\etc\hosts (Windows) ou /etc/hosts (Linux, macOS). Por exemplo:
| Endereço IP virtual interno | Nome do host do gateway |
|---|---|
| 10.1.0.5 | contoso-apim.portal.azure-api.net |