Podpora privátních koncových bodů na úrovni Standard v2 je aktuálně ve verzi Limited Preview. Pokud se chcete zaregistrovat, vyplňte tento formulář.
Privátní koncový bod používá IP adresu z virtuální sítě Azure, ve které je hostovaná.
Síťový provoz mezi klientem ve vaší privátní síti a službou API Management prochází přes virtuální síť a službou Private Link v páteřní síti Microsoftu, čímž se eliminuje vystavení z veřejného internetu.
Nakonfigurujte si vlastní nastavení DNS nebo privátní zónu Azure DNS pro mapování názvu hostitele služby API Management na privátní IP adresu koncového bodu.
S privátním koncovým bodem a službou Private Link můžete:
Vytvořit více připojení Private Link k instanci služby API Management.
Používat privátní koncový bod k odesílání příchozích přenosů v zabezpečeném připojení.
Pomocí zásad odlišovat přenosy, které pochází z privátního koncového bodu.
Omezit příchozí přenosy pouze na privátní koncové body, abyste zabránili exfiltraci dat.
Zkombinujte příchozí privátní koncové body s instancemi Standard v2 s integrací odchozí virtuální sítě, abyste zajistili kompletní izolaci sítě klientů služby API Management a back-endových služeb.
Důležité
Připojení privátního koncového bodu můžete nakonfigurovat jenom pro příchozí provoz do instance služby API Management.
Omezení
Pouze koncový bod brány instance služby API Management podporuje příchozí připojení Private Link.
Každá instance služby API Management podporuje maximálně 100 připojení Private Link.
Připojení nejsou podporována v bráně v místním prostředí ani v bráně pracovního prostoru.
V klasických úrovních služby API Management se privátní koncové body nepodporují v instancích vložených do interní nebo externí virtuální sítě.
Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.
Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.
Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.
Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.
Metoda schválení privátního koncového bodu
Správce sítě obvykle vytvoří privátní koncový bod. V závislosti na oprávněních řízení přístupu na základě role v Azure (RBAC) se privátní koncový bod, který vytvoříte, buď automaticky schválí odesílání provozu do instance služby API Management, nebo vyžaduje, aby vlastník prostředku připojení schválil ručně .
Získání dostupných typů privátních koncových bodů v předplatném
Ověřte, že je typ privátního koncového bodu služby API Management dostupný ve vašem předplatném a umístění. Na portálu najdete tyto informace tak, že přejdete do Centra služby Private Link. Vyberte Podporované prostředky.
GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01
Výstup by měl zahrnovat typ koncového Microsoft.ApiManagement.service bodu:
Zásady sítě, jako jsou skupiny zabezpečení sítě, musí být v podsíti používané pro privátní koncový bod zakázané.
Pokud ke konfiguraci privátních koncových bodů používáte nástroje, jako je Azure PowerShell, Azure CLI nebo REST API, aktualizujte konfiguraci podsítě ručně. Příklady najdete v tématu Správa zásad sítě pro privátní koncové body.
Když k vytvoření privátního koncového bodu použijete Azure Portal, jak je znázorněno v další části, zásady sítě se v rámci procesu vytváření automaticky deaktivují.
Vytvoření privátního koncového bodu – portál
Privátní koncový bod pro instanci služby API Management můžete vytvořit na webu Azure Portal.
V klasických úrovních SLUŽBY API Management můžete při vytváření instance vytvořit privátní koncový bod. V existující instanci použijte okno Síť instance na webu Azure Portal.
Na kartě Základy vytvoření privátního koncového bodu zadejte nebo vyberte následující informace:
Nastavení
Hodnota
Podrobnosti projektu
Předplatné
Vyberte své předplatné.
Skupina prostředků
Vyberte existující skupinu prostředků nebo vytvořte novou. Musí být ve stejné oblasti jako vaše virtuální síť.
Podrobnosti o instanci
Název
Zadejte název koncového bodu, například myPrivateEndpoint.
Název síťového rozhraní
Zadejte název síťového rozhraní, například myInterface.
Oblast
Vyberte umístění privátního koncového bodu. Musí být ve stejné oblasti jako vaše virtuální síť. Může se lišit od oblasti, ve které je vaše instance služby API Management hostovaná.
Vyberte tlačítko Další: Prostředek v dolní části obrazovky. Následující informace o vaší instanci služby API Management jsou už vyplněné:
Předplatné
Typ prostředku
Název prostředku
V prostředku v podnabídce Cíl vyberte Bránu.
Důležité
Pro službu API Management se podporuje jenom podnabídka brány. Jiné dílčí prostředky nejsou podporované.
Vyberte tlačítko Další: Virtuální síť v dolní části obrazovky.
