Privátní připojení ke službě API Management pomocí příchozího privátního koncového bodu

PLATÍ PRO: Vývojář | Základní | Standardní | Standard v2 | Premium | Premium v2

Příchozí privátní koncový bod pro instanci služby API Management můžete nakonfigurovat tak, aby klienti ve vaší privátní síti mohli bezpečně přistupovat k instanci přes Azure Private Link.

• Privátní koncový bod používá IP adresu z virtuální sítě Azure, ve které je hostovaná.

• Síťový provoz mezi klientem ve vaší privátní síti a službou API Management prochází přes virtuální síť a službou Private Link v páteřní síti Microsoftu, čímž se eliminuje vystavení z veřejného internetu.

• Nakonfigurujte si vlastní nastavení DNS nebo privátní zónu Azure DNS pro mapování názvu hostitele služby API Management na privátní IP adresu koncového bodu.

S privátním koncovým bodem a službou Private Link můžete:

• Vytvořte vícero připojení Private Link k instanci služby API Management.

• Použijte privátní koncový bod pro příjem příchozího provozu přes zabezpečené připojení.

• Pomocí zásad odlišovat přenosy, které pochází z privátního koncového bodu.

• Omezit příchozí přenosy pouze na privátní koncové body, abyste zabránili exfiltraci dat.

• Zkombinujte příchozí privátní koncové body s instancemi Standard v2 s integrací odchozí virtuální sítě, abyste zajistili kompletní izolaci sítě klientů služby API Management a back-endových služeb.

  

Důležité

• Připojení privátního koncového bodu můžete nakonfigurovat jenom pro příchozí provoz do instance služby API Management.
• Přístup k instanci služby API Management můžete zakázat pouze po konfiguraci privátního koncového bodu.

Omezení

• Pouze koncový bod brány služby API Management instance podporuje příchozí připojení Private Link.
• Každá instance služby API Management podporuje maximálně 100 připojení Private Link.
• Připojení nejsou podporována v bráně v místním prostředí ani v bráně pracovního prostoru.
• V klasických úrovních služby API Management nejsou privátní koncové body podporovány v instancích přiřazených do interní nebo externí virtuální sítě.

Typické scénáře

Pomocí příchozího privátního koncového bodu povolte privátní přístup přímo k bráně služby API Management, abyste omezili riziko ohrožení citlivých dat nebo back-endů.

Mezi podporované konfigurace patří:

• Předávat požadavky klientů přes bránu firewall a konfigurovat pravidla pro privátní směrování požadavků do brány API Management.

• Nakonfigurujte Službu Azure Front Door (nebo Azure Front Door se službou Azure Application Gateway) tak, aby přijímala externí provoz, a pak provoz směrujte soukromě do brány služby API Management. Příklad najdete v tématu Připojení služby Azure Front Door Premium ke službě Azure API Management pomocí služby Private Link.

  Poznámka:

  V současné době se privátní směrování provozu z Azure Front Dooru do instance API Management Premium v2 nepodporuje.

Požadavky

• Existující instance služby API Management. Vytvořte ho, pokud jste to ještě neudělali.
  • Pokud používáte instanci v klasické úrovni Developer nebo Premium, nenasazujte ji (vložte) do externí nebo interní virtuální sítě.
• Dostupnost typu privátního koncového bodu služby API Management ve vašem předplatném a oblasti
• Virtuální síť obsahující podsíť pro hostování privátního koncového bodu. Podsíť může obsahovat další prostředky Azure, ale nedá se delegovat na jinou službu.
• (Doporučeno) Virtuální počítač ve stejné nebo jiné podsíti ve virtuální síti k otestování privátního koncového bodu.

• Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Začínáme s Azure Cloud Shellem.

  

• Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

  • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Ověřování v Azure pomocí Azure CLI.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Použití a správa rozšíření pomocí Azure CLI.

  • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

Metoda schválení privátního koncového bodu

Správce sítě obvykle vytvoří privátní koncový bod. V závislosti na vašich oprávněních pro řízení přístupu na základě role v Azure (RBAC) je privátní koncový bod, který vytvoříte, buď automaticky schválen k odesílání provozu do instance API Management, nebo vyžaduje, aby vlastník prostředku ručně schválil připojení.

