Sdílet prostřednictvím


Nasazení instance služby Azure API Management do virtuální sítě – externí režim

PLATÍ PRO: Vývojář | Prémie

Azure API Management je možné nasadit (vloženého) do virtuální sítě Azure pro přístup k back-endovým službám v síti. Informace o možnostech připojení k virtuální síti, požadavcích a důležitých informacích najdete tady:

Tento článek vysvětluje, jak nastavit připojení virtuální sítě pro instanci služby API Management v externím režimu, kde jsou portál pro vývojáře, brána rozhraní API a další koncové body služby API Management přístupné z veřejného internetu a back-endové služby se nacházejí v síti.

Připojení k externí virtuální síti

Konfigurace specifické pro interní režim, kdy jsou koncové body přístupné jenom v rámci virtuální sítě, najdete v tématu Nasazení instance služby Azure API Management do virtuální sítě – interní režim.

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Požadavky

Než začnete, projděte si požadavky na síťové prostředky pro injektáž služby API Management do virtuální sítě.

Některé požadavky se liší v závislosti na verzi (stv2 nebo stv1) výpočetní platformy hostující instanci služby API Management.

Tip

Pokud k vytvoření nebo aktualizaci síťového připojení existující instance služby API Management používáte portál, je instance hostovaná na stv2 výpočetní platformě.

  • Instance služby API Management. Další informace najdete v tématu Vytvoření instance služby Azure API Management.
  • Virtuální síť a podsíť ve stejné oblasti a předplatném jako vaše instance služby API Management.

    • Podsíť použitá pro připojení k instanci služby API Management může obsahovat jiné typy prostředků Azure.
    • Podsíť by neměla mít povolené žádné delegování. Podsíť Delegovat na nastavení služby pro podsíť by měla být nastavena na Hodnotu Žádné.
  • Skupina zabezpečení sítě připojená k podsíti výše. Skupina zabezpečení sítě (NSG) je nutná k explicitnímu povolení příchozího připojení, protože nástroj pro vyrovnávání zatížení používaný interně službou API Management je ve výchozím nastavení zabezpečený a odmítne veškerý příchozí provoz. Konkrétní konfiguraci najdete v části Konfigurace pravidel NSG dále v tomto článku.

  • V určitých scénářích povolte koncové body služby v podsíti závislým službám, jako je Azure Storage nebo Azure SQL. Další informace najdete v tématu Vynucení tunelového provozu do místní brány firewall pomocí ExpressRoute nebo síťového virtuálního zařízení, dále v tomto článku.

  • (Volitelné) Veřejná IPv4 adresa standardní skladové položky.

    Důležité

    • Od května 2024 už prostředek veřejné IP adresy není potřeba při nasazování (vkládání) instance služby API Management ve virtuální síti v interním režimu nebo migraci interní konfigurace virtuální sítě do nové podsítě. V externím režimu virtuální sítě je zadání veřejné IP adresy volitelné. Pokud ji nezadáte, veřejná IP adresa spravovaná v Azure se automaticky nakonfiguruje a použije pro provoz rozhraní API modulu runtime. Veřejnou IP adresu zadejte pouze v případě, že chcete vlastnit a řídit veřejnou IP adresu použitou pro příchozí nebo odchozí komunikaci s internetem.
    • V případě potřeby musí být IP adresa ve stejné oblasti a předplatném jako instance služby API Management a virtuální síť.

    • Při vytváření prostředku veřejné IP adresy se ujistěte, že k němu přiřadíte popisek názvu DNS. Obecně byste měli použít stejný název DNS jako instance služby API Management. Pokud ji změníte, nasaďte instanci znovu, aby se použil nový popisek DNS.

    • Pro zajištění nejlepšího výkonu sítě se doporučuje použít výchozí předvolbu směrování: síť Microsoft.

    • Při vytváření veřejné IP adresy v oblasti, ve které plánujete povolit redundanci zón pro instanci služby API Management, nakonfigurujte zónově redundantní nastavení.

    • Hodnota IP adresy je přiřazena jako virtuální veřejná IPv4 adresa instance služby API Management v dané oblasti.

