Aktualisierung der Quell-IP-Adresse des Ressourcenanbieters (März 2023)

Am 31. März 2023 werden die Ressourcenanbieter für Azure API Management in jeder Region zonenredundant, um die Resilienz der API Management-Dienste weiter zu verbessern. Die IP-Adresse, die vom Ressourcenanbieter für die Kommunikation mit Ihrem Dienst verwendet wird, ändert sich in sieben Regionen:

Region Alte IP-Adresse Neue IP-Adresse
Kanada, Mitte 52.139.20.34 20.48.201.76
Brasilien Süd 191.233.24.179 191.238.73.14
Deutschland, Westen-Mitte 51.116.96.0 20.52.94.112
Südafrika, Norden 102.133.0.79 102.37.166.220
Korea, Mitte 40.82.157.167 20.194.74.240
Indien, Mitte 13.71.49.1 20.192.45.112
USA Süd Mitte 20.188.77.119 20.97.32.190

Diese Änderung hat KEINE Auswirkungen auf die Verfügbarkeit Ihres API Management-Diensts. Sie müssen jedoch möglicherweise die unten beschriebenen Schritte ausführen, um Ihren API Management-Dienst nach dem 31. März 2023 weiterhin konfigurieren zu können.

Ist mein Dienst von dieser Änderung betroffen?

Ihr Dienst ist in folgenden Fällen von dieser Änderung betroffen:

  • Der API Management-Dienst befindet sich in einer der sieben Regionen, die in der obigen Tabelle aufgeführt sind.
  • Der API Management-Dienst wird in einem virtuellen Azure-Netzwerk ausgeführt.
  • Die Netzwerksicherheitsgruppe (NSG) oder benutzerdefinierten Routen (User-Defined Routes, UDRs) für das virtuelle Netzwerk ist bzw. sind mit expliziten Quell-IP-Adressen konfiguriert.

Wann wird die Änderung vorgenommen?

Die Quell-IP-Adressen für die betroffenen Regionen werden am 31. März 2023 geändert. Schließen Sie bis dahin alle erforderlichen Netzwerkänderungen ab.

Wenn Sie keine Änderungen an Ihren IP-Adressen vornehmen möchten, werden Ihre Dienste nach dem 31. März 2023 zwar weiterhin ausgeführt, Sie können jedoch weder APIs hinzufügen oder entfernen noch die API-Richtlinie ändern oder Ihren API Management-Dienst anderweitig konfigurieren.

Kann ich eine solche Änderung in Zukunft vermeiden?

Ja, das ist möglich.

Von API Management wird ein Diensttag veröffentlicht, mit dem Sie die NSG für Ihr virtuelles Netzwerk konfigurieren können. Das Diensttag enthält Informationen zu den Quell-IP-Adressen, die von API Management für die Verwaltung Ihres Diensts verwendet werden. Weitere Informationen zu diesem Thema finden Sie in der API Management-Dokumentation unter Konfigurieren von NSG-Regeln.

Wie muss ich vorgehen?

Aktualisieren Sie die NSG-Sicherheitsregeln, die dem API Management-Ressourcenanbieter die Kommunikation mit Ihrer API Management-Instanz ermöglichen. Eine ausführliche Anleitung für NSG-Verwaltung finden Sie in der Azure Virtual Network-Dokumentation unter Erstellen, Ändern oder Löschen einer Netzwerksicherheitsgruppe.

  1. Zeigen Sie Ihre NSGs im Azure-Portal an. Navigieren Sie zum Eintrag Netzwerksicherheitsgruppen, und wählen Sie ihn aus.

  2. Wählen Sie den Namen der NSG aus, die dem virtuellen Netzwerk zugeordnet ist, in dem Ihr API Management-Dienst gehostet wird.

  3. Wählen Sie auf der Menüleiste die Option Sicherheitsregeln für eingehenden Datenverkehr aus.

  4. Die Sicherheitsregeln für eingehenden Datenverkehr sollten bereits einen Eintrag mit einer Quelladresse enthalten, die der alten IP-Adresse aus der obigen Tabelle entspricht. Falls nicht, verwenden Sie keine explizite Quell-IP-Adressfilterung und können diese Aktualisierung überspringen.

  5. Wählen Sie Hinzufügen.

  6. Füllen Sie das Formular mit den folgenden Informationen aus:

    1. Quelle: Diensttag
    2. Quelldiensttag: ApiManagement
    3. Quellportbereiche: *
    4. Ziel: VirtualNetwork
    5. Zielportbereiche: 3443
    6. Protokoll: TCP
    7. Aktion: Zulassen
    8. Priorität: Wählen Sie eine geeignete Priorität aus, um die neue Regel neben der vorhandenen Regel zu platzieren.

    Die Felder „Name“ und „Beschreibung“ können nach Belieben festgelegt werden. Lassen Sie alle anderen Felder leer.

  7. Klicken Sie auf OK.

Darüber hinaus muss möglicherweise das Netzwerkrouting für das virtuelle Netzwerk an die neuen IP-Adressen der Steuerungsebene angepasst werden. Wenn Sie eine Standardroute (0.0.0.0/0) konfiguriert haben, die dazu führt, dass der gesamte Datenverkehr aus dem API Management-Subnetz eine Firewall durchlaufen muss, anstatt direkt ans Internet übermittelt zu werden, sind zusätzliche Konfigurationsschritte erforderlich.

Wenn Sie benutzerdefinierte Routen (User-Defined Routes, UDRs) für IP-Adressen der Steuerungsebene konfiguriert haben, müssen die neuen IP-Adressen auf die gleiche Weise geroutet werden. Weitere Informationen zu den erforderlichen Änderungen für das Netzwerkrouting von Verwaltungsanforderungen finden Sie in der Dokumentation zur Tunnelerzwingung für Datenverkehr.

Führen Sie abschließend eine Überprüfung auf andere Systeme durch, die sich ggf. auf die Kommunikation zwischen dem API Management-Ressourcenanbieter und Ihrem API Management-Dienstsubnetz auswirken können. Weitere Informationen zur Konfiguration virtueller Netzwerke finden Sie in der Dokumentation zu Virtual Network.

Weitere Informationen