Federované spravování API s pracovními prostory

PLATÍ PRO: Premium | Premium v2

Tento článek poskytuje přehled o pracovních prostorech API Management a jak umožňují decentralizovaným týmům pro vývoj API spravovat a komercializovat jejich API v rámci společné servisní infrastruktury.

Proč by měly organizace federovat správu API?

Dnes čelí organizace stále větším výzvám v řízení rostoucího počtu API. S rostoucím počtem API a týmů pro vývoj API roste i složitost jejich správy. Tato složitost může vést ke zvýšeným provozním nákladům, bezpečnostním rizikům a snížené flexibilitě. Na jedné straně chtějí organizace zřídit centralizovanou API infrastrukturu, aby zajistily řízení, bezpečnost a soulad API. Na druhou stranu chtějí, aby jejich API týmy inovovaly a rychle reagovaly na obchodní potřeby, aniž by se musely zabývat správou API platformy.

Federovaný model řízení API řeší tyto potřeby. Federovaná správa API umožňuje decentralizovanou správu API vývojovými týmy s odpovídající izolací řídicí a datové roviny, přičemž si zachovává centralizované řízení, monitorování a objevování API spravované týmem platformy API. Tento model překonává omezení alternativních přístupů, jako je plně centralizovaná správa API týmem platformy nebo izolovaná správa API jednotlivými vývojovými týmy.

Federované řízení API poskytuje:

• Centralizovaná správa a sledovatelnost API
• Jednotné vývojářské rozhraní pro efektivní objevování a zavádění API
• Oddělené administrativní oprávnění mezi API týmy, zvyšující produktivitu a bezpečnost.
• Oddělený runtime API mezi týmy API, zlepšující spolehlivost, odolnost a bezpečnost.

Jak pracovní prostory umožňují federovanou správu API

V Azure API Management použijte pracovní prostory k implementaci federované správy API. Pracovní prostory fungují jako „složky“ v rámci služby správy API.

• Každý prostor obsahuje rozhraní API, produkty, předplatná, pojmenované hodnoty a související prostředky. Podívejte se na referenční příručku REST API API Management pro kompletní seznam zdrojů a operací podporovaných v pracovních prostorech.
• Přístup týmů ke zdrojům v rámci pracovního prostoru je spravován prostřednictvím role-based access control (RBAC) Azure s vestavěnými nebo vlastními rolemi, které lze přiřadit k účtům Microsoft Entra a jsou omezeny na pracovní prostor.
• Každý pracovní prostor je spojen s jednou nebo více bránami pracovního prostoru pro směrování API provozu k backendovým službám API v pracovním prostoru.
• Tým platformy může použít zásady zahrnující rozhraní API a produkty v pracovních prostorech, které řídí modul runtime rozhraní API v celé organizaci. Integrovaná definice azure Policy (API Management policies should inherit parent scope policies using <base/>) umožňuje auditovat nebo vynucovat, že se tyto zásady použijí ve všech prostředcích pracovního prostoru.
• Tým platformy může implementovat centralizované prostředí zjišťování rozhraní API pomocí portálu pro vývojáře.
• Každý tým pracovního prostoru může shromažďovat a analyzovat protokoly prostředků brány, aby monitoroval svá rozhraní API, zatímco platformní tým má federovaný přístup k protokolům ve všech pracovních prostorech služby správy API, což zajišťuje dohled, zabezpečení a dodržování předpisů v celém ekosystému rozhraní API.

Note

• Nejnovější funkce pracovního prostoru jsou podporovány ve verzi API Management REST API 2023-09-01-preview nebo novější.
• Pro informace o cenách, viz ceny správy API.

Zatímco pracovní prostory jsou spravovány nezávisle na službě API Management a dalších pracovních prostorech, navrženy jsou tak, aby mohly odkazovat na vybrané prostředky na úrovni služby. Viz Pracovní prostory a další funkce správy API, dále v tomto článku.

Přehled příkladového scénáře

Organizace, která spravuje rozhraní API pomocí služby Azure API Management, může mít několik vývojových týmů, které vyvíjejí, definují, spravují a produktizují různé sady rozhraní API. Pracovní prostory umožňují těmto týmům používat službu API Management ke správě, přístupu a zabezpečení jejich rozhraní API samostatně a nezávisle na správě infrastruktury služeb.

