Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
APLICA-SE A: Premium
O isolamento de rede é um recurso opcional de um gateway de espaço de trabalho de Gerenciamento de API. Este artigo fornece requisitos de recursos de rede quando você integra ou injeta seu gateway em uma rede virtual do Azure. Alguns requisitos diferem dependendo do modo de acesso de entrada e saída desejado. Os seguintes modos são suportados:
- Integração de rede virtual: acesso de entrada público, acesso de saída privado
- Injeção de rede virtual: acesso de entrada privado, acesso de saída privado
Para obter informações básicas sobre opções de rede no Gerenciamento de API, consulte Usar uma rede virtual para proteger o tráfego de entrada ou de saída para o Gerenciamento de API do Azure.
Nota
- A configuração de rede de um gateway de espaço de trabalho é independente da configuração de rede da instância de Gerenciamento de API.
- Atualmente, um gateway de espaço de trabalho só pode ser configurado em uma rede virtual quando o gateway é criado. Não é possível alterar a configuração de rede ou as definições do gateway posteriormente.
Local da rede
A rede virtual deve estar na mesma região e assinatura do Azure que a instância de Gerenciamento de API.
Sub-rede dedicada
- A sub-rede usada para integração ou injeção de rede virtual só pode ser usada por um único gateway de espaço de trabalho. Ele não pode ser compartilhado com outro recurso do Azure.
Tamanho da sub-rede
- Mínimo: /27 (32 endereços)
- Máximo: /24 (256 endereços) - recomendado
Delegação de sub-rede
A sub-rede deve ser delegada da seguinte forma para permitir o acesso de entrada e saída desejado.
Para obter informações sobre como configurar a delegação de sub-rede, consulte Adicionar ou remover uma delegação de sub-rede.
Para integração de rede virtual, a sub-rede precisa ser delegada ao serviço Microsoft.Web/serverFarms .
Nota
O Microsoft.Web fornecedor de recursos deve estar registado na subscrição para que possa delegar a sub-rede ao serviço. Para os passos para registar um fornecedor de recursos através do portal, consulte Registar fornecedor de recursos.
Para obter mais informações sobre como configurar a delegação de sub-rede, consulte Adicionar ou remover uma delegação de sub-rede.
Grupo de segurança de rede
Um NSG (grupo de segurança de rede) deve estar associado à sub-rede. Para configurar um grupo de segurança de rede, consulte Criar um grupo de segurança de rede.
- Configure as regras na tabela seguinte para permitir o acesso de saída ao Azure Storage e Azure Key Vault, que são dependências para a Gestão de APIs.
- Configure outras regras de saída necessárias para que o gateway alcance seus back-ends de API.
- Configure outras regras do NSG para atender aos requisitos de acesso à rede da sua organização. Por exemplo, as regras NSG também podem ser usadas para bloquear o tráfego de saída para a Internet e permitir o acesso apenas a recursos em sua rede virtual.
| Direção | Origem | Intervalos de portas de origem | Destino | Intervalos de portas de destino | Protocolo | Ação | Propósito |
|---|---|---|---|---|---|---|---|
| Direção exterior | Rede virtual | * | Armazenamento | 443 | TCP | Permitir | Dependência do Armazenamento do Azure |
| Direção exterior | Rede virtual | * | AzureKeyVault | 443 | TCP | Permitir | Dependência de Azure Key Vault |
Importante
- As regras NSG de entrada não se aplicam quando integra um gateway de espaço de trabalho numa rede virtual para acesso privado de saída. Para aplicar regras NSG de entrada, use a injeção de rede virtual em vez da integração.
- Isso difere da rede na camada Premium clássica, onde as regras NSG de entrada são aplicadas nos modos de injeção de rede virtual externa e interna. Mais informações
Configurações de DNS para injeção de rede virtual
Para injeção de rede virtual, você precisa gerenciar seu próprio DNS para habilitar o acesso de entrada ao gateway de espaço de trabalho.
Embora você tenha a opção de usar um servidor DNS privado ou personalizado, recomendamos:
- Configure uma zona privada do DNS do Azure.
- Vincule a zona privada do DNS do Azure à rede virtual.
Saiba como configurar uma zona privada no DNS do Azure.
Nota
Caso configures um resolvedor de DNS privado ou personalizado na rede virtual utilizada para a injeção, deves garantir a resolução de nomes para os pontos de extremidade do Azure Key Vault (*.vault.azure.net). Recomendamos configurar uma zona DNS privada do Azure, que não requer configuração adicional para habilitá-la.
Acesso no nome de host padrão
Quando você cria um espaço de trabalho de Gerenciamento de API, o gateway de espaço de trabalho recebe um nome de host padrão. O nome do host é visível no portal do Azure na página Visão geral do gateway de espaço de trabalho, juntamente com seu endereço IP virtual privado. O nome de host padrão está no formato <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net. Exemplo: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.
Nota
O gateway de espaço de trabalho responde apenas a solicitações para o nome do host configurado em seu ponto de extremidade, não seu endereço VIP privado.
Configurar registro DNS
Crie um registo A no seu servidor DNS para aceder à área de trabalho a partir da sua rede virtual. Mapeie o registro do ponto de extremidade para o endereço VIP privado do gateway do espaço de trabalho.
Para fins de teste, você pode atualizar o arquivo hosts em uma máquina virtual em uma sub-rede conectada à rede virtual na qual o Gerenciamento de API está implantado. Supondo que o endereço IP virtual privado para seu gateway de espaço de trabalho seja 10.1.0.5, você pode mapear o arquivo hosts conforme mostrado no exemplo a seguir. O arquivo de mapeamento de hosts está em %SystemDrive%\drivers\etc\hosts (Windows) ou /etc/hosts (Linux, macOS).
| Endereço IP virtual interno | Nome do host do gateway |
|---|---|
| 10.1.0.5 | teamworkspace.gateway.westus.azure-api.net |