Csatlakozás privát módon az API Managementbe bejövő privát végpont használatával

A KÖVETKEZŐKRE VONATKOZIK: Fejlesztő | Alapszintű | Standard | Prémium

Konfigurálhat egy bejövő privát végpontot az API Management-példányhoz, hogy a magánhálózat ügyfelei biztonságosan elérhessék a példányt az Azure Private Linken keresztül.

• A privát végpont egy Olyan Azure-beli virtuális hálózat IP-címét használja, amelyben az üzemel.

• A magánhálózat és az API Management ügyfelei közötti hálózati forgalom áthalad a virtuális hálózaton és a Microsoft gerinchálózatán lévő privát kapcsolaton, így kiküszöböli a nyilvános internet jelentette kitettséget.

• Konfiguráljon egyéni DNS-beállításokat vagy egy privát Azure DNS-zónát az API Management gazdaeszköznevének a végpont privát IP-címére való leképezéséhez.

A következőket teheti a privát végpontokkal és a Private Linkkel:

• Több Private Link-kapcsolat létrehozása API Management-példányhoz.

• Bejövő forgalom küldése biztonságos kapcsolaton keresztül a privát végponttal.

• A privát végpontból származó forgalom megkülönböztetésére szolgáló szabályzat használata.

• A bejövő forgalom korlátozása csak a privát végpontokra, meggátolva az adatkiszivárgást.

Fontos

• Privát végpontkapcsolatot csak az API Management-példány felé irányuló bejövő forgalomhoz konfigurálhat. A kimenő forgalom jelenleg nem támogatott.

  A külső vagy belső virtuális hálózati modell használatával kimenő kapcsolatot létesíthet privát végpontokkal az API Management-példányból.

• A bejövő privát végpontok engedélyezéséhez az API Management-példány nem helyezhető be külső vagy belső virtuális hálózatba.

Korlátozások

• Csak az API Management-példány átjáróvégpontja támogatja a bejövő Private Link-kapcsolatokat.
• Minden API Management-példány legfeljebb 100 Private Link-kapcsolatot támogat.
• Csatlakozás nem támogatottak a saját üzemeltetésű átjárók.

Előfeltételek

• Egy meglévő API Management-példány. Hozzon létre egyet, ha még nem tette meg.
  • Az API Management-példányt a stv2 számítási platformon kell üzemeltetni. Hozzon létre például egy új példányt, vagy ha már van példánya a Prémium szolgáltatási szinten, engedélyezze a zónaredundanciát.
  • Ne helyezze üzembe (injektálja) a példányt külső vagy belső virtuális hálózatba.
• A privát végpont üzemeltetésére szolgáló virtuális hálózat és alhálózat. Az alhálózat más Azure-erőforrásokat is tartalmazhat.
• (Ajánlott) A virtuális hálózat ugyanazon vagy másik alhálózatán lévő virtuális gép a privát végpont teszteléséhez.

Jóváhagyási módszer privát végponthoz

A hálózati rendszergazda általában létrehoz egy privát végpontot. Az Azure szerepköralapú hozzáférés-vezérlési (RBAC) engedélyétől függően a létrehozott privát végpontok vagy automatikusan jóváhagyják a forgalmat az API Management-példánynak, vagy az erőforrás tulajdonosának manuálisan kell jóváhagynia a kapcsolatot.

Jóváhagyási módszer	Minimális RBAC-engedélyek
Automatikus	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/**
Manuális	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read

A privát végpont konfigurálásához szükséges lépések

1. Elérhető privát végponttípusok lekérése az előfizetésben
2. Hálózati házirendek letiltása az alhálózatban
3. Privát végpont létrehozása – portál
4. A példány privát végpontkapcsolatainak listázása
5. Függőben lévő privát végpontkapcsolatok jóváhagyása
6. Opcionálisan letilthatja a nyilvános hálózati hozzáférést

Elérhető privát végponttípusok lekérése az előfizetésben

Ellenőrizze, hogy az API Management privát végponttípus elérhető-e az előfizetésben és a helyen. A portálon keresse meg ezeket az információkat a Private Link Centerben. Válassza a Támogatott erőforrások lehetőséget.

Ezeket az információkat az elérhető privát végponttípusok – REST API listázása használatával is megtalálhatja.

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01

A kimenetnek tartalmaznia kell a Microsoft.ApiManagement.service végpont típusát:

[...]

      "name": "Microsoft.ApiManagement.service",
      "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Network/AvailablePrivateEndpointTypes/Microsoft.ApiManagement.service",
      "type": "Microsoft.Network/AvailablePrivateEndpointTypes",
      "resourceName": "Microsoft.ApiManagement/service",
      "displayName": "Microsoft.ApiManagement/service",
      "apiVersion": "2021-04-01-preview"
    }
[...]

Hálózati házirendek letiltása az alhálózatban

A hálózati házirendeket, például a hálózati biztonsági csoportokat le kell tiltani a privát végponthoz használt alhálózaton.

Ha olyan eszközöket használ, mint az Azure PowerShell, az Azure CLI vagy a REST API a privát végpontok konfigurálásához, frissítse manuálisan az alhálózat konfigurációját. Példákat a privát végpontok hálózati házirendjeinek kezelése című témakörben talál.

Amikor az Azure Portal használatával hoz létre privát végpontot, ahogyan a következő szakaszban látható, a hálózati szabályzatok automatikusan le lesznek tiltva a létrehozási folyamat részeként

Privát végpont létrehozása – portál

1. Lépjen az API Management szolgáltatáshoz az Azure Portalon.

2. A bal oldali menüben válassza a Hálózat lehetőséget.

3. Válassza a bejövő privát végpontkapcsolatok>+ Végpont hozzáadása lehetőséget.

   

4. A Privát végpont létrehozása alapismeretek lapján adja meg vagy válassza ki a következő információkat:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válasszon ki egy meglévő erőforráscsoportot, vagy hozzon létre egy újat. Ennek ugyanabban a régióban kell lennie, mint a virtuális hálózatnak.
   Példány részletei
   Név	Adja meg a végpont nevét, például a myPrivateEndpointot.
   Hálózati adapter neve	Adja meg a hálózati adapter nevét, például a myInterface nevet
   Régió	Válassza ki a privát végpont helyét. Ennek ugyanabban a régióban kell lennie, mint a virtuális hálózatnak. Eltérhet attól a régiótól, ahol az API Management-példányt üzemelteti.

5. Válassza az Erőforrás lapot vagy a Következő: Erőforrás gombot a lap alján. Az API Management-példányra vonatkozó alábbi információk már fel van töltve:

   • Előfizetés
   • Erőforráscsoport
   • Erőforrás neve

6. Az Erőforrás területen a Cél alerőforrás területen válassza az Átjáró lehetőséget.

   

7. Válassza a Virtuális hálózat lapot vagy a Következő: Virtuális hálózat gombot a képernyő alján.

8. A Hálózatkezelés területen adja meg vagy válassza ki az alábbi adatokat:

   Beállítás	Érték
   Virtuális hálózat	Válassza ki a virtuális hálózatot.
   Alhálózat	Válassza ki az alhálózatot.
   Privát IP-konfiguráció	A legtöbb esetben válassza a Dinamikusan lefoglalható IP-cím lehetőséget.
   Alkalmazásbiztonsági csoport	Igény szerint válasszon ki egy alkalmazásbiztonsági csoportot.

9. Válassza a DNS lapot vagy a Következő: DNS gombot a képernyő alján.

10. Az integráció saját DNS adja meg vagy válassza ki az alábbi adatokat:

    Beállítás	Érték
    Integrálás saját DNS-zónával	Hagyja meg az Igen alapértelmezett értékét.
    Előfizetés	Válassza ki előfizetését.
    Erőforráscsoport	Válassza ki az erőforráscsoportot.
    Privát DNS-zónák	Megjelenik az alapértelmezett érték: (új) privatelink.azure-api.net.

11. Válassza a Címkék lapot vagy a Következő: Tabulátorok gombot a képernyő alján. Ha szeretné, adjon meg címkéket az Azure-erőforrások rendszerezéséhez.

12. Válassza az Áttekintés + létrehozás lehetőséget.

13. Válassza a Létrehozás lehetőséget.

A példány privát végpontkapcsolatainak listázása

A privát végpont létrehozása után megjelenik az API Management-példány bejövő privát végpontkapcsolatok lapján található listában a portálon.

A privát végpont Csatlakozás ion – List by Service REST API használatával is listázhatja a szolgáltatáspéldány privát végpontkapcsolatait.

Figyelje meg a végpont Csatlakozás állapotát:

• A jóváhagyás azt jelzi, hogy az API Management-erőforrás automatikusan jóváhagyta a kapcsolatot.
• A Függőben állapot azt jelzi, hogy a kapcsolatot manuálisan kell jóváhagynia az erőforrás tulajdonosának.

Függőben lévő privát végpontkapcsolatok jóváhagyása

Ha egy privát végpontkapcsolat függőben lévő állapotban van, az API Management-példány tulajdonosának manuálisan jóvá kell hagynia azt a használat előtt.

Ha rendelkezik megfelelő engedélyekkel, hagyjon jóvá egy privát végpontkapcsolatot az API Management-példány privát végpontkapcsolatok lapján a portálon.

Az API Management Private Endpoint Csatlakozás ion – REST API létrehozása vagy frissítése is használható.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{apimServiceName}privateEndpointConnections/{privateEndpointConnectionName}?api-version=2021-08-01

Opcionálisan letilthatja a nyilvános hálózati hozzáférést

Ha az API Management-példány bejövő forgalmát csak privát végpontokra szeretné korlátozni, tiltsa le a nyilvános hálózati hozzáférést. Használja az API Management Service - REST API létrehozását vagy frissítését a publicNetworkAccess tulajdonság beállításához Disabled.

Feljegyzés

A publicNetworkAccess tulajdonság csak magánvégponttal konfigurált API Management-példányok nyilvános hozzáférésének letiltására használható, más hálózati konfigurációk, például virtuális hálózatok injektálása esetén nem.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{apimServiceName}?api-version=2021-08-01
Authorization: Bearer {{authToken.response.body.access_token}}
Content-Type: application/json

Használja a következő JSON-törzset:

{
  [...]
  "properties": {
    "publicNetworkAccess": "Disabled"
  }
}

Privát végpont kapcsolatának ellenőrzése

A privát végpont létrehozása után ellenőrizze a DNS-beállításait a portálon:

1. Lépjen az API Management szolgáltatáshoz az Azure Portalon.

2. A bal oldali menüben válassza a Hálózati>bejövő privát végpont kapcsolatai lehetőséget, és válassza ki a létrehozott privát végpontot.

3. A bal oldali navigációs panelen válassza a DNS-konfiguráció lehetőséget.

4. Tekintse át a privát végpont DNS-rekordjait és IP-címeit. Az IP-cím azon alhálózat címtartományában lévő privát cím, ahol a privát végpont konfigurálva van.

Tesztelés virtuális hálózaton

Csatlakozzon a virtuális hálózaton beállított egyik virtuális géphez.

Futtasson egy segédprogramot, például nslookupdig keresse meg az alapértelmezett átjáróvégpont IP-címét privát kapcsolaton keresztül. Példa:

nslookup my-apim-service.azure-api.net

A kimenetnek tartalmaznia kell a privát végponttal társított privát IP-címet.

A virtuális hálózaton az alapértelmezett átjáróvégpontra indított API-hívásoknak sikeresnek kell lennie.

Tesztelés az internetről

A privát végpont elérési útján kívülről próbálja meg meghívni az API Management-példány alapértelmezett átjáróvégpontját. Ha a nyilvános hozzáférés le van tiltva, a kimenet az állapotkóddal 403 kapcsolatos hibaüzenetet és a következőhöz hasonló üzenetet tartalmaz:

Request originated from client public IP address xxx.xxx.xxx.xxx, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
       
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network. 

Következő lépések

• A szabályzatkifejezések és a context.request változó segítségével azonosíthatja a privát végpontról érkező forgalmat.
• További információ a privát végpontokról és a Private Linkről, beleértve a Private Link díjszabását is.
• További információ a privát végpontkapcsolatok kezeléséről.
• Az Azure privát végpont csatlakozási problémáinak elhárítása.
• Egy Resource Manager-sablon használatával hozzon létre egy API Management-példányt és egy privát végpontot privát DNS-integrációval.