Direcciones IP de Azure API Management

  • Artículo

SE APLICA A: todos los niveles de API Management

En este artículo se indica cómo recuperar las direcciones IP del servicio Azure API Management. Las direcciones IP pueden ser públicas o privadas si el servicio está en una red virtual. Puede usar direcciones IP para crear reglas de firewall, filtrar el tráfico entrante a los servicios de back-end o restringir el tráfico saliente.

Direcciones IP del servicio API Management

Cada instancia de servicio de API Management en el nivel de Desarrollador, Básico, Estándar o Premium tiene direcciones IP públicas, que solo son exclusivas de esa instancia de servicio (no se comparten con otros recursos).

Puede recuperar las direcciones IP desde el panel de información general del recurso en Azure Portal.

Direcciones IP de API Management

También puede capturarlas mediante programación con la siguiente llamada API:

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

Las direcciones IP públicas formarán parte de la respuesta:

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.77.143.53"
    ],
    ...
  }
  ...
}

En las implementaciones en varias regiones, cada implementación regional tiene una dirección IP pública.

Direcciones IP del servicio API Management en una red virtual

Si el servicio API Management se encuentra en una red virtual, tendrá dos tipos de direcciones IP: públicas y privadas.

  • Las direcciones IP públicas se usan para la comunicación interna en el puerto 3443, para administrar la configuración (por ejemplo, mediante Azure Resource Manager). En la configuración de la red virtual externa, también se usan para el tráfico de API en tiempo de ejecución. En el configuración interna de red virtual, las direcciones IP públicas solo se usan para las operaciones de administración interna de Azure y no exponen la instancia a Internet.

  • Las direcciones IP virtuales privadas (VIP), disponibles únicamente en el modo de red virtual interna, se usan para conectarse desde dentro de la red a los puntos de conexión y puertas de enlace de API Management, al portal para desarrolladores y al plano de administración para el acceso directo a la API. Puede usarlas para configurar los registros DNS dentro de la red.

Verá direcciones de ambos tipos en Azure Portal y en la respuesta a la llamada API:

API Management en direcciones IP de red virtual

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.85.20.170"
    ],
    "privateIPAddresses": [
      "192.168.1.5"
    ],
    ...
  },
  ...
}

Importante

Las direcciones IP privadas del equilibrador de carga interno y las unidades de API Management se asignan dinámicamente. Por lo tanto, es imposible prever la dirección IP privada de la instancia de API Management antes de su implementación. Además, cambiar a otra subred y, a continuación, volver puede provocar un cambio en la dirección IP privada.

Direcciones IP para el tráfico saliente

API Management usa una dirección IP pública para una conexión fuera de la red virtual o una red virtual emparejada, y una dirección IP privada para una conexión en la red virtual o en una red virtual emparejada.

  • Al implementar API Management en una red virtual externa o interna y conectarse API Management a back-end privados (accesibles desde intranet), las direcciones IP internas (direcciones DIP, o IP dinámicas) de la subred se usan para el tráfico de la API en tiempo de ejecución. Cuando se envía una solicitud desde API Management a un back-end privado, será visible una dirección IP privada como origen de la solicitud.

    Por lo tanto, si la restricción de IP enumera los recursos seguros dentro de la red virtual o en una red virtual emparejada, se recomienda usar todo el intervalo de subredes de API Management con una regla IP y (en modo interno) no solo la dirección IP privada asociada al recurso API Management.

  • Cuando se envía una solicitud desde API Management a un back-end público (accesible desde Internet), siempre será visible una dirección IP pública como origen de la solicitud.

Direcciones IP del servicio consumo, versión 2 básica y administración de API Management de nivel estándar v2

Si la instancia de API Management se crea en un nivel de servicio que se ejecuta en una infraestructura compartida, no tiene una dirección IP dedicada. Actualmente, las instancias de los siguientes niveles de servicio se ejecutan en una infraestructura compartida y sin una dirección IP determinista: Consumo, Básico v2 y Estándar v2.

Si necesita agregar las direcciones IP de salida usadas por la instancia de nivel consumo, básico v2 o estándar v2 a una lista de permitidos, puede agregar el centro de datos de la instancia (región de Azure) a una lista de permitidos. Puede descargar un archivo JSON que contiene las direcciones IP de todos los centros de datos de Azure. Luego, busque el fragmento JSON que se aplique a la región en la que se ejecuta la instancia.

Por ejemplo, el siguiente fragmento de JSON muestra el aspecto que puede tener la lista de permitidos del Oeste de Europa:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

Para obtener información acerca de cuándo se actualiza este archivo y cuando cambian las direcciones IP, expanda la sección Details (Detalles) de la página del Centro de descarga.

Cambios en las direcciones IP

En los niveles Desarrollador, Básico, Estándar y Premium de API Management, la dirección o las direcciones IP públicas (VIP) y las direcciones VIP privadas (si se configuran en el modo de red virtual interna) son estáticas durante la vigencia de un servicio, con las siguientes excepciones:

  • El servicio de API Management se elimina y se vuelve a crear.

  • La suscripción al servicio se deshabilita o se advierte (por ejemplo, por falta de pago) y luego se reinstaura. Obtenga más información sobre los estados de suscripción

  • (Niveles Developer y Premium) Azure Virtual Network se agrega o se quita del servicio.

  • (Niveles Developer y Premium) El servicio API Management se cambia entre los modos de implementación de red virtual externa e interna.

  • (Niveles de desarrollador y premium) El servicio API Management se mueve a una subred diferente o migra de stv1 a la plataforma de proceso stv2.

  • (Nivel Premium) Las zonas de disponibilidad se habilitan, agregan o quitan.

  • (Nivel Premium) En las implementaciones en varias regiones, la dirección IP regional cambia si una región está vacía y, posteriormente, se restituye.

    Importante

    Al cambiar de una red virtual externa a otra interna (o viceversa), o al cambiar las subredes de la red o actualizar las zonas de disponibilidad para la instancia de API Management, debe configurar un recurso de dirección IP pública distinta a la que configuró anteriormente. Si es necesario, puede volver a cambiar a la dirección IP original.