Was sind Arbeitsbereiche in Azure API Management?
GILT FÜR: Premium
In API Management bieten Arbeitsbereiche ein neues Maß an Autonomie für die API-Teams einer Organisation, sodass sie APIs schneller, zuverlässiger, sicherer und produktiver innerhalb eines API Management-Diensts erstellen, verwalten und veröffentlichen können. Durch die Bereitstellung eines isolierten administrativen Zugriffs und einer API-Runtime bieten Arbeitsbereiche den API-Teams mehr Möglichkeiten, während das API-Plattformteam weiterhin den Überblick behält. Dazu gehören zentrale Überwachung, Durchsetzung von API-Richtlinien und Compliance sowie die Veröffentlichung von APIs für die Ermittlung über ein einheitliches Entwicklerportal.
Arbeitsbereiche funktionieren wie „Ordner“ in einem API Management-Dienst:
- Jeder Arbeitsbereich enthält APIs, Produkte, Abonnements, benannte Werte und zugehörige Ressourcen.
- Der Zugriff auf Ressourcen in einem Arbeitsbereich wird über die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure mit integrierten oder benutzerdefinierten Rollen verwaltet, die Microsoft Entra-Konten zugewiesen werden können.
- Jeder Arbeitsbereich ist einem Arbeitsbereichs-Gateway für das Routing von API-Datenverkehr an die Back-End-Dienste von APIs im Arbeitsbereich zugeordnet.
Hinweis
- Die aktuellen Arbeitsbereichsfunktionen werden in der API Management-REST-API-Version 2023-09-01-preview oder höher unterstützt.
- Informationen zur Preisgestaltung finden Sie unter API Management – Preise.
API-Verbundverwaltung mit Arbeitsbereichen
Arbeitsbereiche bieten zusätzlich zu den bereits unterstützten zentralisierten und isolierten Modellen erstklassige Unterstützung für ein Verbundmodell der Verwaltung von APIs in API Management. Die folgende Tabelle enthält einen Vergleich dieser Modelle.
Beispielszenario (Übersicht)
In einer Organisation, die APIs mithilfe von Azure API Management verwaltet, arbeiten möglicherweise mehrere Entwicklungsteams, die verschiedene Arten von APIs entwickeln, definieren, verwalten und in die Produktion überführen. Mithilfe von Arbeitsbereichen können diese Teams API Management nutzen, um ihre APIs separat und unabhängig von der Verwaltung der Dienstinfrastruktur zu verwalten, zu schützen und darauf zuzugreifen.
Im Folgenden sehen Sie einen Beispielworkflow zum Erstellen und Verwenden eines Arbeitsbereichs.
Ein zentrales API-Plattformteam, das die API Management-Instanz verwaltet, erstellt einen Arbeitsbereich und weist Arbeitsbereichsmitarbeitern mithilfe von RBAC-Rollen Berechtigungen zu, beispielsweise Berechtigungen zum Erstellen oder Lesen von Ressourcen im Arbeitsbereich. Außerdem wird ein dediziertes API-Gateway für den Arbeitsbereich erstellt.
Ein zentrales API-Plattformteam verwendet DevOps-Tools, um eine DevOps-Pipeline für APIs in diesem Arbeitsbereich zu erstellen.
Arbeitsbereichsmitglieder entwickeln, veröffentlichen, verwalten APIs im Arbeitsbereich und überführen sie in die Produktion.
Das zentrale API-Plattformteam verwaltet die Infrastruktur des Diensts, z. B. Überwachung, Resilienz und Durchsetzung von für alle APIs geltenden Richtlinien.
API Management in einem Arbeitsbereich
Teams verwalten ihre eigenen APIs, Produkte, Abonnements, Back-Ends, Richtlinien, Protokollierungen und andere Ressourcen in Arbeitsbereichen. Eine vollständige Liste der Ressourcen und Vorgänge, die in Arbeitsbereichen unterstützt werden, finden Sie in der REST-API-Referenz von API Management.
Arbeitsbereiche werden zwar unabhängig vom API Management-Dienst und anderen Arbeitsbereichen verwaltet, können aber entwurfsbedingt auf ausgewählte Ressourcen auf Dienstebene verweisen. Weitere Informationen finden Sie weiter unten in diesem Artikel unter Arbeitsbereiche und andere Features von API Management.
Arbeitsbereichs-Gateway
Jeder Arbeitsbereich kann Arbeitsbereichs-Gateways zugeordnet werden, um die Runtime der im Arbeitsbereich verwalteten APIs zu aktivieren. Das Arbeitsbereichs-Gateway ist eine eigenständige Azure-Ressource mit der gleichen Kernfunktionalität wie das in Ihren API Management-Dienst integrierte Gateway.
Arbeitsbereichs-Gateways werden unabhängig vom API Management-Dienst und voneinander verwaltet. Sie stellen die Isolation der Runtime zwischen Arbeitsbereichen sicher und erhöhen dadurch die API-Zuverlässigkeit, -Resilienz und -Sicherheit und ermöglichen die Zuordnung von Runtimeproblemen zu Arbeitsbereichen.
- Informationen zu den Kosten für Arbeitsbereichs-Gateways finden Sie unter API Management-Preise.
- Einen detaillierten Vergleich der API Management-Gateways finden Sie unter Übersicht über API Management-Gateways.
Gatewayhostname
Jede Zuordnung eines Arbeitsbereichs zu einem Arbeitsbereichs-Gateway erstellt einen eindeutigen Hostnamen für in diesem Arbeitsbereich verwaltete APIs. Standardhostnamen folgen dem Muster <workspace-name>-<hash>.gateway.<region>.azure-api.net
. Derzeit werden benutzerdefinierte Domänennamen für Arbeitsbereichs-Gateways nicht unterstützt.
Hinweis
Bis Oktober 2024 kann auf APIs in Arbeitsbereichen zur Laufzeit über den Gatewayhostnamen Ihrer API Management-Instanz sowie über den Hostnamen des Arbeitsbereich-Gateways zugegriffen werden.
Netzwerkisolation
Ein Arbeitsbereichs-Gateway kann optional in einem privaten virtuellen Netzwerk konfiguriert werden, um eingehenden und/oder ausgehenden Datenverkehr zu isolieren. Wird diese Einstellung konfiguriert, muss das Arbeitsbereichs-Gateway ein dediziertes Subnetz im virtuellen Netzwerk verwenden.
Ausführliche Anforderungen finden Sie unter Netzwerkressourcenanforderungen für die Integration eines Arbeitsbereichs-Gateways in ein virtuelles Netzwerk.
Hinweis
- Die Netzwerkkonfiguration eines Arbeitsbereichs-Gateways ist unabhängig von der Netzwerkkonfiguration der API Management-Instanz.
- Derzeit kann ein Arbeitsbereichs-Gateway nur in einem virtuellen Netzwerk konfiguriert werden, wenn das Gateway erstellt wird. Sie können die Netzwerkkonfiguration oder -einstellungen des Gateways später nicht mehr ändern.
Skalieren der Kapazität
Verwalten Sie die Gatewaykapazität, indem Sie Skalierungseinheiten manuell hinzufügen oder entfernen, ähnlich wie die Einheiten, die der API Management-Instanz in bestimmten Dienstebenen hinzugefügt werden können. Die Kosten für ein Arbeitsbereichs-Gateway basieren auf der Anzahl der ausgewählten Einheiten.
Regionale Verfügbarkeit
Arbeitsbereichs-Gateways sind derzeit in den folgenden Regionen verfügbar:
Hinweis
Diese Regionen sind eine Teilmenge der Regionen, in denen API Management verfügbar ist.
- USA (Westen)
- USA Nord Mitte
- USA (Ost) 2
- UK, Süden
- Frankreich, Mitte
- Nordeuropa
- Asien, Osten
- Asien, Südosten
- Australien (Osten)
- Japan, Osten
Einschränkungen für Gateways
Die folgenden Einschränkungen gelten derzeit für Arbeitsbereichs-Gateways:
- Ein Arbeitsbereichs-Gateway muss sich in derselben Region wie die primäre Azure-Region der API Management-Instanz und im selben Abonnement befinden.
- Ein Gateway kann nur einem Arbeitsbereich zugeordnet werden.
- Einem Arbeitsbereich kann kein selbstgehostetes Gateway zugeordnet werden.
- Arbeitsbereichs-Gateways unterstützen keine eingehenden privaten Endpunkte.
- APIs in Arbeitsbereich-Gateways können keine benutzerdefinierten Hostnamen zugewiesen werden.
- APIs in Arbeitsbereichen werden von Defender für APIs nicht abgedeckt.
- Arbeitsbereichs-Gateways unterstützen die Anmeldeinformationsverwaltung des API Management-Diensts nicht.
- Arbeitsbereichs-Gateways unterstützen nur internen Cache. Externer Cache wird nicht unterstützt.
- Arbeitsbereichs-Gateways unterstützen keine synthetischen GraphQL-APIs und WebSocket-APIs.
- Die Erstellung von APIs direkt aus Azure-Ressourcen wie Azure OpenAI Service, App Service, Function Apps usw. wird von Arbeitsbereichs-Gateways nicht unterstützt.
- Anforderungsmetriken können nicht nach Arbeitsbereich in Azure Monitor aufgeteilt werden. Alle Arbeitsbereichsmetriken werden auf Dienstebene aggregiert.
- Azure Monitor-Protokolle werden auf Dienstebene aggregiert. Protokolle auf Arbeitsbereichsebene sind nicht verfügbar.
