Virtuális hálózat használata az Azure API Management bejövő vagy kimenő forgalmának védelméhez
A KÖVETKEZŐKRE VONATKOZIK: Fejlesztő | Alapszintű | Standard | Standard v2 | Prémium
Alapértelmezés szerint az API Management nyilvános végponton érhető el az internetről, és átjáróként szolgál a nyilvános háttérrendszerekhez. Az API Management számos lehetőséget kínál az API Management-példányhoz való hozzáférés biztonságossá tételéhez és az AZURE-beli virtuális hálózattal rendelkező háttér API-khoz való hozzáféréshez. Az elérhető lehetőségek az API Management-példány szolgáltatási szintjétől függenek.
Az API Management-példány injektálása a virtuális hálózat egyik alhálózatába, amely lehetővé teszi az átjáró számára a hálózat erőforrásainak elérését.
Két injektálási mód közül választhat: külső vagy belső. Különböznek attól, hogy az átjáróhoz és más API Management-végpontokhoz való bejövő kapcsolat engedélyezett-e az internetről, vagy csak a virtuális hálózaton belülről.
Az API Management-példány integrálása egy virtuális hálózat alhálózatával, hogy az API Management-átjáró kimenő kéréseket küldjön a hálózatban izolált API-háttérrendszereknek.
Biztonságos és privát bejövő kapcsolat engedélyezése az API Management-átjáróhoz privát végpont használatával.
Az alábbi táblázat a virtuális hálózatkezelési beállításokat hasonlítja össze. További információkért tekintse meg a cikk későbbi szakaszait, valamint a részletes útmutatásra mutató hivatkozásokat.
| Hálózatkezelési modell | Támogatott szintek | Támogatott összetevők | Támogatott forgalom | Használati forgatókönyv |
|---|---|---|---|---|
| Virtuális hálózat injektálása – külső | Fejlesztő, Prémium | Fejlesztői portál, átjáró, felügyeleti sík és Git-adattár | A bejövő és kimenő forgalom engedélyezhető az internet, a társhálózati virtuális hálózatok, az Express Route és az S2S VPN-kapcsolatok számára. | Külső hozzáférés privát és helyszíni háttérrendszerekhez |
| Virtuális hálózat injektálása – belső | Fejlesztő, Prémium | Fejlesztői portál, átjáró, felügyeleti sík és Git-adattár | A bejövő és kimenő forgalom engedélyezhető a társhálózatok, az Express Route és az S2S VPN-kapcsolatok számára. | Belső hozzáférés privát és helyszíni háttérrendszerekhez |
| Kimenő integráció | Standard v2 | Csak átjáró | A kimenő kérelmek forgalma elérheti a virtuális hálózat delegált alhálózatán üzemeltetett API-kat. | Külső hozzáférés privát és helyszíni háttérrendszerekhez |
| Bejövő privát végpont | Fejlesztő, Alapszintű, Standard, Prémium | Csak átjáró (a felügyelt átjáró támogatott, a saját üzemeltetésű átjáró nem támogatott) | Csak a bejövő forgalom engedélyezett az internetről, a társhálózati virtuális hálózatokról, az Express Route-ról és az S2S VPN-kapcsolatokról. | Biztonságos ügyfélkapcsolat az API Management-átjáróval |
Virtuális hálózat injektálás
A VNet-injektálással helyezze üzembe ("injektálja") az API Management-példányt egy alhálózaton egy nem internet-routable hálózatban, amelyhez ön szabályozza a hozzáférést. A virtuális hálózaton az API Management-példány biztonságosan hozzáférhet más hálózati Azure-erőforrásokhoz, és különböző VPN-technológiák használatával csatlakozhat a helyszíni hálózatokhoz. Az Azure-beli virtuális hálózatokkal kapcsolatos további információkért kezdje az Azure Virtual Network áttekintésével.
A konfigurációhoz használhatja az Azure Portalt, az Azure CLI-t, az Azure Resource Manager-sablonokat vagy más eszközöket. A hálózati biztonsági csoportok használatával szabályozhatja a bejövő és kimenő forgalmat abba az alhálózatba, amelyben az API Management üzembe van helyezve.
Az üzembe helyezés részletes lépéseit és a hálózati konfigurációt a következő témakörben találja:
- Helyezze üzembe az API Management-példányt egy virtuális hálózaton – külső módban.
- Helyezze üzembe az API Management-példányt egy virtuális hálózaton – belső módban.
- Az API Management virtuális hálózatba történő injektálásának hálózati erőforrás-követelményei.
Hozzáférési beállítások
Virtuális hálózat használatával konfigurálhatja a fejlesztői portált, az API Gatewayt és más API Management-végpontokat úgy, hogy elérhetők legyenek az internetről (külső módban) vagy csak a virtuális hálózaton belül (belső mód).
Külső – Az API Management-végpontok külső terheléselosztón keresztül érhetők el a nyilvános internetről. Az átjáró hozzáférhet a virtuális hálózaton belüli erőforrásokhoz.
Az API Management használata külső módban a virtuális hálózaton üzembe helyezett háttérszolgáltatások eléréséhez.
Belső – Az API Management-végpontok csak a virtuális hálózaton belülről érhetők el egy belső terheléselosztón keresztül. Az átjáró hozzáférhet a virtuális hálózaton belüli erőforrásokhoz.
Az API Management használata belső módban a következőkre:
- Az Azure VPN-kapcsolatok vagy az Azure ExpressRoute használatával biztonságosan elérhetővé teheti a privát adatközpontban üzemeltetett API-kat.
- A hibrid felhőbeli forgatókönyvek engedélyezéséhez tegye ki a felhőalapú API-kat és a helyszíni API-kat egy közös átjárón keresztül.
- Több földrajzi helyen üzemeltetett API-k kezelése egyetlen átjáróvégpont használatával.
Kimenő integráció
A Standard v2 szint támogatja a virtuális hálózatok integrációját, hogy az API Management-példány elérhesse az egyetlen csatlakoztatott virtuális hálózatban elkülönített API-háttérrendszereket. Az API Management-átjáró, a felügyeleti sík és a fejlesztői portál továbbra is nyilvánosan elérhető marad az internetről.
A kimenő integráció lehetővé teszi az API Management-példány számára a nyilvános és a hálózat által elkülönített háttérszolgáltatások elérését.
További információ: Azure API Management-példány integrálása privát virtuális hálózattal kimenő kapcsolatokhoz.
Bejövő privát végpont
Az API Management támogatja a privát végpontokat az API Management-példányhoz való biztonságos bejövő ügyfélkapcsolatokhoz. Minden biztonságos kapcsolat egy privát IP-címet használ a virtuális hálózatból és az Azure Private Linkből.
A következőket teheti a privát végpontokkal és a Private Linkkel:
Több Private Link-kapcsolat létrehozása API Management-példányhoz.
Bejövő forgalom küldése biztonságos kapcsolaton keresztül a privát végponttal.
A privát végpontból származó forgalom megkülönböztetésére szolgáló szabályzat használata.
A bejövő forgalom korlátozása csak a privát végpontokra, meggátolva az adatkiszivárgást.
Fontos
Privát végpontkapcsolatot csak az API Management-példány felé irányuló bejövő forgalomhoz konfigurálhat. A kimenő forgalom jelenleg nem támogatott.
A külső vagy belső virtuális hálózati modell használatával kimenő kapcsolatot létesíthet privát végpontokkal az API Management-példányból.
A bejövő privát végpontok engedélyezéséhez az API Management-példány nem helyezhető be külső vagy belső virtuális hálózatba.
További információ: Csatlakozás privát módon az API Managementbe bejövő privát végpont használatával.
Speciális hálózati konfigurációk
Api Management-végpontok biztonságossá tétele webalkalmazási tűzfallal
Lehetnek olyan forgatókönyvek, amelyekben biztonságos külső és belső hozzáférésre van szüksége az API Management-példányhoz, valamint rugalmasságot a privát és helyszíni háttérrendszerek eléréséhez. Ilyen esetekben dönthet úgy, hogy webalkalmazási tűzfallal (WAF) kezeli az API Management-példány végpontjaihoz való külső hozzáférést.
Ilyen például egy API Management-példány üzembe helyezése egy belső virtuális hálózaton, és a nyilvános hozzáférés átirányítása egy internetkapcsolattal rendelkező Azure-alkalmazás-átjáró használatával:
További információ: API Management üzembe helyezése belső virtuális hálózaton az Application Gateway használatával.
Következő lépések
További információk:
Virtuális hálózati konfiguráció az API Managementtel:
- Helyezze üzembe az Azure API Management-példányt egy virtuális hálózaton – külső módban.
- Helyezze üzembe az Azure API Management-példányt egy virtuális hálózaton – belső módban.
- Csatlakozás privátan az API Managementbe privát végpont használatával
- Azure API Management-példány integrálása privát virtuális hálózattal kimenő kapcsolatokhoz
- Az Azure API Management-példány védelme DDoS-támadásokkal szemben
Kapcsolódó cikkek: