適用対象: Premium
ネットワーク分離は、API Management ワークスペース ゲートウェイのオプション機能です。 この記事では、Azure 仮想ネットワークにゲートウェイを統合または挿入するときのネットワーク リソース要件について説明します。 一部の要件は、必要な受信と送信のアクセス モードによって異なります。 次のクエリ モードがサポートされています。
- 仮想ネットワーク統合: パブリック受信アクセス、プライベート送信アクセス
- 仮想ネットワークの挿入: プライベート受信アクセス、プライベート送信アクセス
API Management のネットワーク オプションの背景については、「 仮想ネットワークを使用して Azure API Management の受信または送信トラフィックをセキュリティで保護する」を参照してください。
注
- ワークスペース ゲートウェイのネットワーク構成は、API Management インスタンスのネットワーク構成とは無関係です。
- 現時点では、ワークスペース ゲートウェイは、ゲートウェイの作成時にのみ仮想ネットワークに設定できます。 ゲートウェイのネットワーク構成または設定を後で変更することはできません。
ネットワークの場所
仮想ネットワークは、API Management インスタンスと同じリージョンおよび Azure サブスクリプションに存在する必要があります。
専用サブネット
- 仮想ネットワークの統合または挿入に使用されるサブネットは、1 つのワークスペース ゲートウェイでのみ使用できます。 別の Azure リソースとは共有できません。
サブネットのサイズ
- 最小: /27 (32 アドレス)
- 最大: /24 (256 アドレス) - おすすめ
サブネットの委任
目的の受信および送信アクセスを有効にするには、サブネットを次のように委任する必要があります。
サブネットの委任の構成については、「サブネットの委任を追加または削除する」を参照してください。
仮想ネットワーク統合の場合、サブネットを Microsoft.Web/serverFarms サービスに委任する必要があります。
注
サブネットをサービスに委任できるように、サブスクリプションに Microsoft.Web/serverFarms リソース プロバイダーを登録することが必要になる場合があります。
ネットワーク セキュリティ グループ (NSG) のルール
特定の受信または送信接続を明示的に許可するには、ネットワーク セキュリティ グループ (NSG) をサブネットにアタッチする必要があります。 NSG で次の規則を構成します。 これらの規則の優先順位は、既定の規則よりも高く設定します。
組織のネットワーク アクセス要件を満たすように、他の NSG 規則を構成します。
| 方向 | ソース | 送信ポート範囲 | 宛先 | 宛先ポート範囲 | プロトコル | アクション | 目的 |
|---|---|---|---|---|---|---|---|
| 受信 | AzureLoadBalancer | * | ワークスペース ゲートウェイのサブネット範囲 | 80 | TCP | 許可する | 内部正常性 ping トラフィックを許可する |
| 受信 | インターネット | * | ワークスペース ゲートウェイのサブネット範囲 | 80,443 | TCP | 許可する | 受信トラフィックを許可する |
仮想ネットワークインジェクションの DNS 設定
仮想ネットワークの挿入では、ワークスペース ゲートウェイへの受信アクセスを有効にするには、独自の DNS を管理する必要があります。
プライベートまたはカスタム DNS サーバーを使用するオプションは用意されていますが、次のことをお勧めします。
- Azure DNS プライベート ゾーンを構成します。
- 仮想ネットワークに Azure DNS プライベート ゾーンをリンクします。
Azure DNS でのプライベート ゾーンの設定方法を確認してください。
注
インジェクションに使用する仮想ネットワークでプライベートまたはカスタム DNS リゾルバーを構成する場合は、Azure Key Vault エンドポイント (*.vault.azure.net) の名前解決を確保する必要があります。 有効にするために追加の構成を必要としない Azure プライベート DNS ゾーンを構成することをお勧めします。
既定のホスト名でのアクセス
API Management ワークスペースを作成すると、ワークスペース ゲートウェイに既定のホスト名が割り当てられます。 ホスト名は、Azure portal でワークスペース ゲートウェイの [概要] ページにプライベート仮想 IP アドレスと共に表示されます。 既定のホスト名の形式は <gateway-name>-<random hash>.gateway.<region>-<number>.azure-api.net です。 例: team-workspace-123456abcdef.gateway.uksouth-01.azure-api.net.
注
ワークスペース ゲートウェイは、プライベート VIP アドレスではなく、エンドポイントで構成されたホスト名に対する要求にのみ応答します。
DNS レコードを構成する
仮想ネットワーク内からワークスペースにアクセスするための A レコードを DNS サーバーに作成します。 エンドポイント レコードをワークスペース ゲートウェイのプライベート VIP アドレスにマップします。
テスト目的で、API Management がデプロイされている仮想ネットワークに接続されているサブネット内の仮想マシン上のホスト ファイルを更新できます。 ワークスペース ゲートウェイのプライベート仮想 IP アドレスを 10.1.0.5 と仮定すると、次の例に示すようにホスト ファイルをマップできます。 hosts マッピング ファイルは、%SystemDrive%\drivers\etc\hosts (Windows) または /etc/hosts (Linux、macOS) にあります。
| 内部仮想 IP アドレス | ゲートウェイ ホスト名 |
|---|---|
| 10.1.0.5 | teamworkspace.gateway.westus.azure-api.net |