Megosztás a következőn keresztül:

Azure API Management-példány injektálása privát virtuális hálózaton – Prémium v2 szint

  • Cikk

A KÖVETKEZŐRE VONATKOZIK: Prémium v2

Ez a cikk végigvezeti az Azure API Management Premium v2 (előzetes verzió) példány virtuális hálózatba történő injektálására vonatkozó követelményeken.

Feljegyzés

Ha klasszikus fejlesztői vagy prémium szintű példányt szeretne injektálni egy virtuális hálózatba, a követelmények és a konfiguráció eltérőek. További információ.

Ha egy API Management Premium v2-példányt injektál egy virtuális hálózatba:

  • Az API Management-átjáró végpontja a virtuális hálózaton keresztül érhető el egy privát IP-címen.
  • Az API Management kimenő kéréseket tud küldeni a hálózaton elkülönített API-háttérrendszereknek.

Ez a konfiguráció olyan helyzetekben ajánlott, ahol el szeretné különíteni a hálózati forgalmat mind az API Management-példány, mind a háttér API-k felé.

Egy API Management-példány virtuális hálózatba történő injektálásának diagramja a bejövő és kimenő forgalom elkülönítéséhez.

Ha engedélyezni szeretné a nyilvános bejövő hozzáférést egy API Management-példányhoz a Standard v2 vagy Premium v2 szinten, de korlátozni szeretné a kimenő hozzáférést a hálózat által elkülönített háttérrendszerekhez, tekintse meg a kimenő kapcsolatok virtuális hálózattal való integrálása című témakört.

Fontos

  • A cikkben ismertetett virtuális hálózati injektálás csak a Prémium v2 szintű (előzetes verzió) API Management-példányokhoz érhető el. A különböző szintek hálózatkezelési lehetőségeiről a Virtuális hálózat használata az Azure API Management szolgáltatással című témakörben olvashat.
  • Jelenleg csak a példány létrehozásakor lehet prémium v2-példányt injektálni egy virtuális hálózatba. Meglévő Premium v2-példány nem ágyazható be virtuális hálózatba. A példány létrehozása után azonban frissítheti az alhálózati beállításokat az injektáláshoz.
  • Jelenleg nem válthat a virtuális hálózati injektálás és a virtuális hálózat integrációja között egy Prémium v2-példány esetében.

Előfeltételek

  • Egy Azure API Management-példány a Prémium v2 tarifacsomagban.
  • Egy virtuális hálózat, ahol az ügyfélalkalmazások és az API Management háttér API-k üzemelnek. Az API Management-példányhoz használt virtuális hálózatra és alhálózatra vonatkozó követelményekről és javaslatokról az alábbi szakaszokban olvashat.

Hálózati hely

  • A virtuális hálózatnak ugyanabban a régióban és Azure-előfizetésben kell lennie, mint az API Management-példány.

Dedikált alhálózat

  • A virtuális hálózat injektálásához használt alhálózatot csak egyetlen API Management-példány használhatja. Nem osztható meg egy másik Azure-erőforrással.

Alhálózat mérete

  • Minimum: /27 (32 cím)
  • Ajánlott: /24 (256 cím) – az API Management-példány skálázásának fogadására

Hálózati biztonsági csoport

Az alhálózathoz hálózati biztonsági csoportot kell társítani.

Alhálózat delegálása

Az alhálózatot delegálni kell a Microsoft.Web/hostingEnvironments szolgáltatásba .

Képernyőkép a Microsoft.Web/hostingEnvironments alhálózat-delegálásról a portálon.

Feljegyzés

Előfordulhat, hogy regisztrálnia kell az Microsoft.Web/hostingEnvironments erőforrás-szolgáltatót az előfizetésben, hogy delegálhassa az alhálózatot a szolgáltatásnak.

További információ az alhálózat-delegálás konfigurálásáról: Alhálózat-delegálás hozzáadása vagy eltávolítása.

addressPrefix tulajdonság

A Prémium v2 szintű virtuális hálózat injektálásához az addressPrefix alhálózati tulajdonság érvényes CIDR-blokkra van állítva.

