Připojení k virtuální síti pomocí Azure API Management

Azure API Management je možné nasadit ve virtuální síti Azure pro přístup k back-end službám v rámci sítě. Informace o možnostech, požadavcích a aspektech připojení k virtuální síti najdete v tématu Použití virtuální sítě s Azure API Management.

Tento článek vysvětluje, jak nastavit připojení virtuální sítě pro instanci API Management v externím režimu, kde jsou portál pro vývojáře, brána rozhraní API a další koncové body API Management přístupné z veřejného internetu. Informace o konfiguracích specifických pro interní režim, kde jsou koncové body přístupné pouze v rámci virtuální sítě, najdete v tématu Připojení k interní virtuální síti pomocí Azure API Management.

Dostupnost

Požadavky

Některé požadavky se liší v závislosti na verzi ( nebo ) výpočetní stv2 stv1 platformy hostující vaši API Management instanci.

Povolení připojení k virtuální síti

Povolení připojení k virtuální síti pomocí Azure Portal ( stv2 výpočetní platforma)

1. Přejděte na stránku Azure Portal a vyhledejte svou instanci služby API Management. Vyhledejte a vyberte API Management služby.

2. Zvolte svou API Management instanci.

3. Vyberte Virtuální síť.

4. Vyberte typ Externí přístup.

5. V seznamu umístění (oblastí), kde je API Management zřízená služba:

   1. Zvolte Umístění.
   2. Vyberte Virtuální síť, Podsíť a IP adresa.

   • Seznam virtuálních sítí se naplní Resource Manager virtuálními sítěmi dostupnými ve vašich předplatných Azure, které jsou nastavené v oblasti, kterou konfigurujete.

     

6. Vyberte Použít. Stránka Virtuální síť vaší instance API Management se aktualizuje novými volbami virtuální sítě a podsítě.

7. Pokračujte v konfiguraci nastavení virtuální sítě pro zbývající umístění vaší API Management instance.

8. V horním navigačním panelu vyberte Uložit a pak vyberte Použít konfiguraci sítě.

   Aktualizace instance služby může trvat 1 API Management 5 až 45 minut.

Povolení připojení pomocí Resource Manager šablony

Pomocí následujících šablon můžete nasadit instanci API Management a připojit se k virtuální síti. Šablony se liší v závislosti na verzi ( stv2 nebo stv1 ) výpočetní platformy hostující vaši API Management instanci.

Připojení k webové službě hostované ve virtuální síti

Jakmile připojíte svou službu API Management k virtuální síti, můžete v ní přistupovat k back-end službám stejně jako veřejné služby. Při vytváření nebo úpravách rozhraní API zadejte do pole Adresa URL webové služby místní IP adresu nebo název hostitele (pokud je pro virtuální síť nakonfigurovaný server DNS).

Běžné problémy s konfigurací sítě

Další nastavení konfigurace sítě najdete v následujících částech.

Tato nastavení řeší běžné problémy s chybou konfigurace, ke kterým může dojít při API Management služby do virtuální sítě.

Vlastní nastavení serveru DNS

V režimu externí virtuální sítě azure ve výchozím nastavení spravuje DNS. Volitelně můžete nakonfigurovat vlastní server DNS. Služba API Management závisí na několika službách Azure. Pokud API Management ve virtuální síti s vlastním serverem DNS, musí přeložit názvy hostitelů těchto služeb Azure.

• Pokyny k vlastnímu nastavení DNS, včetně předávání názvů hostitelů poskytovaných Azure, najdete v tématu Překlad názvů pro prostředky ve virtuálních sítích Azure.
• Referenční informace najdete v požadavcích na požadované porty a síť.

Požadované porty

Příchozí a odchozí provoz do podsítě, ve které se API Management, můžete řídit pomocí pravidel skupiny zabezpečení sítě. Pokud jsou některé porty nedostupné, API Management nemusí fungovat správně a mohou být nedostupné.

Pokud je API Management služba hostovaná ve virtuální síti, používají se porty v následující tabulce. Některé požadavky se liší v závislosti na verzi ( nebo ) výpočetní stv2 stv1 platformy hostující vaši API Management instanci.

