Actualizaciones de direcciones IP de origen del proveedor de recursos (marzo de 2023)

El 31 de marzo de 2023, como parte de nuestro esfuerzo continuado para aumentar la resistencia de los servicios de API Management, vamos a hacer que los proveedores de recursos de Azure API Management tengan redundancia de zona en cada región. La dirección IP que el proveedor de recursos usa para comunicarse con el servicio cambiará en siete regiones:

Region Dirección IP antigua Dirección IP nueva
Centro de Canadá 52.139.20.34 20.48.201.76
Sur de Brasil 191.233.24.179 191.238.73.14
Centro-oeste de Alemania 51.116.96.0 20.52.94.112
Norte de Sudáfrica 102.133.0.79 102.37.166.220
Centro de Corea del Sur 40.82.157.167 20.194.74.240
Centro de la India 13.71.49.1 20.192.45.112
Centro-sur de EE. UU. 20.188.77.119 20.97.32.190

Este cambio no tendrá ningún efecto en la disponibilidad del servicio API Management. Sin embargo, puede que tenga que seguir los pasos que se describen a continuación para configurar el servicio API Management a partir del 31 de marzo de 2023.

¿Mi servicio se ve afectado por este cambio?

Este cambio afecta al servicio en los casos siguientes:

  • El servicio API Management está en una de las siete regiones enumeradas en la tabla anterior.
  • El servicio API Management se ejecuta en una red virtual de Azure.
  • El grupo de seguridad de red (NSG) o las rutas definidas por el usuario (UDR) de la red virtual se configuran con direcciones IP de origen explícitas.

¿Cuál es la fecha límite del cambio?

Las direcciones IP de origen de las regiones afectadas se cambiarán el 31 de marzo de 2023. Complete todos los cambios de red necesarios antes de ese momento.

A partir del 31 de marzo de 2023, si prefiere no realizar cambios en las direcciones IP, los servicios seguirán ejecutándose, pero no podrá agregar ni quitar API, cambiar la directiva de API ni configurar de otro modo el servicio API Management.

¿Puedo evitar este tipo de cambio en el futuro?

Sí, puede hacerlo.

API Management publica una etiqueta de servicio que puede usar para configurar el NSG para la red virtual. La etiqueta de servicio incluye información sobre las direcciones IP de origen que API Management usa para administrar el servicio. Para obtener más información sobre este tema, lea Configuración de reglas de NSG en la documentación de API Management.

¿Qué tengo que hacer?

Actualice las reglas de seguridad de NSG que permiten al proveedor de recursos de API Management comunicarse con la instancia de API Management. Para obtener instrucciones detalladas sobre cómo administrar un NSG, consulte Creación, modificación o eliminación de un grupo de seguridad de red en la documentación de Azure Virtual Network.

  1. Vaya a Azure Portal para ver sus NSG. Busque y seleccione Grupos de seguridad de red.

  2. Seleccione el nombre del grupo de seguridad de red asociado a la red virtual en la que se hospeda el servicio API Management.

  3. En la barra de menús, elija Regla de seguridad de entrada.

  4. Las reglas de seguridad de entrada ya deberían tener una entrada en la que se mencione una dirección de origen que coincida con la dirección IP anterior de la tabla anterior. Si no es así, significa que no está usando el filtrado explícito de direcciones IP de origen y puede omitir esta actualización.

  5. Seleccione Agregar.

  6. Rellene el formulario con la siguiente información:

    1. Origen: Etiqueta de servicio
    2. Etiqueta de servicio de origen: ApiManagement
    3. Intervalos de puertos de origen: *
    4. Destino: VirtualNetwork
    5. Intervalos de puertos de destino: 3443
    6. Protocolo: TCP
    7. Acción: Permitir
    8. Prioridad: elija una prioridad adecuada para colocar la nueva regla junto a la existente.

    Los campos Nombre y Descripción se pueden establecer en el valor que quiera. Los demás campos deben quedar en blanco.

  7. Seleccione Aceptar.

Además, es posible que tenga que ajustar el enrutamiento de red de la red virtual para adaptarse a las nuevas direcciones IP del plano de control. Si ha configurado una ruta predeterminada (0.0.0.0/0) que fuerce todo el tráfico de la subred de API Management por un firewall en lugar de directamente a Internet, se requiere una configuración adicional.

Si configuró rutas definidas por el usuario (UDR) para direcciones IP del plano de control, las nuevas direcciones IP se deben enrutar de la misma manera. Para obtener más detalles sobre los cambios necesarios para controlar el enrutamiento de red de las solicitudes de administración, repase la documentación sobre forzamiento del tráfico de tunelización.

Por último, compruebe si hay otros sistemas que puedan afectar a la comunicación del proveedor de recursos de API Management a la subred del servicio API Management. Para obtener más información sobre la configuración de la red virtual, consulte la documentación sobre redes virtuales.

Más información