Publikování a ochrana rozhraní API spuštěných na virtuálních počítačích Azure VMware Solution
Microsoft Azure API Management umožňuje bezpečně publikovat externí nebo interní uživatele. Pouze skladové položky pro vývojáře (vývoj) a Premium (produkční) umožňují integraci služby Azure Virtual Network s publikováním rozhraní API, která běží v úlohách Azure VMware Solution. Obě skladové položky navíc umožňují připojení mezi službou API Management a back-endem.
Konfigurace služby API Management je stejná pro back-endové služby, které běží na virtuálních počítačích Azure VMware Solution a místních počítačích. Služba API Management také nakonfiguruje virtuální IP adresu v nástroji pro vyrovnávání zatížení jako koncový bod back-endu pro obě nasazení, když se back-endový server umístí za load Balancer NSX v Řešení Azure VMware.
Externí nasazení
Externí nasazení publikuje rozhraní API spotřebovaná externími uživateli, kteří používají veřejný koncový bod. Vývojáři a technici DevOps můžou spravovat rozhraní API prostřednictvím webu Azure Portal nebo PowerShellu a portálu pro vývojáře služby API Management.
Diagram externího nasazení znázorňuje celý proces a zúčastněné aktéry (zobrazené nahoře). Aktéři jsou:
Správa istratory: Představuje správce nebo tým DevOps, který spravuje řešení Azure VMware prostřednictvím webu Azure Portal a mechanismů automatizace, jako je PowerShell nebo Azure DevOps.
Uživatelé: Představuje uživatele vystavených rozhraní API a představuje uživatele i služby, které rozhraní API využívají.
Tok provozu prochází instancí služby API Management, která abstrahuje back-endové služby připojené k virtuální síti centra. Brána ExpressRoute směruje provoz do připojení ExpressRoute Global Reach a dosáhne nástroje pro vyrovnávání zatížení NSX, který distribuuje příchozí provoz do různých instancí back-endové služby.
Služba API Management má veřejné rozhraní API Azure a doporučuje se aktivovat službu Azure DDoS Protection.
Interní nasazení
Interní nasazení publikuje rozhraní API využívaná interními uživateli nebo systémy. Týmy DevOps a vývojáři rozhraní API používají stejné nástroje pro správu a portál pro vývojáře jako v externím nasazení.
Pro interní nasazení použijte Aplikace Azure Gateway k vytvoření veřejného a zabezpečeného koncového bodu pro rozhraní API. Možnosti brány slouží k vytvoření hybridního nasazení, které umožňuje různé scénáře.
Použijte stejný prostředek služby API Management ke spotřebě interními i externími příjemci.
Mít jeden prostředek služby API Management s podmnožinou rozhraní API definovanou a dostupnou pro externí uživatele.
Poskytněte snadný způsob, jak přepnout přístup ke službě API Management z veřejného internetu, který je zapnutý a vypnutý.
Následující diagram nasazení znázorňuje uživatele, kteří můžou být interní nebo externí, přičemž každý typ přistupuje ke stejnému nebo různým rozhraním API.
V interním nasazení se rozhraní API zpřístupní stejné instanci služby API Management. Před službou API Management se služba Application Gateway nasadí s aktivovanou funkcí firewallu webových aplikací Azure (WAF). Nasadili jsme také sadu naslouchacích procesů HTTP a pravidel pro filtrování provozu a vystavila pouze podmnožinu back-endových služeb spuštěných v Azure VMware Solution.
Interní provoz směruje přes bránu ExpressRoute do služby Azure Firewall a pak do služby API Management, a to přímo nebo prostřednictvím pravidel provozu.
Externí provoz vstupuje do Azure prostřednictvím služby Application Gateway, která používá externí vrstvu ochrany pro službu API Management.