Nasazení instance služby Azure API Management do virtuální sítě – externí režim
PLATÍ PRO: Vývojář | Premium
Azure API Management je možné nasadit (vloženého) do virtuální sítě Azure pro přístup k back-endovým službám v síti. Informace o možnostech připojení k virtuální síti, požadavcích a důležitých informacích najdete tady:
- Použití virtuální sítě se službou Azure API Management
- Požadavky na síťové prostředky pro injektáž služby API Management do virtuální sítě
Tento článek vysvětluje, jak nastavit připojení virtuální sítě pro instanci služby API Management v externím režimu, kde jsou portál pro vývojáře, brána rozhraní API a další koncové body služby API Management přístupné z veřejného internetu a back-endové služby se nacházejí v síti.
Konfigurace specifické pro interní režim, kdy jsou koncové body přístupné jenom v rámci virtuální sítě, najdete v tématu Nasazení instance služby Azure API Management do virtuální sítě – interní režim.
Poznámka:
Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Požadavky
Některé požadavky se liší v závislosti na verzi (stv2 nebo stv1) výpočetní platformy hostující instanci služby API Management.
Tip
Pokud k vytvoření nebo aktualizaci síťového připojení existující instance služby API Management používáte portál, je instance hostovaná na stv2 výpočetní platformě.
- Instance služby API Management. Další informace najdete v tématu Vytvoření instance služby Azure API Management.
Virtuální síť a podsíť ve stejné oblasti a předplatném jako vaše instance služby API Management.
- Podsíť použitá pro připojení k instanci služby API Management může obsahovat jiné typy prostředků Azure.
- Podsíť by neměla mít povolené žádné delegování. Podsíť Delegovat na nastavení služby pro podsíť by měla být nastavena na Hodnotu Žádné.
Skupina zabezpečení sítě připojená k podsíti výše. Skupina zabezpečení sítě (NSG) je nutná k explicitnímu povolení příchozího připojení, protože nástroj pro vyrovnávání zatížení používaný interně službou API Management je ve výchozím nastavení zabezpečený a odmítne veškerý příchozí provoz. Konkrétní konfiguraci najdete v části Konfigurace pravidel NSG dále v tomto článku.
V určitých scénářích povolte koncové body služby v podsíti závislým službám, jako je Azure Storage nebo Azure SQL. Další informace najdete v tématu Vynucení tunelového provozu do místní brány firewall pomocí ExpressRoute nebo síťového virtuálního zařízení, dále v tomto článku.
Veřejná IPv4 adresa standardní skladové položky. Prostředek s veřejnou IP adresou se vyžaduje při nastavování virtuální sítě pro externí nebo interní přístup. U interní virtuální sítě se veřejná IP adresa používá jenom pro operace správy. Přečtěte si další informace o IP adresách služby API Management.
IP adresa musí být ve stejné oblasti a předplatném jako instance API Management a virtuální síť.
Při vytváření prostředku veřejné IP adresy se ujistěte, že k němu přiřadíte popisek názvu DNS. Obecně byste měli použít stejný název DNS jako instance služby API Management. Pokud ji změníte, nasaďte instanci znovu, aby se použil nový popisek DNS.
Pro zajištění nejlepšího výkonu sítě se doporučuje použít výchozí předvolbu směrování: síť Microsoft.
Při vytváření veřejné IP adresy v oblasti, ve které plánujete povolit redundanci zón pro instanci služby API Management, nakonfigurujte zónově redundantní nastavení.
Hodnota IP adresy je přiřazena jako virtuální veřejná IPv4 adresa instance služby API Management v dané oblasti.
Při změně z externí virtuální sítě na interní (nebo naopak), při změně podsítí v síti nebo při aktualizaci zón dostupnosti pro instanci API Management musíte nakonfigurovat jinou veřejnou IP adresu.
Povolení připojení virtuální sítě
Povolení připojení virtuální sítě pomocí webu Azure Portal (stv2 výpočetní platforma)
Přejděte na web Azure Portal a vyhledejte instanci služby API Management. Vyhledejte a vyberte služby API Management.
