So implementieren Sie die Notfallwiederherstellung mit Sichern und Wiederherstellen von Diensten in Azure API Management

GILT FÜR: Developer | Basic | Standard | Premium

Indem Sie Ihre APIs über Azure API Management veröffentlichen und verwalten, profitieren Sie von Fehlertoleranz- und Infrastrukturfunktionen, die Sie sonst erst manuell entwickeln, implementieren und verwalten müssten. Die Azure-Plattform minimiert einen Großteil der potenziellen Ausfälle zu einem Bruchteil der Kosten.

Für die Wiederherstellung von Verfügbarkeitsproblemen, die Ihren API Management-Dienst betreffen, sollten Sie jederzeit in der Lage sein, Ihren Dienst in einer anderen Region wiederherzustellen. Abhängig von Ihrer RTO (Recovery Time Objective) empfiehlt es sich gegebenenfalls, einen Standbydienst in mindestens einer Region bereitzuhalten. Sie haben auch die Möglichkeit, die Konfiguration und Inhalte der Regionen gemäß Ihrer RPO (Recovery Point Objective) mit dem aktiven Dienst zu synchronisieren. Die Funktionen zur Sicherung und Wiederherstellung von API Management bieten die notwendigen Bausteine für die Implementierung einer Notfallwiederherstellungsstrategie.

Sicherungs- und Wiederherstellungsvorgänge können auch zur Replikation der API Management-Dienstkonfiguration zwischen Betriebsumgebungen, z. B. Entwicklung und Staging, verwendet werden. Beachten Sie, dass auch Laufzeitdaten wie Benutzer und Abonnements kopiert werden, was unter Umständen nicht immer wünschenswert ist.

In diesem Artikel wird gezeigt, wie Sie Sicherungs- und Wiederherstellungsvorgänge Ihrer API Management-Instanz mithilfe eines externen Speicherkontos automatisieren. Die hier gezeigten Schritte verwenden entweder die Azure PowerShell-Cmdlets Backup-AzApiManagement und Restore-AzApiManagement oder die REST-APIs API Management-Dienst – Sicherung und API Management-Dienst – Wiederherstellen.

Warnung

Jede Sicherung läuft nach 30 Tagen ab. Wenn Sie versuchen, eine Sicherung nach dem Ablaufzeitraum von 30 Tagen wiederherzustellen, erhalten Sie die Fehlermeldung Cannot restore: backup expired.

Wichtig

Die benutzerdefinierte Hostnamenkonfiguration des Zieldiensts wird durch den Wiederherstellungsvorgang nicht geändert. Wir empfehlen, den gleichen benutzerdefinierten Hostnamen und das gleiche TLS-Zertifikat sowohl für aktive Dienste als auch für Standbydienste zu verwenden, sodass der Datenverkehr nach Abschluss der Wiederherstellung durch eine einfache DNS-CNAME-Änderung an die Standbyinstanz umgeleitet werden kann.

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren des Azure Az PowerShell-Moduls. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Voraussetzungen

• Eine API Management-Dienstinstanz. Sollten Sie über keine verfügen, lesen Sie Erstellen einer API Management-Dienstinstanz.

• Ein Azure-Speicherkonto. Wenn Sie über keins verfügen, lesen Sie Erstellen eines Speicherkontos.

  • Erstellen Sie einen Container im Speicherkonto, um die Sicherungsdaten aufzunehmen.

• Die neueste Version von Azure PowerShell, wenn Sie Azure PowerShell-Cmdlets verwenden möchten. Installieren Sie Azure PowerShell, sofern noch nicht geschehen.

Konfigurieren des Zugriffs auf das Speicherkonto

Beim Ausführen eines Sicherungs- oder Wiederherstellungsvorgangs müssen Sie den Zugriff auf das Speicherkonto konfigurieren. API Management unterstützt zwei Speicherzugriffsmechanismen: einen Azure Storage-Zugriffsschlüssel oder eine verwaltete API Management-Identität.

Konfigurieren eines Speicherkonto-Zugriffsschlüssels

Azure generiert zwei 512-Bit-Speicherkonto-Zugriffsschlüssel für jedes Speicherkonto. Mit diesen Schlüsseln können Sie den Zugriff auf Daten in Ihrem Speicherkonto per gemeinsam verwendetem Schlüssel autorisieren. Informationen zum Anzeigen, Abrufen und Verwalten der Schlüssel finden Sie unter Verwalten von Zugriffsschlüsseln für Speicherkonten.

Konfigurieren einer verwalteten API Management-Identität

Hinweis

Die Verwendung einer verwalteten API Management-Identität für Speichervorgänge während der Sicherung und Wiederherstellung wird in der Version 2021-04-01-preview oder höher der API Management-REST-API unterstützt.

