Připojení soukromě do služby API Management pomocí příchozího privátního koncového bodu

PLATÍ PRO: Vývojář | Základní | Standardní | Premium

Příchozí privátní koncový bod pro instanci služby API Management můžete nakonfigurovat tak, aby klienti ve vaší privátní síti mohli bezpečně přistupovat k instanci přes Azure Private Link.

• Privátní koncový bod používá IP adresu z virtuální sítě Azure, ve které je hostovaná.

• Síťové přenosy mezi klientem ve vaší privátní virtuální síti a službou API Management prochází přes virtuální síť a Private Link v páteřní síti Microsoftu, čímž se eliminuje riziko vystavení na veřejném internetu.

• Nakonfigurujte si vlastní nastavení DNS nebo privátní zónu Azure DNS pro mapování názvu hostitele služby API Management na privátní IP adresu koncového bodu.

S privátním koncovým bodem a službou Private Link můžete:

• Vytvořit více připojení Private Link k instanci služby API Management.

• Používat privátní koncový bod k odesílání příchozích přenosů v zabezpečeném připojení.

• Pomocí zásad odlišovat přenosy, které pochází z privátního koncového bodu.

• Omezit příchozí přenosy pouze na privátní koncové body, abyste zabránili exfiltraci dat.

Důležité

• Připojení privátního koncového bodu můžete nakonfigurovat jenom pro příchozí provoz do instance služby API Management. Odchozí provoz se v současné době nepodporuje.

  Model externí nebo interní virtuální sítě můžete použít k navázání odchozího připojení k privátním koncovým bodům z vaší instance služby API Management.

• Pokud chcete povolit příchozí privátní koncové body, instance služby API Management se nedá vložit do externí nebo interní virtuální sítě.

Omezení

• Pouze koncový bod brány instance služby API Management podporuje příchozí připojení Private Link.
• Každá instance služby API Management podporuje maximálně 100 připojení Private Link.
• Připojení brány v místním prostředí se nepodporují.

Požadavky

• Existující instance služby API Management. Vytvořte ho, pokud jste to ještě neudělali.
  • Instance služby API Management musí být hostovaná na stv2 výpočetní platformě. Můžete například vytvořit novou instanci nebo pokud už máte instanci na úrovni služby Premium, povolte redundanci zóny.
  • Nenasazujte (vložte) instanci do externí nebo interní virtuální sítě.
• Virtuální síť a podsíť pro hostování privátního koncového bodu. Podsíť může obsahovat další prostředky Azure.
• (Doporučeno) Virtuální počítač ve stejné nebo jiné podsíti ve virtuální síti k otestování privátního koncového bodu.

Metoda schválení privátního koncového bodu

Správce sítě obvykle vytvoří privátní koncový bod. V závislosti na oprávněních řízení přístupu na základě role v Azure (RBAC) se privátní koncový bod, který vytvoříte, buď automaticky schválí odesílání provozu do instance služby API Management, nebo vyžaduje, aby vlastník prostředku připojení schválil ručně .

Metoda schválení	Minimální oprávnění RBAC
Automatic (Automaticky)	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/**
Ruční	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read

Postup konfigurace privátního koncového bodu

1. Získání dostupných typů privátních koncových bodů v předplatném
2. Zakázání zásad sítě v podsíti
3. Vytvoření privátního koncového bodu – portál
4. Výpis připojení privátního koncového bodu k instanci
5. Schválení nevyřízených připojení privátních koncových bodů
6. Volitelně zakažte přístup k veřejné síti.

Získání dostupných typů privátních koncových bodů v předplatném

Ověřte, že je typ privátního koncového bodu služby API Management dostupný ve vašem předplatném a umístění. Na portálu najdete tyto informace tak, že přejdete do Centra služby Private Link. Vyberte Podporované prostředky.

Tyto informace najdete také pomocí dostupných typů privátních koncových bodů – výpis rozhraní REST API.

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01

Výstup by měl zahrnovat typ koncového Microsoft.ApiManagement.service bodu:

[...]

      "name": "Microsoft.ApiManagement.service",
      "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Network/AvailablePrivateEndpointTypes/Microsoft.ApiManagement.service",
      "type": "Microsoft.Network/AvailablePrivateEndpointTypes",
      "resourceName": "Microsoft.ApiManagement/service",
      "displayName": "Microsoft.ApiManagement/service",
      "apiVersion": "2021-04-01-preview"
    }
[...]

Zakázání zásad sítě v podsíti

Zásady sítě, jako jsou skupiny zabezpečení sítě, musí být v podsíti používané pro privátní koncový bod zakázané.

Pokud ke konfiguraci privátních koncových bodů používáte nástroje, jako je Azure PowerShell, Azure CLI nebo REST API, aktualizujte konfiguraci podsítě ručně. Příklady najdete v tématu Správa zásad sítě pro privátní koncové body.

Když k vytvoření privátního koncového bodu použijete Azure Portal, jak je znázorněno v další části, zásady sítě se v rámci procesu vytváření automaticky deaktivují.

Vytvoření privátního koncového bodu – portál

1. Na webu Azure Portal přejděte ke službě API Management.

2. V nabídce vlevo vyberte Síť.

3. Vyberte Příchozí připojení> privátního koncového bodu + Přidat koncový bod.

   

4. Na kartě Základy vytvoření privátního koncového bodu zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte existující skupinu prostředků nebo vytvořte novou. Musí být ve stejné oblasti jako vaše virtuální síť.
   Podrobnosti o instanci
   Název	Zadejte název koncového bodu, například myPrivateEndpoint.
   Název síťového rozhraní	Zadejte název síťového rozhraní, například myInterface.
   Oblast	Vyberte umístění privátního koncového bodu. Musí být ve stejné oblasti jako vaše virtuální síť. Může se lišit od oblasti, ve které je vaše instance služby API Management hostovaná.

5. Vyberte kartu Zdroj nebo tlačítko Další: Prostředek v dolní části stránky. Následující informace o vaší instanci služby API Management jsou už vyplněné:

   • Předplatné
   • Skupina prostředků
   • Název prostředku

6. V prostředku v podnabídce Cíl vyberte Bránu.

   

7. Vyberte kartu Virtuální síť nebo tlačítko Další: Virtuální síť v dolní části obrazovky.

8. V části Sítě zadejte nebo vyberte tyto informace:

   Nastavení	Hodnota
   Virtuální síť	Vyberte svou virtuální síť.
   Podsíť	Vyberte podsíť.
   Konfigurace privátní IP adresy	Ve většině případů vyberte Dynamicky přidělovat IP adresu.
   Skupina zabezpečení aplikace	Volitelně vyberte skupinu zabezpečení aplikace.

9. Vyberte kartu DNS nebo tlačítko Další: DNS v dolní části obrazovky.

10. V Privátní DNS integraci zadejte nebo vyberte tyto informace:

    Nastavení	Hodnota
    Integrovat s privátní zónou DNS	Ponechte výchozí hodnotu Ano.
    Předplatné	Vyberte své předplatné.
    Skupina prostředků	Vyberte skupinu prostředků.
    Privátní zóny DNS	Zobrazí se výchozí hodnota: (nový) privatelink.azure-api.net.

11. Vyberte kartu Značky nebo tlačítko Další: Karty v dolní části obrazovky. Pokud chcete, zadejte značky pro uspořádání prostředků Azure.

12. Vyberte Zkontrolovat a vytvořit.

13. Vyberte Vytvořit.

Výpis připojení privátního koncového bodu k instanci

Po vytvoření privátního koncového bodu se zobrazí v seznamu na stránce Příchozí připojení privátního koncového bodu instance služby API Management na portálu.

K výpisu připojení privátního koncového bodu k instanci služby můžete použít také Připojení ion – Výpis podle rozhraní REST API služby.

Poznamenejte si stav Připojení ion koncového bodu:

• Schváleno označuje, že prostředek služby API Management připojení automaticky schválil.
• Čeká se na vyřízení, že připojení musí být ručně schváleno vlastníkem prostředku.

Schválení nevyřízených připojení privátních koncových bodů

Pokud je připojení privátního koncového bodu ve stavu čekání, musí ho vlastník instance služby API Management před použitím schválit ručně.

Pokud máte dostatečná oprávnění, na stránce připojení privátního koncového bodu instance SLUŽBY API Management na portálu schvalte připojení privátního koncového bodu.

Můžete také použít privátní koncový bod služby API Management Připojení ion – vytvoření nebo aktualizace rozhraní REST API.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{apimServiceName}privateEndpointConnections/{privateEndpointConnectionName}?api-version=2021-08-01

Volitelně zakažte přístup k veřejné síti.

Pokud chcete volitelně omezit příchozí provoz do instance služby API Management jenom na privátní koncové body, zakažte přístup k veřejné síti. Pomocí služby API Management – Vytvoření nebo aktualizace rozhraní REST API nastavte publicNetworkAccess vlastnost na Disabled.

Poznámka:

publicNetworkAccess Vlastnost lze použít pouze k zakázání veřejného přístupu k instancím služby API Management nakonfigurovaným s privátním koncovým bodem, nikoli s jinými konfiguracemi sítí, jako je injektáž virtuální sítě.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{apimServiceName}?api-version=2021-08-01
Authorization: Bearer {{authToken.response.body.access_token}}
Content-Type: application/json

Použijte následující text JSON:

{
  [...]
  "properties": {
    "publicNetworkAccess": "Disabled"
  }
}

Ověření připojení privátního koncového bodu

Po vytvoření privátního koncového bodu potvrďte na portálu jeho nastavení DNS:

1. Na webu Azure Portal přejděte ke službě API Management.

2. V nabídce vlevo vyberte >připojení privátního koncového bodu příchozích síťových přenosů a vyberte privátní koncový bod, který jste vytvořili.

3. Na levém navigačním panelu vyberte Konfigurace DNS.

4. Zkontrolujte záznamy DNS a IP adresu privátního koncového bodu. IP adresa je privátní adresa v adresním prostoru podsítě, ve které je privátní koncový bod nakonfigurován.

Testování ve virtuální síti

Připojte se k virtuálnímu počítači, který jste nastavili ve virtuální síti.

Spusťte nástroj, například nslookup nebo dig vyhledejte IP adresu výchozího koncového bodu brány přes Private Link. Příklad:

nslookup my-apim-service.azure-api.net

Výstup by měl obsahovat privátní IP adresu přidruženou k privátnímu koncovému bodu.

Volání rozhraní API iniciovaná ve virtuální síti do výchozího koncového bodu brány by měla být úspěšná.

Testování z internetu

Mimo cestu privátního koncového bodu se pokuste volat výchozí koncový bod brány instance služby API Management. Pokud je veřejný přístup zakázaný, výstup bude obsahovat chybu se stavovým kódem 403 a podobnou zprávou:

Request originated from client public IP address xxx.xxx.xxx.xxx, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
       
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network. 

Další kroky

• Pomocí výrazů zásad s proměnnou context.request identifikujte provoz z privátního koncového bodu.
• Přečtěte si další informace o privátních koncových bodech a službě Private Link, včetně cen služby Private Link.
• Přečtěte si další informace o správě připojení privátních koncových bodů.
• Řešení potíží s připojením privátního koncového bodu Azure
• Pomocí šablony Resource Manageru vytvořte instanci služby API Management a privátní koncový bod s integrací privátního DNS.