Publikování a ochrana rozhraní API spuštěných na virtuálních počítačích Azure VMware Solution

  • Článek

Microsoft Azure API Management umožňuje bezpečně publikovat externí nebo interní uživatele. Pouze skladové položky pro vývojáře (vývoj) a Premium (produkční) umožňují integraci služby Azure Virtual Network s publikováním rozhraní API, která běží v úlohách Azure VMware Solution. Obě skladové položky navíc umožňují připojení mezi službou API Management a back-endem.

Konfigurace služby API Management je stejná pro back-endové služby, které běží na virtuálních počítačích Azure VMware Solution a místních počítačích. Služba API Management také nakonfiguruje virtuální IP adresu v nástroji pro vyrovnávání zatížení jako koncový bod back-endu pro obě nasazení, když se back-endový server umístí za load Balancer NSX v Řešení Azure VMware.

Externí nasazení

Externí nasazení publikuje rozhraní API spotřebovaná externími uživateli, kteří používají veřejný koncový bod. Vývojáři a technici DevOps můžou spravovat rozhraní API prostřednictvím webu Azure Portal nebo PowerShellu a portálu pro vývojáře služby API Management.

Diagram externího nasazení znázorňuje celý proces a zúčastněné aktéry (zobrazené nahoře). Aktéři jsou:

  • Správa istratory: Představuje správce nebo tým DevOps, který spravuje řešení Azure VMware prostřednictvím webu Azure Portal a mechanismů automatizace, jako je PowerShell nebo Azure DevOps.

  • Uživatelé: Představuje uživatele vystavených rozhraní API a představuje uživatele i služby, které rozhraní API využívají.

Tok provozu prochází instancí služby API Management, která abstrahuje back-endové služby připojené k virtuální síti centra. Brána ExpressRoute směruje provoz do připojení ExpressRoute Global Reach a dosáhne nástroje pro vyrovnávání zatížení NSX, který distribuuje příchozí provoz do různých instancí back-endové služby.

Služba API Management má veřejné rozhraní API Azure a doporučuje se aktivovat službu Azure DDoS Protection.

Diagram znázorňující externí nasazení služby API Management pro Azure VMware Solution

Interní nasazení

Interní nasazení publikuje rozhraní API využívaná interními uživateli nebo systémy. Týmy DevOps a vývojáři rozhraní API používají stejné nástroje pro správu a portál pro vývojáře jako v externím nasazení.

Pro interní nasazení použijte Aplikace Azure Gateway k vytvoření veřejného a zabezpečeného koncového bodu pro rozhraní API. Možnosti brány slouží k vytvoření hybridního nasazení, které umožňuje různé scénáře.

  • Použijte stejný prostředek služby API Management ke spotřebě interními i externími příjemci.

  • Mít jeden prostředek služby API Management s podmnožinou rozhraní API definovanou a dostupnou pro externí uživatele.

  • Poskytněte snadný způsob, jak přepnout přístup ke službě API Management z veřejného internetu, který je zapnutý a vypnutý.

Následující diagram nasazení znázorňuje uživatele, kteří můžou být interní nebo externí, přičemž každý typ přistupuje ke stejnému nebo různým rozhraním API.

V interním nasazení se rozhraní API zpřístupní stejné instanci služby API Management. Před službou API Management se služba Application Gateway nasadí s aktivovanou funkcí firewallu webových aplikací Azure (WAF). Nasadili jsme také sadu naslouchacích procesů HTTP a pravidel pro filtrování provozu a vystavila pouze podmnožinu back-endových služeb spuštěných v Azure VMware Solution.

  • Interní provoz směruje přes bránu ExpressRoute do služby Azure Firewall a pak do služby API Management, a to přímo nebo prostřednictvím pravidel provozu.

  • Externí provoz vstupuje do Azure prostřednictvím služby Application Gateway, která používá externí vrstvu ochrany pro službu API Management.

Diagram znázorňující interní nasazení služby API Management pro azure VMware Solution