  • Pro nasazení služby API Management pro více oblastí nakonfigurujte prostředky virtuální sítě samostatně pro každé umístění.

Povolení připojení virtuální sítě

Povolení připojení virtuální sítě pomocí webu Azure Portal (stv2 výpočetní platforma)

  1. Přejděte na web Azure Portal a vyhledejte instanci služby API Management. Vyhledejte a vyberte služby API Management.

  2. Zvolte instanci služby API Management.

  3. Vyberte Síť.

  4. Vyberte typ externího přístupu. Vyberte virtuální síť na webu Azure Portal.

  5. V seznamu umístění (oblastí), ve kterých je vaše služba API Management zřízená:

    1. Zvolte Umístění.
    2. Vyberte IP adresu virtuální sítě, podsítě a (volitelně).
    • Seznam virtuálních sítí se naplní virtuálními sítěmi Resource Manageru dostupnými ve vašich předplatných Azure a nastaví se v oblasti, kterou konfigurujete.

      Nastavení virtuální sítě na portálu

  6. Vyberte Použít. Stránka Síť vaší instance služby API Management se aktualizuje o nové možnosti virtuální sítě a podsítě.

  7. Pokračujte v konfiguraci nastavení virtuální sítě pro zbývající umístění vaší instance služby API Management.

  8. V horním navigačním panelu vyberte Uložit.

Aktualizace instance služby API Management může trvat 15 až 45 minut. Instance na úrovni Vývojář mají během procesu výpadek. Instance na úrovni Premium nemají během procesu výpadek.

Povolení připojení pomocí šablony Resource Manageru (stv2 výpočetní platforma)

  • Šablona Azure Resource Manageru (rozhraní API verze 2021-08-01)

    Tlačítko pro nasazení šablony Resource Manageru do Azure

Povolení připojení pomocí rutin Azure PowerShellu (stv1 platforma)

Vytvořte nebo aktualizujte instanci služby API Management ve virtuální síti.

Konfigurace pravidel skupin zabezpečení sítě

Nakonfigurujte vlastní pravidla sítě v podsíti služby API Management tak, aby filtrovali provoz do a z vaší instance služby API Management. Pro zajištění správného provozu a přístupu k vaší instanci doporučujeme následující minimální pravidla NSG. Pečlivě zkontrolujte prostředí a zjistěte další pravidla, která by mohla být potřeba.

Důležité

V závislosti na použití ukládání do mezipaměti a dalších funkcí možná budete muset nakonfigurovat další pravidla NSG nad rámec minimálních pravidel v následující tabulce. Podrobné nastavení najdete v referenčních informacích ke konfiguraci virtuální sítě.

  • Ve většině scénářů použijte k určení zdrojů a cílů sítě značky služeb místo IP adres služeb.
  • Nastavte prioritu těchto pravidel vyšší než výchozí pravidla.
Zdrojové / cílové porty Směr Přenosový protokol Značky služeb
Zdroj / cíl
Účel Typ virtuální sítě
* / [80], 443 Příchozí TCP Internet / VirtualNetwork Komunikace klientů se službou API Management Pouze externí
* / 3443 Příchozí TCP ApiManagement / VirtualNetwork Koncový bod správy pro Azure Portal a PowerShell Externí a interní
* / 6390 Příchozí TCP AzureLoadBalancer / VirtualNetwork Azure Infrastructure Load Balancer Externí a interní
* / 443 Příchozí TCP AzureTrafficManager / VirtualNetwork Směrování Azure Traffic Manageru pro nasazení ve více oblastech Pouze externí
* / 443 Odchozí TCP VirtualNetwork / Storage Závislost na Azure Storage pro základní funkce služby Externí a interní
* / 1433 Odchozí TCP VirtualNetwork / SQL Přístup ke koncovým bodům Azure SQL pro základní funkce služby Externí a interní
* / 443 Odchozí TCP VirtualNetwork / AzureKeyVault Přístup ke službě Azure Key Vault pro základní funkce služby Externí a interní
* / 1886, 443 Odchozí TCP VirtualNetwork / AzureMonitor Publikování diagnostických protokolů a metrik, stavu prostředků a Application Insights Externí a interní

Připojení k webové službě hostované ve virtuální síti

Jakmile připojíte službu API Management k virtuální síti, budete mít přístup k back-endovým službám v ní stejně jako veřejné služby. Při vytváření nebo úpravách rozhraní API zadejte místní IP adresu nebo název hostitele (pokud je pro virtuální síť nakonfigurovaný server DNS) webové služby do pole ADRESA URL webové služby.

