Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
APLICA-SE A: Premium
O isolamento de rede é um recurso opcional de um gateway do espaço de trabalho do Gerenciamento de API. Este artigo fornece requisitos de recursos de rede quando você integra ou injeta seu gateway em uma rede virtual do Azure. Alguns requisitos diferem dependendo do modo de acesso de entrada e saída desejado. Os seguintes modos são suportados:
- Integração de rede virtual: acesso de entrada público, acesso de saída privado
- Injeção de rede virtual: acesso de entrada privado, acesso de saída privado
Para obter informações sobre as opções de rede no Gerenciamento de API, consulte Usar uma rede virtual para proteger o tráfego de entrada ou saída para o Gerenciamento de API do Azure.
Observação
- A configuração de rede de um gateway do espaço de trabalho é independente da configuração de rede da instância do Gerenciamento de API.
- Atualmente, um gateway de workspace só pode ser configurado em uma rede virtual quando o gateway é criado. Você não pode alterar a configuração ou as definições de rede do gateway posteriormente.
Local de rede
A rede virtual precisa estar na mesma região e assinatura do Azure da instância do Gerenciamento de API.
Sub-rede dedicada
- A sub-rede usada para integração ou injeção de rede virtual só pode ser usada por um único gateway do espaço de trabalho. Não pode ser compartilhada com outro recurso do Azure.
Tamanho da sub-rede
- Mínimo: /27 (32 endereços)
- Máximo: /24 (256 endereços) – recomendado
Delegação de sub-rede
A sub-rede deve ser delegada da seguinte forma para habilitar o acesso de entrada e saída desejado.
Para obter informações sobre como configurar a delegação de sub-rede, consulte Adicionar ou remover uma delegação de sub-rede.
Para a integração de rede virtual, a sub-rede precisa ser delegada ao serviço Microsoft.Web/serverFarms .
Observação
O Microsoft.Web provedor de recursos deve ser registrado na assinatura para que você possa delegar a sub-rede ao serviço. Para obter etapas para registrar um provedor de recursos usando o portal, consulte Registrar provedor de recursos.
Para obter mais informações sobre como configurar a delegação de sub-rede, consulte Adicionar ou remover uma delegação de sub-rede.
Grupo de segurança de rede
Um NSG (grupo de segurança de rede) deve ser associado à sub-rede. Para configurar um grupo de segurança de rede, consulte Criar um grupo de segurança de rede.
- Configure as regras na tabela a seguir para permitir o acesso de saída ao Armazenamento do Azure e ao Azure Key Vault, que são dependências do Gerenciamento de API.
- Configure outras regras de saída necessárias para que o gateway alcance seus back-ends de API.
- Configure outras regras de NSG para atender aos requisitos de acesso à rede da sua organização. Por exemplo, as regras de NSG também podem ser usadas para bloquear o tráfego de saída para a Internet e permitir o acesso apenas aos recursos em sua rede virtual.
| Direção | Fonte | Intervalos de portas de origem | Destino | Intervalos de portas de destino | Protocolo | Ação | Finalidade |
|---|---|---|---|---|---|---|---|
| Saída | VirtualNetwork | * | Armazenamento | 443 | TCP | Permitir | Dependência no Armazenamento do Microsoft Azure |
| Saída | VirtualNetwork | * | AzureKeyVault | 443 | TCP | Permitir | Dependência do Azure Key Vault |
Importante
- As regras de NSG de entrada não se aplicam quando você integra um gateway do espaço de trabalho em uma rede virtual para acesso privado de saída. Para impor regras NSG de entrada, use a injeção de rede virtual em vez de integração.
- Isso difere da rede na camada Premium clássica, onde as regras NSG de entrada são aplicadas nos modos de injeção de rede virtual externa e interna. Saiba mais
Configurações de DNS para injeção de rede virtual
Para injeção de rede virtual, você precisa gerenciar seu próprio DNS para habilitar o acesso de entrada ao seu gateway do espaço de trabalho.
Embora você tenha a opção de usar um servidor DNS privado ou personalizado, recomendamos:
- Configurar uma zona privada DNS do Azure.
- Vincule a zona privada DNS do Azure à rede virtual.
Saiba como configurar uma zona privada no DNS do Azure.
Observação
Se você configurar um resolvedor de DNS privado ou personalizado na rede virtual usada para injeção, deverá garantir a resolução de nomes para pontos de extremidade do Azure Key Vault (*.vault.azure.net). Recomendamos configurar uma zona DNS privada do Azure, que não requer configuração adicional para habilitá-la.
Acesso no nome do host padrão
Quando você cria um espaço de trabalho do Gerenciamento de API, o gateway do espaço de trabalho recebe um nome de host padrão. O nome do host fica visível no portal do Azure na página Visão Geral do gateway do espaço de trabalho, juntamente com seu endereço IP virtual privado. O nome do host padrão está no formato <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net. Exemplo: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.
Observação
O gateway do espaço de trabalho responde apenas a solicitações para o nome do host configurado em seu ponto de extremidade, não para seu endereço VIP privado.
Configurar registro DNS
Crie um registro A em seu servidor DNS para acessar o workspace de dentro de sua rede virtual. Mapeie o registro do ponto de extremidade para o endereço VIP privado do seu gateway do espaço de trabalho.
Para fins de teste, você pode atualizar o arquivo de hosts em uma máquina virtual em uma sub-rede conectada à rede virtual na qual o Gerenciamento de API está implantado. Supondo que o endereço IP virtual privado do seu gateway do espaço de trabalho seja 10.1.0.5, você pode mapear o arquivo de hosts conforme mostrado no exemplo a seguir. O arquivo de mapeamento de hosts está em %SystemDrive%\drivers\etc\hosts (Windows) ou /etc/hosts (Linux, macOS).
| Endereço IP virtual interno | Nome do host do gateway |
|---|---|
| 10.1.0.5 | teamworkspace.gateway.westus.azure-api.net |