Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’APPLIQUE À : Développeur | De base | Standard | Standard v2 | Premium
Vous pouvez configurer un point de terminaison privé entrant pour votre instance Gestion des API afin de permettre aux clients de votre réseau privé d’accéder en toute sécurité à l’instance via le Azure Private Link.
Le point de terminaison privé utilise une adresse IP d’un réseau virtuel Azure dans lequel il est hébergé.
Le trafic entre un client de votre réseau privé et Gestion des API traverse le réseau virtuel et une liaison privée sur le réseau principal de Microsoft, ce qui élimine son exposition à l’Internet public.
Configurez des paramètres DNS personnalisés ou une zone privée Azure DNS pour mapper le nom d’hôte de Gestion des API à l’adresse IP privée du point de terminaison.
Grâce à un point de terminaison privé et Private Link, vous pouvez :
Créer plusieurs connexions Private Link à une instance de Gestion des API.
Utiliser le point de terminaison privé pour envoyer le trafic entrant sur une connexion sécurisée.
Utiliser une stratégie pour distinguer le trafic qui provient du point de terminaison privé.
Limiter le trafic entrant uniquement aux points de terminaison privés, afin d’éviter l’exfiltration de données.
Pour fournir une isolation réseau de bout en bout de vos clients de gestion d’API et de vos services principaux, combinez des points de terminaison privés entrants vers des instances Standard v2 avec intégration de réseaux virtuels sortants.
Important
- Vous pouvez uniquement configurer une connexion de point de terminaison privé pour le trafic entrant vers l’instance Gestion des API.
- Vous ne pouvez désactiver l’accès au réseau public qu’à l’instance Gestion des API après avoir configuré un point de terminaison privé.
Limites
- Seul le point de terminaison de passerelle de l’instance Gestion des API prend en charge les connexions Private Link entrantes.
- Chaque instance Gestion des API prend en charge au maximum 100 connexions Private Link.
- Les connexions ne sont pas prises en charge sur la passerelle auto-hébergée ou sur une passerelle d’espace de travail.
- Dans les niveaux Gestion des API classiques, les points de terminaison privés ne sont pas pris en charge dans les instances injectées dans un réseau virtuel interne ou externe.
Scénarios classiques
Utilisez un point de terminaison privé entrant pour permettre un accès privé uniquement directement à la passerelle Gestion des API pour limiter l’exposition des données sensibles ou des back-ends.
Les configurations prises en charge sont les suivantes :
- Transmettez les demandes du client via un pare-feu et configurez des règles pour acheminer les demandes en privé vers la passerelle Gestion des API.
- Configurez Azure Front Door (ou Azure Front Door avec Azure Application Gateway) pour recevoir le trafic externe, puis acheminer le trafic en privé vers la passerelle Gestion des API. Par exemple, consultez Connecter Azure Front Door Premium à une gestion des API Azure avec Private Link.
Prérequis
- Une instance existante de gestion d'API. Si vous ne l’avez pas déjà fait, créez-en un.
- Un réseau virtuel contenant un sous-réseau pour héberger le point de terminaison privé. Le sous-réseau peut contenir d’autres ressources Azure, mais il ne peut pas être délégué à un autre service.
- (Recommandé) Une machine virtuelle dans le même sous-réseau ou dans un sous-réseau différent dans le réseau virtuel, pour tester le point de terminaison privé.
Utilisez l’environnement Bash dans Azure Cloud Shell. Pour obtenir plus d’informations, consultez Démarrage d’Azure Cloud Shell.
Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.
Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour obtenir d’autres options de connexion, consultez S’authentifier auprès d’Azure à l’aide d’Azure CLI.
Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser et gérer des extensions avec Azure CLI.
Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.
Méthode d’approbation pour le point de terminaison privé
En règle générale, un administrateur réseau crée un point de terminaison privé. Selon vos autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure, un point de terminaison privé que vous créez est soit automatiquement approuvé pour envoyer du trafic à l’instance Gestion des API, soit nécessite que le propriétaire de la ressource approuve manuellement la connexion.
| Méthode d’approbation | Autorisations RBAC minimales |
|---|---|
| Automatique | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/readMicrosoft.ApiManagement/service/**Microsoft.ApiManagement/service/privateEndpointConnections/** |
| Manuel | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Étapes à suivre pour configurer un point de terminaison privé
- Obtenir les types de points de terminaison privés disponibles dans l’abonnement
- Créer un point de terminaison privé (portail)
Obtenir les types de points de terminaison privés disponibles dans l’abonnement
Vérifiez que le type de point de terminaison privé de Gestion des API est disponible dans votre abonnement et votre emplacement. Dans le portail, recherchez ces informations en accédant au Centre Private Link. Sélectionnez Ressources prises en charge.
Vous pouvez également trouver ces informations en utilisant l’API REST Types de points de terminaison privés disponibles – Liste.
GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01
La sortie doit inclure le type de point de terminaison Microsoft.ApiManagement.service :
[...]
"name": "Microsoft.ApiManagement.service",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Network/AvailablePrivateEndpointTypes/Microsoft.ApiManagement.service",
"type": "Microsoft.Network/AvailablePrivateEndpointTypes",
"resourceName": "Microsoft.ApiManagement/service",
"displayName": "Microsoft.ApiManagement/service",
"apiVersion": "2021-04-01-preview"
}
[...]
Créer un point de terminaison privé (portail)
Vous pouvez créer un point de terminaison privé lorsque vous créez une instance Gestion des API dans le portail Azure, ou vous pouvez ajouter un point de terminaison privé à une instance existante. Vous pouvez également créer un point de terminaison privé à l’aide du Centre Private Link.
Pour ajouter un point de terminaison privé à une instance de gestion des API existante :
Accédez au service Gestion des API dans le portail Azure.
Dans le menu de gauche, sous Déploiement +d’infrastructure, sélectionnez Réseau.
Sélectionnez Connexions de point de terminaison privé entrantes>+ Ajouter un point de terminaison.
Sous l’onglet Informations de base , entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement. Groupe de ressources Sélectionnez un groupe de ressources existant ou créez-en un. Il doit se trouver dans la même région que votre réseau virtuel. Détails de l’instance Nom Entrez un nom pour le point de terminaison, comme myPrivateEndpoint. Nom de l'interface réseau Entrez un nom pour l’interface réseau, par exemple myInterface Région Sélectionnez un emplacement pour le point de terminaison privé. Il doit se trouver dans la même région que votre réseau virtuel. Il peut être différent de la région où votre instance Gestion des API est hébergée. Sélectionnez le bouton Suivant : Ressource en bas de l’écran. Les informations suivantes concernant votre instance Gestion des API sont déjà renseignées :
- Abonnement
- Type de ressource
- Nom de la ressource
Dans Ressource, dans Sous-ressource cible, sélectionnez Passerelle.
Important
Seule la sous-ressource Passerelle est prise en charge par la gestion des API. Les autres sous-ressources ne sont pas prises en charge.
Sélectionnez le bouton Suivant : Réseau virtuel au bas de l’écran.
Dans Réseau virtuel, entrez ou sélectionnez cette information :
Paramètre Valeur Réseau virtuel Sélectionnez votre réseau virtuel. Sous-réseau Sélectionnez votre sous-réseau. Configuration d’adresse IP privée Dans la plupart des cas, sélectionnez Allouer dynamiquement l’adresse IP. Groupe de sécurité d’application Sélectionnez éventuellement un groupe de sécurité d’application. Sélectionnez le bouton Suivant : DNS en bas de l’écran.
Dans Intégration à un DNS privé, entrez ou sélectionnez ces informations :
Paramètre Valeur Intégrer à une zone DNS privée Conservez la valeur par défaut Oui. Abonnement Sélectionnez votre abonnement. Groupe de ressources Sélectionnez votre groupe de ressources. Zones DNS privées La valeur par défaut s’affiche : (nouveau) privatelink.azure-api.net. Sélectionnez le bouton Suivant : Onglets en bas de l’écran. Si vous le souhaitez, entrez des étiquettes pour organiser vos ressources Azure.
Sélectionnez le bouton Suivant : Vérifier + créer en bas de l’écran. Sélectionnez Créer.
Répertorier les connexions de points de terminaison privés à l’instance
Une fois le point d'accès privé créé et le service mis à jour, il apparaît dans la liste de la page Connexions de point de terminaison privé entrant de l'instance Gestion des API dans le portail.
Notez l’état de connexion du point de terminaison :
- Approuvé indique que la ressource Gestion des API a automatiquement approuvé la connexion.
- En attente indique que la connexion doit être approuvée manuellement par le propriétaire de la ressource.
Approuver les connexions de points de terminaison privés en attente
Si une connexion de point de terminaison privé est dans un état en attente, un propriétaire de l’instance Gestion des API doit l’approuver manuellement avant de pouvoir être utilisé.
Si vous disposez d’autorisations suffisantes, approuvez une connexion de point de terminaison privé sur la page Connexions de points de terminaison privés de l’instance Gestion des API dans le portail. Dans le menu contextuel de la connexion (...) , sélectionnez Approuver.
Vous pouvez également utiliser la gestion des API Connexion de point de terminaison privé – Créer ou mettre à jour API REST pour approuver les connexions de point de terminaison privé en attente.
Désactiver l’accès au réseau public (facultatif)
Pour limiter de manière facultative le trafic entrant vers l’instance Gestion des API uniquement aux points de terminaison privés, désactivez la propriété d’accès au réseau public. Vous ne pouvez désactiver l’accès au réseau public qu’une fois que vous avez configuré un point de terminaison privé.
Remarque
L’accès au réseau public ne peut être désactivé que dans les instances gestion des API configurées avec un point de terminaison privé, et non avec d’autres configurations réseau.
Pour désactiver la propriété d’accès réseau public dans les niveaux classiques à l’aide d’Azure CLI, exécutez la commande az apim update suivante, en remplaçant les noms de votre instance gestion des API et du groupe de ressources :
az apim update --name my-apim-service --resource-group my-resource-group --public-network-access false
Vous pouvez également utiliser l’API REST service gestion des API - Mettre à jour pour désactiver l’accès au réseau public, en définissant la propriété publicNetworkAccess sur Disabled.
Valider la connexion de point de terminaison privé
Une fois le point de terminaison privé créé, confirmez ses paramètres DNS dans le portail.
Accédez au service Gestion des API dans le portail Azure.
Dans le menu de gauche, sous Déploiement + infrastructure, sélectionnez réseau>Connexions point de terminaison privé entrant, puis sélectionnez le point de terminaison privé que vous avez créé.
Dans le volet de navigation de gauche, sous Paramètres, sélectionnez configuration DNS.
Passez en revue les enregistrements DNS et l’adresse IP du point de terminaison privé. L’adresse IP est une adresse privée dans l’espace d’adressage du sous-réseau où le point de terminaison privé est configuré.
Test dans le réseau virtuel
Connectez-vous à une machine virtuelle que vous avez configurée dans le réseau virtuel.
Exécutez un utilitaire tel que nslookup ou dig pour rechercher l’adresse IP de votre point de terminaison de passerelle par défaut via Private Link. Par exemple :
nslookup my-apim-service.privatelink.azure-api.net
La sortie doit inclure l’adresse IP privée associée au point de terminaison privé.
Les appels d’API initiés au sein du réseau virtuel vers le point de terminaison de passerelle par défaut devraient aboutir.
Test à partir d’Internet
En dehors du chemin d’accès au point de terminaison privé, essayez d’appeler le point de terminaison de passerelle par défaut de l’instance Gestion des API. Si l’accès public est désactivé, la sortie inclut une erreur avec le code d’état 403 et un message similaire à :
Request originated from client public IP address 192.0.2.12, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network.
Limitation du nom de domaine personnalisé dans le niveau Standard v2
Actuellement, dans le niveau Standard v2, Gestion des API nécessite un nom DNS résolvable publiquement pour autoriser le trafic vers le point de terminaison de passerelle. Si vous configurez un nom de domaine personnalisé pour le point de terminaison de passerelle, ce nom doit être résolu publiquement, et non limité à une zone DNS privée.
Pour contourner ce problème dans les scénarios où vous limitez l’accès public à la passerelle et que vous configurez un nom de domaine privé, vous pouvez configurer Application Gateway pour recevoir le trafic au niveau du nom de domaine privé et le router vers le point de terminaison de passerelle de l’instance Gestion des API. Pour obtenir un exemple d’architecture, consultez ce dépôt GitHub.
Contenu connexe
- Utilisez des expressions de stratégie avec la variable
context.requestpour identifier le trafic provenant du point de terminaison privé. - En savoir plus sur les points de terminaison privés et les Private Link, y compris la tarification Private Link.
- Gérer les connexions de point de terminaison privé.
- Résoudre les problèmes de connectivité du point de terminaison privé Azure.
- Utilisez un modèle Resource Manager pour créer une instance Gestion des API classiques et un point de terminaison privé avec intégration DNS privée.