Nasazení instance Azure API Management do virtuální sítě – externí režim

PLATÍ PRO: Vývojář | Prémie

Můžete nasadit Azure API Management uvnitř Azure virtuální sítě pro přístup k back-endovým službám v síti. Informace o možnostech připojení k virtuální síti, požadavcích a důležitých informacích najdete tady:

• Usídání virtuální sítě pomocí Azure API Management
• Požadavky na síťové prostředky pro injektáž služby API Management do virtuální sítě

Tento článek vysvětluje, jak nastavit připojení virtuální sítě pro vaši úroveň API Management Developer nebo instanci úrovně Premium v externím režimu. V tomto režimu jsou portál pro vývojáře, brána rozhraní API a další koncové body služby API Management přístupné z veřejného internetu a back-endové služby mohou být umístěny v síti.

Konfigurace specifické pro režim internal, kde jsou koncové body přístupné jenom ve virtuální síti, najdete v tématu Deploy instance Azure API Management do virtuální sítě – interní režim.

Poznámka:

K interakci s Azure doporučujeme použít modul Azure Az PowerShell. Pokud chcete začít, přečtěte si téma Install Azure PowerShell. Informace o migraci do modulu Az PowerShell najdete v tématu Migrace Azure PowerShell z AzureRM do Az.

Důležité

Dokončení změn infrastruktury služby API Management (například konfigurace vlastních domén, přidání certifikátů certifikační autority, škálování, konfigurace virtuální sítě, změny zóny dostupnosti a přidání oblastí) může trvat 15 minut nebo déle v závislosti na úrovni služby a velikosti nasazení. U instance s větším počtem jednotek škálování nebo konfigurací více oblastí (brány ve více umístěních) můžete očekávat delší dobu. Postupné změny ve službě API Management se provádějí pečlivě, aby se zachovala kapacita a dostupnost.

Během aktualizace služby není možné provést jiné změny infrastruktury služeb. Můžete ale nakonfigurovat rozhraní API, produkty, zásady a uživatelská nastavení. Služba nebude mít výpadek brány a služba API Management bude dál obsluhovat požadavky rozhraní API bez přerušení (s výjimkou úrovně Developer).

Požadavky

Než začnete, projděte si požadavky na síťové prostředky pro injektáž služby API Management do virtuální sítě.

• Instance služby API Management. Další informace najdete v tématu Vytvoření instance Azure API Management.

• Virtuální síť a podsíť ve stejné oblasti a předplatném jako vaše instance služby API Management.

  • Podsíť použitá pro připojení k instanci služby API Management může obsahovat jiné typy prostředků Azure.
  • Podsíť by neměla mít povolené žádné delegování. Nastavení Delegovat podsíť ke službě pro podsíť by mělo být nastaveno na Žádné.

• Skupina zabezpečení sítě, jež je připojena k podsíti uvedené výše. Skupina zabezpečení sítě (NSG) je nutná k explicitnímu povolení příchozího připojení, protože nástroj pro vyrovnávání zatížení používaný interně službou API Management je ve výchozím nastavení zabezpečený a odmítne veškerý příchozí provoz. Konkrétní konfiguraci najdete v části Konfigurace pravidel NSG dále v tomto článku.

• V určitých scénářích povolte koncové body služby v podsíti pro závislé služby, jako jsou Azure Storage nebo Azure SQL. Další informace najdete v tématu Vynucení tunelového provozu do místní brány firewall pomocí ExpressRoute nebo síťového virtuálního zařízení, dále v tomto článku.

• (Volitelné) Veřejná IPv4 adresa standardní skladové položky.

  Důležité

  • Od května 2024 už prostředek veřejné IP adresy není potřeba při nasazování (vkládání) instance služby API Management ve virtuální síti v interním režimu nebo migraci interní konfigurace virtuální sítě do nové podsítě. V externím režimu virtuální sítě je zadání veřejné IP adresy optional; Pokud ho nezadáte, automaticky se nakonfiguruje veřejná IP adresa spravovaná Azure a použije se pro provoz rozhraní API modulu runtime. Veřejnou IP adresu zadejte pouze v případě, že chcete vlastnit a řídit veřejnou IP adresu použitou pro příchozí nebo odchozí komunikaci s internetem.

  • Pokud je poskytnuta, musí být IP adresa ve stejné oblasti a předplatném jako instance API Management a virtuální síť.

  • Při vytváření prostředku veřejné IP adresy se ujistěte, že mu přiřadíte označení názvu DNS. Obecně byste měli použít stejný název DNS jako instance služby API Management. Pokud ji změníte, nasaďte instanci znovu, aby se použil nový popisek DNS.

  • Pro zajištění nejlepšího výkonu sítě doporučujeme použít výchozí předvolbu Routing: Microsoft síť.

  • Při vytváření veřejné IP adresy v oblasti, ve které plánujete povolit redundanci zón pro instanci služby API Management, nakonfigurujte zónově redundantní nastavení.

  • Hodnota IP adresy je přiřazena jako virtuální veřejná IPv4 adresa instance služby API Management v dané oblasti.

• Pro nasazení služby API Management pro více oblastí nakonfigurujte prostředky virtuální sítě samostatně pro každé umístění.

Povolení připojení k virtuální síti

Povolení připojení k virtuální síti pomocí portálu Azure

1. Přejděte na portál Azure a vyhledejte instanci služby API Management. Vyhledejte a vyberte API Management služby.

2. Vyberte instanci služby API Management.

3. V nabídce bočního panelu v části Nasazení a infrastruktura vyberte Síť.

4. Vyberte typ externího přístupu.

5. V seznamu umístění (oblastí), ve kterých je vaše služba API Management zřízená:

   1. Zvolte Umístění.
   2. Vyberte virtuální síť, podsíť a (volitelně) veřejnou IP adresu.

   • Seznam virtuálních sítí je naplněn virtuálními sítěmi dostupnými ve vašich předplatných Azure a je nastavený v oblasti, kterou konfigurujete.

     

6. Vyberte Použít. Stránka Síť vaší instance služby API Management se aktualizuje o nové možnosti virtuální sítě a podsítě.

7. Výběrem Ověřit ověřte, že jsou splněny požadavky a služba API Management se úspěšně aktualizuje.

8. Pokračujte v konfiguraci nastavení virtuální sítě pro zbývající umístění instance služby API Management.

9. V horním navigačním panelu vyberte Uložit.

Povolení připojení pomocí šablony Resource Manager

• Azure Resource Manager template (API verze 2021-08-01)

  

Konfigurace pravidel skupin zabezpečení sítě

Nakonfigurujte vlastní pravidla zabezpečení sítě v podsíti služby API Management pro filtrování provozu do a z vaší instance služby API Management. Pro zajištění správného provozu a přístupu k vaší instanci doporučujeme následující minimální pravidla NSG. Pečlivě zkontrolujte prostředí a zjistěte další pravidla, která by mohla být potřeba.

Důležité

V závislosti na použití ukládání do mezipaměti a dalších funkcí možná budete muset nakonfigurovat další pravidla NSG nad rámec minimálních pravidel v následující tabulce. Podrobné nastavení najdete v referenčních informacích ke konfiguraci virtuální sítě.

• Ve většině scénářů použijte k určení zdrojů a cílů sítě značky služeb místo IP adres služeb.
• Nastavte prioritu těchto pravidel vyšší než výchozí pravidla.