Přidání rozhraní API z virtuální sítě

Nastavení vlastního serveru DNS

V externím režimu virtuální sítě spravuje Azure ve výchozím nastavení DNS. Volitelně můžete nakonfigurovat vlastní server DNS.

Služba API Management závisí na několika službách Azure. Pokud je služba API Management hostovaná ve virtuální síti s vlastním serverem DNS, musí přeložit názvy hostitelů těchto služeb Azure.

  • Pokyny k vlastnímu nastavení DNS, včetně předávání názvů hostitelů poskytovaných v Azure, najdete v tématu Překlad názvů pro prostředky ve virtuálních sítích Azure.
  • Pro komunikaci se servery DNS se vyžaduje odchozí síťový přístup na portu 53 . Další nastavení najdete v referenčních informacích ke konfiguraci virtuální sítě.

Důležité

Pokud chcete pro virtuální síť použít vlastní servery DNS, nastavte ho před nasazením služby API Management do ní. Jinak budete muset službu API Management aktualizovat pokaždé, když změníte servery DNS spuštěním operace Použít konfiguraci sítě.

Směrování

  • Veřejná IP adresa (VIP) s vyrovnáváním zatížení je vyhrazená pro poskytování přístupu ke koncovým bodům a prostředkům služby API Management mimo virtuální síť.
    • Veřejnou VIRTUÁLNÍ IP adresu najdete v okně Přehled/Základy na webu Azure Portal.

Další informace a důležité informace najdete v tématu IP adresy služby Azure API Management.

VIP a IP adresy

Dynamické IP adresy (DIP) se přiřadí každému podkladovému virtuálnímu počítači ve službě a použijí se pro přístup ke koncovým bodům a prostředkům ve virtuální síti a v partnerských virtuálních sítích. Veřejná VIRTUÁLNÍ IP adresa služby API Management se použije pro přístup k veřejným prostředkům.

Pokud omezení PROTOKOLU IP uvádí zabezpečené prostředky v rámci virtuální sítě nebo partnerských virtuálních sítí, doporučujeme zadat celý rozsah podsítí, ve kterém je služba API Management nasazená, aby se udělil nebo omezil přístup ze služby.

Přečtěte si další informace o doporučené velikosti podsítě.

Vynucení tunelového provozu do místní brány firewall pomocí ExpressRoute nebo síťového virtuálního zařízení

Vynucené tunelování umožňuje přesměrovat nebo "vynutit" veškerý internetový provoz z vaší podsítě zpět do místního prostředí pro účely kontroly a auditování. Běžně konfigurujete a definujete vlastní výchozí trasu (0.0.0.0/0), která vynutí veškerý provoz z podsítě služby API Management tak, aby procházel přes místní bránu firewall nebo do síťového virtuálního zařízení. Tento tok provozu přeruší připojení ke službě API Management, protože odchozí provoz je buď blokovaný místně, nebo překlad adres (NAT) na nerozpoznatelnou sadu adres, které už nefungují s různými koncovými body Azure. Tento problém můžete vyřešit následujícími metodami:

  • Povolte koncové body služby v podsíti, ve které je služba API Management nasazená pro:

    • Azure SQL (vyžaduje se pouze v primární oblasti, pokud je služba API Management nasazená do více oblastí)
    • Azure Storage
    • Azure Event Hubs
    • Azure Key Vault (vyžaduje se při nasazení služby API Management na platformě stv2 )

    Povolením koncových bodů přímo z podsítě služby API Management do těchto služeb můžete použít páteřní síť Microsoft Azure a zajistit optimální směrování provozu služeb. Pokud používáte koncové body služby s vynuceným tunelovým tunelovým propojením služby API Management, provoz pro předchozí služby Azure se nevynutí tunelování. Ostatní přenosy závislostí služby API Management však zůstávají vynucené tunelové propojení. Ujistěte se, že vaše brána firewall nebo virtuální zařízení neblokují tento provoz nebo že služba API Management nemusí správně fungovat.