Funkce protokolu TLS

K povolení sestavování a ověřování řetězu certifikátů TLS/SSL potřebuje API Management odchozí síťové připojení k ocsp.msocsp.com mscrl.microsoft.com , a crl.microsoft.com . Tato závislost se nevyžaduje, pokud jakýkoli certifikát, který nahrajete do API Management obsahuje úplný řetězec s kořenem certifikační autority.

Přístup k DNS

Pro komunikaci se servery DNS se vyžaduje odchozí port 53 přístup na . Pokud vlastní server DNS existuje na druhém konci brány VPN, musí být server DNS dostupný z podsítě, která hostuje API Management.

Metriky a monitorování stavu

Odchozí síťové připojení ke koncovým bodům monitorování Azure, které se překládá v rámci následujících domén, se reprezentuje ve značce služby AzureMonitor pro použití se skupinami zabezpečení sítě.

Místní značky služeb

NSG pravidla umožňující odchozí připojení k Storage, SQL a značky služeb Event Hubs mohou používat regionální verze těchto značek odpovídající oblasti, která obsahuje instanci API Management (například Storage. WestUS pro API Management instanci v Západní USA oblasti). V nasazeních ve více oblastech by NSG v každé oblasti měl umožňovat provoz do značek služeb pro tuto oblast a primární oblast.

Předávání SMTP

Povolí odchozí připojení k síti pro přenos SMTP, který se vyřeší v rámci hostitele,,, smtpi-co1.msn.com smtpi-ch1.msn.com smtpi-db3.msn.com smtpi-sin.msn.com a. ies.global.microsoft.com

Portál pro vývojáře CAPTCHA

Povolí odchozí připojení k síti pro CAPTCHA portálu pro vývojáře, které se vyřeší v hostitelích client.hip.live.com a partner.hip.live.com .

Diagnostika Azure Portal

Při použití rozšíření API Management v rámci virtuální sítě je potřeba odchozí přístup k dc.services.visualstudio.com zapnutému port 443 pro povolení toku diagnostických protokolů od Azure Portal. Tento přístup pomáhá při řešení problémů, se kterými se můžete setkat při používání rozšíření.

Nástroj pro vyrovnávání zatížení Azure

Pro skladovou položku nemusíte povolit příchozí požadavky ze značky služby AZURE_LOAD_BALANCER Developer , protože za ní je nasazená jenom jedna výpočetní jednotka. Ale příchozí z nich AZURE_LOAD_BALANCER se při škálování na vyšší skladovou položku Nepostradatelně mění, například při Premium selhání sondy stavu z nástroje pro vyrovnávání zatížení, pak blokuje veškerý příchozí přístup k řídicí rovině a rovině dat.

Application Insights

pokud jste povolili službu Azure Application Insights monitoring v API Management, umožněte odchozí připojení ke koncovému bodu telemetrie z virtuální sítě.

Služba správy klíčů koncový bod

když přidáváte virtuální počítače s Windows do virtuální sítě, povolte odchozí připojení na portu 1688 ke koncovému bodu Služba správy klíčů v cloudu. tato konfigurace směruje Windows provoz virtuálního počítače do serveru služby Azure Key Management Services (Služba správy klíčů), aby bylo možné dokončit Windows aktivaci.

Vynucení tunelového přenosu do místní brány firewall pomocí ExpressRoute nebo síťového virtuálního zařízení

Obvykle konfigurujete a definujete vlastní výchozí trasu (0.0.0.0/0), která vynucuje veškerý provoz z API Management delegované podsítě k toku přes místní bránu firewall nebo síťové virtuální zařízení. Tento tok přenosů přeruší připojení k Azure API Management, protože odchozí přenosy jsou buď blokované místně, nebo překlad adres (NAT) na nerozpoznatelnou sadu adres, které už nefungují s různými koncovými body Azure. Tento problém můžete vyřešit pomocí několika metod:

• Povolte koncové body služby v podsíti, ve které je nainstalovaná služba API Management pro:

  • Azure SQL
  • Azure Storage
  • Azure Event Hub
  • Azure Key Vault (platforma v2)

  povolením koncových bodů přímo z API Management podsítě na tyto služby můžete použít Microsoft Azure páteřní síť, která poskytuje optimální směrování provozu služby. Pokud používáte koncové body služby s vynuceným tunelováním API Management, výše uvedený provoz služeb Azure nemá vynucené tunelování. Druhý provoz závislostí služby API Management má vynucené tunelování a nesmí dojít k jeho ztrátě. Pokud dojde ke ztrátě, služba API Management nefunguje správně.

