Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
SE APLICA A: Premium
El aislamiento de red es una característica opcional de una puerta de enlace del espacio de trabajo de API Management. En este artículo se proporcionan requisitos de recursos de red al integrar o insertar la puerta de enlace en una red virtual de Azure. Algunos requisitos difieren en función del modo de acceso entrante y saliente deseado. Los modos admitidos son los siguientes:
- Integración de red virtual: acceso de entrada público, acceso de salida privado
- Inyección de red virtual: acceso de entrada privado, acceso de salida privado
Para más información sobre las opciones de red en API Management, consulte Uso de una red virtual para proteger el tráfico entrante o saliente para Azure API Management.
Nota
- La configuración de red de una puerta de enlace del área de trabajo es independiente de la configuración de red de la instancia de API Management.
- Actualmente, una puerta de enlace de área de trabajo solo se puede configurar en una red virtual cuando se crea la puerta de enlace. No se puede cambiar la configuración de red de la puerta de enlace ni la configuración posterior.
Ubicación de red
La red virtual debe estar en la misma región y suscripción de Azure que la instancia de API Management.
Subred dedicada
- La subred que se usa para la integración o inyección de la red virtual solo la puede usar una única puerta de enlace del espacio de trabajo. No se puede compartir con otro recurso de Azure.
Tamaño de la subred
- Mínimo: /27 (32 direcciones)
- Máximo: /24 (256 direcciones): recomendado
Delegación de subred
La subred debe delegarse de la siguiente manera para habilitar el acceso entrante y saliente deseado.
Para más información sobre la configuración de la delegación de subred, consulte Adición o eliminación de una delegación de subred.
Para la integración de red virtual, la subred debe delegarse en el servicio Microsoft.Web/serverFarms .
Nota
Es posible que tenga que registrar el proveedor de recursos Microsoft.Web/serverFarms en la suscripción para que pueda delegar la subred en el servicio.
Reglas del grupo de seguridad de red (NSG)
Un grupo de seguridad de red (NSG) debe estar conectado a la subred para permitir explícitamente cierta conectividad entrante o saliente. Configure las reglas siguientes en el grupo de seguridad de red. Establezca la prioridad de estas reglas mayor que la de las reglas predeterminadas.
Configure otras reglas de NSG para cumplir los requisitos de acceso de red de su organización.
| Dirección | Fuente | Intervalos de puerto de origen | Destino | Intervalos de puertos de destino | Protocolo | Acción | Propósito |
|---|---|---|---|---|---|---|---|
| Entrada | AzureLoadBalancer (equilibrador de carga de Azure) | * | Intervalo de subredes de puerta de enlace del espacio de trabajo | 80 | TCP | Permitir | Permita el tráfico de ping de mantenimiento interno |
| Entrada | Internet | * | Intervalo de subredes de puerta de enlace del espacio de trabajo | 80 443 | TCP | Permitir | Permitir el tráfico entrante |
Configuración de DNS para la inyección de red virtual
Para la inyección de red virtual, debe administrar su propio DNS para habilitar el acceso entrante a la puerta de enlace del área de trabajo.
Aunque tiene la opción de usar un servidor DNS privado o personalizado, se recomienda:
- Configure una zona privada de Azure DNS.
- Vincular la zona privada de Azure DNS a la red virtual.
Aprenda a configurar una zona privada en Azure DNS.
Nota
Si configura una resolución DNS privada o personalizada en la red virtual que se usa para la inserción, debe asegurarse de que la resolución de nombres de los puntos de conexión de Azure Key Vault (*.vault.azure.net). Se recomienda configurar una zona DNS privada de Azure, que no requiere configuración adicional para habilitarla.
Acceso de nombre de host predeterminado
Al crear un área de trabajo de API Management, a la puerta de enlace del espacio de trabajo se le asigna un nombre de host predeterminado. El nombre de host es visible en Azure Portal en la página Información general de la puerta de enlace del espacio de trabajo, junto con su dirección IP virtual privada. El nombre de host predeterminado tiene el formato <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net. Ejemplo: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.
Nota
La puerta de enlace del área de trabajo solo responde a las solicitudes al nombre de host configurado en su punto de conexión, no a su dirección VIP privada.
Configuración del registro de DNS
Cree un registro A en el servidor DNS para acceder al área de trabajo desde la red virtual. Asigne el registro del punto de conexión a la dirección VIP privada de la puerta de enlace del espacio de trabajo.
Con fines de prueba, actualice el archivo de hosts en una máquina virtual de una subred conectada a la red virtual en la que se implementa API Management. Si la dirección IP virtual privada de la puerta de enlace del espacio de trabajo es 10.1.0.5, puede asignar el archivo de hosts como se indica en el ejemplo siguiente. El archivo de asignación de hosts está en %SystemDrive%\drivers\etc\hosts (Windows) /etc/hosts o (Linux, macOS).
| Dirección IP virtual interna | Nombre de host de la puerta de enlace |
|---|---|
| 10.1.0.5 | teamworkspace.gateway.westus.azure-api.net |