Následuje ukázkový pracovní postup pro vytvoření a použití prostoru.

1. Centrální tým aplikační platformy, který spravuje instanci pro řízení API, vytvoří pracovní prostor a přiřadí oprávnění spolupracovníkům v pracovním prostoru pomocí rolí RBAC - například oprávnění ke tvorbě nebo čtení zdrojů v pracovním prostoru. Pro pracovní prostor se také vytvoří brána rozhraní API zaměřená na tento pracovní prostor.

2. Centrální tým platformy API používá nástroje DevOps k vytvoření kanálu DevOps pro rozhraní API v daném pracovním prostoru.

3. Členové pracovního prostoru vyvíjejí, publikují, produktizují a spravují rozhraní API v pracovním prostoru.

4. Centralní tým API platformy spravuje infrastrukturu služby, jako je monitorování, odolnost a prosazování politik pro všechny API.

Portál pracovního prostoru

Každý pracovní prostor je nakonfigurován s jednou nebo více branami pracovního prostoru k umožnění spuštění rozhraní API spravovaných v rámci pracovního prostoru. Brána pracovního prostoru je samostatný prostředek Azure (brána pracovního prostoru Premium) se stejnou základní funkcí jako brána integrovaná do vaší služby API Management.

Brány pracovního prostoru jsou spravovány nezávisle na službě API Management a na sobě navzájem. Umožňují izolaci prostředí runtime mezi pracovními prostory nebo uživatelskými případy, zvýšení spolehlivosti rozhraní API, odolnosti a zabezpečení a umožňují přiřazování problémů za běhu do pracovních prostorů.

• Informace o nákladech na brány pracovních prostorů najdete v tématu Ceny služby API Management.
• Pro podrobný srovnání bran pro správu API, viz API Management gateways overview.

Note

V srpnu 2025 jsme oznámili nadcházející změny podpory brány a vrstvy v pracovních prostorech. Podrobnosti najdete v oznámení.

Přidružte pracovní prostory k bráně pro pracovní prostor

V závislosti na potřebách vaší organizace můžete k bráně pracovního prostoru přidružit jeden nebo více pracovních prostorů.

Note

Přidružení více pracovních prostorů k bráně pracovního prostoru je k dispozici pouze pro brány pracovních prostorů vytvořené po 15. dubnu 2025.

• Brána pracovního prostoru má určitou konfiguraci (například virtuální síť, škálování, název hostitele) a přidělené výpočetní prostředky (procesor, paměť, síťové prostředky).
• Konfigurace a výpočetní prostředky jsou sdíleny všemi pracovními prostory nasazenými na přístupové bráně.
• Chyby v rozhraní API nebo neobvyklém provozu můžou způsobit vyčerpání těchto prostředků, což má vliv na všechny pracovní prostory v této bráně. Jinými slovy, čím více pracovních prostorů je nasazeno na bránu, tím vyšší je riziko, že rozhraní API z jednoho pracovního prostoru může mít problémy se spolehlivostí způsobené rozhraním API z jiného pracovního prostoru.
• Monitorujte výkon brány pomocí integrovaných metrik pro využití procesoru a paměti.

Při výběru modelu nasazení pro pracovní prostory zvažte spolehlivost, zabezpečení a náklady.

• Používejte vyhrazené brány pro klíčové úlohy – Pokud chcete maximalizovat spolehlivost a zabezpečení rozhraní API, přiřaďte každému důležitému pracovnímu prostoru vlastní bráně, abyste se vyhnuli sdílenému použití s jinými pracovními prostory.
• Vyvážení spolehlivosti, zabezpečení a nákladů – Přidružení více pracovních prostorů k bráně za účelem vyvážení spolehlivosti, zabezpečení a nákladů na nekritické úlohy Distribuce pracovních prostorů mezi nejméně dvěma bránami pomáhá zabránit problémům, jako je vyčerpání prostředků nebo chyby konfigurace, které by mohly ovlivnit všechna Rozhraní API v organizaci.
• Pro různé případy použití používejte různé brány – seskupování pracovních prostorů v bráně na základě případu použití nebo požadavků na síť. Můžete například rozlišovat mezi interním a externím rozhraním APIS tak, že je přiřadíte k samostatným branám, z nichž každá má vlastní konfiguraci sítě.
• Příprava na karanténu problémových pracovních prostorů – Před sdílenými bránami pracovních prostorů použijte proxy server, jako je Azure Application Gateway nebo Azure Front Door, a zjednodušte tak přesun pracovního prostoru, který způsobuje vyčerpání prostředků na jinou bránu, což brání dopadu na ostatní pracovní prostory sdílející bránu.

Note

• Brána pracovního prostoru musí být ve stejné oblasti jako primární oblast Azure instance služby API Management a ve stejném předplatném.
• Všechny pracovní prostory přidružené k bráně pracovního prostoru musí být ve stejné instanci služby API Management.
• Bránu pracovního prostoru je možné přidružit až k 30 pracovním prostorům (pokud chcete tento limit zvýšit, obraťte se na podporu).

Název hostitele brány

Každá brána pracovního prostoru poskytuje jedinečný název hostitele pro rozhraní API spravovaná v přidruženém pracovním prostoru. Výchozí názvy hostitelů sledují vzor <gateway-name>-<hash>.gateway.<region>.azure-api.net. Pomocí názvu hostitele brány můžete směrovat požadavky rozhraní API do rozhraní API vašeho pracovního prostoru.

Aktuálně nejsou podporovány vlastní názvy hostitelů pro brány pracovního prostoru. Službu Azure Application Gateway nebo Azure Front Door můžete nakonfigurovat s vlastním doménovým jménem, které bude použito pro bránu pracovního prostoru.

Izolace sítě

Bránu pracovního prostoru lze volitelně nakonfigurovat v soukromé virtuální síti k izolaci příchozího a/nebo odchozího provozu. Pokud je nakonfigurováno, brána pracovního prostoru musí používat vyhrazenou podsíť ve virtuální síti.

Podrobné požadavky najdete v tématu Požadavky na síťové prostředky pro brány pracovních prostorů.

Note

• Síťová konfigurace brány pracovního prostoru je nezávislá na síťové konfiguraci instance služby API Management.
• V současné době lze bránu pracovního prostoru nakonfigurovat ve virtuální síti pouze při jejím vytvoření. Konfiguraci nebo nastavení sítě brány nemůžete později změnit.

Kapacita váhy

Kapacitu brány můžete spravovat přidáním nebo odebráním jednotek škálování, podobně jako jednotky , které je možné přidat do instance služby API Management v určitých úrovních služby. Náklady na bránu pracovního prostoru závisí na počtu jednotek, které zvolíte.

Regionální dostupnost

Pro aktuální seznam regionů, kde jsou dostupné brány pro pracovní prostory, viz Dostupnost verzí v2 a bran pro pracovní prostory.

Omezení brány

Pro brány pracovních prostorů se aktuálně vztahují následující omezení:

• Pracovní prostor nemůže být spojen s lokálně hostovanou bránou.
• Brány pracovního prostoru nepodporují příchozí privátní koncové body
• Rozhraní API v branách pracovního prostoru nemůžou být přiřazena vlastním jménům hostitelů.
• Rozhraní API v pracovních prostorech nejsou chráněna systémem Defender for API.
• Brány pracovního prostoru nepodporují správce přihlašovacích údajů služby Správa rozhraní API.
• Brány pracovního prostoru podporují pouze interní mezipaměť; externí mezipaměť není podporována
• Brány pracovního prostoru nepodporují syntetické GraphQL API
• Brány Workspace nepodporují vytváření rozhraní API přímo z prostředků Azure, jako jsou Azure OpenAI Service, App Service, Function Apps a podobně.
• Brány pracovních prostorů nepodporují servery MCP
• Metriky požadavků nelze v Azure Monitor rozdělovat podle pracovního prostoru; všechny metriky pracovních prostorů jsou agregovány na úrovni služby.
• Brány pracovního prostoru nepodporují CA certifikáty
• Brány pracovního prostoru nepodporují spravované identity, včetně souvisejících funkcí jako ukládání tajných klíčů v Azure Key Vault a používání politiky authentication-managed-identity.
• Brány pracovních prostorů je možné vytvořit pouze v primární oblasti Azure instance služby API Management.

