次の方法で共有

送信接続のためにプライベート仮想ネットワークと Azure API Management インスタンスを統合する

適用対象: Standard v2 | Premium v2

この記事では、Standard v2 または Premium v2 (プレビュー) Azure API Management インスタンスの "仮想ネットワーク統合" を構成するプロセスについて説明します。 仮想ネットワーク統合を使用すると、ネットワーク接続が適切に構成されている限り、インスタンスは単一の接続された仮想ネットワークまたはピアリングされた仮想ネットワークで分離された API に送信要求を行うことができます。

API Management インスタンスが送信要求のために仮想ネットワークと統合されている場合、ゲートウェイと開発者ポータルのエンドポイントには引き続きパブリックにアクセスできます。 API Management インスタンスは、パブリックとネットワーク分離バックエンド サービスの両方に到達できます。

送信トラフィックについて仮想ネットワークと API Management インスタンスを統合する図。

受信トラフィックと送信トラフィックの両方を分離するために、Premium v2 (プレビュー) API Management インスタンスを仮想ネットワークに挿入する場合は、「 Premium v2 インスタンスを仮想ネットワークに挿入する」を参照してください。

重要

  • この記事で説明する送信仮想ネットワーク統合は、Standard v2 および Premium v2 レベルの API Management インスタンスでのみ使用できます。 さまざまなレベルのネットワーク オプションについては、「Azure API Management で仮想ネットワークを使用する」を参照してください。
  • 仮想ネットワーク統合は、Standard v2 または Premium v2 レベルで API Management インスタンスを作成するとき、またはインスタンスの作成後に有効にすることができます。
  • 現時点では、Premium v2 インスタンスの仮想ネットワーク インジェクションと仮想ネットワーク統合を切り替えることはできません。

前提条件

  • Standard v2 または Premium v2 価格レベルの Azure API Management インスタンス
  • (省略可能) テストを行う場合は、仮想ネットワークの別のサブネット内でホストされているサンプル バックエンド API。 例については、「チュートリアル: Azure Functions のプライベート サイト アクセスを設定する」を参照してください。
  • API Management バックエンド API がホストされているサブネットを持つ仮想ネットワーク。 仮想ネットワークとサブネットの要件と推奨事項については、次のセクションを参照してください。

ネットワークの場所

  • 仮想ネットワークは、API Management インスタンスと同じリージョンおよび Azure サブスクリプションに存在する必要があります。

専用サブネット

  • 仮想ネットワーク統合に使用されるサブネットは、1 つの API Management インスタンスでのみ使用できます。 別の Azure リソースとは共有できません。

サブネットのサイズ

  • 最小: /27 (32 アドレス)
  • 推奨: /24 (256 アドレス) - API Management インスタンスのスケーリングに対応するため

ネットワーク セキュリティ グループ

ネットワーク セキュリティ グループをサブネットに関連付ける必要があります。 ゲートウェイが API バックエンドにアクセスするために必要なネットワーク セキュリティ グループ規則を構成します。 ネットワーク セキュリティ グループ (NSG) を使用して、インターネットへの送信トラフィックをブロックし、仮想ネットワーク内のリソースにのみアクセスすることもできます。 ネットワーク セキュリティ グループを設定するには、「 ネットワーク セキュリティ グループを作成する」を参照してください。

サブネットの委任

サブネットを Microsoft.Web/serverFarms サービスに委任する必要があります。

ポータルでの Microsoft.Web/serverFarms へのサブネット委任を示すスクリーンショット。

注意

サブネットをサービスに委任できるように、サブスクリプションに Microsoft.Web/serverFarms リソース プロバイダーを登録することが必要になる場合があります。

サブネットの委任の構成の詳細については、「サブネットの委任を追加または削除する」を参照してください。

権限

仮想ネットワーク統合を構成するには、サブネットまたは上位レベルで少なくとも次のロールベースのアクセス制御のアクセス許可を持っている必要があります。

アクション 説明
Microsoft.Network/virtualNetworks/read 仮想ネットワークの定義を読み取ります
Microsoft.Network/virtualNetworks/subnets/read 仮想ネットワーク サブネットの定義を読み取ります
Microsoft.Network/virtualNetworks/subnets/join/action 仮想ネットワークに参加します。

仮想ネットワーク統合を構成する

このセクションでは、既存の Azure API Management インスタンスの外部仮想ネットワーク統合を構成するプロセスについて説明します。 新しい API Management インスタンスを作成するときに、仮想ネットワーク統合を構成することもできます。

  1. Azure portal で、API Management インスタンスに移動します。
  2. 左側のメニューの [デプロイとインフラストラクチャ] で、[ネットワーク>編集] を選択します
  3. [ ネットワーク構成 ] ページの [ 送信機能] で、[仮想ネットワーク統合を 有効にする ] を選択します。
  4. 統合する仮想ネットワークと委任されたサブネットを選択します。
  5. 保存 を選択します。 仮想ネットワークが統合されています。

(オプション) 仮想ネットワーク統合をテストする

仮想ネットワークでホストされている API がある場合は、それを Management インスタンスにインポートし、仮想ネットワーク統合をテストできます。 基本的な手順については、「API をインポートおよび発行する」を参照してください。

関連するコンテンツ