Směr	Značka zdrojové služby	Rozsahy zdrojových portů	Značka cílové služby	Rozsahy cílových portů	Protokol	Akce	Účel	Typ virtuální sítě
Příchozí	internet	*	Virtuální síť	[80], 443	protokol TCP	Povolit	Komunikace klientů se službou API Management	Pouze externí
Příchozí	ApiManagement	*	Virtuální síť	3443	protokol TCP	Povolit	Koncový bod správy pro portál Azure a PowerShell	Externí a interní
Příchozí	Vyvažovač zatížení Azure	*	Virtuální síť	6390	protokol TCP	Povolit	Azure infrastrukturní vyrovnávač zátěže	Externí a interní
Příchozí	AzureTrafficManager	*	Virtuální síť	443	protokol TCP	Povolit	směrování Azure Traffic Manager pro nasazení ve více oblastech	Pouze externí
Odchozí	Virtuální síť	*	internet	80	protokol TCP	Povolit	Ověřování a správa certifikátů spravovaných Microsoft a spravovaných zákazníkem	Externí a interní
Odchozí	Virtuální síť	*	Storage	443	protokol TCP	Povolit	Závislost na Azure Storage pro základní funkce služby	Externí a interní
Odchozí	Virtuální síť	*	SQL	1433	protokol TCP	Povolit	Přístup ke koncovým bodům Azure SQL pro základní funkce služby	Externí a interní
Odchozí	Virtuální síť	*	Trezor klíčů Azure.	443	protokol TCP	Povolit	Přístup k Azure Key Vault pro základní funkce služby	Externí a interní
Odchozí	Virtuální síť	*	AzureMonitor	1886, 443	protokol TCP	Povolit	Publikování protokolů a metrik Diagnostics, Resource Health a Application Insights	Externí a interní

Připojení k webové službě hostované ve virtuální síti

Po připojení služby API Management k virtuální síti můžete přistupovat k back-endovým službám ve virtuální síti stejně jako veřejné služby. Při vytváření nebo úpravách rozhraní API zadejte místní IP adresu nebo název hostitele (pokud je server DNS nakonfigurovaný pro virtuální síť) webové služby do pole Adresa URL webové služby .

Nastavení vlastního serveru DNS

V režimu externí virtuální sítě Azure ve výchozím nastavení spravuje DNS. Volitelně můžete nakonfigurovat vlastní server DNS.

Služba API Management závisí na několika Azure službách. Pokud je služba API Management hostovaná ve virtuální síti s vlastním serverem DNS, musí vyřešit názvy hostitelů těchto služeb Azure.

• Pokyny k vlastnímu nastavení DNS, včetně předávání názvů hostitelů poskytovaných Azure, najdete v tématu Překlad názvů prostředků ve virtuálních sítích Azure.
• Pro komunikaci se servery DNS se vyžaduje odchozí síťový přístup na portu 53 . Další nastavení najdete v referenčních informacích ke konfiguraci virtuální sítě.

Důležité

Pokud chcete pro virtuální síť používat vlastní servery DNS, nastavte je před nasazením služby API Management do virtuální sítě. Jinak musíte aktualizovat službu API Management pokaždé, když změníte servery DNS spuštěním operace Použít konfiguraci sítě. Konfiguraci sítě můžete použít také v okně Síť/Stav sítě na portálu Azure.

Směrování

• Veřejná IP adresa (VIP) s vyrovnáváním zatížení je vyhrazená pro poskytování přístupu ke koncovým bodům a prostředkům služby API Management mimo virtuální síť.
  • Veřejnou VIP najdete na panelu Overview/Essentials na portálu Azure.

Další informace a úvahy naleznete v tématu IP adresy Azure API Management.

VIP a DIP adresy

Dynamické IP adresy (DIP) se přiřadí každému podkladovému virtuálnímu počítači ve službě a použijí se pro přístup ke koncovým bodům a prostředkům ve virtuální síti a v partnerských virtuálních sítích. Veřejná virtuální IP adresa služby API Management se použije pro přístup k veřejně dostupným prostředkům.

Pokud omezení PROTOKOLU IP uvádí zabezpečené prostředky v rámci virtuální sítě nebo partnerských virtuálních sítí, doporučujeme zadat celý rozsah podsítí, ve kterém je služba API Management nasazená, aby se udělil nebo omezil přístup ze služby.

Přečtěte si další informace o doporučené velikosti podsítě.

Vynucení tunelového provozu do místní brány firewall pomocí ExpressRoute nebo virtuálního síťového zařízení

Vynucené tunelování umožňuje přesměrovat nebo "vynutit" veškerý internetový provoz z vaší podsítě zpět do místního prostředí pro účely kontroly a auditování. Běžně konfigurujete a definujete vlastní výchozí trasu (0.0.0.0/0), což vynutí, že veškerý provoz z podsítě API Management je veden buď přes místní bránu firewall, nebo do virtuálního síťového zařízení. Tento tok provozu přeruší připojení ke službě API Management, protože odchozí provoz je buď blokován v místním prostředí, nebo jsou adresy přeloženy (NAT) na nerozpoznatelnou sadu, která už nefunguje s různými koncovými body služby Azure. Tento problém můžete vyřešit následujícími metodami:

• Povolte koncové body služby v podsíti, ve které je služba API Management nasazená pro:

  • Azure SQL (vyžaduje se pouze v primární oblasti, pokud je služba API Management nasazená do multiple oblastí)
  • Azure Storage
  • Azure Event Hubs
  • Azure Key Vault

  Povolením koncových bodů přímo z podsítě služby API Management do těchto služeb můžete použít Microsoft Azure páteřní síť a zajistit tak optimální směrování provozu služeb. Pokud používáte koncové body služby s vynuceným tunelováním API Managementu, provoz pro výše uvedené služby Azure není vynuceně tunelován. Ostatní přenosy závislostí služby API Management však nadále zůstávají vynuceně tunelovány. Ujistěte se, že vaše brána firewall nebo virtuální zařízení neblokují tento provoz, anebo služba API Management nemusí správně fungovat.

  Poznámka:

  Důrazně doporučujeme povolit koncové body služby přímo z podsítě služby API Management do závislých služeb, jako jsou Azure SQL a Azure Storage, které je podporují. Některé organizace ale můžou mít požadavky na vynucení tunelového propojení veškerého provozu z podsítě služby API Management. V takovém případě se ujistěte, že nakonfigurujete bránu firewall nebo virtuální zařízení tak, aby umožňovalo tento provoz. Budete muset povolit úplný rozsah adres IP každé závislé služby a zachovat tuto konfiguraci v aktualizovaném stavu, když se změní Azure infrastruktura. Vaše služba API Management může také zaznamenat latenci nebo neočekávané timeouty kvůli vynucení tunelování tohoto síťového provozu.

• Veškerý provoz řídicí roviny z internetu do koncového bodu správy vaší služby API Management se směruje přes konkrétní sadu příchozích IP adres hostovaných službou API Management, která zahrnuje značku služby ApiManagement. V případě vynuceného tunelování provozu se odpovědi nebudou symetricky mapovat zpět na tyto příchozí zdrojové IP adresy a dojde ke ztrátě připojení ke koncovému bodu pro správu. Pokud chcete toto omezení překonat, nakonfigurujte trasu definovanou uživatelem (UDR) pro značku služby ApiManagement s typem dalšího skoku nastaveným na "Internet", aby byl provoz směrován zpět do Azure.

  Poznámka:

  Povolení provozu služby API Management pro obejití místní brány firewall nebo síťového virtuálního zařízení se nepovažuje za významné bezpečnostní riziko. Konfigurace poručovaná konfigurace pro vaši podsíť služby API Management umožňuje příchozí provoz správy na portu 3443 pouze ze sady Azure IP adres, které zahrnuje značka služby ApiManagement. Doporučená konfigurace UDR je určena pouze pro návratovou trasu Azure provozu.

• (Režim externí virtuální sítě) Provoz roviny dat pro klienty, kteří se pokoušejí připojit k bráně služby API Management a portálu pro vývojáře z internetu, se ve výchozím nastavení zahodí kvůli asymetrickým směrováním zavedeným vynuceným tunelováním. Pro každého klienta, který vyžaduje přístup, nakonfigurujte explicitní trasu definovanou uživatelem s typem dalšího skoku "Internet", aby obešla bránu firewall nebo virtuální síťové zařízení.

• V případě jiných závislostí služby API Management s vynuceným tunelováním přeložte název hostitele a navázat spojení s koncovým bodem. Tady jsou některé z nich:

  • Metriky a Monitorování stavu
  • Diagnostika portálu Azure
  • SMTP relé
  • Portál pro vývojáře CAPTCHA
  • server služby správy klíčů Azure

Další informace najdete v tématu Referenční informace o konfiguraci virtuální sítě.

Běžné problémy s konfigurací sítě

Tato část byla přesunuta. Viz referenční informace o konfiguraci virtuální sítě.

Řešení problému

Neúspěšné počáteční nasazení služby API Management do podsítě

• Nasaďte virtuální počítač do stejné podsítě.
• Připojte se k virtuálnímu počítači a ověřte připojení k jednomu z následujících prostředků ve vašem Azure předplatném:
  • Azure Storage objekt blob
  • Azure SQL Database
  • tabulka Azure Storage
  • Azure Key Vault

Důležité

Po ověření připojení odeberte před nasazením služby API Management do podsítě všechny prostředky v podsíti.

Ověření stavu sítě

• Po nasazení služby API Management do podsítě pomocí portálu zkontrolujte připojení vaší instance k závislostem, jako je například Azure Storage.

• Na portálu v nabídce bočního panelu v části Nasazení a infrastruktura vyberteStav sítě>.

  

Filtr	Popis
Povinné	Vyberte, pokud chcete zkontrolovat požadované připojení ke službám Azure pro API Management. Selhání značí, že instance nemůže provádět základní operace pro správu rozhraní API.
Volitelné	Vyberte, jestli chcete zkontrolovat možnosti připojení k volitelným službám. Selhání značí, že konkrétní funkce nebudou fungovat (například SMTP). Selhání může vést ke zhoršení použití a monitorování instance API Management a plnění stanovené SLA.

Pokud chcete pomoct s řešením potíží s připojením, vyberte:

• Metriky – kontrola metrik stavu připojení k síti

• Diagnostika – spuštění ověřovatele virtuální sítě v zadaném časovém období

Pokud chcete vyřešit problémy s připojením, zkontrolujte nastavení konfigurace sítě a opravte požadovaná nastavení sítě.

Přírůstkové aktualizace

Při provádění změn v síti se podívejte na rozhraní NETWORKStatus API a ověřte, že služba API Management neztratila přístup k důležitým prostředkům. Stav připojení by se měl aktualizovat každých 15 minut.

Pokud chcete použít změnu konfigurace sítě na instanci služby API Management pomocí portálu:

1. V nabídce vlevo pro vaši instanci v části Nasazení a infrastruktura vyberte Síťová>virtuální síť.
2. Vyberte Použít síťovou konfiguraci.

Problémy, ke kterým došlo při opětovném přiřazení instance služby API Management k předchozí podsíti

• Zámek VNet – Při přesunu instance API Management zpět do původní podsítě nemusí být okamžité opětovné přiřazení možné kvůli zámku virtuální sítě, který může trvat až jednu hodinu, než se odstraní.
• Uzamčení skupiny prostředků – Dalším scénářem, který je potřeba vzít v úvahu, je přítomnost zámku oboru na úrovni skupiny prostředků nebo vyšší, což brání procesu odstranění propojení prostředků. Pokud chcete tento problém vyřešit, odeberte zámek oboru a počkejte přibližně 4 až 6 hodin, než služba API Management zruší propojení z původní podsítě před odebráním zámku, což umožní nasazení do požadované podsítě.

Řešení potíží s připojením k Microsoft Graph z virtuální sítě

Připojení k síti k Microsoft Graph je potřeba pro funkce, včetně přihlášení uživatele k portálu pro vývojáře pomocí zprostředkovatele identity Microsoft Entra.

Řešení potíží s připojením k Microsoft Graph z virtuální sítě:

• Ujistěte se, že je síťová bezpečnostní skupina (NSG) a další síťová pravidla nakonfigurována pro odchozí připojení z vaší instance služby API Management k Microsoft Graph pomocí značky služby AzureActiveDirectory.

• Zajistěte překlad DNS a přístup k graph.microsoft.com síti z virtuální sítě. Například zřiďte nový virtuální počítač uvnitř virtuální sítě, připojte se k němu a zkuste se připojit GET https://graph.microsoft.com/v1.0/$metadata z prohlížeče nebo pomocí nástrojů, jako je cURL, PowerShell nebo jiné.

Související obsah

Přečtěte si další informace:

• Referenční informace ke konfiguraci virtuální sítě
• Pojení virtuální sítě k back-endu pomocí VPN Gateway
• Připojení virtuální sítě z různých modelů nasazení
• Diagnostikujte své rozhraní API pomocí trasování požadavků
• Virtual Network nejčastější dotazy
• Značky služeb