Zvolte instanci služby API Management.
Vyberte Síť.
Vyberte typ externího přístupu.
V seznamu umístění (oblastí), ve kterých je vaše služba API Management zřízená:
- Zvolte Umístění.
- Vyberte virtuální síť, podsíť a IP adresu.
Seznam virtuálních sítí se naplní virtuálními sítěmi Resource Manageru dostupnými ve vašich předplatných Azure a nastaví se v oblasti, kterou konfigurujete.
Vyberte Použít. Stránka Síť vaší instance služby API Management se aktualizuje o nové možnosti virtuální sítě a podsítě.
Pokračujte v konfiguraci nastavení virtuální sítě pro zbývající umístění vaší instance služby API Management.
V horním navigačním panelu vyberte Uložit a pak vyberte Použít konfiguraci sítě.
Aktualizace instance služby API Management může trvat 15 až 45 minut. Instance na úrovni Vývojář mají během procesu výpadek. Instance na úrovni Premium nemají během procesu výpadek.
Povolení připojení pomocí šablony Resource Manageru (stv2 výpočetní platforma)
Povolení připojení pomocí rutin Azure PowerShellu (stv1 platforma)
Vytvořte nebo aktualizujte instanci služby API Management ve virtuální síti.
Konfigurace pravidel skupin zabezpečení sítě
Nakonfigurujte vlastní pravidla sítě v podsíti služby API Management tak, aby filtrovali provoz do a z vaší instance služby API Management. Pro zajištění správného provozu a přístupu k vaší instanci doporučujeme následující minimální pravidla NSG. Pečlivě zkontrolujte prostředí a zjistěte další pravidla, která by mohla být potřeba.
Důležité
V závislosti na použití ukládání do mezipaměti a dalších funkcí možná budete muset nakonfigurovat další pravidla NSG nad rámec minimálních pravidel v následující tabulce. Podrobné nastavení najdete v referenčních informacích ke konfiguraci virtuální sítě.
- Ve většině scénářů použijte k určení zdrojů a cílů sítě značky služeb místo IP adres služeb.
- Nastavte prioritu těchto pravidel vyšší než výchozí pravidla.
| Zdrojové / cílové porty | Směr | Přenosový protokol | Značky služeb Zdroj / cíl |
Účel | Typ virtuální sítě |
|---|---|---|---|---|---|
| * / [80], 443 | Příchozí | TCP | Internet / VirtualNetwork | Komunikace klientů se službou API Management | Pouze externí |
| * / 3443 | Příchozí | TCP | ApiManagement / VirtualNetwork | Koncový bod správy pro Azure Portal a PowerShell | Externí a interní |
| * / 6390 | Příchozí | TCP | AzureLoadBalancer / VirtualNetwork | Azure Infrastructure Load Balancer | Externí a interní |
| * / 443 | Příchozí | TCP | AzureTrafficManager / VirtualNetwork | Směrování Azure Traffic Manageru pro nasazení ve více oblastech | Pouze externí |
| * / 443 | Odchozí | TCP | VirtualNetwork / Storage | Závislost na Azure Storage pro základní funkce služby | Externí a interní |
| * / 1433 | Odchozí | TCP | VirtualNetwork / SQL | Přístup ke koncovým bodům Azure SQL pro základní funkce služby | Externí a interní |
| * / 443 | Odchozí | TCP | VirtualNetwork / AzureKeyVault | Přístup ke službě Azure Key Vault pro základní funkce služby | Externí a interní |
| * / 1886, 443 | Odchozí | TCP | VirtualNetwork / AzureMonitor | Publikování diagnostických protokolů a metrik, stavu prostředků a Přehledy aplikací | Externí a interní |
Připojení k webové službě hostované ve virtuální síti
Jakmile připojíte službu API Management k virtuální síti, budete mít přístup k back-endovým službám v ní stejně jako veřejné služby. Při vytváření nebo úpravách rozhraní API zadejte místní IP adresu nebo název hostitele (pokud je pro virtuální síť nakonfigurovaný server DNS) webové služby do pole ADRESA URL webové služby.
