IP-Adressen von Azure API Management

  • Artikel

GILT FÜR: Alle API Management-Ebenen

In diesem Artikel erfahren Sie, wie Sie die IP-Adressen des Azure API Management-Diensts abrufen. IP-Adressen können öffentlich oder privat sein, wenn sich der Dienst in einem virtuellen Netzwerk befindet. Mithilfe von IP-Adressen können Sie Firewallregeln erstellen, den eingehenden Datenverkehr für die Back-End-Dienste filtern oder den ausgehenden Datenverkehr einschränken.

IP-Adressen des API Management-Diensts

Jede API Management-Dienstinstanz im Developer-, Basic-, Standard-oder Premium-Tarif hat öffentliche IP-Adressen, die ausschließlich für diese Dienstinstanz gelten (sie werden nicht mit anderen Ressourcen gemeinsam genutzt).

Sie können die IP-Adressen aus dem Übersichtsdashboard ihrer Ressource im Azure-Portal abrufen.

IP-Adresse von API Management

Sie können sie auch programmgesteuert abrufen. Verwenden Sie dazu den folgenden API-Aufruf:

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

Die öffentlichen IP-Adressen sind in der Antwort enthalten:

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.77.143.53"
    ],
    ...
  }
  ...
}

Bei Bereitstellungen in mehreren Regionen verfügt jede regionale Bereitstellung über eine einzelne öffentliche IP-Adresse.

IP-Adressen des API Management-Diensts in einem VNet

Wenn sich Ihr API Management-Dienst innerhalb eines virtuellen Netzwerks befindet, besitzt er zwei Arten von IP-Adressen: öffentliche und private.

  • Öffentliche IP-Adressen werden für die interne Kommunikation über den Port 3443 verwendet, um die Konfiguration zu verwalten (beispielsweise über Azure Resource Manager). In der externen VNet-Konfiguration werden sie auch für API-Runtime-Datenverkehr verwendet. In der internen VNet-Konfiguration werden öffentliche IP-Adressen nur für interne Azure-Verwaltungsvorgänge verwendet und machen Ihre Instanz nicht im Internet verfügbar.

  • Private virtuelle IP-Adressen (VIPs), die nur im Modus „internes VNet“ verfügbar sind, werden verwendet, um innerhalb des Netzwerks eine Verbindung mit API Management-Endpunkten (Gateways, das Entwicklerportal und die Verwaltungsebene für direkten API-Zugriff) herzustellen. Sie können verwendet werden, um DNS-Einträge im Netzwerk einzurichten.

Im Azure-Portal und in der Antwort des API-Aufrufs werden Adressen beider Arten angezeigt:

IP-Adresse von API Management in einem VNet

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.85.20.170"
    ],
    "privateIPAddresses": [
      "192.168.1.5"
    ],
    ...
  },
  ...
}

Wichtig

Die privaten IP-Adressen des internen Lastenausgleichs und der API Management-Einheiten werden dynamisch zugewiesen. Daher ist es unmöglich, die private IP-Adresse der API Management-Instanz vor der Bereitstellung vorherzusehen. Außerdem kann das Ändern in ein anderes Subnetz und die anschließende Rückgabe zu einer Änderung der privaten IP-Adresse führen.

IP-Adressen für ausgehenden Datenverkehr

API Management verwendet eine öffentliche IP-Adresse für Verbindungen außerhalb des VNets oder eines Peer-VNets sowie eine private IP-Adresse für Verbindungen im VNet oder einem Peer-VNet.

  • Wenn API Management in einem internen oder externen virtuellen Netzwerk bereitgestellt wird und API Management eine Verbindung mit privaten Back-Ends (mit Intranetzugriff) herstellt, werden interne IP-Adressen (dynamische IP- oder DIP-Adressen) aus dem Subnetz für den API-Datenverkehr zur Laufzeit verwendet. Wenn eine Anforderung von API Management an ein privates Back-End gesendet wird, wird eine private IP-Adresse als Ursprung der Anforderung angezeigt.

