De manera predeterminada, se accede a la instancia de API Management desde Internet en un punto de conexión público y actúa como puerta de enlace a back-end públicos. API Management proporciona varias opciones para usar una red virtual de Azure para proteger el acceso a la instancia de API Management y a las API de back-end. Las opciones disponibles dependen del nivel de servicio de la instancia de API Management. Elija las funcionalidades de red para satisfacer las necesidades de su organización.
En la tabla siguiente se comparan las opciones de red virtual. Para más información, vea las secciones posteriores de este artículo y los vínculos a instrucciones detalladas.
El tráfico entrante y saliente se puede permitir a una subred delegada de una red virtual, redes virtuales emparejadas, ExpressRoute y conexiones VPN S2S.
Solo puerta de enlace (puerta de enlace administrada compatible, puerta de enlace autohospedada no compatible)
Solo se puede permitir el tráfico entrante desde Internet, redes virtuales emparejadas, Conexiones VPN de ExpressRoute y S2S.
Protección de la conexión de cliente a la puerta de enlace de API Management
Inserción de red virtual (niveles clásicos)
En los niveles de Desarrollador y Premium clásicos de API Management, implemente ("inserte") la instancia de API Management en una subred de una red que no sea enrutable a internet a la que controle el acceso. En la red virtual, la instancia de API Management puede acceder de forma segura a otros recursos de Azure en red y también conectarse a las redes locales mediante diversas tecnologías VPN.
Puede usar Azure Portal, la CLI de Azure, plantillas de Azure Resource Manager u otras herramientas para la configuración. Puede controlar el tráfico entrante y saliente en la subred en la que se implementa API Management mediante grupos de seguridad de red.
Para conocer los pasos detallados de implementación y la configuración de red, consulte:
Con una red virtual, puede configurar el portal para desarrolladores, la puerta de enlace de API y otros puntos de conexión de API Management para que sean accesibles desde Internet (modo externo) o solo dentro de la red virtual (modo interno).
Externo: los puntos de conexión de API Management son accesibles públicamente desde Internet con un equilibrador de carga externo. La puerta de enlace puede acceder a recursos dentro de la red virtual.
Use API Management en modo externo para acceder a los servicios back-end implementados en la red virtual.
Interno: solo se puede acceder a los puntos de conexión de API Management desde dentro de la red virtual a través de un equilibrador de carga interno. La puerta de enlace puede acceder a recursos dentro de la red virtual.
Use API Management en modo interno para:
Conseguir que las API hospedadas en el centro de datos privado sean accesibles para terceros de forma segura desde este centro mediante conexiones de VPN de Azure o Azure ExpressRoute.
Puede permitir escenarios de nube híbrida exponiendo las API basadas en la nube y las API locales a través de una puerta de enlace común.
Administrar las API hospedadas en diversas ubicaciones geográficas, mediante un único punto de conexión de puerta de enlace.
Inserción de red virtual (niveles v2)
En el nivel API Management Premium v2, inserte la instancia en una subred delegada de una red virtual para proteger el tráfico entrante y saliente de la puerta de enlace. Actualmente, puede configurar las opciones de inserción de red virtual en el momento en que se crea la instancia.
En esta configuración:
El punto de conexión de la puerta de enlace de API Management es accesible a través de la red virtual en una dirección IP privada.
API Management puede realizar solicitudes salientes a los back-end de API que estén aislados en la red.
Esta configuración se recomienda para escenarios en los que quiera aislar tanto la instancia de API Management como las API de back-end. La inserción de red virtual en el nivel Premium v2 administra automáticamente la conectividad de red a la mayoría de las dependencias de servicio para Azure API Management.
Los niveles Estándar v2 y Premium v2 admiten la integración de red virtual saliente para permitir que la instancia de API Management llegue a los back-end de API aislados en una sola red virtual conectada. La puerta de enlace de API Management, el plano de administración y el portal para desarrolladores siguen siendo accesibles públicamente desde Internet.
La integración saliente permite que la instancia de API Management llegue a los servicios back-end públicos y aislados de red.
API Management admite puntos de conexión privados para conexiones de cliente entrantes seguras a la instancia de API Management. Cada conexión segura usa una dirección IP privada de la red virtual y Azure Private Link.
Con un punto de conexión privado y Private Link, puede:
Crear varias conexiones de Private Link a una instancia de API Management.
Usar el punto de conexión privado para enviar tráfico de entrada a una conexión segura.
Usar la directiva para distinguir el tráfico que procede de un punto de conexión privado.
Limitar el tráfico de entrada solo a los puntos de conexión privados, lo que impide la filtración de datos.
Combine puntos de conexión privados entrantes a instancias de Standard v2 con integración de red virtual de salida para proporcionar aislamiento de red de un extremo a otro de los clientes y servicios back-end de API Management.
Garrantzitsua
Solo puede configurar una conexión de punto de conexión privado para el tráfico entrante a la instancia de API Management.
Protección de puntos de conexión de API Management con un firewall de aplicaciones web
Es posible que tenga escenarios en los que necesite acceso externo e interno seguro a la instancia de API Management y flexibilidad para acceder a back-ends privados y locales. En estos escenarios, puede optar por administrar el acceso externo a los puntos de conexión de una instancia de API Management con un firewall de aplicaciones web (WAF).
Un ejemplo consiste en implementar una instancia de API Management en una red virtual interna y enrutar el acceso público a ella mediante una instancia de Azure Application Gateway accesible desde Internet:
Bat egin IAren soluzio eskalagarrien soluzioak sortzeko topaketa sortarekin, mundu errealaren erabilera-kasuetan oinarrituak, beste garatzaile eta aditu batzuekin.
Muestre el diseño, la implementación y el mantenimiento de la infraestructura de red de Azure, el tráfico de equilibrio de carga, el enrutamiento de red, etc.
Obtenga información sobre los requisitos de los recursos de red al implementar (insertar) la instancia de desarrollador de API Management o de nivel Premium en una red virtual de Azure.
Aprenda a integrar una instancia de Azure API Management en el nivel Estándar v2 o Premium v2 con una red virtual para acceder a las API de back-end de la red.
Aprenda a implementar (insertar) instancias de Azure API Management en el nivel Premium v2 de redes virtuales para aislar el tráfico entrante y saliente.
Obtenga información acerca de los requisitos de los recursos de red al integrar la puerta de enlace del espacio de trabajo de API Management en una red virtual de Azure.