Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
GÄLLER FÖR: Utvecklare | Premie
Azure API Management kan distribueras (matas in) i ett virtuellt Azure-nätverk (VNet) för att få åtkomst till serverdelstjänster i nätverket. För VNet-anslutningsalternativ, krav och överväganden, se:
- Använda ett virtuellt nätverk med Azure API Management
- Nätverksresurskrav för API Management-inmatning i ett virtuellt nätverk
Den här artikeln beskriver hur du konfigurerar VNet-anslutning för din API Management-instans i externt läge, där utvecklarportalen, API-gatewayen och andra API Management-slutpunkter är tillgängliga från det offentliga Internet, och serverdelstjänster finns i nätverket.
Konfigurationer som är specifika för det interna läget, där slutpunkterna endast är tillgängliga i det virtuella nätverket, finns i Distribuera din Azure API Management-instans till ett virtuellt nätverk – internt läge.
Anmärkning
Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Information om hur du kommer igång finns i Installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i Migrera Azure PowerShell från AzureRM till Az.
Viktigt!
Det kan ta 15 minuter eller längre att lägga till CA-certifikat, skalning, konfiguration av virtuellt nätverk, ändringar i tillgänglighetszonen och regiontillägg i API Management-tjänsten (till exempel att konfigurera anpassade domäner, lägga till CA-certifikat, skalning, konfiguration av virtuellt nätverk, ändringar i tillgänglighetszonen och regiontillägg) beroende på tjänstnivå och distributionens storlek. Förvänta dig längre väntetider för en instans med ett större antal skalningsenheter eller en multiregionkonfiguration. Löpande ändringar i API Management utförs noggrant för att bevara kapacitet och tillgänglighet.
Medan tjänsten uppdateras kan andra ändringar av tjänstinfrastrukturen inte göras. Du kan dock konfigurera API:er, produkter, principer och användarinställningar. Tjänsten upplever inte gatewayavbrott och API Management fortsätter att hantera API-begäranden utan avbrott (förutom på nivån Utvecklare).
Förutsättningar
Granska nätverksresurskraven för API Management-inmatning i ett virtuellt nätverk innan du börjar.
- En instans av API-hantering. Mer information finns i Skapa en Azure API Management-instans.
Ett virtuellt nätverk och undernät i samma region och prenumeration som din API Management-instans.
- Undernätet som används för att ansluta till API Management-instansen kan innehålla andra Azure-resurstyper.
- Inga delegeringar ska vara aktiverade i undernätet. Inställningen Delegera undernät till en tjänst för undernätet ska vara inställd på Ingen.
En nätverkssäkerhetsgrupp som är kopplad till undernätet ovan. En nätverkssäkerhetsgrupp (NSG) krävs för att uttryckligen tillåta inkommande anslutningar, eftersom lastbalanseraren som används internt av API Management är säker som standard och avvisar all inkommande trafik. Specifik konfiguration finns i Konfigurera NSG-regler senare i den här artikeln.
I vissa scenarier aktiverar du tjänstslutpunkter i undernätet till beroende tjänster som Azure Storage eller Azure SQL. Mer information finns i Tvinga tunneltrafik till lokal brandvägg med hjälp av ExpressRoute eller virtuell nätverksinstallation senare i den här artikeln.
(Valfritt) En offentlig IPv4-standard-SKU-adress.
Viktigt!
- Från och med maj 2024 behövs inte längre en offentlig IP-adressresurs när du distribuerar (matar in) en API Management-instans i ett virtuellt nätverk i internt läge eller migrerar den interna VNet-konfigurationen till ett nytt undernät. I externt VNet-läge är det valfritt att ange en offentlig IP-adress. Om du inte anger någon konfigureras en Azure-hanterad offentlig IP-adress automatiskt och används för körnings-API-trafik. Ange endast den offentliga IP-adressen om du vill äga och kontrollera den offentliga IP-adress som används för inkommande eller utgående kommunikation till Internet.
