Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
ОБЛАСТЬ ПРИМЕНЕНИЯ: Стандартная версия 2 | Премиум версии 2
В этой статье описывается процесс настройки интеграции виртуальной сети для вашего экземпляра службы управления API Azure, версии 2 "Стандарт" или "Премиум". При интеграции с виртуальной сетью экземпляр может отправлять исходящие запросы к API, изолированным в одной подключенной виртуальной сети или любой одноранговой виртуальной сети, если сетевое подключение настроено правильно.
Если экземпляр Управления API интегрирован с виртуальной сетью для исходящих запросов, конечные точки шлюза и портала разработчика остаются общедоступными. Экземпляр Управления API может получить доступ как к общедоступным, так и к сетево изолированным внутренним службам.
Если вы хотите внедрить экземпляр управления API premium версии 2 в виртуальную сеть, чтобы изолировать входящий и исходящий трафик, см. статью "Внедрение экземпляра premium версии 2" в виртуальную сеть.
Внимание
- Интеграция с исходящей виртуальной сетью, описанная в этой статье, доступна только для экземпляров службы API Management на уровнях Standard v2 и Premium v2. Сведения о параметрах сети на разных уровнях см. в статье "Использование виртуальной сети с помощью управления API Azure".
- Вы можете включить интеграцию виртуальной сети при создании экземпляра Управления API в уровне "Стандартный версии 2" или "Премиум версии 2", или после создания экземпляра.
- В настоящее время невозможно переключаться между инъекцией виртуальной сети и интеграцией виртуальной сети для экземпляра версии Premium v2.
Предварительные условия
- Экземпляр службы управления API Azure в ценовом уровне Standard v2 или Premium v2
- (Необязательно) Для тестирования пример серверного API, размещенного в другой подсети в виртуальной сети. Например, см. Руководство: Установление доступа к частному сайту Azure Functions.
- Виртуальная сеть с подсетью, в которой размещаются внутренние API управления API. Дополнительные сведения о требованиях и рекомендациях для виртуальной сети и подсети см. в следующих разделах.
Сетевое расположение
- Виртуальная сеть должна находиться в том же регионе и в той же подписке Azure, что и экземпляр службы API Management.
Выделенная подсеть
- Подсеть, используемая для интеграции виртуальной сети, может использоваться только одним экземпляром управления API. Его нельзя предоставить другому ресурсу Azure.
Размер подсети
- Минимум: /27 (32 адреса)
- Рекомендуется: /24 (256 адресов) — для масштабирования экземпляра API Management.
группу безопасности сети;
Группа безопасности сети (NSG) должна быть связана с подсетью. Сведения о настройке группы безопасности сети см. в статье "Создание группы безопасности сети".
- Настройте правила в следующей таблице, чтобы разрешить исходящий доступ к службе хранилища Azure и Azure Key Vault, которые являются зависимостями для управления API.
- Настройте другие правила исходящего трафика, необходимые шлюзу для доступа к серверным службам API.
- Настройте другие правила NSG для удовлетворения требований к сетевому доступу вашей организации. Например, правила NSG также можно использовать для блокировки исходящего трафика в Интернет и разрешения доступа только к ресурсам в виртуальной сети.
| Направление | Исходный материал | Диапазоны исходных портов | Место назначения | Диапазоны портов назначения | Протокол | Действие | Цель |
|---|---|---|---|---|---|---|---|
| исходящий | Виртуальная сеть | * | Storage | 443 | Протокол tcp | Allow | Зависимость от службы хранилища Azure |
| исходящий | Виртуальная сеть | * | AzureKeyVault | 443 | Протокол tcp | Allow | Зависимость от Azure Key Vault |
Внимание
- Правила NSG для входящего трафика не применяются, если экземпляр уровня версии 2 интегрирован в виртуальную сеть для частного исходящего доступа. Чтобы применить правила NSG для входящего трафика, используйте внедрение виртуальной сети вместо интеграции.
- Это отличается от сети на классическом уровне "Премиум", где правила NSG входящего трафика применяются как во внешних, так и во внутренних режимах внедрения виртуальной сети. Подробнее
Делегирование подсети
Подсеть должна быть делегирована службе Microsoft.Web/serverFarms .
Примечание.
Поставщик Microsoft.Web ресурсов должен быть зарегистрирован в подписке, чтобы можно было делегировать подсеть службе. Инструкции по регистрации поставщика ресурсов на портале см. в разделе "Регистрация поставщика ресурсов".
Дополнительные сведения о настройке делегирования подсети см. в разделе "Добавление или удаление делегирования подсети".
Разрешения
Для настройки интеграции виртуальной сети необходимо иметь по крайней мере следующие разрешения на управление доступом на основе ролей в подсети или на более высоком уровне:
| Действие | Описание |
|---|---|
| Microsoft.Network/виртуальные_сети/читать | Чтение определения виртуальной сети |
| Microsoft.Network/virtualNetworks/subnets/read | Прочитайте определение подсети виртуальной сети |
| Microsoft.Network/virtualNetworks/subnets/join/action (присоединение) | Подключается к виртуальной сети. |
Настройка интеграции виртуальной сети
В этом разделе описан процесс настройки интеграции внешней виртуальной сети для существующего экземпляра службы управления API Azure. Вы также можете настроить интеграцию виртуальной сети при создании нового экземпляра службы управления API.
- На портале Azure перейдите к экземпляру службы "Управление API".
- В меню слева в разделе "Развертывание и инфраструктура" выберитепункт "Изменить>".
- На странице конфигурации сети в разделе "Исходящие функции" выберите "Включить интеграцию виртуальной сети".
- Выберите виртуальную сеть и делегированную подсеть, которую требуется интегрировать.
- Нажмите кнопку "Сохранить". Виртуальная сеть интегрирована.
(Необязательно) Тестирование интеграции виртуальной сети
Если у вас есть API, размещенный в виртуальной сети, его можно импортировать в экземпляр управления и проверить интеграцию виртуальной сети. Основные действия см. в разделе "Импорт и публикация API".