Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
ОБЛАСТЬ ПРИМЕНЕНИЯ: Премиум версии 2
Данная статья описывает требования к интеграции экземпляра Управление API Azure Premium v2 (предварительная версия) в виртуальной сети.
Примечание.
Уровень "Премиум" версии 2 в настоящее время находится в ограниченной предварительной версии. Чтобы зарегистрироваться, заполните эту форму.
Примечание.
Чтобы внедрить классический экземпляр разработчика или уровня Premium в виртуальную сеть, требования и конфигурация отличаются. Подробнее.
При внедрении экземпляра Управление API Premium версии 2 в виртуальную сеть:
- Конечная точка шлюза Управление API доступна через виртуальную сеть по частному IP-адресу.
- Управление API может выполнять исходящие запросы к бэкэндам API, изолированным в сети.
Эта конфигурация рекомендуется использовать для сценариев, в которых необходимо изолировать сетевой трафик как для экземпляра Управление API, так и для внутренних API.
Если вы хотите включить общедоступный входящий доступ к экземпляру Управление API на уровне "Стандартный" версии 2 или "Премиум" версии 2, но ограничить исходящий доступ к изолированным от сети backend-системам, см. статью "Интеграция с виртуальной сетью для исходящих подключений".
Внимание
- Виртуальная интеграция сети, описанная в этой статье, доступна только для экземпляров службы управления API уровня Premium v2 (предварительный просмотр). Параметры сети в разных уровнях см. в статье «Использование виртуальной сети с помощью Azure API Management».
- В настоящее время экземпляр Premium версии 2 можно внедрить в виртуальную сеть только при создании экземпляра. Невозможно внедрить существующий экземпляр Premium версии 2 в виртуальную сеть. Однако можно обновить параметры подсети для внедрения после создания экземпляра.
- В настоящее время нельзя переключаться между внедрением виртуальной сети и интеграцией виртуальной сети для экземпляра Premium версии 2.
Предварительные условия
- Экземпляр API Management Azure в тарифном плане Premium v2.
- Виртуальная сеть, в которой размещаются ваши клиентские приложения и серверные API вашего управления API. См. следующие разделы для получения информации о требованиях и рекомендациях по виртуальной сети и подсети, используемых для экземпляра API Management.
Сетевое расположение
- Виртуальная сеть должна находиться в том же регионе и в той же подписке Azure, что и экземпляр API Management.
Выделенная подсеть
- Подсеть, используемая для внедрения виртуальной сети, должна использоваться только единственным инстансом API Management. Его нельзя предоставить другому ресурсу Azure.
Размер подсети
- Минимум: /27 (32 адреса)
- Рекомендуется: /24 (256 адресов) - для обеспечения масштабируемости экземпляра управления API.
группу безопасности сети;
Группа безопасности сети должна быть связана с подсетью. Никаких конкретных правил не требуется. Сведения о настройке группы безопасности сети см. в статье "Создание группы безопасности сети".
Делегирование подсети
Подсеть необходимо делегировать службе Microsoft.Web/hostingEnvironments .
Примечание.
Возможно, потребуется зарегистрировать Microsoft.Web/hostingEnvironments поставщика ресурсов в подписке, чтобы делегировать подсеть службе.
Дополнительные сведения о настройке делегирования подсети см. в разделе "Добавление или удаление делегирования подсети".
Свойство addressPrefix
Внедрение виртуальной сети в тарифном плане Premium v2 требует, чтобы свойство подсети addressPrefix было задано в допустимый блок CIDR.
Если настроить подсеть с помощью портала Azure, подсеть задает свойство addressPrefixes (plural), состоящее из списка префиксов адресов. Однако для управления API требуется один блок CIDR в качестве значения свойства addressPrefix.
Чтобы создать или обновить подсеть с addressPrefix, используйте такое средство, как Azure PowerShell, шаблон Azure Resource Manager или REST API. Например, обновите подсеть с помощью командлета Set-AzVirtualNetworkSubnetConfig Azure PowerShell:
# Set values for the variables that are appropriate for your environment.
$resourceGroupName = "MyResourceGroup"
$virtualNetworkName = "MyVirtualNetwork"
$subnetName = "ApimSubnet"
$addressPrefix = "10.0.3.0/24"
$virtualNetwork = Get-AzVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName
Set-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $virtualNetwork -AddressPrefix $addressPrefix
$virtualNetwork | Set-AzVirtualNetwork
Разрешения
Для настройки внедрения виртуальной сети необходимо иметь по крайней мере следующие разрешения на управление доступом на основе ролей в подсети или на более высоком уровне:
| Действие | Описание |
|---|---|
| Microsoft.Network/virtualNetworks/read | Прочитайте определение виртуальной сети |
| Microsoft.Network/virtualNetworks/subnets/read | Чтение определения подсети виртуальной сети |
| Microsoft.Network/virtualNetworks/subnets/join/action | Присоединяется к виртуальной сети. |
Внедрить управление API в виртуальной сети
При создании экземпляра Premium версии 2 с помощью портала Azure можно при необходимости настроить параметры инъекции виртуальной сети.
- В мастере Создать службу управления API выберите вкладку Сетевые возможности.
- В типе подключения выберите виртуальную сеть.
- В поле "Тип" выберите внедрение виртуальной сети.
- В разделе "Настройка виртуальных сетей" выберите виртуальную сеть и делегированную подсеть, которую требуется внедрить.
- Завершите работу мастера, чтобы создать экземпляр управления API.
Параметры DNS для доступа к частному IP-адресу
Когда экземпляр управления API премиум-класса версии 2 внедряется в виртуальную сеть, необходимо управлять собственным DNS для обеспечения входящего доступа к управлению API.
Хотя у вас есть возможность использовать собственный пользовательский DNS-сервер, рекомендуется:
- Настройка частной зоны Azure DNS.
- Связывание частной зоны Azure DNS с виртуальной сетью.
Узнайте, как настроить частную зону в Azure DNS.
Доступ к конечной точке по имени узла по умолчанию
При создании экземпляра службы управления API в тарифе Premium версии 2 следующему конечному узлу назначается имя узла по умолчанию:
-
Шлюз — пример:
contoso-apim.azure-api.net
Настройка записи DNS
Создайте запись A на вашем DNS-сервере, чтобы получить доступ к экземпляру управления API из вашей виртуальной сети. Сопоставьте запись конечной точки с частным виртуальным IP-адресом экземпляра службы управления API.
Для тестирования можно обновить файл hosts на виртуальной машине в подсети, подключенной к виртуальной сети, в которой развернута служба управления API. Если для экземпляра API Management используется частный виртуальный IP-адрес 10.1.0.5, можно сопоставить файл hosts, как показано в следующем примере. Файл сопоставления узлов находится в %SystemDrive%\drivers\etc\hosts (Windows) или /etc/hosts (Linux, macOS). Например:
| Внутренний виртуальный IP-адрес | Имя узла шлюза |
|---|---|
| 10.1.0.5 | contoso-apim.portal.azure-api.net |