Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
PLATÍ PRO: Basic v2 | Standard v2 | Premium | Premium v2
Tento článek poskytuje přehled o pracovních prostorech API Management a jak umožňují decentralizovaným týmům pro vývoj API spravovat a komercializovat jejich API v rámci společné servisní infrastruktury.
Proč by měly organizace federovat správu API?
Dnes čelí organizace stále větším výzvám v řízení rostoucího počtu API. S rostoucím počtem API a týmů pro vývoj API roste i složitost jejich správy. Tato složitost může vést ke zvýšeným provozním nákladům, bezpečnostním rizikům a snížené flexibilitě. Na jedné straně chtějí organizace zřídit centralizovanou API infrastrukturu, aby zajistily řízení, bezpečnost a soulad API. Na druhou stranu chtějí, aby jejich API týmy inovovaly a rychle reagovaly na obchodní potřeby, aniž by se musely zabývat správou API platformy.
Federovaný model řízení API řeší tyto potřeby. Federovaná správa API umožňuje decentralizovanou správu API vývojovými týmy s odpovídající izolací řídicí a datové roviny, přičemž si zachovává centralizované řízení, monitorování a objevování API spravované týmem platformy API. Tento model překonává omezení alternativních přístupů, jako je plně centralizovaná správa API týmem platformy nebo izolovaná správa API jednotlivými vývojovými týmy.
Federované řízení API poskytuje:
- Centralizovaná správa a sledovatelnost API
- Jednotné vývojářské rozhraní pro efektivní objevování a zavádění API
- Oddělené administrativní oprávnění mezi API týmy, zvyšující produktivitu a bezpečnost.
- Oddělený runtime API mezi týmy API, zlepšující spolehlivost, odolnost a bezpečnost.
Jak pracovní prostory umožňují federovanou správu API
V Azure API Management použijte pracovní prostory k implementaci federované správy API. Pracovní prostory fungují jako „složky“ v rámci služby správy API.
- Každý prostor obsahuje rozhraní API, produkty, předplatná, pojmenované hodnoty a související prostředky. Podívejte se na referenční příručku REST API API Management pro kompletní seznam zdrojů a operací podporovaných v pracovních prostorech.
- Přístup týmů ke zdrojům v rámci pracovního prostoru je spravován prostřednictvím role-based access control (RBAC) Azure s vestavěnými nebo vlastními rolemi, které lze přiřadit k účtům Microsoft Entra a jsou omezeny na pracovní prostor.
- Každý pracovní prostor je přidružený k jedné nebo více branám pro směrování provozu rozhraní API do back-endových služeb rozhraní API v pracovním prostoru. V závislosti na úrovni služby a vašich požadavcích může pracovní prostor používat výchozí spravovanou bránu služby nebo jednu nebo více bran pracovních prostorů.
- Tým platformy může aplikovat zásady zahrnující API a produkty v pracovních prostorech, aby řídil běh rozhraní API v celé organizaci. Integrovaná definice azure Policy (
API Management policies should inherit parent scope policies using <base/>) umožňuje auditovat nebo vynucovat, že se tyto zásady použijí ve všech prostředcích pracovního prostoru. - Tým platformy může implementovat centralizované prostředí zjišťování rozhraní API pomocí portálu pro vývojáře.
- Každý tým pracovního prostoru může shromažďovat a analyzovat protokoly prostředků brány, aby monitoroval svá rozhraní API, zatímco platformní tým má federovaný přístup k protokolům ve všech pracovních prostorech služby správy API, což zajišťuje dohled, zabezpečení a dodržování předpisů v celém ekosystému rozhraní API.
Note
- Novinka! Funkce pracovních prostorů je nyní k dispozici na úrovních Basic v2 a Standard v2, kromě úrovní Premium a Premium v2. Pracovní prostory na úrovních v2 je možné přidružit buď k výchozí spravované bráně služby API Management, nebo k samostatnému prostředku brány pracovního prostoru, což poskytuje flexibilitu při konfiguraci a škálování pracovních prostorů. Informace o plánu podpory vrstev pracovních prostorů najdete v blogovém příspěvku.