1. Aktivieren Sie eine system- oder benutzerseitig zugewiesene verwaltete Identität für API Management in Ihrer API Management-Instanz.

   • Wenn Sie eine benutzerseitig zugewiesene verwaltete Identität aktivieren, notieren Sie sich die Client-ID der Identität.
   • Wenn Sie Sicherungs- und Wiederherstellungsvorgänge in verschiedenen API Management-Instanzen durchführen, aktivieren Sie eine verwaltete Identität sowohl in der Quell- als auch in der Zielinstanz.

2. Weisen Sie der Identität die Rolle Mitwirkender an Storage-Blobdaten beschränkt auf das Speicherkonto zu, das zur Sicherung und Wiederherstellung verwendet wird. Verwenden Sie zum Zuweisen der Rolle das Azure-Portal oder andere Azure-Tools.

Sichern eines API Management-Diensts

PowerShell

Melden Sie sich mit Azure PowerShell an.

In den folgenden Beispielen:

• Eine API Management-Instanz namens myapim befindet sich in der Ressourcengruppen apimresourcegroup.
• Ein Speicherkonto namens backupstorageaccount befindet sich in der Ressourcengruppe storageresourcegroup. Das Speicherkonto verfügt über einen Container namens backups (Sicherungen).
• Ein Sicherungs-Blob wird mit dem Namen ContosoBackup.apimbackup erstellt.

Festlegen von Variablen in PowerShell:

$apiManagementName="myapim";
$apiManagementResourceGroup="apimresourcegroup";
$storageAccountName="backupstorageaccount";
$storageResourceGroup="storageresourcegroup";
$containerName="backups";
$blobName="ContosoBackup.apimbackup"

Zugriff mithilfe eines Speicherzugriffsschlüssels

$storageKey = (Get-AzStorageAccountKey -ResourceGroupName $storageResourceGroup -StorageAccountName $storageAccountName)[0].Value

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName -StorageAccountKey $storageKey

Backup-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -TargetContainerName $containerName -TargetBlobName $blobName

Zugriff mithilfe einer verwalteten Identität

Informationen zum Konfigurieren einer verwalteten Identität in Ihrer API Management-Instanz für den Zugriff auf das Speicherkonto finden Sie weiter oben in diesem Artikel unter Konfigurieren einer verwalteten Identität.

Zugriff mithilfe einer systemseitig zugewiesenen verwalteten Identität

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Backup-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -TargetContainerName $containerName `
    -TargetBlobName $blobName -AccessType "SystemAssignedManagedIdentity"

Zugriff mithilfe einer benutzerseitig zugewiesenen verwalteten Identität

In diesem Beispiel befindet sich eine benutzerseitig zugewiesene verwaltete Identität namens myidentity in der Ressourcengruppe identityresourcegroup.

$identityName = "myidentity";
$identityResourceGroup = "identityresourcegroup";

$identityId = (Get-AzUserAssignedIdentity -Name $identityName -ResourceGroupName $identityResourceGroup).ClientId

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Backup-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -TargetContainerName $containerName `
    -TargetBlobName $blobName -AccessType "UserAssignedManagedIdentity" ` -identityClientId $identityid

Die Sicherung ist ein zeitintensiver Vorgang, dessen Abschluss mehrere Minuten dauern kann. Während dieser Zeit verarbeitet das API-Gateway weiterhin Anforderungen, aber der Zustand des Diensts ist „Wird aktualisiert“.

REST

Informationen zum Authentifizieren und Aufrufen von Azure-REST-APIs finden Sie in der Azure-REST-API-Referenz.

Zum Sichern eines API Management-Diensts führen Sie die folgende HTTP-Anforderung aus:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{serviceName}/backup?api-version={api-version}

Dabei gilt:

• subscriptionId – ID des Abonnements, das den API Management-Dienst enthält, den Sie sichern möchten
• resourceGroupName – der Name der Ressourcengruppe Ihres Azure API Management-Diensts
• serviceName – der Name des zu sichernden API Management-Diensts zum Zeitpunkt seiner Erstellung
• api-version – eine gültige REST-API-Version wie 2021-08-01 oder 2021-04-01-preview

Geben Sie im Hauptteil der Anforderung den Namen des Zielspeicherkontos, den Blobcontainernamen, den Sicherungsnamen und den Speicherzugriffstyp an. Wenn der Speichercontainer nicht vorhanden ist, wird er beim Sicherungsvorgang erstellt.

Zugriff mithilfe eines Speicherzugriffsschlüssels

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessKey": "{access key for the account}"
}

Zugriff mithilfe einer verwalteten Identität

Hinweis

Zur Verwendung einer verwalteten API Management-Identität für Speichervorgänge während der Sicherung und Wiederherstellung ist mindestens API Management-REST-API-Version 2021-04-01-preview erforderlich.

Zugriff mithilfe einer systemseitig zugewiesenen verwalteten Identität

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "SystemAssignedManagedIdentity"
}

Zugriff mithilfe einer benutzerseitig zugewiesenen verwalteten Identität

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "UserAssignedManagedIdentity",
    "clientId": "{client ID of user-assigned identity}"
}

Legen Sie für den Content-Type-Anforderungsheader den Wert application/json fest.

Die Sicherung ist ein zeitintensiver Vorgang, dessen Abschluss mehrere Minuten dauern kann. Falls die Anforderung erfolgreich war und der Sicherungsvorgang eingeleitet wurde, erhalten Sie den 202 Accepted Antwortstatuscode mit einem Location-Header. Senden Sie GET-Anforderungen der URL im Location-Header, um den Status des Vorgangs zu ermitteln. Während der Sicherung erhalten Sie weiterhin den Statuscode 202 Accepted. Während dieser Zeit verarbeitet das API-Gateway weiterhin Anforderungen, aber der Zustand des Diensts ist „Wird aktualisiert“. Mit dem Antwortcode 200 OK wird der erfolgreiche Abschluss des Sicherungsvorgangs angezeigt.

Wiederherstellen eines API Management-Diensts

Achtung

Vermeiden Sie Änderungen an der Dienstkonfiguration (z. B. APIs, Richtlinien, Erscheinungsbild des Entwicklerportals), die während des Wiederherstellungsvorgangs vorgenommen werden. Änderungen könnten überschrieben werden.

PowerShell

In den folgenden Beispielen:

• Eine API Management-Instanz namens myapim wird aus dem Sicherungs-Blob namens ContosoBackup.apimbackup im Speicherkonto backupstorageaccount wiederhergestellt.
• Der Sicherungs-Blob befindet sich in einem Container namens backups (Sicherungen).

Festlegen von Variablen in PowerShell:

$apiManagementName="myapim";
$apiManagementResourceGroup="apimresourcegroup";
$storageAccountName="backupstorageaccount";
$storageResourceGroup="storageresourcegroup";
$containerName="backups";
$blobName="ContosoBackup.apimbackup"

Zugriff mithilfe eines Speicherzugriffsschlüssels

$storageKey = (Get-AzStorageAccountKey -ResourceGroupName $storageResourceGroup -StorageAccountName $storageAccountName)[0].Value

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName -StorageAccountKey $storageKey

Restore-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -SourceContainerName $containerName -SourceBlobName $blobName

Zugriff mithilfe einer verwalteten Identität

Informationen zum Konfigurieren einer verwalteten Identität in Ihrer API Management-Instanz für den Zugriff auf das Speicherkonto finden Sie weiter oben in diesem Artikel unter Konfigurieren einer verwalteten Identität.

Zugriff mithilfe einer systemseitig zugewiesenen verwalteten Identität

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Restore-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -SourceContainerName $containerName `
    -SourceBlobName $blobName -AccessType "SystemAssignedManagedIdentity"

Zugriff mithilfe einer benutzerseitig zugewiesenen verwalteten Identität

In diesem Beispiel befindet sich eine benutzerseitig zugewiesene verwaltete Identität namens myidentity in der Ressourcengruppe identityresourcegroup.

$identityName = "myidentity";
$identityResourceGroup = "identityresourcegroup";

$identityId = (Get-AzUserAssignedIdentity -Name $identityName -ResourceGroupName $identityResourceGroup).ClientId

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Restore-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -SourceContainerName $containerName `
    -SourceBlobName $blobName -AccessType "UserAssignedManagedIdentity" ` -identityClientId $identityid

Die Wiederherstellung ist ein zeitintensiver Vorgang, der bis zu seinem Abschluss 45 Minuten oder länger dauern kann.

REST

Zum Wiederherstellen eines API Management-Diensts aus einer zuvor erstellten Sicherung führen Sie die folgende HTTP-Anforderung aus:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{serviceName}/restore?api-version={api-version}

Dabei gilt:

• subscriptionId – ID des Abonnements, das den API Management-Dienst enthält, in den Sie eine Sicherung erstellen
• resourceGroupName – Name der Ressourcengruppe mit dem Azure-API Management-Dienst, in dem Sie eine Sicherung wiederherstellen
• serviceName – der Name des wiederherzustellenden API Management-Diensts zum Zeitpunkt seiner Erstellung
• api-version – eine gültige REST-API-Version wie 2021-08-01 oder 2021-04-01-preview

Geben Sie im Hauptteil der Anforderung den Namen des vorhandenen Speicherkontos, den Blobcontainernamen, den Sicherungsnamen und den Speicherzugriffstyp an.

Zugriff mithilfe eines Speicherzugriffsschlüssels

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessKey": "{access key for the account}"
}

Zugriff mithilfe einer verwalteten Identität

Hinweis

Zur Verwendung einer verwalteten API Management-Identität für Speichervorgänge während der Sicherung und Wiederherstellung ist mindestens API Management-REST-API-Version 2021-04-01-preview erforderlich.

Zugriff mithilfe einer systemseitig zugewiesenen verwalteten Identität

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "SystemAssignedManagedIdentity"
}

Zugriff mithilfe einer benutzerseitig zugewiesenen verwalteten Identität

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "UserAssignedManagedIdentity",
    "clientId": "{client ID of user-assigned identity}"
}

Legen Sie für den Content-Type-Anforderungsheader den Wert application/json fest.

Die Wiederherstellung ist ein zeitintensiver Vorgang, der bis zum Abschluss 30 Minuten oder länger dauern kann. Falls die Anforderung erfolgreich war und der Wiederherstellungsvorgang eingeleitet wurde, erhalten Sie den 202 Accepted Antwortstatuscode mit einem Location-Header. Senden Sie GET-Anforderungen der URL im Location-Header, um den Status des Vorgangs zu ermitteln. Während der Wiederherstellung erhalten Sie weiterhin den Statuscode 202 Accepted. Mit dem Antwortcode 200 OK wird der erfolgreiche Abschluss des Wiederherstellungsvorgangs angezeigt.

Einschränkungen

• Die Wiederherstellung einer Sicherung nach ihrer Erstellung wird nur 30 Tage lange garantiert.
• Vermeiden Sie während der Sicherung Verwaltungsänderungen im Dienst wie beispielsweise Tarif-Upgrades oder Herabstufungen, Änderungen am Domänennamen usw.
• Änderungen an der Dienstkonfiguration (z.B. APIs, Richtlinien, Erscheinungsbild des Entwicklerportals), die während des Sicherungsvorgangs vorgenommen werden, sind ggf. nicht in der Sicherung enthalten und gehen verloren.
• Die Sicherung erfasst keine voraggregierten Protokolldaten, die in Berichten im Fenster Analytics im Azure-Portal verwendet werden.
• Ressourcenfreigabe zwischen verschiedenen Ursprüngen (CORS, Cross-Origin Resource Sharing) sollte für den Blob-Dienst im Speicherkonto nicht aktiviert sein.
• Der Tarif des wiederherzustellenden Diensts muss mit dem Tarif des gesicherten Diensts übereinstimmen.

Einschränkungen des Speichernetzwerks

Wenn das Speicherkonto firewallfähigaktiviert ist, empfiehlt es sich, die vom System zugewiesene verwaltete Identität der API-Verwaltungsinstanz für den Zugriff auf das Konto zu verwenden. Stellen Sie sicher, dass das Speicherkonto Zugriff auf vertrauenswürdige Azure-Dienste gewährt.

Nicht gesicherte Elemente

• Nutzungsdaten zum Erstellen von Analyseberichten sind in der Sicherung nicht enthalten. Verwenden Sie Azure API Management REST API , um regelmäßig Analyseberichte zur Aufbewahrung abzurufen.
• TLS/SSL-Zertifikate für die benutzerdefinierte Domäne.
• Benutzerdefinierte Zertifizierungsstellenzertifikate, wozu Zwischen- oder Stammzertifikate gehören, die vom Kunden hochgeladen wurden.
• Integrationseinstellungen für virtuelle Netzwerke
• Konfiguration der verwalteten Identität
• Azure Monitor-Diagnosekonfiguration
• Einstellungen für Protokolle und Verschlüsselungsverfahren
• Inhalt des Entwicklerportals.

Die Häufigkeit, mit der Sie Dienstsicherungen durchführen, wirkt sich auf das Ziel Ihres Wiederherstellungspunkts aus. Um die Auswirkungen zu minimieren, empfehlen wir, regelmäßige Sicherungen zu implementieren und bei Bedarf Sicherungen durchzuführen, wenn Sie Änderungen an Ihrem API Management-Dienst vorgenommen haben.

Nächste Schritte

Sehen Sie sich die folgenden zugehörigen Ressourcen für den Sicherungs- und Wiederherstellungsvorgang an:

• Automating API Management Backup and Restore with Logic Apps (Automatisieren der Sicherung und Wiederherstellung von API Management mit Logic Apps)
• Regionsübergreifendes Verschieben von Azure API Management
• Der API Management-Premium-Tarif unterstützt außerdem Zonenredundanz, die Resilienz und Hochverfügbarkeit für eine Dienstinstanz in einer bestimmten Azure-Region (Standort) bietet.