Nastavení vlastního serveru DNS
V externím režimu virtuální sítě spravuje Azure ve výchozím nastavení DNS. Volitelně můžete nakonfigurovat vlastní server DNS.
Služba API Management závisí na několika službách Azure. Pokud je služba API Management hostovaná ve virtuální síti s vlastním serverem DNS, musí přeložit názvy hostitelů těchto služeb Azure.
- Pokyny k vlastnímu nastavení DNS, včetně předávání názvů hostitelů poskytovaných v Azure, najdete v tématu Překlad názvů pro prostředky ve virtuálních sítích Azure.
- Pro komunikaci se servery DNS se vyžaduje odchozí síťový přístup na portu
53. Další nastavení najdete v referenčních informacích ke konfiguraci virtuální sítě.
Důležité
Pokud chcete pro virtuální síť použít vlastní servery DNS, nastavte ho před nasazením služby API Management do ní. Jinak budete muset službu API Management aktualizovat pokaždé, když změníte servery DNS spuštěním operace Použít konfiguraci sítě.
Směrování
- Veřejná IP adresa (VIP) s vyrovnáváním zatížení je vyhrazená pro poskytování přístupu ke koncovým bodům a prostředkům služby API Management mimo virtuální síť.
- Veřejnou VIRTUÁLNÍ IP adresu najdete v okně Přehled/Základy na webu Azure Portal.
Další informace a důležité informace najdete v tématu IP adresy služby Azure API Management.
VIP a IP adresy
Dynamické IP adresy (DIP) se přiřadí každému podkladovému virtuálnímu počítači ve službě a použijí se pro přístup ke koncovým bodům a prostředkům ve virtuální síti a v partnerských virtuálních sítích. Veřejná VIRTUÁLNÍ IP adresa služby API Management se použije pro přístup k veřejným prostředkům.
Pokud omezení PROTOKOLU IP uvádí zabezpečené prostředky v rámci virtuální sítě nebo partnerských virtuálních sítí, doporučujeme zadat celý rozsah podsítí, ve kterém je služba API Management nasazená, aby se udělil nebo omezil přístup ze služby.
Přečtěte si další informace o doporučené velikosti podsítě.
Vynucení tunelového provozu do místní brány firewall pomocí ExpressRoute nebo síťového virtuálního zařízení
Vynucené tunelování umožňuje přesměrovat nebo "vynutit" veškerý internetový provoz z vaší podsítě zpět do místního prostředí pro účely kontroly a auditování. Běžně konfigurujete a definujete vlastní výchozí trasu (0.0.0.0/0), která vynutí veškerý provoz z podsítě služby API Management tak, aby procházel přes místní bránu firewall nebo do síťového virtuálního zařízení. Tento tok provozu přeruší připojení ke službě API Management, protože odchozí provoz je buď blokovaný místně, nebo překlad adres (NAT) na nerozpoznatelnou sadu adres, které už nefungují s různými koncovými body Azure. Tento problém můžete vyřešit následujícími metodami:
Povolte koncové body služby v podsíti, ve které je služba API Management nasazená pro:
- Azure SQL (vyžaduje se pouze v primární oblasti, pokud je služba API Management nasazená do více oblastí)
- Azure Storage
- Azure Event Hubs
- Azure Key Vault (vyžaduje se při nasazení služby API Management na platformě
stv2)
Povolením koncových bodů přímo z podsítě služby API Management do těchto služeb můžete použít páteřní síť Microsoft Azure a zajistit optimální směrování provozu služeb. Pokud používáte koncové body služby s vynuceným tunelovým tunelovým propojením služby API Management, provoz pro předchozí služby Azure se nevynutí tunelování. Ostatní přenosy závislostí služby API Management však zůstávají vynucené tunelové propojení. Ujistěte se, že vaše brána firewall nebo virtuální zařízení neblokují tento provoz nebo že služba API Management nemusí správně fungovat.
