Implementieren der Notfallwiederherstellung mit Sichern und Wiederherstellen von Diensten in Azure API Management

GILT FÜR: Developer | Basic | Standard | Premium

Indem Sie Ihre APIs über Azure API Management veröffentlichen und verwalten, profitieren Sie von Fehlertoleranz- und Infrastrukturfunktionen, die Sie sonst erst manuell entwickeln, implementieren und verwalten müssten. Die Azure-Plattform minimiert einen Großteil der potenziellen Ausfälle zu einem Bruchteil der Kosten.

Für die Wiederherstellung von Verfügbarkeitsproblemen, die Ihren API Management-Dienst betreffen, sollten Sie jederzeit in der Lage sein, Ihren Dienst in einer anderen Region wiederherzustellen. Abhängig von Ihrer RTO (Recovery Time Objective, Wiederherstellungszeit-Zielsetzung) empfiehlt es sich gegebenenfalls, einen Standbydienst in mindestens einer Region bereitzuhalten. Sie haben auch die Möglichkeit, ihre Konfiguration und ihre Inhalte gemäß Ihrer Wiederherstellungszeit-Zielsetzung mit dem aktiven Dienst zu synchronisieren. Die Funktionen zur Sicherung und Wiederherstellung von API Management bieten die notwendigen Bausteine für die Implementierung einer Notfallwiederherstellungsstrategie.

Sicherungs- und Wiederherstellungsvorgänge können auch zur Replikation der API Management-Dienstkonfiguration zwischen Betriebsumgebungen, z. B. Entwicklung und Staging, verwendet werden. Beachten Sie, dass auch Laufzeitdaten wie Benutzende und Abonnements kopiert werden, was unter Umständen nicht immer wünschenswert ist.

In diesem Artikel wird gezeigt, wie Sie Sicherungs- und Wiederherstellungsvorgänge Ihrer API Management-Instanz mithilfe eines externen Speicherkontos automatisieren. Die hier gezeigten Schritte verwenden entweder die Cmdlets Backup-AzApiManagement und Restore-AzApiManagement Azure PowerShell oder den API Management Service - Backup and API Management Service - Restore REST APIs.

Warnung

Jede Sicherung läuft nach 30 Tagen ab. Wenn Sie versuchen, eine Sicherung nach dem Ablaufzeitraum von 30 Tagen wiederherzustellen, erhalten Sie diese Fehlermeldung: Cannot restore: backup expired.

Wichtig

Die benutzerdefinierte Hostnamenkonfiguration des Zieldiensts wird durch den Wiederherstellungsvorgang nicht geändert. Wir empfehlen, denselben benutzerdefinierten Hostnamen und dasselbe TLS-Zertifikat sowohl für aktive Dienste als auch für Standbydienste zu verwenden, sodass der Datenverkehr nach Abschluss der Wiederherstellung durch eine einfache DNS-CNAME-Änderung an die Standbyinstanz umgeleitet werden kann.

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Wichtig

Änderungen an der Infrastruktur Ihres API-Verwaltungsdiensts (z. B. Konfigurieren von benutzerdefinierten Domänen, Hinzufügen von Zertifizierungsstellenzertifikaten, Skalierung, Konfiguration virtueller Netzwerke, Änderungen der Verfügbarkeitszone und Regionszufügungen) können je nach Dienstebene und Größe der Bereitstellung 15 Minuten oder länger dauern. Sie müssen mit einer längeren Zeiten für Instanzen mit einer größeren Anzahl von Skalierungseinheiten oder einer Konfiguration mit mehreren Regionen rechnen. Laufende Änderungen an der API-Verwaltung werden sorgfältig ausgeführt, um Kapazität und Verfügbarkeit zu bewahren.

Während der Dienst aktualisiert wird, können andere Änderungen an der Dienstinfrastruktur nicht vorgenommen werden. Sie können jedoch APIs, Produkte, Richtlinien und Benutzereinstellungen konfigurieren. Der Dienst erlebt keine Ausfallzeiten des Gateways, und die API-Verwaltung wird weiterhin API-Anforderungen ohne Unterbrechung (mit Ausnahme der Entwicklerebene) dienstieren.

Voraussetzungen

• Eine API-Verwaltungsdienstinstanz in einer unterstützten Dienstebene. Wenn Sie keine haben, lesen Sie Erstellen einer API Management-Dienstinstanz.

  Hinweis

  Derzeit werden Sicherung und Wiederherstellung in API-Verwaltungsinstanzen mit zugehörigen Arbeitsbereichsgateways nicht unterstützt.

• Ein Azure-Speicherkonto. Wenn Sie keines haben, lesen Sie Erstellen eines Speicherkontos.

  • Erstellen Sie einen Container im Speicherkonto, um die Sicherungsdaten aufzunehmen.

• Die neueste Version von Azure PowerShell, wenn Sie Azure PowerShell-Cmdlets verwenden möchten. Installieren Sie Azure PowerShell, sofern noch nicht geschehen.

Konfigurieren des Zugriffs auf das Speicherkonto

Beim Ausführen eines Sicherungs- oder Wiederherstellungsvorgangs müssen Sie den Zugriff auf das Speicherkonto konfigurieren. API Management unterstützt zwei Speicherzugriffsmechanismen: einen Azure Storage-Zugriffsschlüssel oder eine verwaltete API Management-Identität.

Konfigurieren eines Speicherkonto-Zugriffsschlüssels

Azure generiert zwei 512-Bit-Speicherkonto-Zugriffsschlüssel für jedes Speicherkonto. Mit diesen Schlüsseln können Sie den Zugriff auf Daten in Ihrem Speicherkonto über einen gemeinsam verwendeten Schlüssel autorisieren. Informationen zum Anzeigen, Abrufen und Verwalten der Schlüssel finden Sie unter Verwalten von Zugriffsschlüsseln für Speicherkonten.

Konfigurieren einer verwalteten API Management-Identität

Hinweis

Die Verwendung einer verwalteten API Management-Identität für Speichervorgänge während der Sicherung und Wiederherstellung wird in der Version 2021-04-01-preview oder höher der API Management-REST-API unterstützt.

1. Aktivieren Sie eine systemseitig oder benutzerseitig zugewiesene verwaltete Identität für API Management in Ihrer API Management-Instanz.

   • Wenn Sie eine benutzerseitig zugewiesene verwaltete Identität aktivieren, notieren Sie sich die Client-ID der Identität.
   • Wenn Sie Sicherungs- und Wiederherstellungsvorgänge in verschiedenen API Management-Instanzen durchführen, aktivieren Sie eine verwaltete Identität sowohl in der Quell- als auch in der Zielinstanz.

2. Weisen Sie der Identität die Rolle Mitwirkender an Storage-Blobdaten beschränkt auf das Speicherkonto zu, das zur Sicherung und Wiederherstellung verwendet wird. Verwenden Sie zum Zuweisen der Rolle das Azure-Portal oder andere Azure-Tools.

Sichern eines API Management-Diensts

PowerShell

Melden Sie sich mit Azure PowerShell an.

In den folgenden Beispielen:

• Eine API Management-Instanz namens myapim befindet sich in der Ressourcengruppen apimresourcegroup.
• Ein Speicherkonto namens backupstorageaccount befindet sich in der Ressourcengruppe storageresourcegroup. Das Speicherkonto verfügt über einen Container namens backups (Sicherungen).
• Ein Sicherungs-Blob wird mit dem Namen ContosoBackup.apimbackup erstellt.

Festlegen von Variablen in PowerShell:

$apiManagementName="myapim";
$apiManagementResourceGroup="apimresourcegroup";
$storageAccountName="backupstorageaccount";
$storageResourceGroup="storageresourcegroup";
$containerName="backups";
$blobName="ContosoBackup.apimbackup"

Zugriff mithilfe eines Speicherzugriffsschlüssels

$storageKey = (Get-AzStorageAccountKey -ResourceGroupName $storageResourceGroup -StorageAccountName $storageAccountName)[0].Value

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName -StorageAccountKey $storageKey

Backup-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -TargetContainerName $containerName -TargetBlobName $blobName

Zugriff mithilfe einer verwalteten Identität

Informationen zum Konfigurieren einer verwalteten Identität in Ihrer API Management-Instanz für den Zugriff auf das Speicherkonto finden Sie weiter oben in diesem Artikel unter Konfigurieren einer verwalteten Identität.

Zugriff mithilfe einer systemseitig zugewiesenen verwalteten Identität

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Backup-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -TargetContainerName $containerName `
    -TargetBlobName $blobName -AccessType "SystemAssignedManagedIdentity"

Zugriff mithilfe einer benutzerseitig zugewiesenen verwalteten Identität

In diesem Beispiel befindet sich eine benutzerseitig zugewiesene verwaltete Identität namens myidentity in der Ressourcengruppe identityresourcegroup.

$identityName = "myidentity";
$identityResourceGroup = "identityresourcegroup";

$identityId = (Get-AzUserAssignedIdentity -Name $identityName -ResourceGroupName $identityResourceGroup).ClientId

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Backup-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -TargetContainerName $containerName `
    -TargetBlobName $blobName -AccessType "UserAssignedManagedIdentity" ` -identityClientId $identityid

Die Sicherung ist ein zeitintensiver Vorgang, dessen Abschluss mehrere Minuten dauern kann. Während dieser Zeit verarbeitet das API-Gateway weiterhin Anforderungen, aber der Zustand des Diensts ist „Wird aktualisiert“.

CLI

Melden Sie sich mit der Azure CLI an.

In den folgenden Beispielen:

• Eine API Management-Instanz namens myapim befindet sich in der Ressourcengruppen apimresourcegroup.
• Ein Speicherkonto namens backupstorageaccount befindet sich in der Ressourcengruppe storageresourcegroup. Das Speicherkonto verfügt über einen Container namens backups (Sicherungen).
• Ein Sicherungs-Blob wird mit dem Namen ContosoBackup.apimbackup erstellt.

Legen Sie Variablen in Bash fest:

apiManagementName="myapim";
apiManagementResourceGroup="apimresourcegroup";
storageAccountName="backupstorageaccount";
storageResourceGroup="storageresourcegroup";
containerName="backups";
backupName="ContosoBackup.apimbackup";

Zugriff mithilfe eines Speicherzugriffsschlüssels

storageKey=$(az storage account keys list --resource-group $storageResourceGroup --account-name $storageAccountName --query [0].value --output tsv)

az apim backup --resource-group $apiManagementResourceGroup --name $apiManagementName \
    --storage-account-name $storageAccountName --storage-account-key $storageKey --storage-account-container $containerName --backup-name $backupName

Die Sicherung ist ein zeitintensiver Vorgang, dessen Abschluss mehrere Minuten dauern kann. Während dieser Zeit verarbeitet das API-Gateway weiterhin Anforderungen, aber der Zustand des Diensts ist „Wird aktualisiert“.

PAUSE

Informationen zum Authentifizieren und Aufrufen von Azure-REST-APIs finden Sie in der Azure-REST-API-Referenz.

Zum Sichern eines API Management-Diensts führen Sie die folgende HTTP-Anforderung aus:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{serviceName}/backup?api-version={api-version}

Dabei gilt:

• subscriptionId – ID des Abonnements, das den API Management-Dienst enthält, den Sie sichern möchten
• resourceGroupName – Name der Ressourcengruppe Ihres Azure API Management-Diensts
• serviceName – Name des zu sichernden API Management-Diensts zum Zeitpunkt seiner Erstellung
• api-version – eine gültige REST-API-Version wie 2021-08-01 oder 2021-04-01-preview

Geben Sie im Hauptteil der Anforderung den Namen des Zielspeicherkontos, den Blobcontainernamen, den Sicherungsnamen und den Speicherzugriffstyp an. Wenn der Speichercontainer nicht vorhanden ist, wird er beim Sicherungsvorgang erstellt.

Zugriff mithilfe eines Speicherzugriffsschlüssels

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessKey": "{access key for the account}"
}

Zugriff mithilfe einer verwalteten Identität

Hinweis

Zur Verwendung einer verwalteten API Management-Identität für Speichervorgänge während der Sicherung und Wiederherstellung ist mindestens die API Management-REST-API-Version 2021-04-01-preview erforderlich.

Zugriff mithilfe einer systemseitig zugewiesenen verwalteten Identität

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "SystemAssignedManagedIdentity"
}

Zugriff mithilfe einer benutzerseitig zugewiesenen verwalteten Identität

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "UserAssignedManagedIdentity",
    "clientId": "{client ID of user-assigned identity}"
}

Legen Sie für den Content-Type-Anforderungsheader den Wert application/json fest.

Die Sicherung ist ein zeitintensiver Vorgang, dessen Abschluss mehrere Minuten dauern kann. Falls die Anforderung erfolgreich war und der Sicherungsvorgang eingeleitet wurde, erhalten Sie den Antwortstatuscode 202 Accepted mit einem Location-Header. Senden Sie GET-Anforderungen der URL im Location-Header, um den Status des Vorgangs zu ermitteln. Während der Sicherung erhalten Sie weiterhin den Statuscode 202 Accepted. Während dieser Zeit verarbeitet das API-Gateway weiterhin Anforderungen, aber der Zustand des Diensts ist „Wird aktualisiert“. Mit dem Antwortcode 200 OK wird der erfolgreiche Abschluss des Sicherungsvorgangs angezeigt.

Wiederherstellen eines API Management-Diensts

Vorsicht

Vermeiden Sie Änderungen an der Dienstkonfiguration (z. B. APIs, Richtlinien, Erscheinungsbild des Entwicklerportals), die während des Wiederherstellungsvorgangs vorgenommen werden. Änderungen könnten überschrieben werden.

