Aktualisierungen der Quell-IP-Adresse des Ressourcenanbieters (September 2023)
GILT FÜR: Entwickler | Premium
Am 30. September 2023 werden im Rahmen unserer fortwährenden Bestrebungen zur Erhöhung der Resilienz von API Management-Diensten die Ressourcenanbieter für Azure API Management in jeder Region zonenredundant. Die IP-Adresse, die vom Ressourcenanbieter für die Kommunikation mit Ihrem Dienst verwendet wird, ändert sich, wenn er sich in der Region „Schweiz, Norden“ befindet:
- Alte IP-Adresse: 51.107.0.91
- Neue IP-Adresse: 51.107.246.176
Diese Änderung hat keine Auswirkungen auf die Verfügbarkeit Ihres API Management-Diensts. Sie müssen jedoch möglicherweise die unten beschriebenen Schritte ausführen, um Ihren API Management-Dienst nach dem 30. September 2023 weiterhin konfigurieren zu können.
Ist mein Dienst von dieser Änderung betroffen?
Ihr Dienst ist in folgenden Fällen von dieser Änderung betroffen:
- Der API Management-Dienst befindet sich in der Region „Schweiz, Norden“.
- Der API Management-Dienst wird in einem virtuellen Azure-Netzwerk ausgeführt.
- Die Netzwerksicherheitsgruppe (NSG) oder die benutzerdefinierten Routen (User-Defined Routes, UDRs) für das virtuelle Netzwerk sind mit expliziten Quell-IP-Adressen konfiguriert.
Wann wird die Änderung vorgenommen?
Die Quell-IP-Adressen für die betroffene Region wird am 30. September 2023 geändert. Schließen Sie bis dahin alle erforderlichen Netzwerkänderungen ab.
Wenn Sie keine Änderungen an Ihren IP-Adressen vornehmen möchten, werden Ihre Dienste nach dem 30. September 2023 zwar weiterhin ausgeführt, Sie können jedoch weder APIs hinzufügen oder entfernen noch die API-Richtlinie ändern oder Ihren API Management-Dienst anderweitig konfigurieren.
Kann ich eine solche Änderung in Zukunft vermeiden?
Ja, das ist möglich.
Von API Management wird ein Diensttag veröffentlicht, mit dem Sie die NSG für Ihr virtuelles Netzwerk konfigurieren können. Das Diensttag enthält Informationen zu den Quell-IP-Adressen, die von API Management für die Verwaltung Ihres Diensts verwendet werden. Weitere Informationen zu diesem Thema finden Sie in der API Management-Dokumentation unter Konfigurieren von NSG-Regeln.
Wie muss ich vorgehen?
Aktualisieren Sie die NSG-Sicherheitsregeln, die dem API Management-Ressourcenanbieter die Kommunikation mit Ihrer API Management-Instanz ermöglichen. Eine ausführliche Anleitung zur Verwaltung einer Netzwerksicherheitsgruppe finden Sie in der Azure Virtual Network-Dokumentation unter Erstellen, Ändern oder Löschen einer Netzwerksicherheitsgruppe.
Zeigen Sie Ihre NSGs im Azure-Portal an. Navigieren Sie zum Eintrag Netzwerksicherheitsgruppen, und wählen Sie ihn aus.
Wählen Sie den Namen der NSG aus, die dem virtuellen Netzwerk zugeordnet ist, in dem Ihr API Management-Dienst gehostet wird.
Wählen Sie auf der Menüleiste die Option Sicherheitsregeln für eingehenden Datenverkehr aus.
Die Sicherheitsregeln für eingehenden Datenverkehr sollten bereits einen Eintrag mit einer Quelladresse enthalten, die der alten IP-Adresse aus der obigen Tabelle entspricht. Falls nicht, verwenden Sie keine explizite Quell-IP-Adressfilterung und können diese Aktualisierung überspringen.
Wählen Sie Hinzufügen.
Füllen Sie das Formular mit den folgenden Informationen aus:
- Quelle: Diensttag
- Quelldiensttag: ApiManagement
- Quellportbereiche: *
- Ziel: VirtualNetwork
- Zielportbereiche: 3443
- Protokoll: TCP
- Aktion: Zulassen
- Priorität: Wählen Sie eine geeignete Priorität aus, um die neue Regel neben der vorhandenen Regel zu platzieren.
Die Felder „Name“ und „Beschreibung“ können nach Belieben festgelegt werden. Lassen Sie alle anderen Felder leer.
Wählen Sie OK aus.
Darüber hinaus muss möglicherweise das Netzwerkrouting für das virtuelle Netzwerk an die neuen IP-Adressen der Steuerungsebene angepasst werden. Wenn Sie eine Standardroute (0.0.0.0/0
) konfiguriert haben, die dazu führt, dass der gesamte Datenverkehr aus dem API Management-Subnetz eine Firewall durchlaufen muss, anstatt direkt ans Internet übermittelt zu werden, sind weitere Konfigurationsschritte erforderlich.
Wenn Sie benutzerdefinierte Routen (User-Defined Routes, UDRs) für IP-Adressen der Steuerungsebene konfiguriert haben, müssen die neuen IP-Adressen auf die gleiche Weise geroutet werden. Weitere Informationen zu den erforderlichen Änderungen für das Netzwerkrouting von Verwaltungsanforderungen finden Sie in der Dokumentation zur Tunnelerzwingung für Datenverkehr.
Führen Sie abschließend eine Überprüfung auf andere Systeme durch, die sich ggf. auf die Kommunikation zwischen dem API Management-Ressourcenanbieter und Ihrem API Management-Dienstsubnetz auswirken können. Weitere Informationen zur Konfiguration virtueller Netzwerke finden Sie in der Dokumentation zu Virtual Network.
Weitere Informationen
Nächste Schritte
Sehen Sie sich alle bevorstehenden Breaking Changes und Funktionseinstellungen an.