Puede configurar un punto de conexión privado entrante para la instancia de API Management. Así, los clientes de la red privada podrán acceder de forma segura a la instancia con Azure Private Link.
Oharra
La compatibilidad con puntos de conexión privados en el nivel Standard v2 está actualmente en versión preliminar limitada. Para registrarse, rellene este formulario.
El punto de conexión privado usa una dirección IP de una red virtual de Azure en la que se hospeda.
El tráfico de red entre un cliente en la red privada y la API Management recorre la red virtual y un servicio Private Link en la red troncal de Microsoft, lo que elimina la exposición desde la red pública de Internet.
Configure los valores del DNS personalizado o una zona privada Azure DNS para asignar el nombre de host de API Management a la dirección IP privada del punto de conexión.
Con un punto de conexión privado y Private Link, puede:
Crear varias conexiones de Private Link a una instancia de API Management.
Usar el punto de conexión privado para enviar tráfico de entrada a una conexión segura.
Usar la directiva para distinguir el tráfico que procede de un punto de conexión privado.
Limitar el tráfico de entrada solo a los puntos de conexión privados, lo que impide la filtración de datos.
Combine puntos de conexión privados entrantes a instancias de Standard v2 con integración de red virtual de salida para proporcionar aislamiento de red de un extremo a otro de los clientes y servicios back-end de API Management.
Garrantzitsua
Solo puede configurar una conexión de punto de conexión privado para el tráfico entrante a la instancia de API Management.
Limitaciones
Solo el punto de conexión de la puerta de enlace de la instancia de API Management es compatible con las conexiones de Private Link entrantes.
Cada instancia de API Management admite 100 conexiones de Private Link como máximo.
En los niveles clásicos de API Management, los puntos de conexión privados no se admiten en instancias insertadas en una red virtual interna o externa.
Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si utiliza Windows o macOS, considere la posibilidad de ejecutar la CLI de Azure en un contenedor Docker. Para más información, vea Ejecución de la CLI de Azure en un contenedor de Docker.
Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.
En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para más información sobre las extensiones, consulte Uso de extensiones con la CLI de Azure.
Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.
Método de aprobación del punto de conexión privado
Normalmente un administrador de red crea un punto de conexión privado. En función de los permisos del control de acceso basado en rol (RBAC) de Azure, el punto de conexión privado que cree se aprueban automáticamente para enviar tráfico a la instancia de API Management o necesitan que el propietario apruebe manualmente la conexión.
Obtenga los tipos de puntos de conexión privados disponibles con la suscripción
Compruebe que el tipo de punto de conexión privado de API Management está disponible con su suscripción y en su ubicación. En el portal, busque esta información en Private Link Center. Seleccione Recursos compatibles.
GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01
La salida debe incluir el Microsoft.ApiManagement.service tipo de punto de conexión:
Las directivas de red, como los grupos de seguridad de red, deben deshabilitarse en la subred que se usó para el punto de conexión privado.
Si usa herramientas como Azure PowerShell, la Interfaz de la línea de comandos de Azure o la API de REST para configurar los puntos de conexión privados, actualice manualmente la configuración de la subred. Por ejemplo, consulte Administración de directivas de red de puntos de conexión privados.
Al usar Azure Portal para crear un punto de conexión privado, como se muestra en la siguiente sección, las directivas de red se deshabilitan automáticamente como parte del proceso de creación.
Creación de un punto de conexión privado: portal
Puede crear un punto de conexión privado para la instancia de API Management en Azure Portal.
En los niveles clásicos de API Management, puede crear un punto de conexión privado al crear la instancia. En una instancia existente, use la hoja Red de la instancia en Azure Portal.
En el menú de la izquierda, en implementación e infraestructura, seleccione Red.
Seleccione Conexiones de puntos de conexión privados entrantes>+ Agregar punto de conexión.
En la pestaña Aspectos básicos de Crear un punto de conexión privado, escriba o seleccione la siguiente información:
Configuración
Valor
Detalles del proyecto
Suscripción
Selecciona tu suscripción.
Resource group
Seleccione un grupo de recursos existente, o bien cree uno. Debe estar en la misma región que la red virtual.
Detalles de instancia
Nombre
Escriba un nombre para el punto de conexión privado, como myPrivateEndpoint.
Nombre de la interfaz de red
Escriba un nombre para la interfaz de red, como myInterface
Region
Seleccione una ubicación para el punto de conexión privado. Debe estar en la misma región que la red virtual. Puede ser distinta a la región en la que se hospeda la instancia de API Management.
Seleccione el botón Siguiente: Recurso en la parte inferior de la pantalla. Ya está rellenada la siguiente información sobre la instancia de API Management:
Subscription
Tipo de recurso
Nombre del recurso
En Recurso, en subrecurso de destino, seleccione Puerta de enlace.
Garrantzitsua
Solo se admite el subrecurso Puerta de enlace para API Management. No se admiten otros subrecursos.
Seleccione el botón Siguiente: Virtual Network de la parte inferior de la pantalla.
En Red virtual, escriba o seleccione esta información:
Configuración
Valor
Virtual network
Seleccione la red virtual.
Subnet
Seleccione la subred.
Configuración de IP privada
En la mayoría de los casos, seleccione Asignar dinámicamente la dirección IP.
Seleccione el botón Siguiente: DNS en la parte inferior de la pantalla.
En Integración de DNS privado, escriba o seleccione esta información:
Configuración
Valor
Integración con una zona DNS privada
Deje el valor predeterminado de Sí.
Subscription
Selecciona tu suscripción.
Grupos de recursos
Seleccione el grupo de recursos que necesite.
Zonas DNS privadas
Se muestra el valor predeterminado: (nuevo) privatelink.azure-api.net.
Seleccione el botón Siguiente: pestañas en la parte inferior de la pantalla. Si lo desea, escriba etiquetas para organizar los recursos de Azure.
Seleccione el botón Siguiente: Revisar y crear en la parte inferior de la pantalla. Seleccione Crear.
Lista de las conexiones de los puntos de conexión privados a la instancia
Una vez creado el punto de conexión privado y actualizado el servicio, figura en la lista de la página de las Conexiones del punto de conexión privado entrantes de la instancia de API Management del portal.
Tenga en cuenta el estado de la conexión del punto de conexión:
Aprobada indica que el recurso API Management la aprobó automáticamente.
Pendiente indica que el propietario del recurso tiene que aprobarla manualmente.
Aprobación de conexiones pendientes del punto de conexión privado
Si el estado de una conexión de punto de conexión privado es pendiente, un propietario de la instancia de API Management tiene que aprobarla manualmente para que pueda usarse.
Si tiene los permisos adecuados, apruebe una conexión de punto de conexión privado en la página Conexiones de puntos de conexión privado de la instancia de API Management en el portal. En el menú contextual (...) de la conexión, seleccione Aprobar.
Actualmente no se puede configurar un punto de conexión privado al crear una instancia de Standard v2 ni usar la hoja Red de las instancias en Azure Portal.
Como se muestra en este artículo, debe crear y administrar recursos de punto de conexión privado independientemente de una instancia de API Management Standard v2.
En Azure Portal, vaya a la página Private Link Center.
Seleccione Puntos de conexión privados>+ Crear.
En la pestaña Aspectos básicos de Crear un punto de conexión privado, escriba o seleccione la siguiente información:
Configuración
Valor
Detalles del proyecto
Suscripción
Selecciona tu suscripción.
Resource group
Seleccione un grupo de recursos existente, o bien cree uno. Debe estar en la misma región que la red virtual.
Detalles de instancia
Nombre
Escriba un nombre para el punto de conexión privado, como myPrivateEndpoint.
Nombre de la interfaz de red
Escriba un nombre para la interfaz de red, como myInterface
Region
Seleccione una ubicación para el punto de conexión privado. Debe estar en la misma región que la red virtual. Puede ser distinta a la región en la que se hospeda la instancia de API Management.
Seleccione el botón Siguiente: Recurso en la parte inferior de la pantalla.
En Recurso, escriba o seleccione esta información:
Parámetro
Valor
Subscription
La suscripción está seleccionada.
Tipo de recurso
Seleccione Microsoft.ApiManagement/service.
Resource
Seleccione la instancia de API Management Standard v2.
Recurso secundario de destino
Seleccione Puerta de enlace.
Garrantzitsua
Solo se admite el subrecurso Puerta de enlace para API Management. No se admiten otros subrecursos.
Seleccione el botón Siguiente: Virtual Network de la parte inferior de la pantalla.
En Red virtual, escriba o seleccione esta información:
Configuración
Valor
Virtual network
Seleccione la red virtual.
Subnet
Seleccione la subred.
Directiva de red para los puntos de conexión privados
Deje el valor predeterminado, Deshabilitado.
Configuración de IP privada
En la mayoría de los casos, seleccione Asignar dinámicamente la dirección IP.
Seleccione el botón Siguiente: DNS en la parte inferior de la pantalla.
En Integración de DNS privado, escriba o seleccione esta información:
Configuración
Valor
Integración con una zona DNS privada
Deje el valor predeterminado de Sí.
Subscription
Selecciona tu suscripción.
Grupos de recursos
Seleccione el grupo de recursos que necesite.
Zonas DNS privadas
Se muestra el valor predeterminado: (nuevo) privatelink.azure-api.net.
Seleccione el botón Siguiente: pestañas en la parte inferior de la pantalla. Si lo desea, escriba etiquetas para organizar los recursos de Azure.
Seleccione el botón Siguiente: Revisar y crear en la parte inferior de la pantalla. Seleccione Crear.
Enumeración de conexiones de punto de conexión privado
Una vez creado el punto de conexión privado y actualizado el servicio, aparece en la lista de la página Puntos de conexión privados en el Private Link Center.
Confirme que el Estado de conexión del punto de conexión es Aprobado.
Deshabilitación opcional del acceso a la red pública
Como alternativa, para limitar el tráfico de entrada de la instancia de API Management solo a los puntos de conexión privados, deshabilite la propiedad de acceso a la red pública.
Oharra
El acceso a la red pública solo se puede deshabilitar en instancias de API Management configuradas con un punto de conexión privado, no con otras configuraciones de red.
Para deshabilitar la propiedad de acceso a la red pública mediante la CLI de Azure, ejecute el comando az apim update al sustituir los nombres de la instancia de API Management y el grupo de recursos:
Azure CLI
az apim update --name my-apim-service--resource-group my-resource-group--public-network-accessfalse
También puede usar el servicio API Management: actualizar API de REST para deshabilitar el acceso a la red pública estableciendo la propiedad publicNetworkAccess en Disabled.
Para deshabilitar la propiedad de acceso a la red pública en instancias de Estándar v2 mediante la CLI de Azure, ejecute el siguiente comando az rest.
En el menú de la izquierda, en Implementación e infraestructura, seleccione Red>Conexiones de punto de conexión privado entrantes y seleccione el punto de conexión privado que creó.
En el panel de navegación izquierdo, en Configuración, seleccione configuración de DNS.
Revise los registros de DNS y la dirección IP del punto de conexión privado. La dirección IP es una dirección privada en el espacio de direcciones de la subred en donde se configura el punto de conexión privado.
En el Private Link Center, seleccione Puntos de conexión privados y, a continuación, el nombre del punto de conexión privado.
En el panel de navegación izquierdo, en Configuración, seleccione configuración de DNS.
Revise los registros de DNS y la dirección IP del punto de conexión privado. La dirección IP es una dirección privada en el espacio de direcciones de la subred en donde se configura el punto de conexión privado.
Prueba en la red virtual
Conéctese a una máquina virtual que haya configurado en la red virtual.
Ejecute una utilidad, como nslookup o dig, para buscar la dirección IP del punto de conexión de la puerta de enlace predeterminado a través de Private Link. Por ejemplo:
La salida debe incluir la dirección IP privada asociada al punto de conexión privado.
Las llamadas API iniciadas dentro de la red virtual al punto de conexión de la puerta de enlace predeterminada deberían hacerse correctamente.
Prueba de Internet
Desde el exterior de la ruta de acceso del punto de conexión privado, intente llamar al punto de conexión predeterminado de la puerta de enlace de la instancia de API Management. Si el acceso público está deshabilitado, la salida incluye un error con el código de estado 403 y un mensaje similar al siguiente:
Request originated from client public IP address 192.0.2.12, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network.
Contenido relacionado
Use expresiones de la directiva con la context.requestvariable para identificar el tráfico desde el punto de conexión privado.
Bat egin IAren soluzio eskalagarrien soluzioak sortzeko topaketa sortarekin, mundu errealaren erabilera-kasuetan oinarrituak, beste garatzaile eta aditu batzuekin.
Aprenda a conectar de forma segura un servidor de Azure SQL mediante un punto de conexión privado de Azure a través de Azure Portal, lo que garantiza una comunicación privada y segura con el servidor de SQL Server.
Muestre el diseño, la implementación y el mantenimiento de la infraestructura de red de Azure, el tráfico de equilibrio de carga, el enrutamiento de red, etc.
Obtenga información sobre escenarios y requisitos para proteger el tráfico entrante y saliente de la instancia de API Management mediante una red virtual de Azure.
Obtenga información sobre los requisitos de los recursos de red al implementar (insertar) la instancia de desarrollador de API Management o de nivel Premium en una red virtual de Azure.
Aprenda a integrar una instancia de Azure API Management en el nivel Estándar v2 o Premium v2 con una red virtual para acceder a las API de back-end de la red.
Obtenga información acerca de los requisitos de los recursos de red al integrar la puerta de enlace del espacio de trabajo de API Management en una red virtual de Azure.
Aprenda a implementar (insertar) instancias de Azure API Management en el nivel Premium v2 de redes virtuales para aislar el tráfico entrante y saliente.