Dela via

Krav för nätverksresurser för att integrera eller mata in en arbetsytegateway i ett virtuellt nätverk

GÄLLER FÖR: Premium

Nätverksisolering är en valfri funktion i en API Management-arbetsytegateway. Den här artikeln innehåller krav på nätverksresurser när du integrerar eller matar in din gateway i ett virtuellt Azure-nätverk. Vissa krav varierar beroende på önskat inkommande och utgående åtkomstläge. Följande lägen stöds:

  • Integrering av virtuellt nätverk: offentlig inkommande åtkomst, privat utgående åtkomst
  • Inmatning av virtuellt nätverk: privat inkommande åtkomst, privat utgående åtkomst

Bakgrund om nätverksalternativ i API Management finns i Använda ett virtuellt nätverk för att skydda inkommande eller utgående trafik för Azure API Management.

Kommentar

  • Nätverkskonfigurationen för en arbetsytegateway är oberoende av nätverkskonfigurationen för API Management-instansen.
  • För närvarande kan en arbetsytegateway bara konfigureras i ett virtuellt nätverk när gatewayen skapas. Du kan inte ändra gatewayens nätverkskonfiguration eller inställningar senare.

Nätverksplats

Det virtuella nätverket måste finnas i samma region och Azure-prenumeration som API Management-instansen.

Dedikerat undernät

  • Det undernät som används för integrering eller inmatning av virtuella nätverk kan bara användas av en enda arbetsytegateway. Det kan inte delas med en annan Azure-resurs.

egenskap för adressprefix

Virtuell nätverksinjektion på Premium v2-nivån och gateway:er för arbetsytor kräver att undernätsegenskapen addressPrefix är inställd på ett giltigt CIDR-block.

Om du konfigurerar undernätet med azure-portalen anger undernätet en addressPrefixes (plural) egenskap som består av en lista med adressprefix. API Management kräver dock ett enda CIDR-block som värdet för addressPrefix egenskapen.

Om du vill skapa eller uppdatera ett undernät med addressPrefixanvänder du ett verktyg som Azure PowerShell, en Azure Resource Manager-mall eller REST-API:et. Du kan till exempel uppdatera ett undernät med hjälp av Azure PowerShell-cmdleten Set-AzVirtualNetworkSubnetConfig :

# Set values for the variables that are appropriate for your environment.

$resourceGroupName = "MyResourceGroup"
$virtualNetworkName = "MyVirtualNetwork"
$subnetName = "ApimSubnet"
$addressPrefix = "10.0.3.0/24"


$virtualNetwork = Get-AzVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName

Set-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $virtualNetwork -AddressPrefix $addressPrefix

$virtualNetwork | Set-AzVirtualNetwork

Storlek på undernät

  • Minimum: /27 (32 adresser)
  • Max: /24 (256 adresser) – rekommenderas

Delegering av undernät

Undernätet måste delegeras enligt följande för att aktivera önskad inkommande och utgående åtkomst.

Information om hur du konfigurerar delegering av undernät finns i Lägga till eller ta bort en delegering av undernät.

För integrering av virtuella nätverk måste undernätet delegeras till tjänsten Microsoft.Web/serverFarms .

Skärmbild som visar delegering av undernät till Microsoft.Web/serverFarms i portalen.

Kommentar

Du kan behöva registrera Microsoft.Web/serverFarms resursprovidern i prenumerationen så att du kan delegera undernätet till tjänsten.

Regler för nätverkssäkerhetsgrupper (NSG)

En nätverkssäkerhetsgrupp (NSG) måste vara ansluten till undernätet för att uttryckligen tillåta vissa inkommande eller utgående anslutningar. Konfigurera följande regler i NSG. Ange prioriteten för dessa regler som är högre än standardreglernas.

Konfigurera andra NSG-regler för att uppfylla organisationens krav på nätverksåtkomst.

Riktning Källa Källportsintervall Mål Intervall för målportar Protokoll Åtgärd Syfte
Inkommande Azure LoadBalancer (Lastbalanserare för Azure) * Undernätsintervall för arbetsytegateway 80 TCP Tillåt Tillåt intern hälso-ping-trafik
Inkommande Internet * Undernätsintervall för arbetsytegateway 80 443 TCP Tillåt Tillåt inkommande trafik

DNS-inställningar för virtuell nätverksinmatning

För inmatning av ett virtuellt nätverk måste du hantera din egen DNS för att aktivera inkommande åtkomst till din arbetsyte-gateway.

Även om du har möjlighet att använda en privat eller anpassad DNS-server rekommenderar vi:

  1. Konfigurera en privat Azure DNS-zon.
  2. Länka den privata Azure DNS-zonen till det virtuella nätverket.

Lär dig hur du konfigurerar en privat zon i Azure DNS.

Kommentar

Om du konfigurerar en privat eller anpassad DNS-resolver i det virtuella nätverk som används för injicering måste du säkerställa namnupplösning för Azure Key Vault-slutpunkter (*.vault.azure.net). Vi rekommenderar att du konfigurerar en privat DNS-zon i Azure, som inte kräver ytterligare konfiguration för att aktivera den.

Åtkomst på standardvärdnamn

När du skapar en API Management-arbetsyta tilldelas arbetsytegatewayen ett standardvärdnamn. Värdnamnet visas i Azure Portal på arbetsytegatewayens översiktssida, tillsammans med dess privata virtuella IP-adress. Standardvärdens namn är i formatet <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net. Exempel: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.

Kommentar

Arbetsytegatewayen svarar bara på begäranden till värdnamnet som konfigurerats på dess slutpunkt, inte dess privata VIP-adress.

Konfigurera DNS-post

Skapa en A-post i DNS-servern för att komma åt arbetsytan inifrån det virtuella nätverket. Mappa slutpunktsposten till den privata VIP-adressen för din arbetsytegateway.

I testsyfte kan du uppdatera värdfilen på en virtuell dator i ett undernät som är anslutet till det virtuella nätverk där API Management distribueras. Om den privata virtuella IP-adressen för din arbetsytegateway är 10.1.0.5 kan du mappa värdfilen enligt följande exempel. Värdmappningsfilen finns i %SystemDrive%\drivers\etc\hosts (Windows) eller /etc/hosts (Linux, macOS).

Intern virtuell IP-adress Gateway-värdnamn
10.1.0.5 teamworkspace.gateway.westus.azure-api.net

Relaterat innehåll