将 Azure API 管理实例部署到虚拟网络 - 外部模式

适用于：开发人员 | 高级

可将 Azure API 管理部署（注入）在 Azure 虚拟网络 (VNet) 内部，以访问该网络中的后端服务。 有关 VNet 连接选项、要求和注意事项，请参阅：

• 将虚拟网络与 Azure API 管理配合使用
• API 管理注入到虚拟网络中的网络资源要求

本文介绍如何在外部模式下为 API 管理实例设置 VNet 连接，在此模式下，可以从公共 Internet 访问开发人员门户、API 网关和其他 API 管理终结点，而后端服务位于网络中。

有关特定于 内部 模式的配置，其中终结点只能在 VNet 中访问，请参阅 将 Azure API 管理实例部署到虚拟网络 - 内部模式。

先决条件

在开始之前，请查看 API 管理注入到虚拟网络的网络资源要求 。

• API 管理实例。 有关详细信息，请参阅 创建 Azure API 管理实例。

• 虚拟网络和子网位于 API 管理实例所在的区域和订阅中。

  • 用于连接到 API 管理实例的子网可能包含其他 Azure 资源类型。
  • 子网不应启用任何委派。 将子网委托给服务的设置应该设置为无。

• 附加到上述子网的网络安全组。 网络安全组 (NSG) 需要显式允许入站连接，因为 API 管理在内部使用的负载均衡器默认是安全的，并且会拒绝所有入站流量。 有关特定配置，请参阅本文后面的 “配置 NSG 规则”。

• 对于某些方案，启用子网中的服务终结点到依赖的服务，例如 Azure 存储或 Azure SQL。 有关详细信息，请参阅本文后面的使用 ExpressRoute 或网络虚拟设备将隧道流量强制引导至内部部署防火墙。

• （可选） 标准 SKU 公共 IPv4 地址。

  重要

  • 从 2024 年 5 月开始，在内部模式下的 VNet 中部署（注入）API 管理实例或将内部 VNet 配置迁移到新子网时，不再需要公共 IP 地址资源。 在外部 VNet 模式下，指定公共 IP 地址为可选操作；如果未提供，系统会自动配置 Azure 托管的公共 IP 地址并将其用于运行时 API 流量。 仅当你希望拥有并控制用于 Internet 入站或出站通信的公共 IP 地址时，才提供该公共 IP 地址。

  • 如果提供，该 IP 地址必须与 API 管理实例和虚拟网络位于同一区域和订阅中。

  • 创建公共 IP 地址资源时，请确保为其分配“DNS 名称标签”。 一般情况下，应该使用与 API 管理实例相同的 DNS 名称。 如果对其进行更改，请重新部署实例，以便应用新的 DNS 标签。

  • 为获取最佳网络性能，建议使用默认的“路由首选项”：“Microsoft 网络”。

  • 在计划为 API 管理实例启用 区域冗余 的区域中创建公共 IP 地址时，请配置 区域冗余 设置。

  • IP 地址的值被分配作为该区域中 API 管理实例的虚拟公共 IPv4 地址。

• 对于多区域 API 管理部署，请分别为每个位置配置虚拟网络资源。

启用 VNet 连接

使用 Azure 门户启用 VNet 连接

1. 转到 Azure 门户 以查找 API 管理实例。 搜索并选择“API 管理服务”。

2. 选择你的 API 管理实例。

3. 选择“网络”。

4. 选择“外部”访问类型。

5. 在预配了 API 管理服务的位置（区域）列表中：

   1. 选择“位置” 。
   2. 选择“虚拟网络”、“子网”和（可选）“IP 地址”。

   • 系统将在 VNet 列表中填充你所配置区域内设置的 Azure 订阅中的可用资源管理器 VNet。

     

6. 选择“应用”。 API Management 实例的“网络”页将使用新的 VNet 和子网选项进行更新。

7. 继续为 API 管理实例的其余位置配置 VNet 设置。

8. 在顶部导航栏中选择“保存”。

使用资源管理器模板启用连接

• Azure 资源管理器 模板 （API 版本 2021-08-01）

  

配置 NSG 规则

在 API 管理子网中配置自定义网络规则，以筛选进出 API 管理实例的流量。 建议使用以下最低 NSG 规则，以确保正确操作和访问实例。 仔细查看环境，以确定可能需要的更多规则。

• 对于大多数方案，请使用指示 的服务标记 而不是服务 IP 地址来指定网络源和目标。
• 将这些规则的优先级设置为高于默认规则的优先级。

连接到托管在虚拟网络中的 Web 服务

将 API 管理服务连接到 VNet 后，可像访问公共服务一样访问 VNet 中的后端服务。 创建或编辑 API 时，请在“Web 服务 URL”字段键入 Web 服务的本地 IP 地址或主机名（如果为 VNet 配置了 DNS 服务器）。

自定义 DNS 服务器设置

在外部 VNet 模式下，DNS 默认由 Azure 管理。 可以选择性地配置自定义 DNS 服务器。

API 管理服务依赖于多项 Azure 服务。 当 API 管理托管在包含自定义 DNS 服务器的 VNet 中时，API 管理需要解析这些 Azure 服务的主机名。

• 有关自定义 DNS 设置（包括 Azure 提供的主机名转发）的指导，请参阅 Azure 虚拟网络中资源的名称解析。
• 需要拥有端口 53 上的出站网络访问权限才能与 DNS 服务器通信。 有关更多设置，请参阅 虚拟网络配置参考。

路由

• 负载均衡的公共 IP 地址 (VIP) 将会保留，以用于访问 VNet 外部的 API 管理终结点和资源。
  • 可以在 Azure 门户中的“概述/概要”边栏选项卡上找到公共 VIP。

有关详细信息和注意事项，请参阅 Azure API 管理的 IP 地址。

VIP 和 DIP 地址

动态 IP (DIP) 地址将分配给服务中每个基础虚拟机，用于访问 VNet 和对等 VNet 中的终结点和资源。 API 管理服务的公共虚拟 IP (VIP) 地址将用于访问面向公共的资源。

如果使用 IP 限制列表保护 VNet 或对等 VNet 内的资源，那么建议指定部署 API 管理服务的整个子网范围，以授予或限制该服务的访问权限。

详细了解 建议的子网大小。

使用 ExpressRoute 或网络虚拟设备，强制通过隧道将流量传输到本地防火墙

借助强制隧道，可将来自子网的全部 Internet 绑定流量重定向或“强制”返回到本地位置，以进行检查和审核。 通常可以通过配置及定义自己的默认路由 (0.0.0.0/0)，以使来自 API 管理子网的所有流量强制穿过本地防火墙或流入网络虚拟设备。 此流量流会中断与 API 管理的连接，因为出站流量会在本地遭到阻止，或者已经过 NAT 处理，变为一组无法再与各种 Azure 终结点配合工作的无法识别的地址。 可通以下方法解决此问题：

• 在部署以下服务的 API 管理所在的子网上启用服务终结点：

  • Azure SQL（仅当 API 管理服务部署到 多个区域时，才需要在主要区域中使用）
  • Azure 存储
  • Azure 事件中心
  • Azure Key Vault

  通过直接从 API 管理子网为这些服务启用终结点，可以使用 Microsoft Azure 主干网络为服务流量提供最佳路由。 如果使用带有强制隧道的 API 管理服务终结点，前面的 Azure 服务的流量就不会强制通过隧道传输。 其他 API 管理服务依赖项流量将依然强制通过隧道传输。 确保防火墙或虚拟设备不会阻止此流量，否则 API 管理服务可能无法正常工作。

  注意

  强烈建议直接从 API 管理子网为支持服务终结点的依赖服务（例如 Azure SQL 和 Azure 存储）启用服务终结点。 但是，某些组织可能要求强制通过隧道传送来自API 管理子网的所有流量。 在这种情况下，请确保将防火墙或虚拟设备配置为允许此流量。 需要允许每个依赖服务的完整 IP 地址范围 ，并在 Azure 基础结构更改时使此配置保持最新。 由于强制通过隧道传送此网络流量，API 管理服务也可能会遇到延迟或意外超时。

• 从 Internet 到 API 管理服务的管理终结点的所有控制平面流量都通过 API 管理托管的特定入站 IP 集进行路由，这些 IP 由 ApiManagement服务标记包含。 当强制通过隧道传输流量时，响应不会对称地映射回这些入站源 IP，并且与管理终结点的连接也会丢失。 若要克服此限制，请为 ApiManagement 服务标记配置用户定义的路由（UDR），并将下一跃点类型设置为“Internet”，以将流量引导回 Azure。

  注意

  允许“API 管理”的管理流量绕过本地防火墙或网络虚拟应用程序不视为重大安全风险。 API 管理子网 的建议配置 仅允许端口 3443 上的入站管理流量来自 ApiManagement 服务标记包含的 Azure IP 地址集。 建议的 UDR 配置仅适用于此 Azure 流量的返回路径。

• （外部 VNet 模式）尝试从 Internet 访问API 管理网关和开发人员门户的客户端数据平面流量也将默认删除，因为强制隧道引入了非对称路由。 对于需要访问权限的每个客户端，请配置下一跃点类型为“Internet”的显式 UDR，以绕过防火墙或虚拟网络设备。

• 对于强制通过隧道传输流量的其他 API 管理服务依赖项，应解析主机名并访问相应终结点。 其中包括:

  • 指标和运行状况监视
  • Azure 门户诊断
  • SMTP 中继
  • 开发人员门户验证码
  • Azure KMS 服务器

有关详细信息，请参阅 虚拟网络配置参考。

常见网络配置问题

本部分已移到其他位置。 请参阅 虚拟网络配置参考。

疑难解答

在子网中初次部署 API 管理服务失败

• 将虚拟机部署到相同子网。
• 连接到虚拟机，并验证与 Azure 订阅中以下其中一项资源的连接：
  • Azure 存储 Blob
  • Azure SQL 数据库
  • Azure 存储表
  • Azure Key Vault

验证网络状态

• 在将 API 管理部署到子网后，应使用门户来检查实例与依赖项（如 Azure 存储）之间的连接性。

• 在门户中左侧菜单中的“部署和基础结构”下，选择“网络”“网络状态”。

  

要帮助排查连接问题，请选择：

• 指标 - 查看网络连接状态指标

• 诊断 - 在指定时间段内运行虚拟网络验证程序

若要解决连接问题，请查看 网络配置设置 并修复所需的网络设置。

增量更新

对网络进行更改时，请参阅 NetworkStatus API ，验证 API 管理服务是否未丢失对关键资源的访问。 连接状态应每 15 分钟更新一次。

若要使用门户来应用对 API 管理实例的网络配置更改，请执行以下操作：

1. 在实例的左侧菜单中的“部署和基础结构”下，选择“网络”“虚拟网络”>。
2. 选择“应用网络配置”。

将 API 管理实例重新分配到以前的子网时遇到的挑战

• VNet 锁 - 将 API 管理实例移回其原始子网时，由于 VNet 锁最多需要 1 个小时才能移除，因此可能会导致无法立即重新分配。
• 资源组锁 - 另一种情况需要考虑的是在资源组级别或更高级别存在范围锁，从而阻碍了资源导航链接删除过程。 为解决此问题，需要删除范围锁，并允许在删除范围锁之前从原始子网取消链接 API 管理服务的操作延迟约 4-6 小时，从而允许部署到所需子网。

排查从 VNet 内部连接到 Microsoft Graph 的问题

使用 Microsoft Entra 标识提供者登录到开发人员门户等功能需要与 Microsoft Graph 建立网络连接。

若要从 VNet 内部排查与 Microsoft Graph 的连接问题：

• 确保为从 API 管理实例到 Microsoft Graph（使用 AzureActiveDirectory 服务标记）的出站连接配置 NSG 和其他网络规则。

• 确保从 VNet 内部对 graph.microsoft.com 进行 DNS 解析和网络访问。 例如，在 VNet 中预配新 VM、连接到它，并尝试从浏览器或者使用 cURL、PowerShell 或其他工具 GET https://graph.microsoft.com/v1.0/$metadata。

相关内容

了解有关以下方面的详细信息：

• 虚拟网络配置参考
• 使用 VPN 网关将虚拟网络连接到后端
• 从不同的部署模型连接虚拟网络
• 使用请求跟踪调试 API
• 虚拟网络常见问题
• 服务标记