Om det anges måste IP-adressen finnas i samma region och prenumeration som API Management-instansen och det virtuella nätverket.
När du skapar en offentlig IP-adressresurs kontrollerar du att du tilldelar den en DNS-namnetikett . I allmänhet bör du använda samma DNS-namn som din API Management-instans. Om du ändrar den distribuerar du om instansen så att den nya DNS-etiketten tillämpas.
För bästa nätverksprestanda rekommenderar vi att du använder standardinställningen Routning: Microsoft-nätverk.
När du skapar en offentlig IP-adress i en region där du planerar att aktivera zonredundans för din API Management-instans konfigurerar du inställningen Zonredundant .
Värdet för IP-adressen tilldelas som den virtuella offentliga IPv4-adressen för API Management-instansen i den regionen.
För distributioner av API Management för flera regioner konfigurerar du virtuella nätverksresurser separat för varje plats.
Aktivera VNet-anslutning
Aktivera VNet-anslutning med hjälp av Azure-portalen
Gå till Azure-portalen för att hitta din API-hanteringsinstans. Sök efter och välj API Management-tjänster.
Välj din API Management-instans.
Välj Nätverk.
Välj den externa åtkomsttypen.
I listan över platser (regioner) där DIN API Management-tjänst etableras:
- Välj en plats.
- Välj Virtuellt nätverk, Undernät och (valfritt) IP-adress.
Listan över virtuella nätverk fylls i med resource manager-virtuella nätverk som är tillgängliga i dina Azure-prenumerationer och konfigureras i den region som du konfigurerar.
Välj Använd. Sidan Nätverk för DIN API Management-instans uppdateras med dina nya VNet- och undernätsalternativ.
Fortsätt att konfigurera VNet-inställningar för de återstående platserna för din API Management-instans.
I det övre navigeringsfältet väljer du Spara.
Aktivera anslutning med hjälp av en Resource Manager-mall
Azure Resource Manager mall (API-version 2021-08-01)
Konfigurera NSG-regler
Konfigurera anpassade nätverksregler i API Management-undernätet för att filtrera trafik till och från din API Management-instans. Vi rekommenderar följande minsta NSG-regler för att säkerställa korrekt drift och åtkomst till din instans. Granska din miljö noggrant för att fastställa fler regler som kan behövas.
Viktigt!
Beroende på din användning av cachelagring och andra funktioner kan du behöva konfigurera ytterligare NSG-regler utöver minimireglerna i följande tabell. Detaljerade inställningar finns i Referens för konfiguration av virtuellt nätverk.
- I de flesta scenarier använder du de angivna tjänsttaggar i stället för tjänstens IP-adresser för att ange nätverkskällor och mål.
- Ange prioriteten för dessa regler som är högre än standardreglernas.
