Freigeben über


Verwenden eines virtuellen Netzwerks zum Sichern von eingehendem oder ausgehendem Datenverkehr für Azure API Management

GILT FÜR: Developer | Basic | Basic v2 | Standard | Standard v2 | Premium

Standardmäßig wird auf Ihr API Management an einem öffentlichen Endpunkt über das Internet zugegriffen, der als Gateway zu öffentlichen Back-Ends dient. API Management bietet mehrere Optionen, um den Zugriff auf Ihre API Management-Instanz und Back-End-APIs über ein virtuelles Azure-Netzwerk zu schützen. Verfügbare Optionen hängen von der Dienstebene Ihrer API Management-Instanz ab.

  • Einschleusung der API Management-Instanz in ein Subnetz des virtuellen Netzwerks, wodurch das Gateway auf Ressourcen im Netzwerk zugreifen kann.

    Sie können einen von zwei Einschleusungsmodi auswählen: extern oder intern. Sie unterscheiden sich davon, ob die eingehende Konnektivität mit dem Gateway und anderen API Management Endpunkten vom Internet oder nur von innerhalb des virtuellen Netzwerks zulässig ist.

  • Integration Ihrer API Management-Instanz mit einem Subnetz in einem virtuellen Netzwerk, sodass Ihr API Management-Gateway ausgehende Anforderungen an API-Back-Ends durchführen kann, die im Netzwerk isoliert sind.

  • Aktivieren einer sicheren und privaten eingehenden Konnektivität mit dem API Management-Gateway mithilfe eines privaten Endpunkts.

In der folgenden Tabelle werden die virtuellen Netzwerkoptionen verglichen. Weitere Informationen findest Du in den späteren Abschnitten dieses Artikels und unter den Links zu ausführlichen Leitfäden.

Netzwerkmodell Unterstützte Ebenen Unterstützte Komponenten Unterstützter Datenverkehr Verwendungsszenario
Einschleusung in virtuelle Netzwerke: extern Entwickler, Premium Entwicklerportal, Gateway, Verwaltungsebene und Git-Repository Eingehender und ausgehender Datenverkehr kann zum Internet, zu virtuellen Netzwerken mit Peer-Rechten, Express Route und S2S VPN-Verbindungen zugelassen werden. Externer Zugriff auf private und lokale Back-Ends
Einschleusung in virtuelle Netzwerke: intern Entwickler, Premium Entwicklerportal, Gateway, Verwaltungsebene und Git-Repository Eingehender und ausgehender Datenverkehr kann für überwachte virtuelle Netzwerke, Express Route und S2S VPN-Verbindungen zugelassen werden. Interner Zugriff auf private und lokale Back-Ends
Ausgehende Integration Standard v2 Nur Gateway Ausgehender Anforderungsdatenverkehr kann APIs erreichen, die in einem delegierten Subnetz eines virtuellen Netzwerks gehostet werden. Externer Zugriff auf private und lokale Back-Ends
Eingehender privater Endpunkt Developer, Basic, Standard, Premium Nur Gateway (verwaltete Gateways werden unterstützt, selbstgehostete Gateways werden nicht unterstützt). Es kann nur eingehender Datenverkehr aus dem Internet, aus virtuellen Netzwerken mit Peer-Rechten, Express Route und S2S VPN-Verbindungen zugelassen werden. Sichere Clientverbindung zum API Management Gateway

Einspeisung in virtuelle Netzwerke

Mit der VNet-Einschleusung stellen Sie Ihre API Management-Instanz in einem Subnetz bereit („einschleusen“), das sich in einem nicht über das Internet routbaren Netzwerk befindet, und Sie kontrollieren den Zugriff auf dieses Netzwerk. In dem virtuellen Netzwerk kann Ihre API Management-Instanz sicher auf andere vernetzte Azure-Ressourcen zugreifen und mithilfe verschiedener VPN-Technologien zudem eine Verbindung mit lokalen Netzwerken herstellen. Weitere Informationen zu Azure-VNets finden Sie unter Was ist Azure Virtual Network?.

Sie können das Azure-Portal, die Azure CLI, Azure Resource Manager-Vorlagen oder andere Tools zur Konfiguration verwenden. Sie kontrollieren den ein- und ausgehenden Datenverkehr in das Subnetz, in dem API Management bereitgestellt wird, indem Sie Netzwerksicherheitsgruppen verwenden.

Detaillierte Schritte zur Bereitstellung und Netzwerkkonfiguration finden Sie unter:

Zugriffsoptionen

Mithilfe eines virtuellen Netzwerks können Sie das Entwicklerportal, das API-Gateway und andere API Management-Endpunkte so konfigurieren, dass sie entweder über das Internet (externer Modus) oder nur innerhalb des VNet (interner Modus) zugänglich sind.

  • Extern - Die Endpunkte der API Management sind vom öffentlichen Internet aus über einen externen Load Balancer zugänglich. Das Gateway kann auf Ressourcen innerhalb des VNet zugreifen.

    Diagramm: Verbindung mit einem externen VNet

    Verwenden Sie die API Management im externen Modus, um auf Backend-Dienste zuzugreifen, die im virtuellen Netzwerk bereitgestellt werden.

  • Intern: Die API Management-Endpunkte sind nur von innerhalb des VNet über einen internen Lastenausgleich zugänglich. Das Gateway kann auf Ressourcen innerhalb des VNet zugreifen.

    Diagramm: Verbindung mit einem internen VNet

    Verwenden Sie API Management im internen Modus für folgende Aufgaben:

    • Machen Sie APIs, die in Ihrem privaten Rechenzentrum gehostet werden, für Dritte sicher zugänglich, indem Sie Azure VPN-Verbindungen oder Azure ExpressRoute verwenden.
    • Das Verfügbarmachen von cloudbasierten und lokalen APIs über ein gemeinsames Gateway ermöglicht Hybrid Cloud-Szenarien.
    • Verwalten von APIs, die in mehreren geografischen Standorten gehostet werden, über einen einzelnen Gatewayendpunkt.

Ausgehende Integration

Der Tarif Standard v2 unterstützt VNet-Integration, damit Ihre API Management-Instanz API-Back-Ends erreichen kann, die in einem einzelnen verbundenen VNet isoliert sind. Das API Management-Gateway, die Verwaltungsebene und das Entwicklerportal bleiben öffentlich über das Internet zugänglich.

Mit der ausgehenden Integration kann die API Management-Instanz sowohl öffentliche als auch netzwerkisolierte Back-End-Dienste erreichen.

Abbildung der Integration der API Management-Instanz in ein delegiertes Subnetz.

Weitere Informationen finden Sie unter Integrieren einer Azure API Management-Instanz in ein privates VNet für ausgehende Verbindungen.

Eingehender privater Endpunkt

API Management unterstützt private Endpunkte für sichere eingehende Client-Verbindungen mit Ihrer API Management-Instanz. Jede sichere Verbindung verwendet eine private IP-Adresse aus Ihrem virtuellen Netzwerk und Azure Private Link.

Diagramm: Sichere Verbindung mit API Management über einen privaten Endpunkt

Ein privater Endpunkt und Private Link ermöglichen Ihnen Folgendes:

  • Erstellen mehrerer Private Link-Verbindungen mit einer API Management-Instanz

  • Verwenden des privaten Endpunkts, um eingehenden Datenverkehr über eine sichere Verbindung zu senden

  • Verwenden einer Richtlinie, um Datenverkehr vom privaten Endpunkt zu erkennen

  • Beschränken des eingehenden Datenverkehrs auf private Endpunkte, um eine Datenexfiltration zu verhindern

Wichtig

  • Sie können nur eine private Endpunktverbindung für eingehenden Datenverkehr zur API Management-Instanz konfigurieren. Ausgehender Datenverkehr wird derzeit nicht unterstützt.

    Sie können das externe oder interne virtuelle Netzwerkmodell verwenden, um von Ihrer API Management-Instanz ausgehende Konnektivität zu privaten Endpunkten herzustellen.

  • Wenn Sie eingehende private Endpunkte aktivieren möchten, darf die API Management-Instanz nicht in ein externes oder internes virtuelles Netzwerk eingefügt sein.

Weitere Informationen finden Sie unter Private Verbindung mit API Management über einen eingehenden privaten Endpunkt.

Erweiterte Netzwerkkonfigurationen

Sichere API Management-Endpunkte mit einer Web Application Firewall

Möglicherweise hast Du Szenarien, in denen Du sowohl externen als auch internen Zugriff auf Deinen API Management-Instanz benötigst, und Flexibilität, um private und lokale Back-Ends zu erreichen. Für diese Szenarien kannst Du den externen Zugriff auf die Endpunkte einer API Management-Instanz mit einer Web Application Firewall (WAF) verwalten.

Ein Beispiel ist die Bereitstellung einer API Management-Instanz in einem internen virtuellen Netzwerk und die Weiterleitung des öffentlichen Zugriffs auf diese Instanz über ein Azure Application Gateway mit Internetanschluss:

Diagramm: Application Gateway vor der API Management-Instanz

Weitere Informationen finden Sie unter Bereitstellen von API Management in einem internen virtuellen Netzwerk mit Application Gateway.

Nächste Schritte

Weitere Informationen:

Virtuelle Netzwerkkonfiguration mit API Management:

Verwandte Artikel: