Menyuntikkan instans Azure API Management di jaringan virtual privat - Tingkat Premium v2
BERLAKU UNTUK: Premium v2
Artikel ini memandu Anda melalui persyaratan untuk menyuntikkan instans Azure API Management Premium v2 (pratinjau) Anda di jaringan virtual.
Catatan
Untuk menyuntikkan instans tingkat Pengembang atau Premium klasik di jaringan virtual, persyaratan dan konfigurasinya berbeda. Pelajari selengkapnya.
Saat instans API Management Premium v2 disuntikkan dalam jaringan virtual:
- Titik akhir gateway API Management dapat diakses melalui jaringan virtual di alamat IP privat.
- API Management dapat membuat permintaan keluar ke backend API yang terisolasi dalam jaringan.
Konfigurasi ini direkomendasikan untuk skenario di mana Anda ingin mengisolasi lalu lintas jaringan ke instans API Management dan API backend.
Jika Anda ingin mengaktifkan akses masuk publik ke instans API Management di tingkat Standard v2 atau Premium v2, tetapi membatasi akses keluar ke backend yang terisolasi jaringan, lihat Mengintegrasikan dengan jaringan virtual untuk koneksi keluar.
Penting
- Injeksi jaringan virtual yang dijelaskan dalam artikel ini hanya tersedia untuk instans API Management di tingkat Premium v2 (pratinjau). Untuk opsi jaringan di berbagai tingkatan, lihat Menggunakan jaringan virtual dengan Azure API Management.
- Saat ini, Anda dapat menyuntikkan instans Premium v2 ke jaringan virtual hanya saat instans dibuat. Anda tidak dapat menyuntikkan instans Premium v2 yang ada ke jaringan virtual. Namun, Anda dapat memperbarui pengaturan subnet untuk injeksi setelah instans dibuat.
- Saat ini, Anda tidak dapat beralih antara injeksi jaringan virtual dan integrasi jaringan virtual untuk instans Premium v2.
Prasyarat
- Instans Azure API Management di tingkat harga Premium v2 .
- Jaringan virtual tempat aplikasi klien dan API backend API Management Anda dihosting. Lihat bagian berikut untuk persyaratan dan rekomendasi untuk jaringan virtual dan subnet yang digunakan untuk instans API Management.
Lokasi jaringan
- Jaringan virtual harus berada di wilayah dan langganan Azure yang sama dengan instans API Management.
Subnet khusus
- Subnet yang digunakan untuk injeksi jaringan virtual hanya dapat digunakan oleh satu instans API Management. Ini tidak dapat dibagikan dengan sumber daya Azure lain.
Ukuran subnet
- Minimum: /27 (32 alamat)
- Disarankan: /24 (256 alamat) - untuk mengakomodasi penskalaan instans API Management
Grup keamanan jaringan
Grup keamanan jaringan harus dikaitkan dengan subnet.
Delegasi subnet
Subnet perlu didelegasikan ke layanan Microsoft.Web/hostingEnvironments .
Catatan
Anda mungkin perlu mendaftarkan Microsoft.Web/hostingEnvironments penyedia sumber daya dalam langganan sehingga Anda dapat mendelegasikan subnet ke layanan.
Untuk informasi selengkapnya tentang mengonfigurasi delegasi subnet, lihat Menambahkan atau menghapus delegasi subnet.
properti addressPrefix
Injeksi jaringan virtual di tingkat Premium v2 mengharuskan addressPrefix properti subnet diatur ke blok CIDR yang valid.
Jika Anda mengonfigurasi subnet menggunakan portal Azure, subnet mengatur addressPrefixes properti (jamak) yang terdiri dari daftar awalan alamat. Namun, API Management memerlukan satu blok CIDR sebagai nilai addressPrefix properti.
Untuk membuat atau memperbarui subnet dengan addressPrefix, gunakan alat seperti Azure PowerShell, templat Azure Resource Manager, atau REST API. Misalnya, perbarui subnet menggunakan cmdlet Set-AzVirtualNetworkSubnetConfig Azure PowerShell:
# Set values for the variables that are appropriate for your environment.
$resourceGroupName = "MyResourceGroup"
$virtualNetworkName = "MyVirtualNetwork"
$subnetName = "ApimSubnet"
$addressPrefix = "10.0.3.0/24"
$virtualNetwork = Get-AzVirtualNetwork -Name $virtualNetworkName -ResourceGroupName $resourceGroupName
Set-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $virtualNetwork -AddressPrefix $addressPrefix
$virtualNetwork | Set-AzVirtualNetwork
Izin
Anda harus memiliki setidaknya izin kontrol akses berbasis peran berikut pada subnet atau pada tingkat yang lebih tinggi untuk mengonfigurasi injeksi jaringan virtual:
| Tindakan | Deskripsi |
|---|---|
| Microsoft.Network/virtualNetworks/read | Membaca definisi jaringan virtual |
| Microsoft.Network/virtualNetworks/subnets/baca | Membaca definisi subnet jaringan virtual |
| Microsoft.Network/virtualNetworks/subnets/gabung/tindakan | Bergabung dengan jaringan virtual |
Menyuntikkan API Management dalam jaringan virtual
Saat Anda membuat instans Premium v2 menggunakan portal Azure, Anda dapat secara opsional mengonfigurasi pengaturan untuk injeksi jaringan virtual.
- Di wizard Buat layanan API Management, pilih tab Jaringan.
- Di Jenis konektivitas, pilih Jaringan virtual.
- Di Jenis, pilih Injeksi Virtual Network.
- Di Konfigurasikan jaringan virtual, pilih jaringan virtual dan subnet yang didelegasikan yang ingin Anda suntikkan.
- Selesaikan wizard untuk membuat instans API Management.
Pengaturan DNS untuk akses ke alamat IP privat
Saat instans API Management Premium v2 disuntikkan dalam jaringan virtual, Anda harus mengelola DNS Anda sendiri untuk mengaktifkan akses masuk ke API Management.
Meskipun Anda memiliki opsi untuk menggunakan server DNS kustom Anda sendiri, kami sarankan:
- Konfigurasikan zona pribadi DNS Azure.
- Tautkan zona privat Azure DNS ke jaringan virtual.
Pelajari cara menyiapkan zona privat di Azure DNS.
Akses titik akhir pada nama host default
Saat Anda membuat instans API Management di tingkat Premium v2, titik akhir berikut diberi nama host default:
-
Gateway - contoh:
contoso-apim.azure-api.net
Mengonfigurasi catatan DNS
Buat catatan A di server DNS Anda untuk mengakses instans API Management dari dalam jaringan virtual Anda. Petakan catatan titik akhir ke alamat VIP privat instans API Management Anda.
Untuk tujuan pengujian, Anda mungkin memperbarui file host pada komputer virtual di subnet yang terhubung ke jaringan virtual tempat API Management disebarkan. Dengan asumsi alamat IP virtual privat untuk instans API Management Anda adalah 10.1.0.5, Anda dapat memetakan file host seperti yang ditunjukkan dalam contoh berikut. File pemetaan host berada di %SystemDrive%\drivers\etc\hosts (Windows) atau /etc/hosts (Linux, macOS). Contohnya:
| Alamat IP virtual internal | Nama host gateway |
|---|---|
| 10.1.0.5 | contoso-apim.portal.azure-api.net |