Ha az alhálózatot az Azure Portal használatával konfigurálja, az alhálózat beállít egy addressPrefixes (többes szám) tulajdonságot, amely a címelőtagok listáját tartalmazza. Az API Management azonban egyetlen CIDR-blokkot igényel a addressPrefix tulajdonság értékeként.

Alhálózat addressPrefixlétrehozásához vagy frissítéséhez használjon olyan eszközt, mint az Azure PowerShell, egy Azure Resource Manager-sablon vagy a REST API. Frissítse például az alhálózatot a Set-AzVirtualNetworkSubnetConfig Azure PowerShell-parancsmaggal:

# Set values for the variables that are appropriate for your environment.

$resourceGroupName = "MyResourceGroup"
$virtualNetworkName = "MyVirtualNetwork"
$subnetName = "ApimSubnet"
$addressPrefix = "10.0.3.0/24"


$virtualNetwork = Get-AzVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName

Set-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $virtualNetwork -AddressPrefix $addressPrefix

$virtualNetwork | Set-AzVirtualNetwork

Engedélyek

A virtuális hálózat injektálásának konfigurálásához legalább az alábbi szerepköralapú hozzáférés-vezérlési engedélyekkel kell rendelkeznie az alhálózaton vagy magasabb szinten:

Művelet Leírás
Microsoft.Network/virtualNetworks/read A virtuális hálózat definíciójának olvasása
Microsoft.Network/virtualNetworks/alhálózatok/olvasás Virtuális hálózati alhálózat definíciójának olvasása
Microsoft.Network/virtualNetworks/alhálózatok/csatlakozás/művelet Virtuális hálózat csatlakoztatása

API Management injektálása virtuális hálózaton

Ha prémium v2-példányt hoz létre az Azure Portal használatával, igény szerint konfigurálhatja a virtuális hálózat injektálásának beállításait.

  1. Az API Management szolgáltatás létrehozása varázslóban válassza a Hálózatkezelés lapot.
  2. Kapcsolattípus esetén válassza a Virtuális hálózat lehetőséget.
  3. A Típus mezőben válassza a Virtuális hálózat injektálása lehetőséget.
  4. A Virtuális hálózatok konfigurálása területen válassza ki a virtuális hálózatot és az injektálni kívánt delegált alhálózatot.
  5. Az API Management-példány létrehozásához végezze el a varázslót.

DNS-beállítások a privát IP-címhez való hozzáféréshez

Ha egy Premium v2 API Management-példányt injektál egy virtuális hálózatba, saját DNS-t kell kezelnie az API Management bejövő hozzáférésének engedélyezéséhez.

Bár lehetősége van saját egyéni DNS-kiszolgáló használatára, javasoljuk a következőket:

  1. Azure DNS privát zóna konfigurálása.
  2. Csatlakoztassa az Azure DNS privát zónát a virtuális hálózathoz.

Megtudhatja, hogyan állíthat be privát zónát az Azure DNS-ben.

Végpont-hozzáférés az alapértelmezett gazdagépnéven

Amikor létrehoz egy API Management-példányt a Prémium v2 szinten, a következő végponthoz van hozzárendelve egy alapértelmezett gazdagépnév:

  • Átjáró – példa: contoso-apim.azure-api.net

DNS-rekord konfigurálása

Hozzon létre egy A rekordot a DNS-kiszolgálón, hogy hozzáférjen az API Management-példányhoz a virtuális hálózaton belülről. Képezze le a végpontrekordot az API Management-példány privát VIP-címére.

Tesztelési célokból frissítheti a gazdagépfájlt egy virtuális gépen egy olyan alhálózaton, amely ahhoz a virtuális hálózathoz csatlakozik, amelyben az API Management telepítve van. Feltéve, hogy az API Management-példány privát virtuális IP-címe 10.1.0.5, az alábbi példában látható módon megfeleltetheti a gazdagépfájlt. A gazdagépek leképezési fájlja ( %SystemDrive%\drivers\etc\hosts Windows) vagy /etc/hosts (Linux, macOS). Példa:

Belső virtuális IP-cím Átjáró gazdagépneve
10.1.0.5 contoso-apim.portal.azure-api.net

Kapcsolódó tartalom