Ve virtuální síti zadejte nebo vyberte tyto informace:
Nastavení
Hodnota
Virtuální síť
Vyberte svou virtuální síť.
Podsíť
Vyberte podsíť.
Konfigurace privátní IP adresy
Ve většině případů vyberte Dynamicky přidělovat IP adresu.
Vyberte tlačítko Další: DNS v dolní části obrazovky.
V Privátní DNS integraci zadejte nebo vyberte tyto informace:
Nastavení
Hodnota
Integrovat s privátní zónou DNS
Ponechte výchozí hodnotu Ano.
Předplatné
Vyberte své předplatné.
Skupina prostředků
Vyberte skupinu prostředků.
Privátní zóny DNS
Zobrazí se výchozí hodnota: (nový) privatelink.azure-api.net.
Vyberte tlačítko Další: Karty v dolní části obrazovky. Pokud chcete, zadejte značky pro uspořádání prostředků Azure.
Vyberte tlačítko Další: Zkontrolovat a vytvořit v dolní části obrazovky. Vyberte Vytvořit.
Výpis připojení privátního koncového bodu k instanci
Po vytvoření a aktualizaci privátního koncového bodu se služba zobrazí v seznamu na stránce připojení příchozího privátního koncového bodu instance služby API Management na portálu.
Poznamenejte si stav připojení koncového bodu:
Schváleno označuje, že prostředek služby API Management připojení automaticky schválil.
Čeká se na vyřízení, že připojení musí být ručně schváleno vlastníkem prostředku.
Schválení nevyřízených připojení privátních koncových bodů
Pokud je připojení privátního koncového bodu ve stavu čekání, musí ho vlastník instance služby API Management před použitím schválit ručně.
Pokud máte dostatečná oprávnění, na stránce připojení privátního koncového bodu instance SLUŽBY API Management na portálu schvalte připojení privátního koncového bodu. V místní nabídce připojení (...) vyberte Schválit.
Můžete také použít připojení privátního koncového bodu služby API Management – Vytvoření nebo aktualizace rozhraní REST API ke schválení nevyřízených připojení privátních koncových bodů.
Poznámka
V současné době nemůžete nastavit privátní koncový bod při vytváření instance Standard v2 nebo pomocí okna Síť instancí na webu Azure Portal.
Jak je znázorněno v tomto článku, musíte vytvářet a spravovat prostředky privátního koncového bodu odděleně od instance API Management Standard v2.
Na webu Azure Portal přejděte do Centra služby Private Link.
Vyberte privátní koncové body> + Vytvořit.
Na kartě Základy vytvoření privátního koncového bodu zadejte nebo vyberte následující informace:
Nastavení
Hodnota
Podrobnosti projektu
Předplatné
Vyberte své předplatné.
Skupina prostředků
Vyberte existující skupinu prostředků nebo vytvořte novou. Musí být ve stejné oblasti jako vaše virtuální síť.
Podrobnosti o instanci
Název
Zadejte název koncového bodu, například myPrivateEndpoint.
Název síťového rozhraní
Zadejte název síťového rozhraní, například myInterface.
Oblast
Vyberte umístění privátního koncového bodu. Musí být ve stejné oblasti jako vaše virtuální síť. Může se lišit od oblasti, ve které je vaše instance služby API Management hostovaná.
Vyberte tlačítko Další: Prostředek v dolní části obrazovky.
Do pole Zdroj zadejte nebo vyberte tyto informace:
Nastavení
Hodnota
Předplatné
Vaše předplatné je vybrané.
Typ prostředku
Vyberte Microsoft.ApiManagement/service.
Prostředek
Vyberte instanci služby API Management Standard v2.
Target sub-resource
Vyberte bránu.
Důležité
Pro službu API Management se podporuje jenom podnabídka brány. Jiné dílčí prostředky nejsou podporované.
Vyberte tlačítko Další: Virtuální síť v dolní části obrazovky.
Ve virtuální síti zadejte nebo vyberte tyto informace:
Nastavení
Hodnota
Virtuální síť
Vyberte svou virtuální síť.
Podsíť
Vyberte podsíť.
Zásady sítě pro privátní koncové body
Ponechte výchozí hodnotu Zakázáno.
Konfigurace privátní IP adresy
Ve většině případů vyberte Dynamicky přidělovat IP adresu.
Vyberte tlačítko Další: DNS v dolní části obrazovky.
V Privátní DNS integraci zadejte nebo vyberte tyto informace:
Nastavení
Hodnota
Integrovat s privátní zónou DNS
Ponechte výchozí hodnotu Ano.
Předplatné
Vyberte své předplatné.
Skupina prostředků
Vyberte skupinu prostředků.
Privátní zóny DNS
Zobrazí se výchozí hodnota: (nový) privatelink.azure-api.net.
Vyberte tlačítko Další: Karty v dolní části obrazovky. Pokud chcete, zadejte značky pro uspořádání prostředků Azure.
Vyberte tlačítko Další: Zkontrolovat a vytvořit v dolní části obrazovky. Vyberte Vytvořit.
Výpis připojení privátních koncových bodů
Po vytvoření privátního koncového bodu a aktualizaci služby se zobrazí v seznamu na stránce Privátní koncové body v Centru privátníchpropojení.
Ověřte, že je stav připojení koncového bodu schválen.
Volitelně zakažte přístup k veřejné síti.
Pokud chcete volitelně omezit příchozí provoz do instance služby API Management jenom na privátní koncové body, zakažte vlastnost přístupu k veřejné síti.
Poznámka
Přístup k veřejné síti je možné zakázat jenom v instancích služby API Management nakonfigurovaných s privátním koncovým bodem, ne s jinými konfiguracemi sítí.
Pokud chcete zakázat vlastnost přístupu k veřejné síti pomocí Azure CLI, spusťte následující příkaz az apim update a nahraďte názvy vaší instance služby API Management a skupiny prostředků:
az apim update --name my-apim-service --resource-group my-resource-group --public-network-access false
Službu API Management – Aktualizace rozhraní REST API můžete použít také k zakázání přístupu k veřejné síti nastavením publicNetworkAccess vlastnosti na Disabledhodnotu .
Ověření připojení privátního koncového bodu
Po vytvoření privátního koncového bodu potvrďte na portálu jeho nastavení DNS:
V nabídce vlevo v části Nasazení a infrastruktura vyberte >připojení privátního koncového bodu příchozích síťových přenosů a vyberte privátní koncový bod, který jste vytvořili.
V levém navigačním panelu v části Nastavení vyberte konfiguraci DNS.
Zkontrolujte záznamy DNS a IP adresu privátního koncového bodu. IP adresa je privátní adresa v adresním prostoru podsítě, ve které je privátní koncový bod nakonfigurován.
V Centru služby Private Link vyberte privátní koncové body a pak název vašeho privátního koncového bodu.
V levém navigačním panelu v části Nastavení vyberte konfiguraci DNS.
Zkontrolujte záznamy DNS a IP adresu privátního koncového bodu. IP adresa je privátní adresa v adresním prostoru podsítě, ve které je privátní koncový bod nakonfigurován.
Testování ve virtuální síti
Připojte se k virtuálnímu počítači, který jste nastavili ve virtuální síti.
Spusťte nástroj, například nslookup nebo dig vyhledejte IP adresu výchozího koncového bodu brány přes Private Link. Příklad:
Výstup by měl obsahovat privátní IP adresu přidruženou k privátnímu koncovému bodu.
Volání rozhraní API iniciovaná ve virtuální síti do výchozího koncového bodu brány by měla být úspěšná.
Testování z internetu
Mimo cestu privátního koncového bodu se pokuste volat výchozí koncový bod brány instance služby API Management. Pokud je veřejný přístup zakázaný, výstup obsahuje chybu se stavovým kódem 403 a zprávu podobnou této:
Request originated from client public IP address 192.0.2.12, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network.
Související obsah
Pomocí výrazů zásad s proměnnou context.request identifikujte provoz z privátního koncového bodu.
Zjistěte, jak bezpečně připojit Azure SQL Server pomocí privátního koncového bodu Azure prostřednictvím webu Azure Portal a zajistit privátní a bezpečnou komunikaci s SQL Serverem.
Přečtěte si o scénářích a požadavcích na zabezpečení příchozího nebo odchozího provozu pro vaši instanci služby API Management pomocí virtuální sítě Azure.
Zjistěte, jak nasadit (vložit) instanci rozhraní Azure API do virtuální sítě v interním režimu a jak prostřednictvím ní přistupovat k back-endům rozhraní API.
Zjistěte, jak nasadit (vložit) instanci rozhraní Azure API do virtuální sítě v externím režimu a jak prostřednictvím ní přistupovat k back-endům rozhraní API.
Zjistěte, jak integrovat instanci služby Azure API Management ve vrstvě Standard v2 nebo Premium v2 s virtuální sítí pro přístup k back-endovým rozhraním API v síti.
Nastavte a nakonfigurujte Službu Azure API Management v interní virtuální síti s bránou Aplikace Azure lication Gateway (Firewall webových aplikací) jako front-endem.
Přečtěte si o požadavcích na síťové prostředky při nasazení (vložení) instance služby API Management Developer nebo úrovně Premium ve virtuální síti Azure.