Azure API Management で仮想ネットワークを使用する方法How to use Azure API Management with virtual networks

Azure Virtual Network (VNET) を使用すると、任意の Azure リソースをインターネット以外のルーティング可能なネットワークに配置し、アクセスを制御できます。Azure Virtual Networks (VNETs) allow you to place any of your Azure resources in a non-internet routable network that you control access to. これらのネットワークは、さまざまな VPN テクノロジを使用して、オンプレミスのネットワークに接続できます。These networks can then be connected to your on-premises networks using various VPN technologies. Azure Virtual Network の詳細については、まずAzure Virtual Network の概要に関する記事を参照してください。To learn more about Azure Virtual Networks start with the information here: Azure Virtual Network Overview.

Azure API Management は、仮想ネットワーク (VNET) の内部でデプロイできるため、ネットワーク内でバックエンド サービスにアクセスできます。Azure API Management can be deployed inside the virtual network (VNET), so it can access backend services within the network. 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。The developer portal and API gateway, can be configured to be accessible either from the Internet or only within the virtual network.


API インポート ドキュメントの URL は、パブリックにアクセス可能なインターネット アドレスでホストされている必要があります。The API import document URL must be hosted on a publicly accessible internet address.


この記事は、新しい Azure PowerShell Az モジュールを使用するために更新されました。This article has been updated to use the new Azure PowerShell Az module. AzureRM モジュールはまだ使用でき、少なくとも 2020 年 12 月までは引き続きバグ修正が行われます。You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Az モジュールと AzureRM の互換性の詳細については、「Introducing the new Azure PowerShell Az module (新しい Azure PowerShell Az モジュールの概要)」を参照してください。To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Az モジュールのインストール手順については、Azure PowerShell のインストールを参照してください。For Az module installation instructions, see Install Azure PowerShell.



この機能は、API Management の Premium レベルと Developer レベルで使用できます。This feature is available in the Premium and Developer tiers of API Management.


この記事で説明されている手順を実行するには、以下が必要です。To perform the steps described in this article, you must have:

VNET 接続の有効化 Enable VNET connection

Azure ポータルを使用して VNET 接続を有効にするEnable VNET connectivity using the Azure portal

  1. Azure portal に移動し、お使いの API Management インスタンスを検索します。Go to the Azure portal to find your API management instance. API Management サービスを検索して選択します。Search for and select API Management services.

  2. お使いの API Management インスタンスを選択します。Choose your API Management instance.

  3. [仮想ネットワーク] を選択します。Select Virtual network.

  4. 仮想ネットワーク内にデプロイされる API Management インスタンスを構成します。Configure the API Management instance to be deployed inside a Virtual network.

    API Management の [仮想ネットワーク] メニュー

  5. 目的のアクセスの種類を選択します。Select the desired access type:

    • Off:これは既定値です。Off: This is the default. API Management は仮想ネットワークにデプロイされません。API Management is not deployed into a virtual network.

    • 外部:API Management のゲートウェイと開発者ポータルには、パブリック インターネットから外部ロード バランサーを使用してアクセスできます。External: The API Management gateway and developer portal are accessible from the public internet via an external load balancer. ゲートウェイは、仮想ネットワーク内のリソースにアクセスできます。The gateway can access resources within the virtual network.

      パブリック ピアリング

    • 内部:API Management のゲートウェイと開発者ポータルには、仮想ネットワークから内部ロード バランサーを使用してアクセスできます。Internal: The API Management gateway and developer portal are accessible only from within the virtual network via an internal load balancer. ゲートウェイは、仮想ネットワーク内のリソースにアクセスできます。The gateway can access resources within the virtual network.

      プライベート ピアリング

  6. [外部] または [内部] を選択した場合、API Management サービスがプロビジョニングされているすべてのリージョンの一覧が表示されます。If you selected External or Internal, you will see a list of all regions where your API Management service is provisioned. [場所] を選択し、その [仮想ネットワーク][サブネット] を選択します。Choose a Location, and then pick its Virtual network and Subnet. 仮想ネットワークの一覧には、構成しているリージョンで設定された Azure サブスクリプションで使用できる従来型および Resource Manager の仮想ネットワークが含まれています。The virtual network list is populated with both classic and Resource Manager virtual networks available in your Azure subscriptions that are set up in the region you are configuring.


    Azure API Management インスタンスを Resource Manager VNET にデプロイする場合、サービスは Azure API Management インスタンス以外のリソースを含まない専用サブネットにある必要があります。When deploying an Azure API Management instance to a Resource Manager VNET, the service must be in a dedicated subnet that contains no other resources except for Azure API Management instances. 他のリソースが含まれる Resource Manager VNET サブネットに Azure API Management インスタンスをデプロイしようとすると、そのデプロイは失敗します。If an attempt is made to deploy an Azure API Management instance to a Resource Manager VNET subnet that contains other resources, the deployment will fail.

    次に、 [適用] を選択します。Then select Apply. API Management インスタンスの [仮想ネットワーク] ページが、新しい仮想ネットワークとサブネットの選択によって更新されます。The Virtual network page of your API Management instance is updated with your new virtual network and subnet choices.

    VPN の選択

  7. 上部のナビゲーションバーで、 [保存] を選択し、 [ネットワーク構成の適用] を選択します。In the top navigation bar, select Save, and then select Apply network configuration.


API Management インスタンスの VIP アドレスは VNET を有効または無効にするたびに変更されます。The VIP address of the API Management instance will change each time VNET is enabled or disabled. また、VIP アドレスは、API Management が外部から内部に、またはその逆に移動された場合にも変更されます。The VIP address will also change when API Management is moved from External to Internal, or vice-versa.


VNET から API Management を削除するか、VNET にデプロイされる API Management を変更した場合、それまで使用されていた VNET が最大 6 時間ロックされる可能性があります。If you remove API Management from a VNET or change the one it is deployed in, the previously used VNET can remain locked for up to six hours. この期間中は、VNET の削除も、新しいリソースのデプロイも実行できません。During this period it will not be possible to delete the VNET or deploy a new resource to it. この動作は、api バージョン 2018-01-01 以前を使用しているクライアントに当てはまります。This behavior is true for clients using api-version 2018-01-01 and earlier. api バージョン 2019-01-01 以降を使用しているクライアントは、関連付けられている API Management サービスが削除されるとすぐに VNET が解放されます。Clients using api-version 2019-01-01 and later, the VNET is freed up as soon as the associated API Management service is deleted.

PowerShell コマンドレットを使用して VNET 接続を有効にする Enable VNET connection using PowerShell cmdlets

PowerShell コマンドレットを使用して VNET 接続を有効にすることもできます。You can also enable VNET connectivity using the PowerShell cmdlets.

  • VNET 内に API Management サービスを作成する:コマンドレット New-AzApiManagement を使用して、VNET 内に Azure API Management サービスを作成します。Create an API Management service inside a VNET: Use the cmdlet New-AzApiManagement to create an Azure API Management service inside a VNET.

  • VNET 内に既存の API Management サービスをデプロイする:コマンドレット Update-AzApiManagementRegion を使用して、既存の Azure API Management サービスを仮想ネットワーク内に移動します。Deploy an existing API Management service inside a VNET: Use the cmdlet Update-AzApiManagementRegion to move an existing Azure API Management service inside a Virtual Network.

仮想ネットワーク内でホストされる Web サービスに接続する Connect to a web service hosted within a virtual Network

API Management サービスが VNET に接続された後で VNET 内のバックエンド サービスにアクセスする方法は、パブリック サービスにアクセスする方法と同じです。After your API Management service is connected to the VNET, accessing backend services within it is no different than accessing public services. 単に、新しい API を作成するときや既存の API を編集するときに Web サービスのローカル IP アドレスまたはホスト名 (VNET に対して DNS サーバーが構成されている場合) を [Web サービスの URL] ボックスに入力するだけです。Just type in the local IP address or the host name (if a DNS server is configured for the VNET) of your web service into the Web service URL field when creating a new API or editing an existing one.

VPN からの API の追加

ネットワーク構成に関する一般的な問題 Common Network Configuration Issues

API Management サービスを Virtual Network にデプロイするときに発生する可能性のある一般的な誤った構成の一覧を以下に示します。Following is a list of common misconfiguration issues that can occur while deploying API Management service into a Virtual Network.