Metoda schválení	Minimální oprávnění RBAC
Automatic (Automaticky)	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/**
Ruční	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read

Postup konfigurace privátního koncového bodu

Pomocí těchto kroků vytvořte a nakonfigurujte privátní koncový bod pro vaši instanci služby API Management.

Vytvoření privátního koncového bodu – portál

Klasické

Na úrovních Classic můžete vytvořit privátní koncový bod při vytváření instance služby API Management na webu Azure Portal nebo můžete přidat privátní koncový bod do existující instance.

Vytvoření privátního koncového bodu při vytváření instance služby API Management

1. V průvodci vytvořením služby API Management vyberte kartu Sítě .

2. V typu připojení vyberte privátní koncový bod.

3. Vyberte + Přidat.

4. Na stránce Vytvořit privátní koncový bod zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte existující skupinu prostředků nebo vytvořte novou. Musí být ve stejné oblasti jako vaše virtuální síť.
   Umístění	Vyberte umístění privátního koncového bodu. Musí být ve stejné oblasti jako vaše virtuální síť. Může se lišit od oblasti, ve které je vaše instance služby API Management hostovaná.
   Název	Zadejte název koncového bodu, například myPrivateEndpoint.
   Podřízený prostředek	Vyberte bránu.

5. V části Sítě zadejte nebo vyberte virtuální síť a podsíť pro váš privátní koncový bod.

6. V části Integrace privátního DNS vyberte Možnost Integrace s privátní zónou DNS. Zobrazí se výchozí zóna DNS: privatelink.azure-api.net.

7. Vyberte OK.

8. Pokračujte vytvořením instance služby API Management.

Vytvoření privátního koncového bodu pro existující instanci služby API Management

1. Na webu Azure Portal přejděte do služby API Management.

2. V nabídce vlevo v části Nasazení + infrastruktura vyberte Síť.

3. Vyberte Příchozí připojení> privátního koncového bodu + Přidat koncový bod.

   

4. Na kartě Základy zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte existující skupinu prostředků nebo vytvořte novou. Musí být ve stejné oblasti jako vaše virtuální síť.
   Podrobnosti o instanci
   Název	Zadejte název koncového bodu, například myPrivateEndpoint.
   Název síťového rozhraní	Zadejte název síťového rozhraní, například myInterface.
   Oblast	Vyberte umístění privátního koncového bodu. Musí být ve stejné oblasti jako vaše virtuální síť. Může se lišit od oblasti, ve které je vaše instance služby API Management hostovaná.

5. Vyberte tlačítko Další: Prostředek v dolní části obrazovky. Následující informace o vaší instanci služby API Management jsou už vyplněné:

   • Předplatné
   • Typ prostředku
   • Název prostředku

6. V zdroji, v podřízeném prostředku Cíl vyberte Bránu.

   

   Důležité

   Pro službu API Management se podporuje jenom podzdroj brány. Jiné dílčí prostředky nejsou podporované.

7. Vyberte tlačítko Další: Virtuální síť v dolní části obrazovky.

8. Ve virtuální síti zadejte nebo vyberte tyto informace:

   Nastavení	Hodnota
   Virtuální síť	Vyberte svou virtuální síť.
   Podsíť	Vyberte podsíť.
   Konfigurace privátní IP adresy	Ve většině případů vyberte Dynamicky přidělit IP adresu.
   Skupina zabezpečení aplikace	Volitelně vyberte skupinu zabezpečení aplikace.

9. Vyberte tlačítko Další: DNS v dolní části obrazovky.

10. V Privátní DNS integraci zadejte nebo vyberte tyto informace:

    Nastavení	Hodnota
    Integrovat s privátní zónou DNS	Ponechte výchozí hodnotu Ano.
    Předplatné	Vyberte své předplatné.
    Skupina prostředků	Vyberte skupinu prostředků.
    Privátní zóny DNS	Zobrazí se výchozí hodnota: (nový) privatelink.azure-api.net.

11. Vyberte Další: Karty v dolní části obrazovky. Pokud chcete, zadejte značky pro uspořádání prostředků Azure.

12. Vyberte Další: Zkontrolovat a vytvořit v dolní části obrazovky. Vyberte Vytvořit.

Výpis připojení privátního koncového bodu k instanci

Po vytvoření privátního koncového bodu a aktualizaci služby se privátní koncový bod zobrazí v seznamu na stránce připojení příchozího privátního koncového bodu instance služby API Management na portálu.

Poznamenejte si stav připojení koncového bodu:

• Schváleno označuje, že prostředek služby API Management připojení automaticky schválil.
• Čekající označuje, že připojení musí být ručně schváleno vlastníkem zdroje.

Schválení nevyřízených připojení privátních koncových bodů

Pokud je připojení privátního koncového bodu ve stavu čekání, musí ho vlastník instance služby API Management před použitím schválit ručně.

Pokud máte dostatečná oprávnění, schvalte připojení privátního koncového bodu na stránce Připojení privátních koncových bodů instance API Management v portálu. V místní nabídce připojení (...) vyberte Schválit.

Můžete také použít rozhraní REST API API Management – Vytvoření nebo aktualizace privátního koncového bodu ke schválení nevyřízených připojení privátních koncových bodů.

Standard v2

Privátní koncový bod můžete vytvořit při vytváření instance služby API Management na webu Azure Portal nebo můžete přidat privátní koncový bod do existující instance.

Vytvoření privátního koncového bodu při vytváření instance služby API Management Standard v2

1. V průvodci vytvořením služby API Management vyberte kartu Sítě .

2. V konfiguraci sítě vyberte příchozí privátní propojení nebo integraci odchozí virtuální sítě.

3. Vedle privátních koncových bodů vyberte Vytvořit nový.

4. Na stránce Vytvořit privátní koncový bod zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte existující skupinu prostředků nebo vytvořte novou. Musí být ve stejné oblasti jako vaše virtuální síť.
   Umístění	Vyberte umístění privátního koncového bodu. Musí být ve stejné oblasti jako vaše virtuální síť. Může se lišit od oblasti, ve které je vaše instance služby API Management hostovaná.
   Název	Zadejte název koncového bodu, například myPrivateEndpoint.
   Podřízený prostředek	Vyberte bránu.

5. V části Sítě zadejte nebo vyberte virtuální síť a podsíť pro váš privátní koncový bod.

6. V části Integrace privátního DNS vyberte Možnost Integrace s privátní zónou DNS. Zobrazí se výchozí zóna DNS: privatelink.azure-api.net.

7. Vyberte OK.

8. Volitelně můžete nakonfigurovat nastavení pro integraci odchozí virtuální sítě.

9. Pokračujte vytvořením instance služby API Management.

Vytvoření privátního koncového bodu pro existující instanci služby API Management Standard v2

1. Na webu Azure Portal přejděte do instance služby API Management Standard v2.

2. V nabídce vlevo v části Nasazení a infrastruktura vyberte síť>Upravit.

3. V části Příchozí funkce vedle privátních koncových bodů vyberte Vytvořit novou.

4. Na stránce Vytvořit privátní koncový bod zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte existující skupinu prostředků nebo vytvořte novou. Musí být ve stejné oblasti jako vaše virtuální síť.
   Umístění	Vyberte umístění privátního koncového bodu. Musí být ve stejné oblasti jako vaše virtuální síť. Může se lišit od oblasti, ve které je vaše instance služby API Management hostovaná.
   Název	Zadejte název koncového bodu, například myPrivateEndpoint.
   Podřízený prostředek	Vyberte bránu.

5. V části Konfigurace virtuální sítě zadejte nebo vyberte virtuální síť a podsíť pro váš privátní koncový bod.

6. V části Integrace privátního DNS vyberte Povolit a vyberte vaše předplatné a skupinu prostředků. Zobrazí se výchozí zóna DNS: privatelink.azure-api.net.

7. Vyberte Vytvořit. Ve výchozím nastavení je stav připojení koncového bodu schválen.

Výpis připojení privátních koncových bodů

Výpis připojení privátního koncového bodu k instanci služby API Management:

1. Na webu Azure Portal přejděte do instance služby API Management Standard v2.

2. V nabídce vlevo v části Nasazení + infrastruktura vyberte Síť.

3. Vedle privátních koncových bodů vyberte odkaz.

4. Na stránce Privátní koncové body zkontrolujte privátní koncové body instance služby API Management.

5. Pokud chcete změnit stav připojení nebo odstranit koncový bod, vyberte koncový bod a pak vyberte místní nabídku (...). V nabídce zvolte příslušný příkaz.

