Csatlakozás privát módon az API Managementbe bejövő privát végpont használatával
A KÖVETKEZŐKRE VONATKOZIK: Fejlesztő | Alapszintű | Standard | Prémium
Konfigurálhat egy bejövő privát végpontot az API Management-példányhoz, hogy a magánhálózat ügyfelei biztonságosan elérhessék a példányt az Azure Private Linken keresztül.
A privát végpont egy Olyan Azure-beli virtuális hálózat IP-címét használja, amelyben az üzemel.
A magánhálózat és az API Management ügyfelei közötti hálózati forgalom áthalad a virtuális hálózaton és a Microsoft gerinchálózatán lévő privát kapcsolaton, így kiküszöböli a nyilvános internet jelentette kitettséget.
Konfiguráljon egyéni DNS-beállításokat vagy egy privát Azure DNS-zónát az API Management gazdaeszköznevének a végpont privát IP-címére való leképezéséhez.
A következőket teheti a privát végpontokkal és a Private Linkkel:
Több Private Link-kapcsolat létrehozása API Management-példányhoz.
Bejövő forgalom küldése biztonságos kapcsolaton keresztül a privát végponttal.
A privát végpontból származó forgalom megkülönböztetésére szolgáló szabályzat használata.
A bejövő forgalom korlátozása csak a privát végpontokra, meggátolva az adatkiszivárgást.
Fontos
Privát végpontkapcsolatot csak az API Management-példány felé irányuló bejövő forgalomhoz konfigurálhat. A kimenő forgalom jelenleg nem támogatott.
A külső vagy belső virtuális hálózati modell használatával kimenő kapcsolatot létesíthet privát végpontokkal az API Management-példányból.
A bejövő privát végpontok engedélyezéséhez az API Management-példány nem helyezhető be külső vagy belső virtuális hálózatba.
Korlátozások
- Csak az API Management-példány átjáróvégpontja támogatja a bejövő Private Link-kapcsolatokat.
- Minden API Management-példány legfeljebb 100 Private Link-kapcsolatot támogat.
- Csatlakozás nem támogatottak a saját üzemeltetésű átjárók.
Előfeltételek
- Egy meglévő API Management-példány. Hozzon létre egyet, ha még nem tette meg.
- Az API Management-példányt a
stv2
számítási platformon kell üzemeltetni. Hozzon létre például egy új példányt, vagy ha már van példánya a Prémium szolgáltatási szinten, engedélyezze a zónaredundanciát. - Ne helyezze üzembe (injektálja) a példányt külső vagy belső virtuális hálózatba.
- Az API Management-példányt a
- A privát végpont üzemeltetésére szolgáló virtuális hálózat és alhálózat. Az alhálózat más Azure-erőforrásokat is tartalmazhat.
- (Ajánlott) A virtuális hálózat ugyanazon vagy másik alhálózatán lévő virtuális gép a privát végpont teszteléséhez.
Jóváhagyási módszer privát végponthoz
A hálózati rendszergazda általában létrehoz egy privát végpontot. Az Azure szerepköralapú hozzáférés-vezérlési (RBAC) engedélyétől függően a létrehozott privát végpontok vagy automatikusan jóváhagyják a forgalmat az API Management-példánynak, vagy az erőforrás tulajdonosának manuálisan kell jóváhagynia a kapcsolatot.
Jóváhagyási módszer | Minimális RBAC-engedélyek |
---|---|
Automatikus | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/** |
Manuális | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read |
A privát végpont konfigurálásához szükséges lépések
- Elérhető privát végponttípusok lekérése az előfizetésben
- Hálózati házirendek letiltása az alhálózatban
- Privát végpont létrehozása – portál
- A példány privát végpontkapcsolatainak listázása
- Függőben lévő privát végpontkapcsolatok jóváhagyása
- Opcionálisan letilthatja a nyilvános hálózati hozzáférést
Elérhető privát végponttípusok lekérése az előfizetésben
Ellenőrizze, hogy az API Management privát végponttípus elérhető-e az előfizetésben és a helyen. A portálon keresse meg ezeket az információkat a Private Link Centerben. Válassza a Támogatott erőforrások lehetőséget.
Ezeket az információkat az elérhető privát végponttípusok – REST API listázása használatával is megtalálhatja.
GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01
A kimenetnek tartalmaznia kell a Microsoft.ApiManagement.service
végpont típusát:
[...]
"name": "Microsoft.ApiManagement.service",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Network/AvailablePrivateEndpointTypes/Microsoft.ApiManagement.service",
"type": "Microsoft.Network/AvailablePrivateEndpointTypes",
"resourceName": "Microsoft.ApiManagement/service",
"displayName": "Microsoft.ApiManagement/service",
"apiVersion": "2021-04-01-preview"
}
[...]
Hálózati házirendek letiltása az alhálózatban
A hálózati házirendeket, például a hálózati biztonsági csoportokat le kell tiltani a privát végponthoz használt alhálózaton.
Ha olyan eszközöket használ, mint az Azure PowerShell, az Azure CLI vagy a REST API a privát végpontok konfigurálásához, frissítse manuálisan az alhálózat konfigurációját. Példákat a privát végpontok hálózati házirendjeinek kezelése című témakörben talál.
Amikor az Azure Portal használatával hoz létre privát végpontot, ahogyan a következő szakaszban látható, a hálózati szabályzatok automatikusan le lesznek tiltva a létrehozási folyamat részeként
Privát végpont létrehozása – portál
Lépjen az API Management szolgáltatáshoz az Azure Portalon.
A bal oldali menüben válassza a Hálózat lehetőséget.
Válassza a bejövő privát végpontkapcsolatok>+ Végpont hozzáadása lehetőséget.
A Privát végpont létrehozása alapismeretek lapján adja meg vagy válassza ki a következő információkat:
Beállítás Érték Projekt részletei Előfizetés Válassza ki előfizetését. Erőforráscsoport Válasszon ki egy meglévő erőforráscsoportot, vagy hozzon létre egy újat. Ennek ugyanabban a régióban kell lennie, mint a virtuális hálózatnak. Példány részletei Név Adja meg a végpont nevét, például a myPrivateEndpointot. Hálózati adapter neve Adja meg a hálózati adapter nevét, például a myInterface nevet Régió Válassza ki a privát végpont helyét. Ennek ugyanabban a régióban kell lennie, mint a virtuális hálózatnak. Eltérhet attól a régiótól, ahol az API Management-példányt üzemelteti. Válassza az Erőforrás lapot vagy a Következő: Erőforrás gombot a lap alján. Az API Management-példányra vonatkozó alábbi információk már fel van töltve:
- Előfizetés
- Erőforráscsoport
- Erőforrás neve
Az Erőforrás területen a Cél alerőforrás területen válassza az Átjáró lehetőséget.
Válassza a Virtuális hálózat lapot vagy a Következő: Virtuális hálózat gombot a képernyő alján.
A Hálózatkezelés területen adja meg vagy válassza ki az alábbi adatokat:
Beállítás Érték Virtuális hálózat Válassza ki a virtuális hálózatot. Alhálózat Válassza ki az alhálózatot. Privát IP-konfiguráció A legtöbb esetben válassza a Dinamikusan lefoglalható IP-cím lehetőséget. Alkalmazásbiztonsági csoport Igény szerint válasszon ki egy alkalmazásbiztonsági csoportot. Válassza a DNS lapot vagy a Következő: DNS gombot a képernyő alján.
Az integráció saját DNS adja meg vagy válassza ki az alábbi adatokat:
Beállítás Érték Integrálás saját DNS-zónával Hagyja meg az Igen alapértelmezett értékét. Előfizetés Válassza ki előfizetését. Erőforráscsoport Válassza ki az erőforráscsoportot. Privát DNS-zónák Megjelenik az alapértelmezett érték: (új) privatelink.azure-api.net. Válassza a Címkék lapot vagy a Következő: Tabulátorok gombot a képernyő alján. Ha szeretné, adjon meg címkéket az Azure-erőforrások rendszerezéséhez.
Válassza az Áttekintés + létrehozás lehetőséget.
Válassza a Létrehozás lehetőséget.
A példány privát végpontkapcsolatainak listázása
A privát végpont létrehozása után megjelenik az API Management-példány bejövő privát végpontkapcsolatok lapján található listában a portálon.
A privát végpont Csatlakozás ion – List by Service REST API használatával is listázhatja a szolgáltatáspéldány privát végpontkapcsolatait.
Figyelje meg a végpont Csatlakozás állapotát:
- A jóváhagyás azt jelzi, hogy az API Management-erőforrás automatikusan jóváhagyta a kapcsolatot.
- A Függőben állapot azt jelzi, hogy a kapcsolatot manuálisan kell jóváhagynia az erőforrás tulajdonosának.
Függőben lévő privát végpontkapcsolatok jóváhagyása
Ha egy privát végpontkapcsolat függőben lévő állapotban van, az API Management-példány tulajdonosának manuálisan jóvá kell hagynia azt a használat előtt.
Ha rendelkezik megfelelő engedélyekkel, hagyjon jóvá egy privát végpontkapcsolatot az API Management-példány privát végpontkapcsolatok lapján a portálon.
Az API Management Private Endpoint Csatlakozás ion – REST API létrehozása vagy frissítése is használható.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{apimServiceName}privateEndpointConnections/{privateEndpointConnectionName}?api-version=2021-08-01
Opcionálisan letilthatja a nyilvános hálózati hozzáférést
Ha az API Management-példány bejövő forgalmát csak privát végpontokra szeretné korlátozni, tiltsa le a nyilvános hálózati hozzáférést. Használja az API Management Service - REST API létrehozását vagy frissítését a publicNetworkAccess
tulajdonság beállításához Disabled
.
Feljegyzés
A publicNetworkAccess
tulajdonság csak magánvégponttal konfigurált API Management-példányok nyilvános hozzáférésének letiltására használható, más hálózati konfigurációk, például virtuális hálózatok injektálása esetén nem.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{apimServiceName}?api-version=2021-08-01
Authorization: Bearer {{authToken.response.body.access_token}}
Content-Type: application/json
Használja a következő JSON-törzset:
{
[...]
"properties": {
"publicNetworkAccess": "Disabled"
}
}
Privát végpont kapcsolatának ellenőrzése
A privát végpont létrehozása után ellenőrizze a DNS-beállításait a portálon:
Lépjen az API Management szolgáltatáshoz az Azure Portalon.
A bal oldali menüben válassza a Hálózati>bejövő privát végpont kapcsolatai lehetőséget, és válassza ki a létrehozott privát végpontot.
A bal oldali navigációs panelen válassza a DNS-konfiguráció lehetőséget.
Tekintse át a privát végpont DNS-rekordjait és IP-címeit. Az IP-cím azon alhálózat címtartományában lévő privát cím, ahol a privát végpont konfigurálva van.
Tesztelés virtuális hálózaton
Csatlakozzon a virtuális hálózaton beállított egyik virtuális géphez.
Futtasson egy segédprogramot, például nslookup
dig
keresse meg az alapértelmezett átjáróvégpont IP-címét privát kapcsolaton keresztül. Példa:
nslookup my-apim-service.azure-api.net
A kimenetnek tartalmaznia kell a privát végponttal társított privát IP-címet.
A virtuális hálózaton az alapértelmezett átjáróvégpontra indított API-hívásoknak sikeresnek kell lennie.
Tesztelés az internetről
A privát végpont elérési útján kívülről próbálja meg meghívni az API Management-példány alapértelmezett átjáróvégpontját. Ha a nyilvános hozzáférés le van tiltva, a kimenet az állapotkóddal 403
kapcsolatos hibaüzenetet és a következőhöz hasonló üzenetet tartalmaz:
Request originated from client public IP address xxx.xxx.xxx.xxx, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network.
Következő lépések
- A szabályzatkifejezések és a
context.request
változó segítségével azonosíthatja a privát végpontról érkező forgalmat. - További információ a privát végpontokról és a Private Linkről, beleértve a Private Link díjszabását is.
- További információ a privát végpontkapcsolatok kezeléséről.
- Az Azure privát végpont csatlakozási problémáinak elhárítása.
- Egy Resource Manager-sablon használatával hozzon létre egy API Management-példányt és egy privát végpontot privát DNS-integrációval.