PowerShell

In den folgenden Beispielen:

• Eine API Management-Instanz namens myapim wird aus dem Sicherungs-Blob namens ContosoBackup.apimbackup im Speicherkonto backupstorageaccount wiederhergestellt.
• Der Sicherungs-Blob befindet sich in einem Container namens backups (Sicherungen).

Festlegen von Variablen in PowerShell:

$apiManagementName="myapim";
$apiManagementResourceGroup="apimresourcegroup";
$storageAccountName="backupstorageaccount";
$storageResourceGroup="storageresourcegroup";
$containerName="backups";
$blobName="ContosoBackup.apimbackup"

Zugriff mithilfe eines Speicherzugriffsschlüssels

$storageKey = (Get-AzStorageAccountKey -ResourceGroupName $storageResourceGroup -StorageAccountName $storageAccountName)[0].Value

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName -StorageAccountKey $storageKey

Restore-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -SourceContainerName $containerName -SourceBlobName $blobName

Zugriff mithilfe einer verwalteten Identität

Informationen zum Konfigurieren einer verwalteten Identität in Ihrer API Management-Instanz für den Zugriff auf das Speicherkonto finden Sie weiter oben in diesem Artikel unter Konfigurieren einer verwalteten Identität.

Zugriff mithilfe einer systemseitig zugewiesenen verwalteten Identität

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Restore-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -SourceContainerName $containerName `
    -SourceBlobName $blobName -AccessType "SystemAssignedManagedIdentity"

Zugriff mithilfe einer benutzerseitig zugewiesenen verwalteten Identität

In diesem Beispiel befindet sich eine benutzerseitig zugewiesene verwaltete Identität namens myidentity in der Ressourcengruppe identityresourcegroup.

$identityName = "myidentity";
$identityResourceGroup = "identityresourcegroup";

$identityId = (Get-AzUserAssignedIdentity -Name $identityName -ResourceGroupName $identityResourceGroup).ClientId

$storageContext = New-AzStorageContext -StorageAccountName $storageAccountName

Restore-AzApiManagement -ResourceGroupName $apiManagementResourceGroup -Name $apiManagementName `
    -StorageContext $storageContext -SourceContainerName $containerName `
    -SourceBlobName $blobName -AccessType "UserAssignedManagedIdentity" ` -identityClientId $identityid

CLI

In den folgenden Beispielen:

• Eine API Management-Instanz namens myapim wird aus dem Sicherungs-Blob namens ContosoBackup.apimbackup im Speicherkonto backupstorageaccount wiederhergestellt.
• Der Sicherungs-Blob befindet sich in einem Container namens backups (Sicherungen).

Legen Sie Variablen in Bash fest:

apiManagementName="myapim";
apiManagementResourceGroup="apimresourcegroup";
storageAccountName="backupstorageaccount";
storageResourceGroup="storageresourcegroup";
containerName="backups";
backupName="ContosoBackup.apimbackup"

Zugriff mithilfe eines Speicherzugriffsschlüssels

storageKey=$(az storage account keys list --resource-group $storageResourceGroup --account-name $storageAccountName --query [0].value --output tsv)

az apim restore --resource-group $apiManagementResourceGroup --name $apiManagementName \
    --storage-account-name $storageAccountName --storage-account-key $storageKey --storage-account-container $containerName --backup-name $backupName

PAUSE

Zum Wiederherstellen eines API Management-Diensts aus einer zuvor erstellten Sicherung führen Sie die folgende HTTP-Anforderung aus:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{serviceName}/restore?api-version={api-version}

Dabei gilt:

• subscriptionId – ID des Abonnements, das den API Management-Dienst enthält, in dem Sie eine Sicherung wiederherstellen
• resourceGroupName – Name der Ressourcengruppe mit dem Azure API Management-Dienst, in dem Sie eine Sicherung wiederherstellen
• serviceName – Name des wiederherzustellenden API Management-Diensts zum Zeitpunkt seiner Erstellung
• api-version – eine gültige REST-API-Version wie 2021-08-01 oder 2021-04-01-preview

Geben Sie im Hauptteil der Anforderung den Namen des vorhandenen Speicherkontos, den Blobcontainernamen, den Sicherungsnamen und den Speicherzugriffstyp an.

Zugriff mithilfe eines Speicherzugriffsschlüssels

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessKey": "{access key for the account}"
}

Zugriff mithilfe einer verwalteten Identität

Hinweis

Zur Verwendung einer verwalteten API Management-Identität für Speichervorgänge während der Sicherung und Wiederherstellung ist mindestens die API Management-REST-API-Version 2021-04-01-preview erforderlich.

Zugriff mithilfe einer systemseitig zugewiesenen verwalteten Identität

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "SystemAssignedManagedIdentity"
}

Zugriff mithilfe einer benutzerseitig zugewiesenen verwalteten Identität

{
    "storageAccount": "{storage account name for the backup}",
    "containerName": "{backup container name}",
    "backupName": "{backup blob name}",
    "accessType": "UserAssignedManagedIdentity",
    "clientId": "{client ID of user-assigned identity}"
}

Legen Sie für den Content-Type-Anforderungsheader den Wert application/json fest.

Die Wiederherstellung ist ein zeitintensiver Vorgang, dessen Abschluss mehrere Minuten dauern kann. Falls die Anforderung erfolgreich war und der Wiederherstellungsvorgang eingeleitet wurde, erhalten Sie den Antwortstatuscode 202 Accepted mit einem Location-Header. Senden Sie GET-Anforderungen der URL im Location-Header, um den Status des Vorgangs zu ermitteln. Während der Wiederherstellung erhalten Sie weiterhin den Statuscode 202 Accepted. Mit dem Antwortcode 200 OK wird der erfolgreiche Abschluss des Wiederherstellungsvorgangs angezeigt.

Einschränkungen

• Die Wiederherstellung einer Sicherung nach ihrer Erstellung wird nur 30 Tage lange garantiert.
• Vermeiden Sie während der Sicherung Verwaltungsänderungen im Dienst wie beispielsweise Upgrades oder Downgrades von Tarifen, Änderungen am Domänennamen usw.
• Änderungen an der Dienstkonfiguration (z. B. APIs, Richtlinien, Erscheinungsbild des Entwicklungsportals), die während des Sicherungsvorgangs vorgenommen werden, sind ggf. nicht in der Sicherung enthalten und gehen verloren.
• Die Sicherung erfasst keine vorab aggregierten Protokolldaten, die in Berichten verwendet werden, die im Fenster Analyse im Azure-Portal angezeigt werden.
• Ressourcenfreigabe zwischen verschiedenen Ursprüngen (CORS, Cross-Origin Resource Sharing) sollte für den Blob-Dienst im Speicherkonto nicht aktiviert sein.
• Der Tarif des wiederherzustellenden Diensts muss mit dem Tarif des gesicherten Diensts übereinstimmen.

Einschränkungen des Speichernetzwerks

Wenn das Speicherkonto für eine Firewall aktiviert ist, empfiehlt es sich, die systemseitig zugewiesene verwaltete Identität der API Management-Instanz für den Zugriff auf das Konto zu verwenden. Stellen Sie sicher, dass das Speicherkonto Zugriff auf vertrauenswürdige Azure-Dienste gewährt.

Nicht gesicherte Elemente

• Nutzungsdaten zum Erstellen von Analyseberichten sind in der Sicherung nicht enthalten. Verwenden Sie die Azure API Management-REST-API, um regelmäßig Analyseberichte zur Aufbewahrung abzurufen.
• TLS/SSL-Zertifikate für die benutzerdefinierte Domäne.
• Benutzerdefinierte Zertifizierungsstellenzertifikate, wozu Zwischen- oder Stammzertifikate gehören, die vom Kunden hochgeladen wurden.
• Integrationseinstellungen für virtuelle Netzwerke.
• Konfiguration der verwalteten Identität.
• Azure Monitor-Diagnosekonfiguration.
• Einstellungen für Protokolle und Verschlüsselungsverfahren.
• Inhalt des Entwicklungsportals.

Die Häufigkeit, mit der Sie Dienstsicherungen durchführen, wirkt sich auf Ihr RPO (Recovery Point Objective, Wiederherstellungspunktziel) aus. Um die Auswirkungen zu minimieren, empfehlen wir, regelmäßige Sicherungen zu implementieren und bei Bedarf Sicherungen durchzuführen, wenn Sie Änderungen an Ihrem API Management-Dienst vorgenommen haben.

Verwandte Inhalte

Sehen Sie sich die folgenden zugehörigen Ressourcen für den Sicherungs- und Wiederherstellungsvorgang an:

• Automatisieren der Sicherung und Wiederherstellung von API Management mit Logic Apps
• Regionsübergreifendes Verschieben von Azure API Management
• Der Premium-Tarif von API Management unterstützt außerdem die Zonenredundanz, die Resilienz und Hochverfügbarkeit für eine Dienstinstanz in einer bestimmten Azure-Region (Standort) bietet.