Verwenden eines virtuellen Netzwerks zum Sichern von eingehendem oder ausgehendem Datenverkehr für Azure API Management
GILT FÜR: Developer | Basic | Basic v2 | Standard | Standard v2 | Premium
Standardmäßig wird auf Ihr API Management an einem öffentlichen Endpunkt über das Internet zugegriffen, der als Gateway zu öffentlichen Back-Ends dient. API Management bietet mehrere Optionen, um den Zugriff auf Ihre API Management-Instanz und Back-End-APIs über ein virtuelles Azure-Netzwerk zu schützen. Verfügbare Optionen hängen von der Dienstebene Ihrer API Management-Instanz ab.
Einschleusung der API Management-Instanz in ein Subnetz des virtuellen Netzwerks, wodurch das Gateway auf Ressourcen im Netzwerk zugreifen kann.
Sie können einen von zwei Einschleusungsmodi auswählen: extern oder intern. Sie unterscheiden sich davon, ob die eingehende Konnektivität mit dem Gateway und anderen API Management Endpunkten vom Internet oder nur von innerhalb des virtuellen Netzwerks zulässig ist.
Integration Ihrer API Management-Instanz mit einem Subnetz in einem virtuellen Netzwerk, sodass Ihr API Management-Gateway ausgehende Anforderungen an API-Back-Ends durchführen kann, die im Netzwerk isoliert sind.
Aktivieren einer sicheren und privaten eingehenden Konnektivität mit dem API Management-Gateway mithilfe eines privaten Endpunkts.
In der folgenden Tabelle werden die virtuellen Netzwerkoptionen verglichen. Weitere Informationen findest Du in den späteren Abschnitten dieses Artikels und unter den Links zu ausführlichen Leitfäden.
| Netzwerkmodell | Unterstützte Ebenen | Unterstützte Komponenten | Unterstützter Datenverkehr | Verwendungsszenario |
|---|---|---|---|---|
| Einschleusung in virtuelle Netzwerke: extern | Entwickler, Premium | Entwicklerportal, Gateway, Verwaltungsebene und Git-Repository | Eingehender und ausgehender Datenverkehr kann zum Internet, zu virtuellen Netzwerken mit Peer-Rechten, Express Route und S2S VPN-Verbindungen zugelassen werden. | Externer Zugriff auf private und lokale Back-Ends |
| Einschleusung in virtuelle Netzwerke: intern | Entwickler, Premium | Entwicklerportal, Gateway, Verwaltungsebene und Git-Repository | Eingehender und ausgehender Datenverkehr kann für überwachte virtuelle Netzwerke, Express Route und S2S VPN-Verbindungen zugelassen werden. | Interner Zugriff auf private und lokale Back-Ends |
| Ausgehende Integration | Standard v2 | Nur Gateway | Ausgehender Anforderungsdatenverkehr kann APIs erreichen, die in einem delegierten Subnetz eines virtuellen Netzwerks gehostet werden. | Externer Zugriff auf private und lokale Back-Ends |
| Eingehender privater Endpunkt | Developer, Basic, Standard, Premium | Nur Gateway (verwaltete Gateways werden unterstützt, selbstgehostete Gateways werden nicht unterstützt). | Es kann nur eingehender Datenverkehr aus dem Internet, aus virtuellen Netzwerken mit Peer-Rechten, Express Route und S2S VPN-Verbindungen zugelassen werden. | Sichere Clientverbindung zum API Management Gateway |
Einspeisung in virtuelle Netzwerke
Mit der VNet-Einschleusung stellen Sie Ihre API Management-Instanz in einem Subnetz bereit („einschleusen“), das sich in einem nicht über das Internet routbaren Netzwerk befindet, und Sie kontrollieren den Zugriff auf dieses Netzwerk. In dem virtuellen Netzwerk kann Ihre API Management-Instanz sicher auf andere vernetzte Azure-Ressourcen zugreifen und mithilfe verschiedener VPN-Technologien zudem eine Verbindung mit lokalen Netzwerken herstellen. Weitere Informationen zu Azure-VNets finden Sie unter Was ist Azure Virtual Network?.
Sie können das Azure-Portal, die Azure CLI, Azure Resource Manager-Vorlagen oder andere Tools zur Konfiguration verwenden. Sie kontrollieren den ein- und ausgehenden Datenverkehr in das Subnetz, in dem API Management bereitgestellt wird, indem Sie Netzwerksicherheitsgruppen verwenden.
Detaillierte Schritte zur Bereitstellung und Netzwerkkonfiguration finden Sie unter:
- Bereitstellen Ihrer API Management-Instanz für ein virtuelles Netzwerk: externer Modus.
- Bereitstellen Ihrer API Management-Instanz für ein virtuelles Netzwerk: interner Modus.
- Anforderungen an virtuelle Netzwerkressourcen für die API Management-Injektion in ein virtuelles Netzwerk.
Zugriffsoptionen
Mithilfe eines virtuellen Netzwerks können Sie das Entwicklerportal, das API-Gateway und andere API Management-Endpunkte so konfigurieren, dass sie entweder über das Internet (externer Modus) oder nur innerhalb des VNet (interner Modus) zugänglich sind.
Extern - Die Endpunkte der API Management sind vom öffentlichen Internet aus über einen externen Load Balancer zugänglich. Das Gateway kann auf Ressourcen innerhalb des VNet zugreifen.
Verwenden Sie die API Management im externen Modus, um auf Backend-Dienste zuzugreifen, die im virtuellen Netzwerk bereitgestellt werden.
Intern: Die API Management-Endpunkte sind nur von innerhalb des VNet über einen internen Lastenausgleich zugänglich. Das Gateway kann auf Ressourcen innerhalb des VNet zugreifen.
Verwenden Sie API Management im internen Modus für folgende Aufgaben:
- Machen Sie APIs, die in Ihrem privaten Rechenzentrum gehostet werden, für Dritte sicher zugänglich, indem Sie Azure VPN-Verbindungen oder Azure ExpressRoute verwenden.
- Das Verfügbarmachen von cloudbasierten und lokalen APIs über ein gemeinsames Gateway ermöglicht Hybrid Cloud-Szenarien.
- Verwalten von APIs, die in mehreren geografischen Standorten gehostet werden, über einen einzelnen Gatewayendpunkt.
Ausgehende Integration
Der Tarif Standard v2 unterstützt VNet-Integration, damit Ihre API Management-Instanz API-Back-Ends erreichen kann, die in einem einzelnen verbundenen VNet isoliert sind. Das API Management-Gateway, die Verwaltungsebene und das Entwicklerportal bleiben öffentlich über das Internet zugänglich.
Mit der ausgehenden Integration kann die API Management-Instanz sowohl öffentliche als auch netzwerkisolierte Back-End-Dienste erreichen.
Weitere Informationen finden Sie unter Integrieren einer Azure API Management-Instanz in ein privates VNet für ausgehende Verbindungen.
Eingehender privater Endpunkt
API Management unterstützt private Endpunkte für sichere eingehende Client-Verbindungen mit Ihrer API Management-Instanz. Jede sichere Verbindung verwendet eine private IP-Adresse aus Ihrem virtuellen Netzwerk und Azure Private Link.
Ein privater Endpunkt und Private Link ermöglichen Ihnen Folgendes:
Erstellen mehrerer Private Link-Verbindungen mit einer API Management-Instanz
Verwenden des privaten Endpunkts, um eingehenden Datenverkehr über eine sichere Verbindung zu senden
Verwenden einer Richtlinie, um Datenverkehr vom privaten Endpunkt zu erkennen
Beschränken des eingehenden Datenverkehrs auf private Endpunkte, um eine Datenexfiltration zu verhindern
Wichtig
Sie können nur eine private Endpunktverbindung für eingehenden Datenverkehr zur API Management-Instanz konfigurieren. Ausgehender Datenverkehr wird derzeit nicht unterstützt.
Sie können das externe oder interne virtuelle Netzwerkmodell verwenden, um von Ihrer API Management-Instanz ausgehende Konnektivität zu privaten Endpunkten herzustellen.
Wenn Sie eingehende private Endpunkte aktivieren möchten, darf die API Management-Instanz nicht in ein externes oder internes virtuelles Netzwerk eingefügt sein.
Weitere Informationen finden Sie unter Private Verbindung mit API Management über einen eingehenden privaten Endpunkt.
Erweiterte Netzwerkkonfigurationen
Sichere API Management-Endpunkte mit einer Web Application Firewall
Möglicherweise hast Du Szenarien, in denen Du sowohl externen als auch internen Zugriff auf Deinen API Management-Instanz benötigst, und Flexibilität, um private und lokale Back-Ends zu erreichen. Für diese Szenarien kannst Du den externen Zugriff auf die Endpunkte einer API Management-Instanz mit einer Web Application Firewall (WAF) verwalten.
Ein Beispiel ist die Bereitstellung einer API Management-Instanz in einem internen virtuellen Netzwerk und die Weiterleitung des öffentlichen Zugriffs auf diese Instanz über ein Azure Application Gateway mit Internetanschluss:
Weitere Informationen finden Sie unter Bereitstellen von API Management in einem internen virtuellen Netzwerk mit Application Gateway.
Nächste Schritte
Weitere Informationen:
Virtuelle Netzwerkkonfiguration mit API Management:
- Bereitstellen Ihrer Azure API Management-Instanz für ein virtuelles Netzwerk: externer Modus.
- Bereitstellen Ihrer Azure API Management-Instanz für ein virtuelles Netzwerk: interner Modus.
- Herstellen einer privaten Verbindung mit API Management mithilfe eines privaten Endpunkts
- Integrieren einer Azure API Management-Instanz in ein privates VNet für ausgehende Verbindungen
- Schützen Ihrer Azure API Management-Instanz vor DDoS-Angriffen
Verwandte Artikel: