Veröffentlichen und Schützen von APIs, die auf virtuellen Azure VMware-Lösungs-VMs ausgeführt werden

Mit Microsoft Azure API Management können Sie Dienste sicher für externe oder interne Nutzer bereitstellen. Nur die SkUs für Entwickler (Entwicklung) und Premium (Produktion) ermöglichen die Azure Virtual Network-Integration, APIs zu veröffentlichen, die auf Azure VMware Solution-Workloads ausgeführt werden. Darüber hinaus ermöglichen beide SKUs die Konnektivität zwischen dem API-Verwaltungsdienst und dem Back-End.

Die API-Verwaltungskonfiguration ist für Back-End-Dienste identisch, die auf virtuellen Azure VMware-Lösungen (VMs) und lokalen Computern ausgeführt werden. API Management konfiguriert außerdem die virtuelle IP im Lastenausgleichsmodul als Backend-Endpunkt für beide Bereitstellungen, wenn der Backend-Server hinter einem NSX Load Balancer auf Azure VMware Solution platziert wird.

Externe Implementierung

Eine externe Bereitstellung veröffentlicht APIs, die von externen Benutzern genutzt werden, die einen öffentlichen Endpunkt verwenden. Entwickler und DevOps-Techniker können APIs über das Azure-Portal oder PowerShell und das API-Verwaltungsentwicklerportal verwalten.

Das Diagramm für die externe Bereitstellung zeigt den gesamten Prozess und die beteiligten Akteure (oben dargestellt). Die Akteure sind:

• Administratoren: Stellt das Administrator- oder DevOps-Team dar, das die Azure VMware-Lösung über das Azure-Portal und Automatisierungsmechanismen wie PowerShell oder Azure DevOps verwaltet.

• Benutzer: Stellt die verbraucherseitigen APIs dar und stellt sowohl Benutzer als auch Dienste dar, die die APIs verwenden.

Der Datenverkehrsfluss durchläuft die API-Verwaltungsinstanz, die die Back-End-Dienste abstrahiert, die an das virtuelle Hub-Netzwerk angeschlossen sind. Das ExpressRoute-Gateway leitet den Datenverkehr an die ExpressRoute Global Reach-Verbindung weiter und erreicht einen NSX Load Balancer, der den eingehenden Datenverkehr an die verschiedenen Backend-Dienstinstanzen verteilt.

Die API-Verwaltung verfügt über eine öffentliche Azure-API, und die Aktivierung von Azure DDoS Protection Service wird empfohlen.

Interne Bereitstellung

Eine interne Bereitstellung veröffentlicht APIs, die von internen Benutzern oder Systemen genutzt werden. DevOps-Teams und API-Entwickler verwenden dieselben Verwaltungstools und Das Entwicklerportal wie in der externen Bereitstellung.

Verwenden Sie das Azure-Anwendungsgateway für interne Bereitstellungen, um einen öffentlichen und sicheren Endpunkt für die API zu erstellen. Die Funktionen des Gateways werden verwendet, um eine Hybridbereitstellung zu erstellen, die unterschiedliche Szenarien ermöglicht.

• Verwenden Sie dieselbe API-Verwaltungsressource für den Verbrauch von internen und externen Consumern.

• Verfügen Sie über eine einzelne API-Verwaltungsressource mit einer Teilmenge von APIs, die für externe Verbraucher definiert und verfügbar sind.

• Bieten Sie eine einfache Möglichkeit, den Zugriff auf die API-Verwaltung über das öffentliche Internet ein- und auszuschalten.

Das folgende Bereitstellungsdiagramm zeigt Consumer, die intern oder extern sein können, wobei jeder Typ auf die gleichen oder verschiedene APIs zugreift.

In einer internen Bereitstellung werden APIs für dieselbe API-Verwaltungsinstanz verfügbar gemacht. Vor der API-Verwaltung wird das Anwendungsgateway mit aktivierter Azure Web Application Firewall (WAF)-Funktion bereitgestellt. Es wurde außerdem eine Reihe von HTTP-Listenern und Regeln zum Filtern des Datenverkehrs bereitgestellt, wodurch nur eine Teilmenge der Back-End-Dienste zugänglich gemacht wird, die auf der Azure VMware Solution laufen.

• Interne Verkehrsrouten führen über das ExpressRoute-Gateway zur Azure Firewall und dann direkt oder über Verkehrsrichtlinien zur API-Verwaltung.

• Externer Datenverkehr tritt über das Application Gateway in Azure ein, das durch die externe Schutzebene für die API-Verwaltung gesichert ist.