Role RBAC pro pracovní prostory

Azure RBAC se používá k nastavení oprávnění spolupracovníků na pracovním prostoru pro čtení a úpravy entit v pracovním prostoru. Pro seznam rolí viz Jak používat řízení přístupu založené na rolích v API Management.

Aby bylo možné spravovat API a další zdroje v pracovním prostoru, musí být členům pracovního prostoru přiděleny role (nebo ekvivalentní oprávnění pomocí vlastních rolí), které jsou vázány na službu API Management, pracovní prostor a bránu pracovního prostoru. Role v rozsahu služby umožňuje odkazování na určité zdroje na úrovni služby ze zdrojů na úrovni pracovního prostoru. Například uspořádejte uživatele do skupiny na úrovni pracovního prostoru, abyste mohli řídit viditelnost API a produktů.

Note

Pro usnadnění správy nastavte skupiny Microsoft Entra, abyste přidělili oprávnění pro pracovní prostor více uživatelům.

Pracovní prostory a další funkce správy rozhraní API

Prostory jsou navrženy jako samostatné, aby co nejvíce oddělily administrativní přístup a běh API. Existuje několik výjimek, které zajišťují vyšší produktivitu a umožňují zásady správného řízení pro celou platformu, pozorovatelnost, opakované použití a zjišťování rozhraní API.

• Reference na zdroje - Zdroje v pracovním prostoru mohou odkazovat na jiné zdroje v pracovním prostoru a vybrané zdroje z úrovně služby, jako jsou uživatelé, autorizační servery nebo vestavěné skupiny uživatelů. Nemohou odkazovat na zdroje z jiného pracovního prostoru.

  Z bezpečnostních důvodů není možné odkazovat na prostředky na úrovni služby ze zásad na úrovni pracovního prostoru (například pojmenované hodnoty) nebo podle názvů prostředků, jako je backend-id v zásadě set-backend-service.

  Important

  Všechny zdroje v službě správy rozhraní API (například API, produkty, štítky nebo předplatná) musí mít unikátní názvy, i když se nacházejí v různých pracovních prostorech. Nesmí existovat žádné zdroje stejného typu a se stejným názvem zdroje Azure ve stejném pracovním prostoru, v jiných pracovních prostorech nebo na úrovni služby.

• Portál pro vývojáře - Pracovní prostory jsou administrativním konceptem a nejsou takto prezentovány uživatelům portálu pro vývojáře, a to včetně uživatelského rozhraní portálu a základního API. API a produkty v rámci pracovního prostoru mohou být stejně jako API a produkty na úrovni služeb publikovány na vývojářském portálu.

  Note

  Systém správy API podporuje přiřazení autorizačních serverů definovaných na úrovni služby k API v pracovních prostorech.

Přejděte z pracovních prostorů pro náhled

Pokud jste vytvořili testovací pracovní prostory v Azure API Management a chcete je nadále používat, přesuňte své pracovní prostory do obecně dostupné verze tím, že ke každému pracovnímu prostoru přiřadíte bránu pracovního prostoru.

Pro podrobnosti a informace o dalších změnách, které by mohly ovlivnit vaše náhledové pracovní prostory, si přečtěte Workspaces breaking changes (březen 2025).

Odstranění pracovního prostoru

Odstraněním pracovního prostoru se odstraní všechny jeho podřízené zdroje (API, produkty atd.) a přidružená brána, pokud odstraňujete pracovní prostor pomocí rozhraní Azure portálu. Neodstraňuje instanci API Management ani jiné pracovní prostory.

Související obsah

• Vytvořit pracovní prostor
• Pro změny způsobující nekompatibilitu ve Workspaces - červen 2024
• Změny narušující Workspaces - březen 2025
• Limity – Prostředí pro správu rozhraní API