| Riktning | Servicetagg för källa | Källportsintervall | Destinationstjänsttagg | Intervall för målportar | Protokoll | Åtgärd | Avsikt | VNet-typ |
|---|---|---|---|---|---|---|---|---|
| Inkommande | Internet | * | Virtuellt nätverk | [80], 443 | TCP | Tillåt | Klientkommunikation till API Management | Endast externt |
| Inkommande | ApiManagement | * | Virtuellt nätverk | 3443 | TCP | Tillåt | Hanteringsslutpunkt för Azure-portalen och PowerShell | Extern och intern |
| Inkommande | Azure LoadBalancer (Lastbalanserare för Azure) | * | Virtuellt nätverk | 6390 | TCP | Tillåt | Lastbalanserare för Azure-infrastruktur | Extern och intern |
| Inkommande | AzureTrafficManager | * | Virtuellt nätverk | 443 | TCP | Tillåt | Azure Traffic Manager-routning för distribution i flera regioner | Endast externt |
| Utgående | Virtuellt nätverk | * | Internet | 80 | TCP | Tillåt | Validering och hantering av Microsoft-hanterade och kundhanterade certifikat | Extern och intern |
| Utgående | Virtuellt nätverk | * | Förvaring | 443 | TCP | Tillåt | Beroende av Azure Storage för grundläggande tjänstfunktioner | Extern och intern |
| Utgående | Virtuellt nätverk | * | SQL | 1433 | TCP | Tillåt | Åtkomst till Azure SQL-slutpunkter för grundläggande tjänstfunktioner | Extern och intern |
| Utgående | Virtuellt nätverk | * | AzureKeyVault (på engelska) | 443 | TCP | Tillåt | Åtkomst till Azure Key Vault för grundläggande tjänstfunktioner | Extern och intern |
| Utgående | Virtuellt nätverk | * | AzureMonitor | 1886, 443 | TCP | Tillåt | Publicera diagnostikloggar och mått, Resurshälsa och Applikationsinsikter | Extern och intern |
Ansluta till en webbtjänst som finns i ett virtuellt nätverk
När du har anslutit API Management-tjänsten till det virtuella nätverket kan du komma åt serverdelstjänster i den precis som du gör med offentliga tjänster. När du skapar eller redigerar ett API anger du den lokala IP-adressen eller värdnamnet (om en DNS-server har konfigurerats för det virtuella nätverket) för webbtjänsten i fältet Webbtjänst-URL .
Anpassad DNS-serverkonfiguration
I externt VNet-läge hanterar Azure DNS som standard. Du kan också konfigurera en anpassad DNS-server.
API Management-tjänsten är beroende av flera Azure-tjänster. När API Management finns i ett virtuellt nätverk med en anpassad DNS-server måste den matcha värdnamnen för dessa Azure-tjänster.
- Vägledning om anpassad DNS-konfiguration, inklusive vidarebefordran för värdnamn som tillhandahålls av Azure, se namnuppslagning för resurser i virtuella Azure-nätverk.
- Utgående nätverksåtkomst på porten
53krävs för kommunikation med DNS-servrar. Fler inställningar finns i Referens för konfiguration av virtuellt nätverk.
Viktigt!
Om du planerar att använda en anpassad DNS-server för det virtuella nätverket konfigurerar du den innan du distribuerar en API Management-tjänst till den. Annars måste du uppdatera API Management-tjänsten varje gång du ändrar DNS-servrarna genom att köra åtgärden Tillämpa nätverkskonfiguration.
Routning
- En belastningsbalanserad offentlig IP-adress (VIP) är reserverad för att ge åtkomst till API Management-slutpunkter och resurser utanför det virtuella nätverket.
- Den offentliga VIP-adressen finns på bladet Översikt/Essentials i Azure-portalen.
Mer information och överväganden finns i IP-adresser för Azure API Management.
VIP- och DIP-adresser
Dip-adresser (Dynamic IP) tilldelas till varje underliggande virtuell dator i tjänsten och används för att komma åt slutpunkter och resurser i det virtuella nätverket och i peer-kopplade virtuella nätverk. API Management-tjänstens offentliga virtuella IP-adress (VIP) används för åtkomst till offentliga resurser.
Om IP-begränsningen visar säkra resurser i det virtuella nätverket eller peer-kopplade virtuella nätverk rekommenderar vi att du anger hela undernätsintervallet där API Management-tjänsten distribueras för att bevilja eller begränsa åtkomsten från tjänsten.
Läs mer om den rekommenderade undernätsstorleken.
Tvinga tunneltrafik till lokal brandvägg genom ExpressRoute eller virtuell nätverksapparat
Med tvingad tunneltrafik kan du omdirigera eller "tvinga" all Internetbunden trafik från undernätet tillbaka till den lokala miljön för inspektion och granskning. Vanligtvis konfigurerar och definierar du din egen standardväg (0.0.0.0/0), vilket tvingar all trafik från API Management-undernätet att flöda genom en lokal brandvägg eller till en virtuell nätverksinstallation. Det här trafikflödet bryter anslutningen med API Management, eftersom utgående trafik antingen blockeras på plats eller NAT:ad till en oigenkännlig uppsättning adresser som inte längre fungerar med olika Azure-slutpunkter. Du kan lösa det här problemet via följande metoder:
Aktivera tjänstslutpunkter i undernätet där API Management-tjänsten distribueras för:
- Azure SQL (krävs endast i den primära regionen om API Management-tjänsten distribueras till flera regioner)
- Azure Storage
- Azure Event Hubs
- Azure 密钥保管库
Genom att aktivera slutpunkter direkt från API Management-undernätet till dessa tjänster kan du använda Microsoft Azure-stamnätverket, vilket ger optimal routning för tjänsttrafik. Om du använder tjänstslutpunkter med API-hantering med framtvingad tunnel, framtvingas inte trafiken för de nämnda Azure-tjänsterna. Den andra API Management-tjänstens beroendetrafik förblir dock tvingad tunneltrafik. Kontrollera att brandväggen eller den virtuella installationen inte blockerar den här trafiken eller att API Management-tjänsten kanske inte fungerar korrekt.
Anmärkning
Vi rekommenderar starkt att du aktiverar tjänstslutpunkter direkt från API Management-undernätet till beroende tjänster som Azure SQL och Azure Storage som stöder dem. Vissa organisationer kan dock ha krav på att tvinga all trafik i tunnel från API Management-undernätet. I det här fallet kontrollerar du att du konfigurerar brandväggen eller den virtuella installationen så att den tillåter den här trafiken. Du måste tillåta det fullständiga IP-adressintervallet för varje beroende tjänst och hålla konfigurationen uppdaterad när Azure-infrastrukturen ändras. Din API Management-tjänst kan också uppleva latens eller oväntade timeouter på grund av tvingad tunnling av denna nätverkstrafik.
All kontrollplanstrafik från Internet till hanteringsslutpunkten för DIN API Management-tjänst dirigeras via en specifik uppsättning inkommande IP-adresser, som hanteras av API Management, som omfattas av apiManagement-tjänsttaggen. När trafiken tvångstunnlas mappas inte svaren symmetriskt tillbaka till dessa inkommande käll-IP-adresser och anslutningen till hanteringsslutpunkten går förlorad. Du kan lösa den här begränsningen genom att konfigurera en användardefinierad väg (UDR) för tjänsttaggen ApiManagement med nästa hopptyp inställd på "Internet" för att styra trafiken tillbaka till Azure.
Anmärkning
Att tillåta API Management-hanteringstrafik att kringgå en lokal brandvägg eller virtuell nätverksinstallation anses inte vara en betydande säkerhetsrisk. Den rekommenderade konfigurationen för ditt API Management-undernät tillåter endast inkommande hanteringstrafik på port 3443 från den uppsättning Azure IP-adresser som omfattas av taggen ApiManagement-tjänst. Den rekommenderade UDR-konfigurationen är endast för retursökvägen för den här Azure-trafiken.
(Externt VNet-läge) Dataplanstrafik för klienter som försöker nå API Management-gatewayen och utvecklarportalen från Internet tas också bort som standard på grund av asymmetrisk routning som introduceras genom tvingad tunneltrafik. För varje klient som kräver åtkomst konfigurerar du en explicit UDR med nästa hopptyp "Internet" för att kringgå brandväggen eller den virtuella nätverksinstallationen.
För andra beroenden för API Management-tjänsten i tvingad tunnel löser du värdnamnet och kontaktar slutpunkten. Dessa inkluderar:
- Mått och hälsoövervakning
- Azure Portal diagnostik
- SMTP-relä
- CAPTCHA för utvecklarportalen
- Azure KMS-server
Mer information finns i Referens för konfiguration av virtuellt nätverk.
Vanliga problem med nätverkskonfiguration
Det här avsnittet har flyttats. Se Referens för konfiguration av virtuellt nätverk.