    Wenn die IP-Einschränkung sichere Ressourcen im VNet oder einem gepeerten VNet auflistet, wird daher empfohlen, den gesamten API Management-Subnetzbereich mit einer IP-Regel zu verwenden, und (im internen Modus) nicht nur die private IP-Adresse, die der API Management-Ressource zugeordnet ist.

  • Wenn eine Anforderung von API Management an ein öffentliches Back-End (mit Internetzugriff) gesendet wird, wird als Ursprung der Anforderung immer eine öffentliche IP-Adresse angezeigt.

IP-Adressen des API Management-Diensts der Ebenen Verbrauch, Basic v2 und Standard v2

Wenn Ihre API Management-Instanz in einer Dienstebene erstellt wird, die in einer freigegebenen Infrastruktur ausgeführt wird, verfügt sie nicht über eine dedizierte IP-Adresse. Derzeit werden Instanzen in den folgenden Dienstebenen auf einer freigegebenen Infrastruktur und ohne deterministische IP-Adresse ausgeführt: Verbrauch, Basic v2, Standard v2.

Wenn Sie die von Ihrer Instanz der Ebene Verbrauch, Basic v2 oder Standard v2 verwendeten ausgehenden IP-Adressen einer Positivliste hinzufügen müssen, können Sie das Rechenzentrum (die Azure-Region) der Instanz einer Positivliste hinzufügen. Sie können eine JSON-Datei herunterladen, die IP-Adressen für alle Azure-Rechenzentren auflistet. Suchen Sie dann das JSON-Fragment, das für die Region gilt, in der Ihre Instanz ausgeführt wird.

Beispielsweise könnte die Positivliste für Westeuropa etwa folgendem JSON-Fragment ähneln:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

Informationen dazu, wann diese Datei aktualisiert wird und wann die IP-Adresse geändert wird, finden Sie im Abschnitt Details auf der Download Center-Seite.

Änderungen an den IP-Adressen

Im Developer-, Basic-, Standard- und Premium-Tarif von API Management sind die öffentliche(n) IP-Adresse(n) (VIP) und privaten VIP-Adressen (sofern im internen VNET-Modus konfiguriert) für die Lebensdauer eines Diensts statisch, mit den folgenden Ausnahmen:

  • Der API Management-Dienst wird gelöscht und anschließend neu erstellt.

  • Das Dienstabonnement wird deaktiviert, oder es wird eine diesbezügliche Warnung ausgegeben (z.B. aufgrund von nicht geleisteten Zahlungen), und anschließend wird es reaktiviert. Weitere Informationen zum Abonnementstatus

  • (Developer- und Premium-Tarife) Azure Virtual Network wird dem Dienst hinzugefügt oder daraus entfernt.

  • (Developer- und Premium-Tarife) Der API Management-Dienst wird zwischen dem externen und internen VNet-Bereitstellungsmodus umgeschaltet.

  • (Entwickler- und Premium-Tarife) API Management-Dienst wird in ein anderes Subnetz verschoben oder von der stv1- zur stv2-Computeplattform migriert.

  • (Premium-Tarif) Verfügbarkeitszonen werden aktiviert, hinzugefügt oder entfernt.

  • (Premium-Tarif) Bei Bereitstellungen in mehreren Regionen ändert sich die regionale IP-Adresse, wenn eine Region verlassen und anschließend reaktiviert wird.

    Wichtig

    Wenn Sie von einem externen zu einem internen virtuellen Netzwerk wechseln (oder umgekehrt), Subnetze im Netzwerk ändern oder Verfügbarkeitszonen für die API Management Instanz aktualisieren, müssen Sie eine andere öffentliche IP-Adressenressource als die zuvor konfigurierte konfigurieren. Sie können bei Bedarf wieder zurück zu der ursprünglichen IP-Adresse wechseln.