  • カスタム DNS サーバーのセットアップ:API Management サービスは、複数の Azure サービスに依存します。Custom DNS server setup: The API Management service depends on several Azure services. カスタム DNS サーバーを使用して VNET で API Management をホストする場合、その DNS サーバーはこれらの Azure サービスのホスト名を解決する必要があります。When API Management is hosted in a VNET with a custom DNS server, it needs to resolve the hostnames of those Azure services. カスタム DNS のセットアップについては、 こちらの ガイダンスに従ってください。Please follow this guidance on custom DNS setup. 下にあるポートの表とその他のネットワーク要件を参照してください。See the ports table below and other network requirements for reference.


VNET でカスタム DNS サーバーを使用する予定の場合は、API Management サービスをデプロイするにサーバーをセットアップします。If you plan to use a Custom DNS Server(s) for the VNET, you should set it up before deploying an API Management service into it. それ以外の場合、ネットワーク構成の処理の適用を実行して DNS サーバーを変更するたびに API Management サービスを更新する必要があります。Otherwise you need to update the API Management service each time you change the DNS Server(s) by running the Apply Network Configuration Operation

  • API Management に必要なポート:API Management がデプロイされるサブネットへの受信トラフィックと送信トラフィックはネットワーク セキュリティ グループを使用して制御できます。Ports required for API Management: Inbound and Outbound traffic into the Subnet in which API Management is deployed can be controlled using Network Security Group. これらのポートのいずれかが利用できない場合、API Management は正しく動作しない可能性があり、アクセス不能になる場合があります。If any of these ports are unavailable, API Management may not operate properly and may become inaccessible. VNET で API Management を使用した場合の不正な構成に関するその他の一般的な問題として、これらの 1 つまたは複数のポートがブロックされていることが挙げられます。Having one or more of these ports blocked is another common misconfiguration issue when using API Management with a VNET.

API Management サービス インスタンスが VNET でホストされている場合は、次の表のポートが使用されます。 When an API Management service instance is hosted in a VNET, the ports in the following table are used.

ソース / ターゲット ポートSource / Destination Port(s) DirectionDirection トランスポート プロトコルTransport protocol サービス タグService Tags
ソース / ターゲットSource / Destination
目的 (*)Purpose (*) 仮想ネットワークの種類Virtual Network type
* / [80]、443* / [80], 443 受信Inbound TCPTCP INTERNET / VIRTUAL_NETWORKINTERNET / VIRTUAL_NETWORK API Management へのクライアント通信Client communication to API Management 外部External
* / 3443* / 3443 受信Inbound TCPTCP ApiManagement / VIRTUAL_NETWORKApiManagement / VIRTUAL_NETWORK Azure Portal と PowerShell 用の管理エンドポイントManagement endpoint for Azure portal and PowerShell 外部 / 内部External & Internal
* / 443* / 443 送信Outbound TCPTCP VIRTUAL_NETWORK / StorageVIRTUAL_NETWORK / Storage Azure Storage への依存関係Dependency on Azure Storage 外部 / 内部External & Internal
* / 443* / 443 送信Outbound TCPTCP VIRTUAL_NETWORK / AzureActiveDirectoryVIRTUAL_NETWORK / AzureActiveDirectory Azure Active Directory (該当する場合)Azure Active Directory (where applicable) 外部 / 内部External & Internal
* / 1433* / 1433 送信Outbound TCPTCP VIRTUAL_NETWORK / SQLVIRTUAL_NETWORK / SQL Azure SQL エンドポイントへのアクセスAccess to Azure SQL endpoints 外部 / 内部External & Internal
* / 5671, 5672, 443* / 5671, 5672, 443 送信Outbound TCPTCP VIRTUAL_NETWORK / EventHubVIRTUAL_NETWORK / EventHub Event Hub へのログ ポリシーおよび監視エージェントの依存関係Dependency for Log to Event Hub policy and monitoring agent 外部 / 内部External & Internal
* / 445* / 445 送信Outbound TCPTCP VIRTUAL_NETWORK / StorageVIRTUAL_NETWORK / Storage Git のための Azure ファイル共有への依存関係Dependency on Azure File Share for GIT 外部 / 内部External & Internal
* / 443、12000* / 443, 12000 送信Outbound TCPTCP VIRTUAL_NETWORK / AzureCloudVIRTUAL_NETWORK / AzureCloud 正常性と監視の拡張機能Health and Monitoring Extension 外部 / 内部External & Internal
* / 1886、443* / 1886, 443 送信Outbound TCPTCP VIRTUAL_NETWORK / AzureMonitorVIRTUAL_NETWORK / AzureMonitor 診断ログとメトリックResource Health、および Application Insights を公開するPublish Diagnostics Logs and Metrics, Resource Health and Application Insights 外部 / 内部External & Internal
* / 25、587、25028* / 25, 587, 25028 送信Outbound TCPTCP VIRTUAL_NETWORK / INTERNETVIRTUAL_NETWORK / INTERNET 電子メールを送信するために SMTP リレーに接続するConnect to SMTP Relay for sending e-mails 外部 / 内部External & Internal
* / 6381 - 6383* / 6381 - 6383 受信および送信Inbound & Outbound TCPTCP VIRTUAL_NETWORK / VIRTUAL_NETWORKVIRTUAL_NETWORK / VIRTUAL_NETWORK マシン間のキャッシュ ポリシーのために Redis サービスにアクセスするAccess Redis Service for Cache policies between machines 外部 / 内部External & Internal
* / 4290* / 4290 受信および送信Inbound & Outbound UDPUDP VIRTUAL_NETWORK / VIRTUAL_NETWORKVIRTUAL_NETWORK / VIRTUAL_NETWORK マシン間のレート制限ポリシーのために同期カウンターにアクセスするSync Counters for Rate Limit policies between machines 外部 / 内部External & Internal
* / ** / * 受信Inbound TCPTCP AZURE_LOAD_BALANCER / VIRTUAL_NETWORKAZURE_LOAD_BALANCER / VIRTUAL_NETWORK Azure インフラストラクチャの Load BalancerAzure Infrastructure Load Balancer 外部 / 内部External & Internal


"目的" が太字になっているポートは、API Management サービスの正常なデプロイを必要とします。The Ports for which the Purpose is bold are required for API Management service to be deployed successfully. ただし、その他のポートをブロックすると、実行中のサービスを使用し、そのサービスを監視してコミットされた SLA を提供する能力が低下します。Blocking the other ports however will cause degradation in the ability to use and monitor the running service and provide the committed SLA.

  • TLS 機能:TLS/SSL 証明書チェーンの構築と検証を有効にするには、API Management サービスに、、、および への送信ネットワーク接続が必要です。TLS functionality: To enable TLS/SSL certificate chain building and validation the API Management service needs Outbound network connectivity to, and API Management にアップロードする任意の証明書に CA ルートへの完全なチェーンが含まれている場合、この依存関係は必要ありません。This dependency is not required, if any certificate you upload to API Management contain the full chain to the CA root.

  • DNS アクセス:DNS サーバーとの通信には、ポート 53 での発信アクセスが必要です。DNS Access: Outbound access on port 53 is required for communication with DNS servers. カスタム DNS サーバーが VPN ゲートウェイの相手側にある場合、DNS サーバーは API Management をホストしているサブネットから到達できる必要があります。If a custom DNS server exists on the other end of a VPN gateway, the DNS server must be reachable from the subnet hosting API Management.

  • メトリックと正常性の監視:次のドメインで解決される、Azure Monitoring エンドポイントへの発信ネットワーク接続です。Metrics and Health Monitoring: Outbound network connectivity to Azure Monitoring endpoints, which resolve under the following domains. 表に示すように、これらの URL は、ネットワーク セキュリティ グループで使用するために、AzureMonitor サービス タグの下に表示されます。As shown in the table, these URLs are represented under the AzureMonitor service tag for use with Network Security Groups.

    Azure 環境Azure Environment エンドポイントEndpoints
    Azure PublicAzure Public
    • be deprecated) be deprecated)
    • be deprecated) be deprecated)
    • be deprecated) be deprecated)
    • be deprecated) be deprecated)
    • be deprecated) be deprecated)
    • be deprecated) be deprecated)
    Azure GovernmentAzure Government
    • be deprecated) be deprecated)
    • be deprecated) be deprecated)
    • be deprecated) be deprecated)
    Azure China 21VianetAzure China 21Vianet
    • be deprecated) be deprecated)
    • be deprecated) be deprecated)
    • be deprecated) be deprecated)


    上記クラスターの DNS ゾーン への変更は、ほとんどの場合、DNS の変更です。The change of clusters above with dns zone to is mostly a DNS Change. クラスターの IP アドレスは変更されません。IP Address of cluster will not change.

  • リージョン サービス タグ:Storage、SQL、Event Hubs サービス タグへの送信接続を許可する NSG 規則は、API Management インスタンスを含むリージョンに対応するこれらのタグのリージョン バージョンを使用できます (たとえば、米国西部リージョンの API 管理インスタンスに対する Storage.WestUS など)。Regional Service Tags: NSG rules allowing outbound connectivity to Storage, SQL, and Event Hubs service tags may use the regional versions of those tags corresponding to the region containing the API Management instance (for example, Storage.WestUS for an API Management instance in the West US region). 複数リージョンのデプロイでは、各リージョンの NSG は、そのリージョンとプライマリ リージョンのサービス タグへのトラフィックを許可する必要があります。In multi-region deployments, the NSG in each region should allow traffic to the service tags for that region and the primary region.

  • SMTP リレー:SMTP リレー用の送信ネットワーク接続。 の各ホストで解決されます。SMTP Relay: Outbound network connectivity for the SMTP Relay, which resolves under the host,,, and

  • 開発者ポータル CAPTCHA: 開発者ポータルの CAPTCHA 用の発信ネットワーク接続。ホスト で解決されます。Developer portal CAPTCHA: Outbound network connectivity for the developer portal's CAPTCHA, which resolves under the hosts and

  • Azure portal 診断:仮想ネットワーク内から API Management 拡張機能を使用しているときに、Azure portal から診断ログのフローを有効にするには、ポート 443 での への送信アクセスが必要です。Azure portal Diagnostics: To enable the flow of diagnostic logs from Azure portal when using the API Management extension from inside a Virtual Network, outbound access to on port 443 is required. これは、拡張機能の使用時に発生する可能性がある問題のトラブルシューティングに役立ちます。This helps in troubleshooting issues you might face when using extension.

  • Azure Load Balancer:サービスタグ AZURE_LOAD_BALANCER からの受信要求を許可することは、Developer SKU の要件ではありません (背後に 1 つのコンピューティング ユニットをデプロイするだけのため)。Azure Load Balancer: Allowing Inbound request from Service Tag AZURE_LOAD_BALANCER is not a requirement for the Developer SKU, since we only deploy one unit of Compute behind it. ただし、Load Balancer からの正常性プローブのエラーでデプロイに失敗したために、Premium のような上位の SKU にスケーリングするときは、 からの受信が重要になります。But Inbound from becomes critical when scaling to higher SKU like Premium, as failure of Health Probe from Load Balancer, fails a deployment.

  • Application Insights:API Management で Azure Application Insights 監視が有効になっている場合は、Virtual Network からテレメトリ エンドポイントへの送信接続を許可する必要があります。Application Insights: If Azure Application Insights monitoring is enabled on API Management, then we need to allow outbound connectivity to the Telemetry endpoint from the Virtual Network.

  • Express Route またはネットワーク仮想アプライアンスを使用したオンプレミスのファイアウォールへのトラフィックの強制トンネリング: 顧客の一般的な構成では、API Management の委任されたサブネットからのすべてのトラフィックを、オンプレミスのファイアウォールまたはネットワーク仮想アプライアンスに強制的に流す、独自の既定のルート ( が定義されています。Force Tunneling Traffic to On-premises Firewall Using Express Route or Network Virtual Appliance: A common customer configuration is to define their own default route ( which forces all traffic from the API Management delegated subnet to flow through an on-premises firewall or to a Network virtual appliance. このトラフィック フローでは、Azure API Management を使用した接続は必ず切断されます。これは、発信トラフィックがオンプレミスでブロックされるか、さまざまな Azure エンドポイントで有効ではなくなった、認識できないアドレス セットに NAT 処理されることが原因です。This traffic flow invariably breaks connectivity with Azure API Management because the outbound traffic is either blocked on-premises, or NAT'd to an unrecognizable set of addresses that no longer work with various Azure endpoints. これを解決するには、いくつかのことを実行する必要があります。The solution requires you to do a couple of things:

    • API Management サービスがデプロイされているサブネット上でサービス エンドポイントを有効にします。Enable service endpoints on the subnet in which the API Management service is deployed. Azure SQL、Azure Storage、Azure EventHub、Azure ServiceBus のサービス エンドポイントを有効にする必要があります。Service Endpoints need to be enabled for Azure Sql, Azure Storage, Azure EventHub and Azure ServiceBus. これらのサービスに対して、API Management の委任されたサブネットからエンドポイントを直接有効にすると、サービス トラフィックの最適なルーティングを提供する Microsoft Azure バックボーン ネットワークを使用できるようになります。Enabling endpoints directly from API Management delegated subnet to these services allows them to use the Microsoft Azure backbone network providing optimal routing for service traffic. トンネリングが強制された API Management でサービス エンドポイントを使用すると、上記の Azure サービス のトラフィックが強制的にトンネリングされることはありません。If you use Service Endpoints with a forced tunneled Api Management, the above Azure services traffic isn't forced tunneled. API Management サービスの他の 依存関係トラフィックは強制的にトンネリングされ、失われることはありません。依存関係トラフィックが失われた場合、API Management サービスが適切に機能しなくなります。The other API Management service dependency traffic is forced tunneled and can't be lost or the API Management service would not function properly.

    • インターネットから API Management サービスの管理エンドポイントへのすべてのコントロール プレーン トラフィックは、API Management によってホストされている受信 IP の特定のセットを使用してルーティングされます。All the control plane traffic from Internet to the management endpoint of your API Management service are routed through a specific set of Inbound IPs hosted by API Management. トラフィックが強制的にトンネリングされると、応答がこれらの受信送信元 IP に対称的にマップされなくなります。When the traffic is force tunneled the responses will not symmetrically map back to these Inbound source IPs. この制限を克服するには、次のユーザー定義ルート (UDR) を追加し、これらのホスト ルートの宛先を "Internet" に設定することによってトラフィックを Azure に誘導する必要があります。To overcome the limitation, we need to add the following user-defined routes (UDRs) to steer traffic back to Azure by setting the destination of these host routes to "Internet". コントロール プレーン トラフィックの受信 IP セットは、「コントロール プレーンの IP アドレス」に記載されていますThe set of Inbound IPs for control Plane traffic is documented Control Plane IP Addresses

    • 強制的にトンネリングされる、API Management サービスの他の依存関係については、ホスト名を解決し、エンドポイントに到達するための方法が必要です。For other API Management service dependencies which are force tunneled, there should be a way to resolve the hostname and reach out to the endpoint. 次のような方法があります。These include

      • メトリックと正常性の監視Metrics and Health Monitoring
      • Azure portal 診断Azure portal Diagnostics
      • SMTP リレーSMTP Relay
      • 開発者ポータル CAPTCHADeveloper portal CAPTCHA

トラブルシューティング Troubleshooting

  • 初回のセットアップ:API Management サービスのサブネットへの初回のデプロイが成功しなかった場合は、同じサブネットに仮想マシンを先にデプロイすることをお勧めします。Initial Setup: When the initial deployment of API Management service into a subnet does not succeed, it is advised to first deploy a virtual machine into the same subnet. 次に、リモート デスクトップを仮想マシンにデプロイし、Azure サブスクリプション内の次のリソースのいずれかに接続できることを確認しますNext remote desktop into the virtual machine and validate that there is connectivity to one of each resource below in your Azure subscription

    • Azure Storage BLOBAzure Storage blob
    • Azure SQL データベースAzure SQL Database
    • Azure Storage TableAzure Storage Table


    接続を確認したら、サブネットにデプロイされているすべてのリソースを必ず削除してから、サブネットに API Management をデプロイしてください。After you have validated the connectivity, make sure to remove all the resources deployed in the subnet, before deploying API Management into the subnet.

  • 増分更新:ネットワークを変更するときは、NetworkStatus API を参照して、API Management サービスが依存している重要なリソースへのアクセスが失われていないことを確認してください。Incremental Updates: When making changes to your network, refer to NetworkStatus API, to verify that the API Management service has not lost access to any of the critical resources, which it depends upon. 接続状態は、15 分間隔で更新されます。The connectivity status should be updated every 15 minutes.

  • リソース ナビゲーション リンク:Resource Manager スタイルの VNET サブネットにデプロイすると、API Management では、リソース ナビゲーション リンクを作成することでサブネットが予約されます。Resource Navigation Links: When deploying into Resource Manager style vnet subnet, API Management reserves the subnet, by creating a resource navigation Link. サブネットに別のプロバイダーのリソースが既に含まれている場合、デプロイは失敗します。If the subnet already contains a resource from a different provider, deployment will fail. 同様に、API Management サービスを別のサブネットに 移動するか削除すると、そのリソース ナビゲーション リンクが削除されます。Similarly, when you move an API Management service to a different subnet or delete it, we will remove that resource navigation link.

サブネットのサイズ要件 Subnet Size Requirement

Azure は、各サブネット内で一部の IP アドレスを予約し、これらのアドレスを使用することはできません。Azure reserves some IP addresses within each subnet, and these addresses can't be used. サブネットの最初と最後の IP アドレスは、Azure サービスで使用される 3 つ以上のアドレスと共に、プロトコル準拠に予約されます。The first and last IP addresses of the subnets are reserved for protocol conformance, along with three more addresses used for Azure services. 詳細については、「 これらのサブネット内の IP アドレスの使用に関する制限はありますかFor more information, see Are there any restrictions on using IP addresses within these subnets?

Azure VNET インフラストラクチャによって使用される IP アドレスに加えて、サブネットの各 API Management インスタンスは、Premium SKU のユニットごとに 2 つの IP アドレス、または Developer SKU 用に 1 つの IP アドレスを使用します。In addition to the IP addresses used by the Azure VNET infrastructure, each Api Management instance in the subnet uses two IP addresses per unit of Premium SKU or one IP address for the Developer SKU. 各インスタンスによって、外部ロード バランサー用の IP アドレスが別途予約されています。Each instance reserves an additional IP address for the external load balancer. 内部仮想ネットワークに展開する場合は、内部ロード バランサー用に追加の IP アドレスが必要です。When deploying into Internal virtual network, it requires an additional IP address for the internal load balancer.

前述の計算によると、API Management で展開できるサブネットの最小サイズは /29 で、3 つの使用可能な IP アドレスが提供されます。Given the calculation above the minimum size of the subnet, in which API Management can be deployed is /29 that gives three usable IP addresses.

API Management の追加スケール ユニットごとに、さらに 2 つの IP アドレスが必要になります。Each additional scale unit of API Management requires two more IP addresses.

ルーティング Routing

  • 負荷分散されたパブリック IP アドレス (VIP) は、すべてのサービス エンドポイントへのアクセスを提供するために予約されます。A load balanced public IP address (VIP) will be reserved to provide access to all service endpoints.
  • サブネット IP 範囲 (DIP) の IP アドレスは VNET 内のリソースにアクセスするために使用され、パブリック IP アドレス (VIP) は VNET の外部のリソースにアクセスするために使用されます。An IP address from a subnet IP range (DIP) will be used to access resources within the vnet and a public IP address (VIP) will be used to access resources outside the vnet.
  • 負荷分散されたパブリック IP アドレスは、Azure Portal の [概要]/[要点] ブレードで確認できます。Load balanced public IP address can be found on the Overview/Essentials blade in the Azure portal.

制限事項 Limitations

  • API Management インスタンスが含まれるサブネットには、その他の Azure リソースの種類を含めることはできません。A subnet containing API Management instances cannot contain any other Azure resource types.
  • サブネットと API Management サービスは、同じサブスクリプション内になければなりません。The subnet and the API Management service must be in the same subscription.
  • API Management インスタンスが含まれるサブネットは、サブスクリプション間で移動できません。A subnet containing API Management instances cannot be moved across subscriptions.
  • 内部仮想ネットワーク モードで構成された複数リージョンの API Management デプロイでは、ルーティングを設定するユーザーが分散負荷の管理を担当します。デプロイでは、ユーザーが、ルーティングを担当するように、複数のリージョンの負荷分散の管理を担当します。For multi-region API Management deployments configured in Internal virtual network mode, users are responsible for managing the load balancing across multiple regions, as they own the routing.
  • 別のリージョン内にあるグローバルにピアリングされた VNET 内のリソースから、内部モードの API Management サービスへの接続は、プラットフォームの制限により機能しません。Connectivity from a resource in a globally peered VNET in another region to API Management service in Internal mode will not work due to platform limitation. 詳しくは、ある仮想ネットワーク内のリソースは、ピアリングされた仮想ネットワークの Azure 内部ロード バランサーと通信できないことに関するページをご覧ください。For more information, see Resources in one virtual network cannot communicate with Azure internal load balancer in peered virtual network

コントロール プレーンの IP アドレス Control Plane IP Addresses

IP アドレスは Azure 環境ごとに分かれています。The IP Addresses are divided by Azure Environment. 受信要求を許可する場合、グローバルとマークされたIP アドレスは、リージョンごとの IP アドレスと共に許可される必要があります。When allowing inbound requests IP address marked with Global must be allowed along with the Region specific IP Address.

Azure 環境Azure Environment リージョンRegion IP アドレス (IP address)IP address
Azure PublicAzure Public 米国中南部 (グローバル)South Central US (Global)
Azure PublicAzure Public 米国中北部 (グローバル)North Central US (Global)
Azure PublicAzure Public 米国中西部West Central US
Azure PublicAzure Public 韓国中部Korea Central
Azure PublicAzure Public 英国西部UK West
Azure PublicAzure Public 西日本Japan West
Azure PublicAzure Public 米国中北部North Central US
Azure PublicAzure Public 英国南部UK South
Azure PublicAzure Public インド西部West India
Azure PublicAzure Public 米国東部East US
Azure PublicAzure Public 西ヨーロッパWest Europe
Azure PublicAzure Public 東日本Japan East
Azure PublicAzure Public フランス中部France Central
Azure PublicAzure Public カナダ東部Canada East
Azure PublicAzure Public アラブ首長国連邦北部UAE North
Azure PublicAzure Public ブラジル南部Brazil South
Azure PublicAzure Public ブラジル南東部Brazil Southeast
Azure PublicAzure Public 東南アジアSoutheast Asia
Azure PublicAzure Public 南アフリカ北部South Africa North
Azure PublicAzure Public カナダ中部Canada Central
Azure PublicAzure Public 韓国南部Korea South
Azure PublicAzure Public インド中部Central India
Azure PublicAzure Public 米国西部West US
Azure PublicAzure Public オーストラリア南東部Australia Southeast
Azure PublicAzure Public オーストラリア中部Australia Central
Azure PublicAzure Public インド南部South India
Azure PublicAzure Public 米国中部Central US
Azure PublicAzure Public オーストラリア東部Australia East
Azure PublicAzure Public 米国西部 2West US 2
Azure PublicAzure Public 米国東部 2 EUAPEast US 2 EUAP
Azure PublicAzure Public 米国中部 EUAPCentral US EUAP
Azure PublicAzure Public 米国中南部South Central US
Azure PublicAzure Public 米国東部 2East US 2
Azure PublicAzure Public 北ヨーロッパNorth Europe
Azure PublicAzure Public 東アジアEast Asia
Azure PublicAzure Public フランス南部France South
Azure PublicAzure Public スイス西部Switzerland West
Azure PublicAzure Public オーストラリア中部 2Australia Central 2
Azure PublicAzure Public アラブ首長国連邦中部UAE Central
Azure PublicAzure Public スイス北部Switzerland North
Azure PublicAzure Public 南アフリカ西部South Africa West
Azure PublicAzure Public ドイツ中西部Germany West Central
Azure PublicAzure Public ドイツ北部Germany North
Azure PublicAzure Public ノルウェー東部Norway East
Azure PublicAzure Public ノルウェー西部Norway West
Azure China 21VianetAzure China 21Vianet 中国北部 (グローバル)China North (Global)
Azure China 21VianetAzure China 21Vianet 中国東部 (グローバル)China East (Global)
Azure China 21VianetAzure China 21Vianet 中国北部China North
Azure China 21VianetAzure China 21Vianet 中国東部China East
Azure China 21VianetAzure China 21Vianet 中国北部 2China North 2
Azure China 21VianetAzure China 21Vianet 中国東部 2China East 2
Azure GovernmentAzure Government USGov バージニア州 (グローバル)USGov Virginia (Global)
Azure GovernmentAzure Government USGov テキサス州 (グローバル)USGov Texas (Global)
Azure GovernmentAzure Government USGov バージニア州USGov Virginia
Azure GovernmentAzure Government USGov アイオワ州USGov Iowa
Azure GovernmentAzure Government USGov アリゾナUSGov Arizona
Azure GovernmentAzure Government USGov テキサスUSGov Texas
Azure GovernmentAzure Government USDoD 中部USDoD Central
Azure GovernmentAzure Government USDoD 東部USDoD East