- Pro informace o cenách, viz ceny správy API.
Zatímco pracovní prostory jsou spravovány nezávisle na službě API Management a dalších pracovních prostorech, navrženy jsou tak, aby mohly odkazovat na vybrané prostředky na úrovni služby. Viz Pracovní prostory a další funkce správy API, dále v tomto článku.
Přehled příkladového scénáře
Organizace, která spravuje rozhraní API pomocí Azure API Management může mít několik vývojových týmů, které vyvíjejí, definují, spravují a produktizují různé sady rozhraní API. Pomocí pracovních prostorů můžou tyto týmy používat službu API Management ke správě, přístupu a zabezpečení jejich rozhraní API samostatně a nezávisle na správě infrastruktury služeb.
Následující pracovní postup ukazuje ukázkový proces pro vytvoření a použití pracovního prostoru.
Centrální tým platformy API, který spravuje instanci služby API Management, vytvoří pracovní prostor a přiřadí oprávnění spolupracovníkům pracovního prostoru pomocí rolí RBAC. Například přiřaďte oprávnění k vytváření nebo čtení prostředků v pracovním prostoru. Tým buď vytvoří nebo přidruží bránu rozhraní API k pracovnímu prostoru ke směrování provozu rozhraní API.
Centrální tým platformy API používá nástroje DevOps k vytvoření kanálu DevOps pro rozhraní API v daném pracovním prostoru.
Členové pracovního prostoru vyvíjejí, publikují, produktizují a spravují rozhraní API v pracovním prostoru.
Centralní tým API platformy spravuje infrastrukturu služby, jako je monitorování, odolnost a prosazování politik pro všechny API.
Portál pracovního prostoru
Každý pracovní prostor je nakonfigurován s jednou nebo více branami, aby umožňoval běh rozhraní API spravovaných v tomto pracovním prostoru. V závislosti na úrovni služby a vašich požadavcích můžete použít výchozí spravovanou bránu služby a/nebo jednu či více bran pracovního prostoru (samostatné prostředky brány).
| Možnost | Availability | Benefits | Considerations |
|---|---|---|---|
| Výchozí spravovaná brána | Momentálně v úrovních v2 | Žádné další náklady na prostředek brány; dostupnost ve všech oblastech, kde je tato úroveň služby dostupná; pracovní prostory můžou využívat integrované možnosti brány, které nejsou k dispozici v branách pracovního prostoru, například nasazení ve více oblastech, vlastní názvy hostitele nebo připojení přes privátní propojení, pokud jsou v dané úrovni služby podporované. | Méně izolace; všechny pracovní prostory sdílejí kapacitu a konfiguraci brány. |
| Portál pracovního prostoru | Basic v2, Standard v2, Premium, Premium v2 | Silná izolace za běhu; nezávislé škálování, název hostitele a konfigurace sítě pro každou bránu pracovního prostoru | Dodatečné náklady; delší dobu nasazení; podpora v menším počtu oblastí |
Výchozí spravovaná brána
V úrovních v2 můžete pracovní prostor nakonfigurovat tak, aby směroval provoz API přes výchozí spravovanou bránu služby, a to kromě jednoho nebo více samostatných prostředků brány pracovního prostoru. Když pracovní prostor používá výchozí spravovanou bránu:
- Provoz rozhraní API směruje přes výchozí název hostitele služby (například
<service-name>.azure-api.net). - Pracovní prostor sdílí kapacitu a konfiguraci brány s jinými pracovními prostory a rozhraními API na úrovni služby.
Note
V současné době můžete pracovní prostor přidružit k výchozí spravované bráně pouze ve vrstvách služby v2 a prostřednictvím pracovního prostoru služby API Management – Vytvoření nebo aktualizace rozhraní REST API.
Portál pracovního prostoru
Brána pracovního prostoru je samostatný prostředek Azure (workspace gateway premium) se stejnými základními funkcemi jako výchozí spravovaná brána.
Brány pracovního prostoru spravujete nezávisle na službě API Management a navzájem. Umožňují izolaci běhového prostředí pro jednotlivé pracovní prostory nebo případy použití, což zvyšuje spolehlivost, odolnost a zabezpečení rozhraní API. Umožňují také přiřazovat problémy za běhu k pracovním prostorům.
- Informace o nákladech na brány pracovních prostorů najdete v tématu Ceny služby API Management.
- Pro podrobný srovnání bran pro správu API, viz API Management gateways overview.
Přidružte pracovní prostory k bráně pro pracovní prostor
V závislosti na potřebách vaší organizace můžete k bráně pracovního prostoru přidružit jeden nebo více pracovních prostorů.
Note
Přidružení více pracovních prostorů k bráně pracovního prostoru je k dispozici pouze pro brány pracovních prostorů vytvořené po 15. dubnu 2025.
- Brána pracovního prostoru má určitá nastavení konfigurace, jako jsou virtuální síť, škálování a název hostitele a přidělené výpočetní prostředky, včetně procesoru, paměti a síťových prostředků.
- Všechny pracovní prostory nasazené v bráně sdílejí konfiguraci a výpočetní prostředky.
- Chyby v rozhraní API nebo neobvyklém provozu můžou způsobit vyčerpání těchto prostředků, což má vliv na všechny pracovní prostory v této bráně. Jinými slovy, čím více pracovních prostorů nasazujete na bránu, tím vyšší je riziko, že rozhraní API z jednoho pracovního prostoru má problémy se spolehlivostí způsobené rozhraním API z jiného pracovního prostoru.
- Monitorujte výkon brány pracovního prostoru pomocí integrovaných metrik pro využití procesoru a paměti.
Při výběru modelu nasazení pro pracovní prostory zvažte spolehlivost, zabezpečení a náklady.
- Přiřaďte pracovní prostor vlastní vyhrazené bráně pracovního prostoru pro důležité úlohy – pokud chcete maximalizovat spolehlivost a zabezpečení rozhraní API, přiřaďte každému klíčovému pracovnímu prostoru vlastní bráně, abyste se vyhnuli sdílenému použití s jinými pracovními prostory.
- Vyvážení spolehlivosti, zabezpečení a nákladů – Přidružte několik pracovních prostorů k bráně pracovního prostoru (nebo pokud je to možné, výchozí spravovaná brána) k vyvážení spolehlivosti, zabezpečení a nákladů na nekritické úlohy. Rozdělte pracovní prostory alespoň mezi dvě brány, abyste zabránili tomu, že problémy, jako je vyčerpání prostředků nebo chyby konfigurace, ovlivní všechna rozhraní API v celé organizaci.
- Pro různé případy použití používejte různé brány – Seskupování pracovních prostorů v bráně pracovního prostoru na základě požadavků na použití nebo sítě. Můžete například rozlišovat mezi interními a externími rozhraními API tak, že je přiřadíte k samostatným branám, z nichž každá má vlastní konfiguraci sítě.
- Připravte se na izolaci problematických pracovních prostorů - Před bránami sdílených pracovních prostorů použijte proxy, například Azure Application Gateway nebo Azure Front Door, abyste usnadnili přesun pracovního prostoru, který způsobuje vyčerpání prostředků, do jiné brány. Tento přístup brání dopadu na ostatní pracovní prostory sdílející bránu.
Note
- Brána pracovního prostoru musí být ve stejné oblasti jako primární oblast Azure instance služby API Management a ve stejném předplatném.
- Všechny pracovní prostory přidružené k bráně pracovního prostoru musí být ve stejné instanci služby API Management.
- K bráně pracovního prostoru můžete přidružit až 30 pracovních prostorů. Pokud chcete tento limit zvýšit, obraťte se na podporu.
Název hostitele brány pracovního prostředí
Každá brána pracovního prostoru poskytuje jedinečný název hostitele pro rozhraní API spravovaná v přidruženém pracovním prostoru. Výchozí názvy hostitelů sledují vzor <gateway-name>-<hash>.gateway.<region>.azure-api.net. Pomocí názvu hostitele brány můžete směrovat požadavky rozhraní API do rozhraní API vašeho pracovního prostoru.
Brány pracovního prostoru v současné době nepodporují vlastní názvy hostitele. Službu Azure Application Gateway nebo Azure Front Door můžete nakonfigurovat s vlastním doménovým jménem, které bude použito pro bránu pracovního prostoru.
Izolace sítě pro brány pracovních prostorů
Volitelně můžete v privátní virtuální síti nakonfigurovat prostředek brány pracovního prostoru k izolaci příchozího a odchozího provozu. Pokud tuto izolaci nakonfigurujete, brána pracovního prostoru musí ve virtuální síti používat vyhrazenou podsíť.
Podrobné požadavky najdete v tématu Požadavky na síťové prostředky pro brány pracovních prostorů.
Note
- Síťová konfigurace brány pracovního prostoru je nezávislá na síťové konfiguraci instance služby API Management.
- V současné době lze bránu pracovního prostoru nakonfigurovat ve virtuální síti pouze při jejím vytvoření. Konfiguraci nebo nastavení sítě brány nemůžete později změnit.
Navýšení kapacity pro brány pracovního prostoru
Kapacitu brány pracovního prostoru můžete spravovat přidáním nebo odebráním jednotek škálování, podobně jako jednotky , které můžete přidat do instance služby API Management v určitých úrovních služby. Náklady na bránu pracovního prostoru závisí na počtu jednotek, které zvolíte.
Regionální dostupnost bran pracovních prostorů
Pro aktuální seznam regionů, kde jsou dostupné brány pro pracovní prostory, viz Dostupnost verzí v2 a bran pro pracovní prostory.
Omezení pracovního prostoru a brány pracovního prostoru
Omezení pracovních prostorů
- Pracovní prostor nemůže být spojen s lokálně hostovanou bránou.
- Rozhraní API v pracovních prostorech nejsou chráněna systémem Defender for API.
- Pracovní prostory nepodporují správce přihlašovacích údajů
- Pracovní prostory podporují pouze interní mezipaměť; Externí mezipaměť není podporována.
- Pracovní prostory nepodporují syntetická rozhraní GraphQL API
- Pracovní prostory nepodporují vytváření rozhraní API přímo z Azure prostředků, jako jsou Azure OpenAI Service, App Service, Aplikace funkcí atd. na portálu Azure
- Pracovní prostory nepodporují servery MCP
- Metriky požadavků nelze v Azure Monitor rozdělovat podle pracovního prostoru; všechny metriky pracovních prostorů jsou agregovány na úrovni služby.
- Pracovní prostory nepodporují certifikáty certifikační autority
- Pracovní prostory nepodporují spravované identity, včetně souvisejících funkcí, jako je ukládání tajných kódů do Azure Key Vault a používání zásad
authentication-managed-identity
Omezení brány pracovního prostoru
Následující omezení platí pro prostředek brány spravovaného pracovního prostoru. Nepoužijí se při použití pracovních prostorů ve výchozí spravované bráně služby.
- Brány pracovního prostoru nepodporují příchozí privátní koncové body
- Brány pracovních prostorů nepodporují vlastní názvy hostitelů
- Pracovní prostory lze přidružit pouze k branám pracovního prostoru, které se nacházejí ve stejné oblasti a v rámci stejného předplatného jako prostředek API Management.
Dědičnost globálních zásad v branách pracovních prostorů
Brány pracovních prostorů spouštějí úplný řetěz zásad, včetně globálních zásad na úrovni služby (global.policy.xml). Toto chování znamená, že všechny zásady definované na globální úrovni se pro volání rozhraní API zpracovávaná bránami pracovních prostorů vyhodnocují a provádějí, stejně jako pro výchozí bránu. Toto chování je záměrné a je v souladu s modelem vyhodnocování zásad v API Management, kde zásady používáte hierarchicky v následujících oblastech působnosti: globální (služba) > pracovní prostor > produkt > API > operace.
Doporučení pro globální politiky s bránami pracovních prostorů
Zkontrolujte globální zásady a ujistěte se, že obsahuje jenom zásady určené k použití ve všech branách, včetně bran pracovních prostorů.
Pokud potřebujete pro každou bránu odlišné chování, použijte zásadu choose s
context.Deployment.Gateway.Idk podmíněnému spouštění zásad podle brány, která požadavek zpracovává.Pokud definujete authentication-managed-identity na globální úrovni, ale token by neměl být dostupný pro rozhraní API v rozsahu pracovního prostoru, přesuňte zásadu do užšího rozsahu (například na úroveň produktu nebo rozhraní API), nikoli do globální zásady.
Role RBAC pro pracovní prostory
Azure RBAC se používá k nastavení oprávnění spolupracovníků na pracovním prostoru pro čtení a úpravy entit v pracovním prostoru. Pro seznam rolí viz Jak používat řízení přístupu založené na rolích v API Management.
Pokud chcete spravovat rozhraní API a další prostředky v pracovním prostoru, přiřaďte role členům pracovního prostoru (nebo ekvivalentní oprávnění prostřednictvím vlastních rolí), které jsou vymezeny na službu API Management a pracovní prostor. Role v rozsahu služby umožňuje odkazování na určité zdroje na úrovni služby ze zdrojů na úrovni pracovního prostoru. Například uspořádejte uživatele do skupiny na úrovni pracovního prostoru, abyste mohli řídit viditelnost API a produktů.
Pokud pracovní prostor používá vyhrazenou bránu pro pracovní prostor, členům, kteří tuto bránu spravují, by také měla být přiřazena role s rozsahem omezeným na prostředek brány pro pracovní prostor.
Note
Pro usnadnění správy nastavte skupiny Microsoft Entra, abyste přidělili oprávnění pro pracovní prostor více uživatelům.
Pracovní prostory a další funkce správy rozhraní API
Pracovní prostory jsou izolované, aby se co nejvíce oddělil administrativní přístup od běhového prostředí API. Pokud chcete zajistit vyšší produktivitu a umožnit zásady správného řízení pro celou platformu, pozorovatelnost, opakované použití a zjišťování rozhraní API, existuje několik výjimek.
Reference na zdroje - Zdroje v pracovním prostoru mohou odkazovat na jiné zdroje v pracovním prostoru a vybrané zdroje z úrovně služby, jako jsou uživatelé, autorizační servery nebo vestavěné skupiny uživatelů. Nemohou odkazovat na zdroje z jiného pracovního prostoru.
Z bezpečnostních důvodů nemůžete ze zásad na úrovni pracovního prostoru odkazovat na prostředky na úrovni služby (například pojmenované hodnoty) ani pomocí názvů prostředků, například
backend-idv zásadě set-backend-service.Important
Všechny zdroje v službě správy rozhraní API (například API, produkty, štítky nebo předplatná) musí mít unikátní názvy, i když se nacházejí v různých pracovních prostorech. Nemůžete mít prostředky stejného typu a se stejným názvem prostředku Azure ve stejném pracovním prostoru, v jiných pracovních prostorech nebo na úrovni služby.
Portál pro vývojáře - Pracovní prostory jsou administrativním konceptem a nejsou takto prezentovány uživatelům portálu pro vývojáře, a to včetně uživatelského rozhraní portálu a základního API. Rozhraní API a produkty v pracovním prostoru můžete publikovat na portálu pro vývojáře, stejně jako rozhraní API a produkty na úrovni služby.
Note
Systém správy API podporuje přiřazení autorizačních serverů definovaných na úrovni služby k API v pracovních prostorech.
Přejděte z pracovních prostorů pro náhled
Pokud jste vytvořili testovací pracovní prostory v Azure API Management a chcete je nadále používat, přesuňte své pracovní prostory do obecně dostupné verze tím, že ke každému pracovnímu prostoru přiřadíte bránu pracovního prostoru.
Pro podrobnosti a informace o dalších změnách, které by mohly ovlivnit vaše náhledové pracovní prostory, si přečtěte Workspaces breaking changes (březen 2025).
Odstranění pracovního prostoru
Když odstraníte pracovní prostor pomocí rozhraní portálu Azure, odstraníte také všechny jeho podřízené prostředky (rozhraní API, produkty atd.) a vyhrazenou bránu pracovního prostoru, pokud je přidružená. Neodstraňuje instanci API Management ani jiné pracovní prostory.