Premium v2

Pro instanci API Management Premium v2 musíte v současné době ve službách Private Link vytvořit prostředek privátního koncového bodu samostatně.

Vytvoření privátního koncového bodu pro existující instanci API Management Premium v2

1. Na webu Azure Portal přejděte do privátních koncových bodů.

2. Vyberte + Vytvořit.

3. Na kartě Základy v Vytvořit privátní koncový bod zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte existující skupinu prostředků nebo vytvořte novou. Musí být ve stejné oblasti jako vaše virtuální síť.
   Podrobnosti o instanci
   Název	Zadejte název koncového bodu, například myPrivateEndpoint.
   Název síťového rozhraní	Zadejte název síťového rozhraní, například myInterface.
   Oblast	Vyberte umístění privátního koncového bodu. Musí být ve stejné oblasti jako vaše virtuální síť. Může se lišit od oblasti, ve které je vaše instance služby API Management hostovaná.

4. Vyberte tlačítko Další: Prostředek v dolní části obrazovky.

5. Do pole Zdroj zadejte nebo vyberte tyto informace:

   Nastavení	Hodnota
   Předplatné	Vaše předplatné je vybrané.
   Typ prostředku	Vyberte Microsoft.ApiManagement/service.
   Resource	Vyberte instanci služby API Management Premium v2.
   Cílová podresursa	Vyberte bránu.

   

   Důležité

   Pro službu API Management se podporuje jenom podzdroj brány. Jiné dílčí prostředky nejsou podporované.

6. Vyberte tlačítko Další: Virtuální síť v dolní části obrazovky.

7. V Síti zadejte nebo vyberte tyto informace:

   Nastavení	Hodnota
   Virtuální síť	Vyberte svou virtuální síť.
   Podsíť	Vyberte podsíť.
   Zásady sítě pro privátní koncové body	Ponechte výchozí hodnotu Zakázáno.
   Konfigurace privátní IP adresy	Ve většině případů vyberte Dynamicky přidělit IP adresu.
   Skupina zabezpečení aplikace	Volitelně vyberte skupinu zabezpečení aplikace.

8. Vyberte tlačítko Další: DNS v dolní části obrazovky.

9. V Privátní DNS integraci zadejte nebo vyberte tyto informace:

   Nastavení	Hodnota
   Integrovat s privátní zónou DNS	Ponechte výchozí hodnotu Ano.
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte skupinu prostředků.
   Privátní zóny DNS	Zobrazí se výchozí hodnota: (nový) privatelink.azure-api.net.

10. Vyberte Další: Karty v dolní části obrazovky. Pokud chcete, zadejte značky k uspořádání prostředků Azure.

11. Vyberte Další: Zkontrolovat a vytvořit v dolní části obrazovky. Vyberte Vytvořit.

Výpis připojení privátních koncových bodů

Po vytvoření privátního koncového bodu a aktualizaci služby se privátní koncový bod zobrazí v seznamu na stránce Privátní koncové body .

Ujistěte se, že je stav připojení koncového bodu schválen.

Volitelně zakažte přístup k veřejné síti.

Pokud chcete omezit příchozí provoz do instance služby API Management jenom na privátní koncové body, zakažte vlastnost přístupu k veřejné síti.

Důležité

• Po konfiguraci privátního koncového bodu můžete zakázat přístup k veřejné síti.
• Přístup k veřejné síti můžete zakázat v existující instanci služby API Management, ne během procesu nasazení.

Poznámka:

Přístup k veřejné síti můžete zakázat v instancích služby API Management nakonfigurovaných s privátním koncovým bodem, ne s jinými konfiguracemi sítí.

Klasické

Pokud chcete zakázat vlastnost přístupu k veřejné síti v klasických úrovních pomocí Azure CLI, spusťte následující příkaz az apim update a nahraďte názvy vaší instance služby API Management a skupinu prostředků:

az apim update --name my-apim-service --resource-group my-resource-group --public-network-access false

Službu API Management – Aktualizace rozhraní REST API můžete použít také k zakázání přístupu k veřejné síti nastavením publicNetworkAccess vlastnosti na Disabledhodnotu .