• Veškerý provoz řídicí roviny z Internetu do koncového bodu správy služby API Management je směrován přes konkrétní sadu příchozích IP adres hostovaných API Management. Když je přenos vynucen tunely, nebudou odpovědi symetricky namapovány na tyto příchozí IP adresy příchozích dat. K překonání omezení nastavte cíl následujících uživatelsky definovaných tras (udr) na "Internet" a nařízení provozu zpět do Azure. Najděte sadu příchozích IP adres pro provoz řídicí plochy, který je popsán v části IP adresy řídicí roviny.

• Pro jiné vynucené závislosti API Management služby tunelového propojení, vyřešte název hostitele a přihlaste se ke koncovému bodu. Tady jsou některé z nich:

  • Metriky a sledování stavu
  • Diagnostika Azure Portal
  • Předávání SMTP
  • Portál pro vývojáře CAPTCHA
  • server Azure Služba správy klíčů

Směrování

• Veřejná IP adresa s vyrovnáváním zatížení (VIP) je vyhrazena pro poskytování přístupu ke všem koncovým bodům služby a prostředkům mimo virtuální síť.
  • Veřejné IP adresy vyrovnávání zatížení najdete v okně Přehled/základní informace v Azure Portal.
• Pro přístup k prostředkům v rámci virtuální sítě se používá IP adresa z rozsahu IP adres podsítě (DIP).

IP adresy řídicí roviny

Následující IP adresy jsou rozdělené prostředím Azure. Při povolování příchozích požadavků musí být povolená IP adresa označená globální , společně s IP adresou specifickou pro oblast. V některých případech jsou uvedeny dvě IP adresy. Povolte obě IP adresy.

Řešení potíží

• Neúspěšné počáteční nasazení API Management služby do podsítě

  • Nasaďte virtuální počítač do stejné podsítě.
  • Připojení k virtuálnímu počítači a ověřte připojení k jednomu z následujících prostředků ve vašem předplatném Azure:
    • Azure Storage blob
    • Databáze Azure SQL
    • Azure Storage tabulka
    • Azure Key Vault (pro instanci API Management hostovanou na stv2 platformě)

  Důležité

  Po ověření připojení odeberte všechny prostředky v podsíti před nasazením API Management do podsítě (vyžaduje se, API Management je hostitelem stv1 platformy).

• Ověření stavu síťového připojení

  • Po nasazení API Management do podsítě pomocí portálu zkontrolujte připojení vaší instance k závislostem, jako je Azure Storage.
  • Na portálu v nabídce vlevo v části Nasazení a infrastruktura vyberte Stav síťového připojení.

  

  Filtrovat	Popis
  Požadováno	Výběrem možnosti zkontrolujte požadované možnosti připojení služeb Azure pro API Management. Chyba značí, že instance nemůže provádět základní operace pro správu rozhraní API.
  Volitelné	Výběrem možnosti zkontrolujte možnosti připojení k volitelným službám. Chyba značí pouze to, že konkrétní funkce nebudou fungovat (například SMTP). Selhání může vést ke snížení výkonu při používání a monitorování API Management instance a poskytnutí potvrzené smlouvy SLA.

  Pokud chcete vyřešit problémy s připojením, zkontrolujte nastavení konfigurace sítě a opravte požadovaná nastavení sítě.

• Přírůstkové aktualizace
  Při provádění změn v síti si přečtěte článek NetworkStatus API a ověřte, jestli API Management služba neztratil přístup k důležitým prostředkům. Stav připojení by se měl aktualizovat každých 15 minut.

• Odkazy na navigaci prostředků
  Instance SLUŽBY APIM hostovaná na výpočetní stv1 platforměsi při nasazení do Resource Manager virtuální sítě vyhrazuje podsíť vytvořením navigačního odkazu prostředku. Pokud podsíť již obsahuje prostředek od jiného poskytovatele, nasazení selže. Podobně když odstraníte službu API Management nebo ji přesunete do jiné podsítě, odkaz na navigaci prostředků se odebere.

Další kroky

Přečtěte si další informace:

• Připojení virtuální sítě k back-endu pomocí VPN Gateway
• Připojení virtuální sítě z různých modelů nasazení
• Ladění rozhraní API s využitím trasování požadavků
• Virtual Network nejčastější dotazy
• Značky služeb