Poznámka:
Důrazně doporučujeme povolit koncové body služeb přímo z podsítě služby API Management do závislých služeb, jako jsou Azure SQL a Azure Storage, které je podporují. Některé organizace ale můžou mít požadavky na vynucení tunelového propojení veškerého provozu z podsítě služby API Management. V takovém případě se ujistěte, že nakonfigurujete bránu firewall nebo virtuální zařízení tak, aby umožňovalo tento provoz. Budete muset povolit úplný rozsah IP adres jednotlivých závislých služeb a zachovat tuto konfiguraci v aktualizovaném stavu při změně infrastruktury Azure. Vaše služba API Management může také zaznamenat latenci nebo neočekávané časové limity kvůli vynucení tunelování tohoto síťového provozu.
Veškerý provoz řídicí roviny z internetu do koncového bodu správy vaší služby API Management se směruje přes konkrétní sadu příchozích IP adres hostovaných službou API Management, která zahrnuje značku služby ApiManagement. V případě vynuceného tunelování provozu se odpovědi nebudou symetricky mapovat zpět na tyto příchozí zdrojové IP adresy a dojde ke ztrátě připojení ke koncovému bodu pro správu. Pokud chcete toto omezení překonat, nakonfigurujte trasu definovanou uživatelem pro značku služby ApiManagement s typem dalšího segmentu směrování nastaveným na "Internet" pro směrování zpět do Azure.
Poznámka:
Povolení provozu služby API Management pro obejití místní brány firewall nebo síťového virtuálního zařízení se nepovažuje za významné bezpečnostní riziko. Doporučená konfigurace pro vaši podsíť služby API Management umožňuje příchozí provoz správy na portu 3443 pouze ze sady IP adres Azure, které zahrnuje značka služby ApiManagement. Doporučená konfigurace trasy definovaná uživatelem je určená pouze pro návratovou cestu tohoto provozu Azure.
(Režim externí virtuální sítě) Provoz roviny dat pro klienty, kteří se pokoušejí připojit k bráně služby API Management a portálu pro vývojáře z internetu, se ve výchozím nastavení zahodí kvůli asymetrickým směrováním zavedeným vynuceným tunelováním. Pro každého klienta, který vyžaduje přístup, nakonfigurujte explicitní trasu definovanou uživatelem s typem dalšího segmentu směrování "Internet" tak, aby obešla bránu firewall nebo zařízení virtuální sítě.
V případě jiných vynucených závislostí služby API Management přeložte název hostitele a spojte se s koncovým bodem. Tady jsou některé z nich:
- Metriky a Monitorování stavu
- Diagnostika webu Azure Portal
- Přenos SMTP
- Portál pro vývojáře CAPTCHA
- Server Azure Služba správy klíčů
Další informace najdete v tématu Referenční informace o konfiguraci virtuální sítě.
Běžné problémy s konfigurací sítě
Tento oddíl se přesunul. Viz referenční informace o konfiguraci virtuální sítě.
Řešení problému
Neúspěšné počáteční nasazení služby API Management do podsítě
- Nasaďte virtuální počítač do stejné podsítě.
- Připojení k virtuálnímu počítači a ověřte připojení k jednomu z následujících prostředků ve vašem předplatném Azure:
- Objekt blob služby Azure Storage
- Azure SQL Database
- Tabulka služby Azure Storage
- Azure Key Vault (pro instanci služby API Management hostované na platformě
stv2)
Důležité
Po ověření připojení odeberte všechny prostředky v podsíti před nasazením služby API Management do podsítě (vyžaduje se při hostování služby API Management na stv1 platformě).
Ověření stavu sítě
Po nasazení služby API Management do podsítě pomocí portálu zkontrolujte připojení vaší instance k závislostem, jako je Azure Storage.
Na portálu v nabídce vlevo v části Nasazení a infrastruktura vyberte Stav sítě>.
| Filtr | Popis |
|---|---|
| Povinní účastníci | Vyberte, pokud chcete zkontrolovat požadované připojení služeb Azure ke službě API Management. Selhání značí, že instance nemůže provádět základní operace pro správu rozhraní API. |
| Volitelné | Vyberte, jestli chcete zkontrolovat možnosti připojení k volitelným službám. Selhání značí, že konkrétní funkce nebudou fungovat (například SMTP). Selhání může vést ke snížení využití a monitorování instance služby API Management a poskytnutí potvrzené smlouvy SLA. |
Pokud chcete pomoct s řešením potíží s připojením, vyberte:
Metriky – kontrola metrik stavu připojení k síti
Diagnostika – spuštění ověřovatele virtuální sítě v zadaném časovém období
Pokud chcete vyřešit problémy s připojením, zkontrolujte nastavení konfigurace sítě a opravte požadovaná nastavení sítě.
Přírůstkové aktualizace
Při provádění změn v síti se podívejte na rozhraní NETWORKStatus API a ověřte, že služba API Management neztratila přístup k důležitým prostředkům. Stav připojení by se měl aktualizovat každých 15 minut.
Pokud chcete použít změnu konfigurace sítě na instanci služby API Management pomocí portálu:
- V nabídce vlevo pro vaši instanci v části Nasazení a infrastruktura vyberte Síťová>virtuální síť.
- Vyberte Použít konfiguraci sítě.
Navigační odkazy na prostředky
Instance služby API Management hostovaná na stv1 výpočetní platformě při nasazení do podsítě virtuální sítě Resource Manageru rezervuje podsíť vytvořením navigačního propojení prostředků. Pokud podsíť již obsahuje prostředek od jiného poskytovatele, nasazení selže. Podobně když odstraníte službu API Management nebo ji přesunete do jiné podsítě, odebere se navigační odkaz prostředku.
Problémy, ke kterým došlo při opětovném přiřazení instance služby API Management k předchozí podsíti
- Zámek virtuální sítě – Při přesunu instance služby API Management zpět do původní podsítě nemusí být okamžité opětovné přiřazení možné kvůli uzamčení virtuální sítě, což trvá až šest hodin, než se odebere. Pokud má původní podsíť jiné
stv1služby API Management založené na platformě (cloudové služby), odstranění a čekání na 6 hodin je nezbytné pro nasazenístv2služby založené na platformě ve stejné podsíti. - Zámek skupiny prostředků – Dalším scénářem, který je potřeba vzít v úvahu, je přítomnost zámku oboru na úrovni skupiny prostředků nebo vyšší, což brání procesu odstranění navigačního odkazu prostředku. Pokud chcete tento problém vyřešit, odeberte zámek oboru a počkejte přibližně 4 až 6 hodin, než služba API Management zruší propojení z původní podsítě před odebráním zámku, což umožní nasazení do požadované podsítě.
Řešení potíží s připojením k Microsoft Graphu z virtuální sítě
Připojení k síti k Microsoft Graphu je potřeba pro funkce, včetně přihlašování uživatelů k portálu pro vývojáře pomocí zprostředkovatele identity Microsoft Entra.
Řešení potíží s připojením k Microsoft Graphu z virtuální sítě:
Ujistěte se, že je skupina zabezpečení sítě a další pravidla sítě nakonfigurovaná pro odchozí připojení z vaší instance služby API Management k Microsoft Graphu (pomocí značky služby AzureActiveDirectory ).
Zajistěte překlad DNS a přístup k
graph.microsoft.comsíti z virtuální sítě. Například zřiďte nový virtuální počítač uvnitř virtuální sítě, připojte se k němu a zkuste se k němu připojitGET https://graph.microsoft.com/v1.0/$metadataz prohlížeče nebo pomocí cURL, PowerShellu nebo jiných nástrojů.
Další kroky
Přečtěte si další informace: