Bir çalışma alanı ağ geçidi kaynağını sanal ağa tümleştirmek veya eklemek için ağ kaynağı gereksinimleri

ŞUNLAR IÇIN GEÇERLIDIR: Temel v2 | Standart v2 | Premium | Premium v2

Ağ yalıtımı, API Management'taki çalışma alanı ağ geçidi kaynağının isteğe bağlı bir özelliğidir. Bu makale, ağ geçidinizi bir Azure sanal ağına tümleştirir veya eklerken ağ kaynağı gereksinimleri sağlar. Bazı gereksinimler istenen gelen ve giden erişim moduna bağlı olarak farklılık gösterir. Aşağıdaki modlar desteklenir:

  • Sanal ağ entegrasyonu: genel giriş erişimi, özel çıkış erişimi
  • Sanal ağ ekleme: özel gelen erişim, özel giden erişim

API Management'taki ağ seçenekleri hakkında arka plan için bkz. Azure API Management için gelen veya giden trafiğin güvenliğini sağlamak için sanal ağ kullanma.

Not

  • Çalışma alanı ağ geçidinin ağ yapılandırması, API Management örneğinin ağ yapılandırmasından bağımsızdır.
  • Şu anda, bir çalışma alanı ağ geçidi yalnızca ağ geçidi oluşturulduğunda sanal ağda yapılandırılabilir. Ağ geçidinin ağ yapılandırmasını veya ayarlarını daha sonra değiştiremezsiniz.

Ağ konumu

Sanal ağ, API Management örneğiyle aynı bölgede ve Azure aboneliğinde olmalıdır.

Ayrılmış alt ağ

  • Sanal ağ tümleştirmesi veya ekleme için kullanılan alt ağ yalnızca tek bir çalışma alanı ağ geçidi tarafından kullanılabilir. Başka bir Azure kaynağıyla paylaşılamaz.

Alt ağ boyutu

  • En az: /27 (32 adres)
  • Maksimum: /24 (256 adres) - önerilir

Alt ağ temsilcisi

İstenen gelen ve giden erişimi etkinleştirmek için alt ağın aşağıdaki şekilde yetkilendirilmesi gerekir.

Alt ağ yetkilendirmesini yapılandırma hakkında bilgi için bkz. Alt ağ yetkilendirmesi ekleme veya kaldırma.

Sanal ağ tümleştirmesi için alt ağın Microsoft.Web/serverFarms hizmetine temsilci olarak atanması gerekir.

Portalda Microsoft.Web/serverFarms'a alt ağ temsilcisi seçmeyi gösteren ekran görüntüsü.

Not

Alt Microsoft.Web ağı hizmete devredebilmeniz için kaynak sağlayıcısının aboneliğe kayıtlı olması gerekir. Portalı kullanarak bir kaynak sağlayıcısını kaydetme adımları için bkz. Kaynak sağlayıcısını kaydetme.

Alt ağ temsilcisini yapılandırma hakkında daha fazla bilgi için bkz. Alt ağ temsilcisi ekleme veya kaldırma.

Ağ güvenlik grubu

Alt ağ ile bir ağ güvenlik grubu (NSG) ilişkilendirilmelidir. Ağ güvenlik grubu ayarlamak için bkz. Ağ güvenlik grubu oluşturma.

  • Aşağıdaki tabloda yer alan kuralları, API Management bağımlılıkları olan Azure Depolama ve Azure Key Vault'a giden erişime izin verecek şekilde yapılandırın.
  • Ağ geçidinin API arka uçlarınıza erişmesi için ihtiyaç duyduğunuz diğer çıkış kurallarını yapılandırın.
  • Kuruluşunuzun ağ erişim gereksinimlerini karşılamak için diğer NSG kurallarını yapılandırın. Örneğin NSG kuralları, İnternet'e giden trafiği engellemek ve yalnızca sanal ağınızdaki kaynaklara erişime izin vermek için de kullanılabilir.
Yön Kaynak Kaynak bağlantı noktası aralıkları Hedef Hedef bağlantı noktası aralıkları Protokol Eylem Amaç
Dışa Dönük Sanal Ağ * Depolama 443 TCP İzin Ver Azure Depolama'ya bağımlılık
Dışa Dönük Sanal Ağ * AzureKeyVault 443 TCP İzin Ver Azure Key Vault bağımlılığı

Önemli

  • Özel giden erişim için bir çalışma alanı ağ geçidini sanal ağ ile tümleştirdiğinizde gelen NSG kuralları uygulanmaz. Gelen NSG kurallarını zorunlu kılmak için tümleştirme yerine sanal ağ enjeksiyonunu kullanın.
  • Bu, hem dış hem de iç sanal ağ ekleme modlarında gelen NSG kurallarının uygulandığı klasik Premium katmanındaki ağdan farklıdır. Daha fazla bilgi edinin

Sanal ağ ekleme için DNS ayarları

Sanal ağ ekleme için, çalışma alanı ağ geçidinize gelen erişimi etkinleştirmek için kendi DNS'nizi yönetmeniz gerekir.

Özel veya özel DNS sunucusu kullanma seçeneğiniz olsa da şunları öneririz:

  1. Azure DNS özel bölgesini yapılandırma.
  2. Azure DNS özel bölgesini sanal ağa bağlayın.

Azure DNS'de özel bölge ayarlamayı öğrenin.

Not

Ekleme için kullanılan sanal ağda bir özel veya özel DNS çözümleyicisi yapılandırıyorsanız, Azure Key Vault uç noktaları*.vault.azure.net () için ad çözümlemesini sağlamanız gerekir. Etkinleştirmek için ek yapılandırma gerektirmeyen bir Azure özel DNS bölgesi yapılandırmanızı öneririz.

Varsayılan ana makine adı üzerinden erişim

API Management çalışma alanı ağ geçidi oluşturduğunuzda, bu ağ geçidine varsayılan bir konak adı atanır. Ana bilgisayar adı, Azure portalında çalışma alanı ağ geçidinin Genel Bakış sayfasında özel sanal IP adresiyle birlikte görünür. Varsayılan ana bilgisayar adı <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net biçimindedir. Örnek: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.

Not

Çalışma alanı ağ geçidi, özel VIP adresine değil, yalnızca uç noktasında yapılandırılmış ana bilgisayar adına yönelik isteklere yanıt verir.

DNS kaydını yapılandırma

Sanal ağınızın içinden çalışma alanına erişmek için DNS sunucunuzda bir A kaydı oluşturun. Uç nokta kaydını çalışma alanı ağ geçidinizin özel VIP adresine eşleyin.

Test amacıyla, API Management'ın dağıtıldığı sanal ağa bağlı bir alt ağdaki bir sanal makinede konak dosyasını güncelleştirebilirsiniz. Çalışma alanı ağ geçidinizin özel sanal IP adresi 10.1.0.5 ise, hosts dosyasını aşağıdaki örnekte gösterildiği gibi düzenleyebilirsiniz. Hosts dosyası, Windows’ta %SystemDrive%\drivers\etc\hosts, Linux ve macOS’te ise /etc/hosts konumundadır.

İç sanal IP adresi Ağ geçidi ana bilgisayar adı
10.1.0.5 teamworkspace.gateway.westus.azure-api.net