    Poznámka:

    Důrazně doporučujeme povolit koncové body služeb přímo z podsítě služby API Management do závislých služeb, jako jsou Azure SQL a Azure Storage, které je podporují. Některé organizace ale můžou mít požadavky na vynucení tunelového propojení veškerého provozu z podsítě služby API Management. V takovém případě se ujistěte, že nakonfigurujete bránu firewall nebo virtuální zařízení tak, aby umožňovalo tento provoz. Budete muset povolit úplný rozsah IP adres jednotlivých závislých služeb a zachovat tuto konfiguraci v aktualizovaném stavu při změně infrastruktury Azure. Vaše služba API Management může také zaznamenat latenci nebo neočekávané časové limity kvůli vynucení tunelování tohoto síťového provozu.

  • Veškerý provoz řídicí roviny z internetu do koncového bodu správy vaší služby API Management se směruje přes konkrétní sadu příchozích IP adres hostovaných službou API Management, která zahrnuje značku služby ApiManagement. V případě vynuceného tunelování provozu se odpovědi nebudou symetricky mapovat zpět na tyto příchozí zdrojové IP adresy a dojde ke ztrátě připojení ke koncovému bodu pro správu. Pokud chcete toto omezení překonat, nakonfigurujte trasu definovanou uživatelem pro značku služby ApiManagement s typem dalšího segmentu směrování nastaveným na "Internet" pro směrování zpět do Azure.

    Poznámka:

    Povolení provozu služby API Management pro obejití místní brány firewall nebo síťového virtuálního zařízení se nepovažuje za významné bezpečnostní riziko. Doporučená konfigurace pro vaši podsíť služby API Management umožňuje příchozí provoz správy na portu 3443 pouze ze sady IP adres Azure, které zahrnuje značka služby ApiManagement. Doporučená konfigurace trasy definovaná uživatelem je určená pouze pro návratovou cestu tohoto provozu Azure.

  • (Režim externí virtuální sítě) Provoz roviny dat pro klienty, kteří se pokoušejí připojit k bráně služby API Management a portálu pro vývojáře z internetu, se ve výchozím nastavení zahodí kvůli asymetrickým směrováním zavedeným vynuceným tunelováním. Pro každého klienta, který vyžaduje přístup, nakonfigurujte explicitní trasu definovanou uživatelem s typem dalšího segmentu směrování "Internet" tak, aby obešla bránu firewall nebo zařízení virtuální sítě.

  • V případě jiných vynucených závislostí služby API Management přeložte název hostitele a spojte se s koncovým bodem. Tady jsou některé z nich:

    • Metriky a Monitorování stavu
    • Diagnostika webu Azure Portal
    • Přenos SMTP
    • Portál pro vývojáře CAPTCHA
    • Server Azure KMS

Další informace najdete v tématu Referenční informace o konfiguraci virtuální sítě.

Běžné problémy s konfigurací sítě

Tento oddíl se přesunul. Viz referenční informace o konfiguraci virtuální sítě.

Řešení problému

Neúspěšné počáteční nasazení služby API Management do podsítě

  • Nasaďte virtuální počítač do stejné podsítě.
  • Připojte se k virtuálnímu počítači a ověřte připojení k jednomu z následujících prostředků ve vašem předplatném Azure:
    • Objekt blob služby Azure Storage
    • Azure SQL Database
    • Tabulka služby Azure Storage
    • Azure Key Vault (pro instanci služby API Management hostované na platforměstv2)

Důležité

Po ověření připojení odeberte všechny prostředky v podsíti před nasazením služby API Management do podsítě (vyžaduje se při hostování služby API Management na stv1 platformě).