Standard v2

Pomocí portálu zakažte vlastnost přístupu k veřejné síti v instanci Standard v2.

1. Na webu Azure Portal přejděte do instance služby API Management Standard v2.

2. V nabídce vlevo v části Nasazení a infrastruktura vyberte síť>Upravit.

3. V části Příchozí funkce v části Přístup k veřejné síti vyberte Zakázat.

Premium v2

Ve vrstvě Premium v2 použijte službu API Management – Aktualizace rozhraní REST API k zakázání přístupu k veřejné síti nastavením vlastnosti publicNetworkAccess na Disabled hodnotu.

Ověření připojení privátního koncového bodu

Po vytvoření privátního koncového bodu potvrďte jeho nastavení DNS na portálu.

Klasické

1. Na webu Azure Portal přejděte do služby API Management.

2. V nabídce vlevo, v části Nasazení a infrastruktura, vyberte Síť>Příchozí připojení privátního koncového bodu a vyberte privátní koncový bod, který jste vytvořili.

3. V levém navigačním panelu v části Nastavení vyberte konfiguraci DNS.

4. Zkontrolujte záznamy DNS a IP adresu privátního koncového bodu. IP adresa je privátní adresa v adresní prostoru podsítě, kde jste nakonfigurovali privátní koncový bod.

Standard v2

1. Na webu Azure Portal přejděte do služby API Management.

2. V nabídce vlevo v části Nasazení a infrastruktura vyberteMožnost Upravit> a vyberte privátní koncový bod, který jste vytvořili.

3. Na stránce privátního koncového bodu zkontrolujte nastavení integrace virtuální sítě a privátního DNS koncového bodu.

Premium v2

1. Na webu Azure Portal přejděte do privátních koncových bodů a pak vyberte název vašeho privátního koncového bodu.

2. V levém navigačním panelu v části Nastavení vyberte konfiguraci DNS.

3. Zkontrolujte záznamy DNS a IP adresu privátního koncového bodu. IP adresa je privátní adresa v adresní prostoru podsítě, kde jste nakonfigurovali privátní koncový bod.

Testování ve virtuální síti

Připojte se k virtuálnímu počítači, který jste nastavili ve virtuální síti.

Spusťte nástroj, například nslookup nebo dig vyhledejte IP adresu výchozího koncového bodu brány přes Private Link. Příklad:

nslookup my-apim-service.privatelink.azure-api.net

Výstup by měl obsahovat privátní IP adresu přidruženou k privátnímu koncovému bodu.

Volání rozhraní API iniciovaná ve virtuální síti do výchozího koncového bodu brány by měla být úspěšná.

Testování z internetu

Mimo cestu privátního koncového bodu se pokuste volat výchozí koncový bod brány instance služby API Management. Pokud je veřejný přístup zakázaný, výstup obsahuje chybu se stavovým kódem 403 a zprávu podobnou této:

Request originated from client public IP address 192.0.2.12, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
       
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network. 

Omezení pro vlastní název domény na úrovních v2

V současné době služba API Management ve vrstvách Standard v2 a Premium v2 vyžaduje veřejně přeložitelný název DNS, který povoluje provoz do koncového bodu brány. Pokud pro koncový bod brány nakonfigurujete vlastní název domény, musí být tento název veřejně přeložitelný, nikoli omezený na privátní zónu DNS.

Jako alternativní řešení ve scénářích, kdy omezíte veřejný přístup k bráně a nakonfigurujete název privátní domény, můžete službu Application Gateway nastavit tak, aby přijímala provoz v názvu privátní domény a směruje ho do koncového bodu brány instance služby API Management. Ukázkovou architekturu najdete v tomto úložišti GitHubu.

Související obsah

• Pomocí výrazů zásad s proměnnou context.request identifikujte provoz z privátního koncového bodu.
• Přečtěte si další informace o privátních koncových bodech a službě Private Link, včetně cen služby Private Link.
• Správa připojení privátního koncového bodu
• Řešení potíží s připojením privátního koncového bodu Azure
• Pomocí šablony Resource Manageru vytvořte klasickou instanci služby API Management a privátní koncový bod.