- Arbeitsbereichs-Gateways unterstützen keine Zertifizierungsstellenzertifikate.
- Arbeitsbereichs-Gateways unterstützen keine automatische Skalierung.
- Arbeitsbereichs-Gateways unterstützen keine verwalteten Identitäten, einschließlich verwandter Features wie das Speichern von Geheimnissen in Azure Key Vault und die Verwendung der Richtlinie
authentication-managed-identity
.
RBAC-Rollen für Arbeitsbereiche
Mit Azure RBAC werden Berechtigungen von Personen mit der Rolle „Projektmitarbeiter im Arbeitsbereich“ zum Lesen und Bearbeiten von Entitäten im Arbeitsbereich konfiguriert. Eine Liste der Rollen finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung in API Management.
Um APIs und andere Ressourcen im Arbeitsbereich zu verwalten, müssen Arbeitsbereichsmitgliedern Rollen (oder gleichwertige Berechtigungen mit benutzerdefinierten Rollen) zugewiesen werden, die auf den API Management-Dienst, den Arbeitsbereich und das Arbeitsbereichs-Gateway ausgerichtet sind. Die servicebezogene Rolle ermöglicht es, bestimmte Ressourcen auf Dienstebene von Ressourcen auf Arbeitsplatzebene aus zu referenzieren. Organisieren Sie z. B. einen Benutzer in einer Gruppe auf Arbeitsbereichsebene, um die API und die Produktsichtbarkeit zu steuern.
Hinweis
Richten Sie zur einfacheren Verwaltung Microsoft Entra ID-Gruppen ein, um Arbeitsbereichsberechtigungen für mehrere Benutzer zuzuweisen.
Arbeitsbereiche und andere Features von API Management
Arbeitsbereiche sind so konzipiert, dass sie eigenständig sind, um die Trennung des administrativen Zugriffs und der API-Runtime zu maximieren. Es gibt mehrere Ausnahmen, um eine höhere Produktivität zu gewährleisten und plattformweite Governance, Beobachtbarkeit, Wiederverwendbarkeit und API-Ermittlung zu ermöglichen.
Ressourcenverweise: Ressourcen in einem Arbeitsbereich können auf andere Ressourcen im Arbeitsbereich und auf ausgewählte Ressourcen der Dienstebene verweisen, etwa Benutzer, Autorisierungsserver oder integrierte Benutzergruppen. Sie können nicht auf Ressourcen aus einem anderen Arbeitsbereich verweisen.
Aus Sicherheitsgründen ist es nicht möglich, von Richtlinien auf Arbeitsbereichsebene (z. B. benannten Werten) auf Ressourcen auf Dienstebene zu verweisen. Auch Verweise anhand von Ressourcennamen, z. B.
backend-id
in der Richtlinie set-backend-service, sind nicht zulässig.Wichtig
Alle Ressourcen in einem API Management-Dienst (z. B. APIs, Produkte, Tags oder Abonnements) müssen eindeutige Namen aufweisen, auch wenn sie sich in verschiedenen Arbeitsbereichen befinden. Es dürfen keine Ressourcen desselben Typs und mit demselben Azure-Ressourcennamen im selben Arbeitsbereich, in anderen Arbeitsbereichen oder auf Dienstebene vorhanden sein.
Entwicklungsportal: Arbeitsbereiche sind ein administratives Konzept und werden Kunden im Entwicklungsportal nicht als solche angezeigt. Dies gilt auch für die Benutzeroberfläche und die zugrunde liegende API des Entwicklungsportals. APIs und Produkte innerhalb eines Arbeitsbereichs können im Entwicklerportal veröffentlicht werden, genau wie APIs und Produkte auf Serviceebene.
Hinweis
API Management unterstützt das Zuweisen von auf Dienstebene definierten Autorisierungsservern zu APIs innerhalb von Arbeitsbereichen.
Migrieren von Vorschauarbeitsbereichen
Wenn Sie Vorschauarbeitsbereiche in Azure API Management erstellt haben und diese weiterhin verwenden möchten, migrieren Sie Ihre Arbeitsbereiche zur allgemein verfügbaren Version, indem Sie jeden Arbeitsbereich ein Arbeitsbereichs-Gateway zuordnen.
Einzelheiten und Informationen zu anderen Änderungen, die sich auf Ihre Vorschauarbeitsbereiche auswirken könnten, finden Sie unter Breaking Changes für Arbeitsbereiche (März 2025).
Löschen eines Arbeitsbereichs
Beim Löschen eines Arbeitsbereichs werden alle untergeordneten Ressourcen (APIs, Produkte usw.) und das zugehörige Gateway gelöscht, wenn Sie den Arbeitsbereich über die Azure-Portalschnittstelle löschen. Die API Management-Instanz oder andere Arbeitsbereiche werden nicht gelöscht.