Felsökning
Misslyckad inledande distribution av API Management-tjänsten till ett undernät
- Distribuera en virtuell dator till samma undernät.
- Anslut till den virtuella datorn och verifiera anslutningen till någon av följande resurser i din Azure-prenumeration:
- Azure Storage-blob
- Azure SQL Database
- Azure Storage-tabell
- Azure 密钥保管库
Viktigt!
När du har verifierat anslutningen tar du bort alla resurser i undernätet innan du distribuerar API Management till undernätet.
Verifiera nätverksstatus
När du har distribuerat API Management till undernätet använder du portalen för att kontrollera anslutningen för din instans till beroenden, till exempel Azure Storage.
I portalen går du till den vänstra menyn under Distribution och infrastruktur och väljerNätverksnätverksstatus>.
| Filtrera | Beskrivning |
|---|---|
| Krävs | Välj att granska den nödvändiga Azure-tjänstanslutningen för API Management. Felet indikerar att instansen inte kan utföra kärnåtgärder för att hantera API:er. |
| Valfri | Välj för att granska den valfria tjänstanslutningen. Felet anger bara att den specifika funktionen inte fungerar (till exempel SMTP). Fel kan leda till försämring av användningen och övervakningen av API Management-instansen samt tillhandahållandet av den avtalade tjänstgarantin. |
Om du vill felsöka anslutningsproblem väljer du:
Mätvärden – för att granska nätverksanslutningens statusindikatorer
Diagnostisera – för att köra ett virtuellt nätverksverifierare under en angiven tidsperiod
Du kan åtgärda anslutningsproblem genom att granska nätverkskonfigurationsinställningar och åtgärda nödvändiga nätverksinställningar.
Inkrementella uppdateringar
När du gör ändringar i nätverket kan du läsa NetworkStatus API för att kontrollera att API Management-tjänsten inte har förlorat åtkomsten till kritiska resurser. Anslutningsstatusen bör uppdateras var 15:e minut.
Så här tillämpar du en nätverkskonfigurationsändring på API Management-instansen med hjälp av portalen:
- I den vänstra menyn för din instans går du till Distribution och infrastruktur och väljer Nätverk>virtuellt nätverk.
- Välj Använd nätverkskonfiguration.
Utmaningar som uppstår vid omtilldelning av API Management-instans till föregående undernät
- VNet-lås – När du flyttar tillbaka en API Management-instans till det ursprungliga undernätet kanske det inte går att omtilldela omedelbart på grund av VNet-låset, vilket tar upp till en timme att ta bort.
- Resursgruppslås – Ett annat scenario att tänka på är förekomsten av ett omfångslås på resursgruppsnivå eller högre, vilket hindrar borttagningsprocessen för resursnavigeringslänken. Lös problemet genom att ta bort omfångslåset och tillåta en fördröjning på cirka 4–6 timmar för API Management-tjänsten att ta bort länken från det ursprungliga undernätet innan låset tas bort, vilket aktiverar distributionen till önskat undernät.
Felsöka anslutning till Microsoft Graph inifrån ett virtuellt nätverk
Nätverksanslutning till Microsoft Graph krävs för funktioner som användarinloggning till utvecklarportalen med hjälp av Microsoft Entra-identitetsprovidern.
Så här felsöker du anslutningen till Microsoft Graph inifrån ett virtuellt nätverk:
Se till att NSG och andra nätverksregler har konfigurerats för utgående anslutning från DIN API Management-instans till Microsoft Graph (med hjälp av tjänsttaggen AzureActiveDirectory ).
Kontrollera DNS-upplösning och nätverksåtkomst till
graph.microsoft.comfrån det virtuella nätverket. Du kan till exempel etablera en ny virtuell dator i det virtuella nätverket, ansluta till den och försökaGET https://graph.microsoft.com/v1.0/$metadatafrån en webbläsare eller använda cURL, PowerShell eller andra verktyg.
Relaterat innehåll
Läs mer om: