将 Azure API 管理实例部署到虚拟网络 - 内部模式

可将 Azure API 管理部署（注入）在 Azure 虚拟网络 (VNet) 内部，以访问该网络中的后端服务。 有关 VNet 连接选项、要求和注意事项，请参阅将虚拟网络与 Azure API 管理配合使用。

本文介绍如何在内部模式下为 API 管理实例设置 VNet 连接。 在这种模式下，只能在由你控制的 VNet 内访问下列 API 管理终结点。

• API 网关
• 开发人员门户
• 直接管理
• Git

在内部模式中使用 API 管理可以：

• 通过使用 Azure VPN 连接或 Azure ExpressRoute，使专用数据中心内托管的 API 可由其外部的第三方安全地访问。
• 通过公共网关公开基于云的 API 和本地 API，以便启用混合云方案。
• 使用单一网关终结点管理托管在多个地理位置的 API。

对于特定于外部模式的配置，可以从公共 Internet 访问 API 管理终结点，而后端服务位于网络中，请参阅将 Azure API 管理实例部署到虚拟网络 - 外部模式。

可用性

先决条件

启用 VNet 连接

使用 Azure 门户启用 VNet 连接（stv2 平台）

1. 转到 Azure 门户，查找 API 管理实例。 搜索并选择“API 管理服务”。

2. 选择你的 API 管理实例。

3. 选择“网络”>“虚拟网络”。

4. 选择“内部”访问类型。

5. 在预配了 API 管理服务的位置（区域）列表中：

   1. 选择“位置” 。
   2. 选择“虚拟网络”、“子网”和“IP 地址” 。
      • 系统将在 VNet 列表中填充你所配置区域内设置的 Azure 订阅中的可用资源管理器 VNet。

6. 选择“应用”。 API 管理实例的“虚拟网络”页将使用新的 VNet 和子网选项进行更新。

7. 继续为 API 管理实例的其余位置配置 VNet 设置。

8. 在顶部导航栏中，选择“保存”，然后选择“应用网络配置”。

   更新 API 管理实例可能需要 15 到 45 分钟。 开发人员层级在此过程中有故障时间。 基本 SKU 和更高级别的 SKU 在此过程中没有停机时间。

成功部署后，你应该能在“概述”边栏选项卡中查看你 API 管理服务的专用虚拟 IP 地址和公共虚拟 IP 地址。 有关 IP 地址的详细信息，请参阅本文中的路由。

使用资源管理器模板（stv2 平台）启用连接

• Azure 资源管理器模板（API 版本 2021-08-01）

  

使用 Azure PowerShell cmdlet 启用连接（stv1 平台）

在 VNet 中创建或更新 API 管理实例。

配置 NSG 规则

在 API 管理子网中配置自定义网络规则，以筛选进出 API 管理实例的流量。 建议使用以下最低 NSG 规则，以确保正确操作和访问实例。

• 在大多数情况下，请使用指示的服务标记（而不是服务 IP 地址）来指定网络源和目标。
• 将这些规则的优先级设置为高于默认规则的优先级。

DNS 配置

在内部 VNet 模式下，必须管理自己的 DNS，才能对 API 管理终结点进行入站访问。

我们建议：

1. 配置 Azure DNS 专用区域。
2. 将 Azure DNS 专用区域链接到已部署 API 管理服务的 VNet。

了解如何在 Azure DNS 中设置专用区域。

基于默认主机名的访问权限

当你创建 API 管理服务（例如，contosointernalvnet）时，将默认配置以下终结点：

端点	终结点配置
API Gateway	contosointernalvnet.azure-api.cn
开发人员门户	contosointernalvnet.portal.azure-api.cn
新的开发人员门户	contosointernalvnet.developer.azure-api.cn
直接管理终结点	contosointernalvnet.management.azure-api.cn
Git	contosointernalvnet.scm.azure-api.cn

基于自定义域名的访问权限

如果不想通过默认主机名访问 API 管理服务，则可为所有终结点设置自定义域名，如下图所示：

配置 DNS 记录

在你的 DNS 服务器中创建记录，以访问可从 VNet 中访问的终结点。 将终结点记录映射到服务的专用虚拟 IP 地址。

出于测试目的，可以在连接到部署了 API 管理的 VNet 的子网中的虚拟机上更新主机文件。 假设服务的专用虚拟 IP 地址为 10.1.0.5，可按下面所示映射 hosts 文件。 主机映射文件位于 %SystemDrive%\drivers\etc\hosts (Windows) 或 /etc/hosts（Linux、macOS）。

内部虚拟 IP 地址	终结点配置
10.1.0.5	contosointernalvnet.azure-api.cn
10.1.0.5	contosointernalvnet.portal.azure-api.cn
10.1.0.5	contosointernalvnet.developer.azure-api.cn
10.1.0.5	contosointernalvnet.management.azure-api.cn
10.1.0.5	contosointernalvnet.scm.azure-api.cn

然后即可从创建的虚拟机访问所有 API 管理终结点。

路线规划

为内部虚拟网络中的 API 管理实例配置以下虚拟 IP 地址。

虚拟 IP 地址	说明
专用虚拟 IP 地址	来自 API 管理实例子网范围内部的负载均衡 IP 地址 (DIP)，通过该地址可以访问 API 网关、开发人员门户、管理和 Git 终结点。 用 VNet 使用的 DNS 服务器注册此地址。
公共虚拟 IP 地址	仅用于通过端口 3443 传输到管理终结点的控制平面流量。 可以锁定到 ApiManagement 服务标记。

负载均衡的公共和专用 IP 地址可以在 Azure 门户的“概述”边栏选项卡上找到。

有关详细信息和注意事项，请参阅 Azure API 管理的 IP 地址。

VIP 和 DIP 地址

动态 IP (DIP) 地址将分配给服务中每个基础虚拟机，用于访问 VNet 和对等 VNet 中的终结点和资源。 API 管理服务的公共虚拟 IP (VIP) 地址将用于访问面向公共的资源。

如果使用 IP 限制列表保护 VNet 或对等 VNet 内的资源，那么建议指定部署 API 管理服务的整个子网范围，以授予或限制该服务的访问权限。

详细了解建议的子网大小。

示例

如果在高级层上的内部 VNet 中部署 1 个容量单位的 API 管理，则会使用 3 个 IP 地址：1 个地址用于专用 VIP，另外两个地址用于两个 VM 的 DIP。 如果横向扩展到 4 个单位，则会将子网中的其他 IP 用于附加的 DIP。

如果目标终结点上只有固定的一组 DIP 加入了允许列表，则将来添加新单位会导致连接失败。 出于此原因，并且由于子网完全由你控制，我们建议将后端中的整个子网加入允许列表。

使用 ExpressRoute 或网络虚拟设备，强制通过隧道将流量传输到本地防火墙

借助强制隧道，可将来自子网的全部 Internet 绑定流量重定向或“强制”返回到本地位置，以进行检查和审核。 通常可以通过配置及定义自己的默认路由 (0.0.0.0/0)，以使来自 API 管理子网的所有流量强制穿过本地防火墙或流入网络虚拟设备。 此流量流会中断与 API 管理的连接，因为出站流量会在本地遭到阻止，或者已经过 NAT 处理，变为一组无法再与各种 Azure 终结点配合工作的无法识别的地址。 可通以下方法解决此问题：

• 在部署以下服务的 API 管理所在的子网上启用服务终结点：

  • Azure SQL（仅在 API 管理服务部署到多个区域的情况下主要区域才需要使用）
  • Azure 存储
  • Azure 事件中心
  • Azure 密钥保管库（在 stv2 平台上部署 API 管理时需要）

  通过直接从 API 管理子网为这些服务启用终结点，可以使用 Azure 主干网络为服务流量提供最佳路由。 如果使用带有强制隧道的 API 管理服务终结点，前面的 Azure 服务的流量就不会强制通过隧道传输。 其他 API 管理服务依赖项流量将依然强制通过隧道传输。 确保防火墙或虚拟设备不会阻止此流量，否则 API 管理服务可能无法正常工作。

  注意

  强烈建议直接从 API 管理子网为支持服务终结点的依赖服务（例如 Azure SQL 和 Azure 存储）启用服务终结点。 但是，某些组织可能要求强制通过隧道传送来自API 管理子网的所有流量。 在这种情况下，请确保将防火墙或虚拟设备配置为允许此流量。 你需要允许每个依赖服务的完整 IP 地址范围，并在 Azure 基础结构更改时使此配置保持最新。 由于强制通过隧道传送此网络流量，API 管理服务也可能会遇到延迟或意外超时。

• 所有从 Internet 传输至 API 管理服务之管理终结点的控制平面流量均通过由 API 管理托管的一组特定入站 IP 进行路由。 当强制通过隧道传输流量时，响应不会对称地映射回这些入站源 IP，并且与管理终结点的连接也会丢失。 若要克服此限制，请为这些入站 IP 配置用户定义的路由 (UDR)，并将下一跃点类型设置为“Internet”，以将流量引导回 Azure。 配置 ApiManagement 服务标记，或者找到控制平面 IP 地址中记录的控制平面流量的入站 IP 集。

  重要

  请仅在某些网络方案需要控制平面 IP 地址时，才为网络访问规则和路由配置这些 IP 地址。 建议使用 ApiManagement 服务标记而不要使用控制平面 IP 地址，以防止在基础结构的改进需要对 IP 地址进行更改时出现停机。

  注意

  允许“API 管理”的管理流量绕过本地防火墙或网络虚拟应用程序不视为重大安全风险。 API 管理子网的推荐配置只允许来自 ApiManagement 服务标记所包含的 Azure IP 地址集的端口 3443 入站管理流量。 建议的 UDR 配置仅适用于此 Azure 流量的返回路径。

• （外部 VNet 模式）尝试从 Internet 访问API 管理网关和开发人员门户的客户端数据平面流量也将默认删除，因为强制隧道引入了非对称路由。 对于需要访问权限的每个客户端，请配置下一跃点类型为“Internet”的显式 UDR，以绕过防火墙或虚拟网络设备。

• 对于强制通过隧道传输流量的其他 API 管理服务依赖项，应解析主机名并访问相应终结点。 其中包括:

  • 指标和运行状况监视
  • Azure 门户诊断
  • SMTP 中继
  • 开发人员门户验证码
  • Azure KMS 服务器

有关更多信息，请参阅虚拟网络配置参考。

常见网络配置问题

本部分已移到其他位置。 请参阅虚拟网络配置参考。

疑难解答

• 在子网中初次部署 API 管理服务失败
  • 将虚拟机部署到相同子网。
  • 连接到虚拟机，并验证与 Azure 订阅中以下其中一项资源的连接：
    • Azure 存储 Blob
    • Azure SQL 数据库
    • Azure 存储表
    • Azure Key Vault

• 验证网络连接状态

  • 在将 API 管理部署到子网后，应使用门户来检查实例与依赖项（如 Azure 存储）之间的连接性。
  • 在门户的左侧菜单中的“部署和基础结构”下，选择“网络连接状态” 。

  

  筛选器	说明
  必需	选择“必需”，以查看 API 管理与必需 Azure 服务之间的连接性。 如果失败，则表示该实例无法执行核心操作来管理 API。
  可选	选择“可选”，以查看 API 管理与可选服务之间的连接性。 如果连接失败，仅表示特定功能（如 SMTP）将无法正常工作。 连接失败可能会导致使用和监视 API 管理实例以及提供所承诺 SLA 的能力下降。

  若要解决连接问题，请查看网络配置设置并修复所需的网络设置。

• 增量更新
  更改网络时，请参阅 NetworkStatus API，以验证 API 服务是否仍具有关键资源的访问权限。 连接状态应每 15 分钟更新一次。

  若要使用门户来应用对 API 管理实例的网络配置更改，请执行以下操作：

  1. 在实例的左侧菜单中的“部署和基础结构”下，选择“虚拟网络”。
  2. 选择“应用网络配置”。

• 资源导航链接
  托管在计算平台上的 APIM 实例在部署到某个资源管理器 VNET 子网后，将通过创建资源导航链接来保留该子网。 如果子网已包含来自其他提供程序的资源，则部署将失败。 同样，当删除 API 管理服务或将其移至其他子网时，资源导航链接也将会删除。

后续步骤

了解有关以下方面的详细信息：

• 虚拟网络配置参考
• VNet 常见问题解答
• 在 DNS 中创建记录