Ověření stavu sítě

  • Po nasazení služby API Management do podsítě pomocí portálu zkontrolujte připojení vaší instance k závislostem, jako je Azure Storage.

  • Na portálu v nabídce vlevo v části Nasazení a infrastruktura vyberte Stav sítě>.

    Snímek obrazovky s ověřením stavu připojení k síti na portálu

Filtr Popis
Povinní účastníci Vyberte, pokud chcete zkontrolovat požadované připojení služeb Azure ke službě API Management. Selhání značí, že instance nemůže provádět základní operace pro správu rozhraní API.
Volitelné Vyberte, jestli chcete zkontrolovat možnosti připojení k volitelným službám. Selhání značí, že konkrétní funkce nebudou fungovat (například SMTP). Selhání může vést ke snížení využití a monitorování instance služby API Management a poskytnutí potvrzené smlouvy SLA.

Pokud chcete pomoct s řešením potíží s připojením, vyberte:

  • Metriky – kontrola metrik stavu připojení k síti

  • Diagnostika – spuštění ověřovatele virtuální sítě v zadaném časovém období

Pokud chcete vyřešit problémy s připojením, zkontrolujte nastavení konfigurace sítě a opravte požadovaná nastavení sítě.

Přírůstkové aktualizace

Při provádění změn v síti se podívejte na rozhraní NETWORKStatus API a ověřte, že služba API Management neztratila přístup k důležitým prostředkům. Stav připojení by se měl aktualizovat každých 15 minut.

Pokud chcete použít změnu konfigurace sítě na instanci služby API Management pomocí portálu:

  1. V nabídce vlevo pro vaši instanci v části Nasazení a infrastruktura vyberte Síťová>virtuální síť.
  2. Vyberte Použít konfiguraci sítě.

Instance služby API Management hostovaná na stv1 výpočetní platformě při nasazení do podsítě virtuální sítě Resource Manageru rezervuje podsíť vytvořením navigačního propojení prostředků. Pokud podsíť již obsahuje prostředek od jiného poskytovatele, nasazení selže. Podobně když odstraníte službu API Management nebo ji přesunete do jiné podsítě, odebere se navigační odkaz prostředku.

Problémy, ke kterým došlo při opětovném přiřazení instance služby API Management k předchozí podsíti

  • Zámek virtuální sítě – Při přesunu instance služby API Management zpět do původní podsítě nemusí být okamžité opětovné přiřazení možné kvůli uzamčení virtuální sítě, což trvá až jednu hodinu, než se odebere. Pokud má původní podsíť jiné stv1 služby API Management založené na platformě (cloudové služby), odstranění a čekání je nezbytné pro nasazení stv2 služby založené na platformě ve stejné podsíti.
  • Zámek skupiny prostředků – Dalším scénářem, který je potřeba vzít v úvahu, je přítomnost zámku oboru na úrovni skupiny prostředků nebo vyšší, což brání procesu odstranění navigačního odkazu prostředku. Pokud chcete tento problém vyřešit, odeberte zámek oboru a počkejte přibližně 4 až 6 hodin, než služba API Management zruší propojení z původní podsítě před odebráním zámku, což umožní nasazení do požadované podsítě.

Řešení potíží s připojením k Microsoft Graphu z virtuální sítě

Připojení k síti k Microsoft Graphu je potřeba pro funkce, včetně přihlašování uživatelů k portálu pro vývojáře pomocí zprostředkovatele identity Microsoft Entra.

Řešení potíží s připojením k Microsoft Graphu z virtuální sítě:

  • Ujistěte se, že je skupina zabezpečení sítě a další pravidla sítě nakonfigurovaná pro odchozí připojení z vaší instance služby API Management k Microsoft Graphu (pomocí značky služby AzureActiveDirectory ).

  • Zajistěte překlad DNS a přístup k graph.microsoft.com síti z virtuální sítě. Například zřiďte nový virtuální počítač uvnitř virtuální sítě, připojte se k němu a zkuste se k němu připojit GET https://graph.microsoft.com/v1.0/$metadata z prohlížeče nebo pomocí cURL, PowerShellu nebo jiných nástrojů.

Další kroky

Přečtěte si další informace: