Připojení soukromě do služby API Management pomocí příchozího privátního koncového bodu
PLATÍ PRO: Vývojář | Základní | Standardní | Premium
Příchozí privátní koncový bod pro instanci služby API Management můžete nakonfigurovat tak, aby klienti ve vaší privátní síti mohli bezpečně přistupovat k instanci přes Azure Private Link.
Privátní koncový bod používá IP adresu z virtuální sítě Azure, ve které je hostovaná.
Síťové přenosy mezi klientem ve vaší privátní virtuální síti a službou API Management prochází přes virtuální síť a Private Link v páteřní síti Microsoftu, čímž se eliminuje riziko vystavení na veřejném internetu.
Nakonfigurujte si vlastní nastavení DNS nebo privátní zónu Azure DNS pro mapování názvu hostitele služby API Management na privátní IP adresu koncového bodu.
S privátním koncovým bodem a službou Private Link můžete:
Vytvořit více připojení Private Link k instanci služby API Management.
Používat privátní koncový bod k odesílání příchozích přenosů v zabezpečeném připojení.
Pomocí zásad odlišovat přenosy, které pochází z privátního koncového bodu.
Omezit příchozí přenosy pouze na privátní koncové body, abyste zabránili exfiltraci dat.
Důležité
Připojení privátního koncového bodu můžete nakonfigurovat jenom pro příchozí provoz do instance služby API Management. Odchozí provoz se v současné době nepodporuje.
Model externí nebo interní virtuální sítě můžete použít k navázání odchozího připojení k privátním koncovým bodům z vaší instance služby API Management.
Pokud chcete povolit příchozí privátní koncové body, instance služby API Management se nedá vložit do externí nebo interní virtuální sítě.
Omezení
- Pouze koncový bod brány instance služby API Management podporuje příchozí připojení Private Link.
- Každá instance služby API Management podporuje maximálně 100 připojení Private Link.
- Připojení brány v místním prostředí se nepodporují.
Požadavky
- Existující instance služby API Management. Vytvořte ho, pokud jste to ještě neudělali.
- Instance služby API Management musí být hostovaná na
stv2
výpočetní platformě. Můžete například vytvořit novou instanci nebo pokud už máte instanci na úrovni služby Premium, povolte redundanci zóny. - Nenasazujte (vložte) instanci do externí nebo interní virtuální sítě.
- Instance služby API Management musí být hostovaná na
- Virtuální síť a podsíť pro hostování privátního koncového bodu. Podsíť může obsahovat další prostředky Azure.
- (Doporučeno) Virtuální počítač ve stejné nebo jiné podsíti ve virtuální síti k otestování privátního koncového bodu.
Metoda schválení privátního koncového bodu
Správce sítě obvykle vytvoří privátní koncový bod. V závislosti na oprávněních řízení přístupu na základě role v Azure (RBAC) se privátní koncový bod, který vytvoříte, buď automaticky schválí odesílání provozu do instance služby API Management, nebo vyžaduje, aby vlastník prostředku připojení schválil ručně .
Metoda schválení | Minimální oprávnění RBAC |
---|---|
Automatic (Automaticky) | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/** |
Ruční | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Postup konfigurace privátního koncového bodu
- Získání dostupných typů privátních koncových bodů v předplatném
- Zakázání zásad sítě v podsíti
- Vytvoření privátního koncového bodu – portál
- Výpis připojení privátního koncového bodu k instanci
- Schválení nevyřízených připojení privátních koncových bodů
- Volitelně zakažte přístup k veřejné síti.
Získání dostupných typů privátních koncových bodů v předplatném
Ověřte, že je typ privátního koncového bodu služby API Management dostupný ve vašem předplatném a umístění. Na portálu najdete tyto informace tak, že přejdete do Centra služby Private Link. Vyberte Podporované prostředky.
Tyto informace najdete také pomocí dostupných typů privátních koncových bodů – výpis rozhraní REST API.
GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01
Výstup by měl zahrnovat typ koncového Microsoft.ApiManagement.service
bodu:
[...]
"name": "Microsoft.ApiManagement.service",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Network/AvailablePrivateEndpointTypes/Microsoft.ApiManagement.service",
"type": "Microsoft.Network/AvailablePrivateEndpointTypes",
"resourceName": "Microsoft.ApiManagement/service",
"displayName": "Microsoft.ApiManagement/service",
"apiVersion": "2021-04-01-preview"
}
[...]
Zakázání zásad sítě v podsíti
Zásady sítě, jako jsou skupiny zabezpečení sítě, musí být v podsíti používané pro privátní koncový bod zakázané.
Pokud ke konfiguraci privátních koncových bodů používáte nástroje, jako je Azure PowerShell, Azure CLI nebo REST API, aktualizujte konfiguraci podsítě ručně. Příklady najdete v tématu Správa zásad sítě pro privátní koncové body.
Když k vytvoření privátního koncového bodu použijete Azure Portal, jak je znázorněno v další části, zásady sítě se v rámci procesu vytváření automaticky deaktivují.
Vytvoření privátního koncového bodu – portál
Na webu Azure Portal přejděte ke službě API Management.
V nabídce vlevo vyberte Síť.
Vyberte Příchozí připojení> privátního koncového bodu + Přidat koncový bod.
Na kartě Základy vytvoření privátního koncového bodu zadejte nebo vyberte následující informace:
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné. Skupina prostředků Vyberte existující skupinu prostředků nebo vytvořte novou. Musí být ve stejné oblasti jako vaše virtuální síť. Podrobnosti o instanci Název Zadejte název koncového bodu, například myPrivateEndpoint. Název síťového rozhraní Zadejte název síťového rozhraní, například myInterface. Oblast Vyberte umístění privátního koncového bodu. Musí být ve stejné oblasti jako vaše virtuální síť. Může se lišit od oblasti, ve které je vaše instance služby API Management hostovaná. Vyberte kartu Zdroj nebo tlačítko Další: Prostředek v dolní části stránky. Následující informace o vaší instanci služby API Management jsou už vyplněné:
- Předplatné
- Skupina prostředků
- Název prostředku
V prostředku v podnabídce Cíl vyberte Bránu.
Vyberte kartu Virtuální síť nebo tlačítko Další: Virtuální síť v dolní části obrazovky.
V části Sítě zadejte nebo vyberte tyto informace:
Nastavení Hodnota Virtuální síť Vyberte svou virtuální síť. Podsíť Vyberte podsíť. Konfigurace privátní IP adresy Ve většině případů vyberte Dynamicky přidělovat IP adresu. Skupina zabezpečení aplikace Volitelně vyberte skupinu zabezpečení aplikace. Vyberte kartu DNS nebo tlačítko Další: DNS v dolní části obrazovky.
V Privátní DNS integraci zadejte nebo vyberte tyto informace:
Nastavení Hodnota Integrovat s privátní zónou DNS Ponechte výchozí hodnotu Ano. Předplatné Vyberte své předplatné. Skupina prostředků Vyberte skupinu prostředků. Privátní zóny DNS Zobrazí se výchozí hodnota: (nový) privatelink.azure-api.net. Vyberte kartu Značky nebo tlačítko Další: Karty v dolní části obrazovky. Pokud chcete, zadejte značky pro uspořádání prostředků Azure.
Vyberte Zkontrolovat a vytvořit.
Vyberte Vytvořit.
Výpis připojení privátního koncového bodu k instanci
Po vytvoření privátního koncového bodu se zobrazí v seznamu na stránce Příchozí připojení privátního koncového bodu instance služby API Management na portálu.
K výpisu připojení privátního koncového bodu k instanci služby můžete použít také Připojení ion – Výpis podle rozhraní REST API služby.
Poznamenejte si stav Připojení ion koncového bodu:
- Schváleno označuje, že prostředek služby API Management připojení automaticky schválil.
- Čeká se na vyřízení, že připojení musí být ručně schváleno vlastníkem prostředku.
Schválení nevyřízených připojení privátních koncových bodů
Pokud je připojení privátního koncového bodu ve stavu čekání, musí ho vlastník instance služby API Management před použitím schválit ručně.
Pokud máte dostatečná oprávnění, na stránce připojení privátního koncového bodu instance SLUŽBY API Management na portálu schvalte připojení privátního koncového bodu.
Můžete také použít privátní koncový bod služby API Management Připojení ion – vytvoření nebo aktualizace rozhraní REST API.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{apimServiceName}privateEndpointConnections/{privateEndpointConnectionName}?api-version=2021-08-01
Volitelně zakažte přístup k veřejné síti.
Pokud chcete volitelně omezit příchozí provoz do instance služby API Management jenom na privátní koncové body, zakažte přístup k veřejné síti. Pomocí služby API Management – Vytvoření nebo aktualizace rozhraní REST API nastavte publicNetworkAccess
vlastnost na Disabled
.
Poznámka:
publicNetworkAccess
Vlastnost lze použít pouze k zakázání veřejného přístupu k instancím služby API Management nakonfigurovaným s privátním koncovým bodem, nikoli s jinými konfiguracemi sítí, jako je injektáž virtuální sítě.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{apimServiceName}?api-version=2021-08-01
Authorization: Bearer {{authToken.response.body.access_token}}
Content-Type: application/json
Použijte následující text JSON:
{
[...]
"properties": {
"publicNetworkAccess": "Disabled"
}
}
Ověření připojení privátního koncového bodu
Po vytvoření privátního koncového bodu potvrďte na portálu jeho nastavení DNS:
Na webu Azure Portal přejděte ke službě API Management.
V nabídce vlevo vyberte >připojení privátního koncového bodu příchozích síťových přenosů a vyberte privátní koncový bod, který jste vytvořili.
Na levém navigačním panelu vyberte Konfigurace DNS.
Zkontrolujte záznamy DNS a IP adresu privátního koncového bodu. IP adresa je privátní adresa v adresním prostoru podsítě, ve které je privátní koncový bod nakonfigurován.
Testování ve virtuální síti
Připojte se k virtuálnímu počítači, který jste nastavili ve virtuální síti.
Spusťte nástroj, například nslookup
nebo dig
vyhledejte IP adresu výchozího koncového bodu brány přes Private Link. Příklad:
nslookup my-apim-service.azure-api.net
Výstup by měl obsahovat privátní IP adresu přidruženou k privátnímu koncovému bodu.
Volání rozhraní API iniciovaná ve virtuální síti do výchozího koncového bodu brány by měla být úspěšná.
Testování z internetu
Mimo cestu privátního koncového bodu se pokuste volat výchozí koncový bod brány instance služby API Management. Pokud je veřejný přístup zakázaný, výstup bude obsahovat chybu se stavovým kódem 403
a podobnou zprávou:
Request originated from client public IP address xxx.xxx.xxx.xxx, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network.
Další kroky
- Pomocí výrazů zásad s proměnnou
context.request
identifikujte provoz z privátního koncového bodu. - Přečtěte si další informace o privátních koncových bodech a službě Private Link, včetně cen služby Private Link.
- Přečtěte si další informace o správě připojení privátních koncových bodů.
- Řešení potíží s připojením privátního koncového bodu Azure
- Pomocí šablony Resource Manageru vytvořte instanci služby API Management a privátní koncový bod s integrací privátního DNS.