A Azure API Management-példány üzembe helyezése virtuális hálózaton – külső mód

A KÖVETKEZŐKRE VONATKOZIK: Fejlesztő | Prémium

A Azure API Management egy Azure virtuális hálózaton belül is üzembe helyezheti, hogy hozzáférjen a hálózaton belüli háttérszolgáltatásokhoz. A virtuális hálózati csatlakozási lehetőségekről, követelményekről és szempontokról a következő témakörben olvashat:

• Virtuális hálózat használata az Azure API Managementtel
• Az API Management virtuális hálózatba történő injektálásának hálózati erőforrás-követelményei

Ez a cikk bemutatja, hogyan állíthat be virtuális hálózati kapcsolatot az API Management fejlesztői rétegéhez vagy prémium szintű példányához külső módban. Ebben a módban a fejlesztői portál, az API Gateway és más API Management-végpontok a nyilvános internetről érhetők el, a háttérszolgáltatások pedig a hálózaton találhatók.

A internal módra jellemző konfigurációk esetében, amelyekben a végpontok csak a virtuális hálózaton belül érhetők el, tekintse meg A Azure API Management-példány üzembe helyezése virtuális hálózatra – belső mód.

Megjegyzés

Javasoljuk, hogy az Azure Az PowerShell-modult használja a Azure használatához. Első lépésként lásd: Install Azure PowerShell. Az Az PowerShell-modulra való migrálásról az Migrate Azure PowerShell az AzureRM-ből az Az című témakörben olvashat.

Fontos

Az API Management szolgáltatás infrastruktúrájának módosítása (például egyéni tartományok konfigurálása, CA-tanúsítványok hozzáadása, skálázás, virtuális hálózat konfigurációja, rendelkezésre állási zónák módosítása és régiók hozzáadása) a szolgáltatási szinttől és az üzembe helyezés méretétől függően akár 15 percet is igénybe vehet. Hosszabb idő várható a nagyobb méretű egységeket vagy többrégiós konfigurációt (több helyen lévő átjárókat) tartalmazó példányok esetében. Az API Management működés közbeni módosításait gondosan végrehajtjuk a kapacitás és a rendelkezésre állás megőrzése érdekében.

A szolgáltatás frissítése közben más szolgáltatásinfrastruktúra-módosítások nem végezhetők el. Azonban konfigurálhatja az API-kat, a termékeket, a szabályzatokat és a felhasználói beállításokat. A szolgáltatás nem fog átjáró-állásidőt tapasztalni, és az API Management továbbra is megszakítás nélkül fogja kiszolgálni az API-kéréseket (kivéve a fejlesztői szintet).

Előfeltételek

A kezdés előtt tekintse át az API Management virtuális hálózatba történő injektálásának hálózati erőforrás-követelményeit.

• API Management példány. További információ: Az Azure API Management példány létrehozása.

• Egy virtuális hálózat és alhálózat ugyanabban a régióban és előfizetésben, mint az API Management-példány.

  • Az API Management-példányhoz való csatlakozáshoz használt alhálózat más Azure erőforrástípusokat is tartalmazhat.
  • Az alhálózaton nincs engedélyezve delegálás. Az alhálózathoz tartozó Szolgáltatáshoz való delegálás beállításánál a Nincs értéket kell beállítani.

• A fenti alhálózathoz csatolt hálózati biztonsági csoport . A bejövő kapcsolatok explicit engedélyezéséhez hálózati biztonsági csoportra (NSG) van szükség, mivel az API Management által belsőleg használt terheléselosztó alapértelmezés szerint biztonságos, és elutasítja az összes bejövő forgalmat. A konkrét konfigurációról a cikk későbbi részében, az NSG-szabályok konfigurálása című témakörben olvashat.

• Bizonyos esetekben engedélyezze a szolgáltatás-végpontokat az alhálózaton függő szolgáltatásokhoz, például Azure Storage vagy Azure SQL. További információért lásd a cikk későbbi részében, ahol az ExpressRoute vagy a hálózati virtuális berendezés segítségével a helyszíni tűzfalra irányuló alagútforgalom kényszerítéséről van szó.

• (Nem kötelező) Egy standard SKU nyilvános IPv4-cím.

  Fontos

  • 2024 májusától már nincs szükség nyilvános IP-címerőforrásra, ha belső módban helyez üzembe (injektál) egy API Management-példányt egy virtuális hálózaton, vagy migrálja a belső virtuális hálózat konfigurációját egy új alhálózatra. Külső virtuális hálózat módban a nyilvános IP-cím megadása optional; Ha nem ad meg egyet, a rendszer automatikusan konfigurál egy Azure által felügyelt nyilvános IP-címet, amelyet a futtatókörnyezeti API-forgalomhoz használ. Csak akkor adja meg a nyilvános IP-címet, ha az internet felé irányuló bejövő vagy kimenő kommunikációhoz használt nyilvános IP-címet szeretné birtokolni és szabályozni.

  • Ha meg van adva, az IP-címnek ugyanabban a régióban és előfizetésben kell lennie, mint az API Management-példánynak és a virtuális hálózatnak.

  • Nyilvános IP-címerőforrás létrehozásakor győződjön meg arról, hogy DNS-névcímkét rendel hozzá. Általában ugyanazt a DNS-nevet kell használnia, mint az API Management-példány. Ha módosítja, telepítse újra a példányt, hogy az új DNS-címke érvényesüljön.

  • A legjobb hálózati teljesítmény érdekében ajánlott az alapértelmezett Routing beállítás használata: Microsoft hálózat.

  • Amikor olyan régióban hoz létre nyilvános IP-címet, ahol engedélyezni szeretné a zónaredundanciát az API Management-példányhoz, konfigurálja a zónaredundáns beállítást.

  • Az IP-cím értéke az adott régióBAN lévő API Management-példány virtuális nyilvános IPv4-címeként van hozzárendelve.

• Többrégiós API Management-üzemelő példányok esetén minden helyhez külön konfiguráljon virtuális hálózati erőforrásokat.

Virtuális hálózati kapcsolat engedélyezése

Virtuális hálózati kapcsolat engedélyezése a Azure portál használatával

1. Lépjen a Azure portálra az API management-példány megkereséséhez. Keresse meg és válassza ki az API Management-szolgáltatásokat.

2. Válassza ki az API Management-példányt.

3. Az oldalsáv menü Üzembe helyezés + infrastruktúra területén válassza a Hálózat lehetőséget.

4. Válassza ki a külső hozzáférési típust.

5. Azon helyek (régiók) listájában, ahol az API Management szolgáltatás ki van építve:

   1. Válasszon ki egy helyet.
   2. Válassza ki a virtuális hálózatot, az alhálózatot és (opcionálisan) a nyilvános IP-címet.

   • A virtuális hálózati lista a Azure-előfizetésekben elérhető virtuális hálózatokkal van feltöltve, és a konfigurálni kívánt régióban van beállítva.

     

6. Válassza az Alkalmazás lehetőséget. Az API Management-példány hálózati lapja frissül az új virtuális hálózattal és alhálózati lehetőségekkel.

7. Az Ellenőrzés gombra kattintva ellenőrizheti, hogy teljesülnek-e az előfeltételek, és az API Management szolgáltatás sikeresen frissíthető.

8. Folytassa a virtuális hálózati beállítások konfigurálását az API Management-példány fennmaradó helyeihez.

9. A felső navigációs sávon válassza a Mentés lehetőséget.

Csatlakozás engedélyezése Resource Manager sablonnal

• Azure Resource Manager template (API 2021-08-01-es verzió)

  

NSG-szabályok konfigurálása

Egyéni hálózati biztonsági szabályokat konfigurálhat az API Management alhálózatban az API Management-példány felé és onnan érkező forgalom szűréséhez. A megfelelő működés és a példányhoz való hozzáférés biztosítása érdekében javasoljuk a következő minimális NSG-szabályokat. Gondosan tekintse át a környezetet, és állapítsa meg, hogy szükség lehet-e további szabályokra.

Fontos

A gyorsítótárazástól és más funkcióktól függően előfordulhat, hogy további NSG-szabályokat kell konfigurálnia az alábbi táblázatban szereplő minimális szabályokon túl. A részletes beállításokért tekintse meg a virtuális hálózat konfigurációs referenciáját.

• A legtöbb esetben a szolgáltatás IP-címei helyett használja a megadott szolgáltatáscímkéket a hálózati források és a célhelyek megadásához.
• Adja meg ezeknek a szabályoknak a prioritását az alapértelmezett szabályoknál magasabbra.

Irány	Forrás szolgáltatáscímke	Forrásporttartományok	Cél szolgáltatáscímkéje	Célporttartományok	Protokoll	Művelet	Cél	Virtuális hálózat típusa
Bejövő	internet	*	VirtualNetwork	[80], 443	TCP	Engedélyezés	Ügyfélkommunikáció az API Managementtel	Csak külső
Bejövő	ApiManagement	*	VirtualNetwork	3443	TCP	Engedélyezés	Felügyeleti végpont Azure portálhoz és PowerShellhez	Külső és belső
Bejövő	Azure Terheléselosztó	*	VirtualNetwork	6390	TCP	Engedélyezés	Azure infrastruktúra terheléselosztó	Külső és belső
Bejövő	AzureTrafficManager	*	VirtualNetwork	443	TCP	Engedélyezés	Azure Traffic Manager útválasztás többrégiós üzembe helyezéshez	Csak külső
Kimenő	VirtualNetwork	*	internet	80	TCP	Engedélyezés	Microsoft felügyelt és ügyfél által felügyelt tanúsítványok érvényesítése és kezelése	Külső és belső
Kimenő	VirtualNetwork	*	Storage	443	TCP	Engedélyezés	Az alapvető szolgáltatásfunkciók Azure Storage függősége	Külső és belső
Kimenő	VirtualNetwork	*	SQL	1433	TCP	Engedélyezés	Hozzáférés az alapvető szolgáltatásfunkciók Azure SQL végpontjaihoz	Külső és belső
Kimenő	VirtualNetwork	*	AzureKeyVault	443	TCP	Engedélyezés	Hozzáférés a Azure Key Vault alapvető szolgáltatásfunkcióihoz	Külső és belső
Kimenő	VirtualNetwork	*	AzureMonitor	1886, 443	TCP	Engedélyezés	Közzétenni a diagnosztikai naplókat és metrikákat, a Resource Health-t, és az Application Insights-t.	Külső és belső

Csatlakozás virtuális hálózaton belül üzemeltetett webszolgáltatáshoz

Miután csatlakoztatta az API Management szolgáltatást a virtuális hálózathoz, ugyanúgy elérheti a virtuális hálózaton belüli háttérszolgáltatásokat, mint a nyilvános szolgáltatásokat. API létrehozásakor vagy szerkesztésekor írja be a webszolgáltatás helyi IP-címét vagy gazdagépnevét (ha a virtuális hálózathoz dns-kiszolgáló van konfigurálva) a webszolgáltatás URL-cím mezőjébe.

Egyéni DNS-kiszolgáló beállítása

Külső virtuális hálózati módban alapértelmezés szerint Azure kezeli a DNS-t. Igény szerint egyéni DNS-kiszolgálót is konfigurálhat.

Az API Management szolgáltatás több Azure szolgáltatástól függ. Ha az API Managementet egy egyéni DNS-kiszolgálóval rendelkező virtuális hálózaton üzemeltetik, fel kell oldania az adott Azure szolgáltatások gazdagépneveit.

• Az egyéni DNS-beállítással kapcsolatos útmutatásért, beleértve az Azure által megadott gazdagépnevek továbbítását, lásd: Források névfeloldása az Azure virtuális hálózataiban.
• A DNS-kiszolgálókkal való kommunikációhoz kimenő hálózati hozzáférés szükséges a porton 53 . További beállításokért tekintse meg a virtuális hálózat konfigurációs referenciáját.

Fontos

Ha egyéni DNS-kiszolgálókat szeretne használni a virtuális hálózathoz, állítsa be őket, mielőtt üzembe helyez egy API Management szolgáltatást a virtuális hálózaton. Ellenkező esetben minden alkalommal frissítenie kell az API Management szolgáltatást, amikor módosítja a DNS-kiszolgálókat a Hálózatkonfiguráció alkalmazása művelet futtatásával. A hálózati konfigurációt a Network/Hálózat állapota panelen is alkalmazhatja a Azure portálon.

Útválasztás

• A terheléselosztásos nyilvános IP-cím (VIP) a virtuális hálózaton kívüli API Management-végpontokhoz és erőforrásokhoz való hozzáférés biztosítására van fenntartva.
  • A nyilvános VIP-címet a Overview/Essentials panelen találja a Azure portálon.

További információkért és megfontolandó szempontokért lásd: az Azure API Management IP-címei.

VIP- és DIP-címek

A dinamikus IP-címeket a rendszer a szolgáltatás minden mögöttes virtuális gépéhez hozzárendeli, és a virtuális hálózaton és a társhálózatokon lévő végpontokhoz és erőforrásokhoz való hozzáférésre szolgál. Az API Management szolgáltatás nyilvános virtuális IP-címe (VIP) a nyilvánosan elérhető erőforrások elérésére szolgál.

Ha az IP-korlátozás a virtuális hálózaton vagy a társhálózaton belüli biztonságos erőforrásokat sorolja fel, javasoljuk, hogy adja meg a teljes alhálózati tartományt, ahol az API Management szolgáltatás üzembe van helyezve a szolgáltatáshoz való hozzáférés biztosításához vagy korlátozásához.

További információ az alhálózat javasolt méretéről.

Alagútforgalom irányítása a helyszíni tűzfalra ExpressRoute vagy hálózati virtuális eszköz használatával.

A kényszerített bújtatással átirányíthatja vagy "kényszerítheti" az összes internethez kötött forgalmat az alhálózatról a helyszínire ellenőrzés és naplózás céljából. Gyakran konfigurálja és definiálja a saját alapértelmezett útvonalát (0.0.0.0/0amely arra kényszeríti az API Management alhálózatból érkező összes forgalmat, hogy egy helyszíni tűzfalon vagy egy hálózati virtuális berendezésen keresztül haladjon át). Ez a forgalom megszakítja a kapcsolatot az API Managementtel, mivel a kimenő forgalom vagy blokkolva van a helyszínen, vagy a NAT egy felismerhetetlen címkészletre irányul, amely már nem működik különböző Azure végpontokkal. A problémát a következő módszerekkel oldhatja meg:

• Engedélyezze a szolgáltatásvégpontokat azon az alhálózaton, amelyen az API Management szolgáltatás üzembe van helyezve:

  • Azure SQL (csak az elsődleges régióban szükséges, ha az API Management szolgáltatás atiple régiókba van üzembe helyezve)
  • Azure Storage
  • Azure Event Hubs
  • Azure Key Vault

  Ha közvetlenül az API Management alhálózatról engedélyezi a végpontokat ezekhez a szolgáltatásokhoz, használhatja a Microsoft Azure gerinchálózatot, amely optimális útválasztást biztosít a szolgáltatásforgalom számára. Ha szolgáltatásvégpontokat használ kényszerített bújtatású API Managementtel, az előző Azure szolgáltatások forgalma nem kényszeríti az bújtatást. A többi API Management-szolgáltatás függőségi forgalma azonban továbbra is kényszerített bújtatásban marad. Győződjön meg arról, hogy a tűzfal vagy a virtuális berendezés nem blokkolja ezt a forgalmat, vagy előfordulhat, hogy az API Management szolgáltatás nem működik megfelelően.

  Megjegyzés

  Határozottan javasoljuk, hogy közvetlenül az API Management alhálózatról engedélyezze a szolgáltatásvégpontokat az olyan függő szolgáltatásoknak, mint a Azure SQL és Azure Storage, amelyek támogatják őket. Előfordulhat azonban, hogy egyes szervezeteknek követelményeket kell támasztanak ahhoz, hogy az API Management alhálózatból érkező összes forgalmat alagútba vonják. Ebben az esetben győződjön meg arról, hogy a tűzfalat vagy a virtuális berendezést úgy konfigurálja, hogy engedélyezze ezt a forgalmat. Engedélyeznie kell az egyes függő szolgáltatások teljes IP-címtartományát, és naprakészen kell tartania ezt a konfigurációt, amikor az Azure infrastruktúra megváltozik. Az API Management szolgáltatás késést vagy váratlan időtúllépést is tapasztalhat a hálózati forgalom kényszerített bújtatása miatt.

• Az internetről az API Management szolgáltatás felügyeleti végpontjára irányuló összes vezérlősík-forgalom az API Management által meghatározott, a ApiManagement szolgáltatáscímkéhez tartozó bejövő IP-címek speciális halmazán keresztül van irányítva. A forgalom kényszerített bújtatásakor a válaszok nem mutatnak vissza szimmetrikusan ezekre a bejövő forrás IP-címekre, és a felügyeleti végponttal való kapcsolat megszakad. A korlátozás leküzdése érdekében konfiguráljon egy felhasználó által definiált útvonalat (UDR) az ApiManagement szolgáltatás címkéhez, a következő ugrástípus "Internet" értékre állításával, hogy a forgalmat visszairányozza Azure.

  Megjegyzés

  Az API Management felügyeleti forgalom helyszíni tűzfal vagy hálózati virtuális berendezés megkerülésének engedélyezése nem minősül jelentős biztonsági kockázatnak. Az API Management-alhálózat recommended konfigurációja csak az ApiManagement szolgáltatáscímke által lefedett Azure IP-címek készletéből engedélyezi a bejövő felügyeleti forgalmat a 3443-es porton. Az ajánlott UDR-konfiguráció csak ennek a Azure forgalomnak a visszatérési útvonalára vonatkozik.

• (Külső virtuális hálózat mód) Az interneten keresztül az API Management-átjárót és a fejlesztői portált elérni próbáló ügyfelek adatsík-forgalmát alapértelmezés szerint elveti a kényszerített alagutazás által bevezetett aszimmetrikus útválasztás. Minden olyan ügyfél esetében, amely hozzáférést igényel, konfiguráljon egy explicit UDR-t az "Internet" következő ugrás típussal a tűzfal vagy a virtuális hálózati eszközök megkerülése érdekében.

• Egyéb alagútba helyezett API Management szolgáltatás függőségeinek esetén oldja fel a hosztnevet, és érje el a végpontot. Ezek közé tartoznak:

  • Metrikák és Állapotfigyelő
  • Azure portál diagnosztikái
  • SMTP-továbbító
  • Fejlesztői portál – CAPTCHA
  • AZURE KMS-kiszolgáló

További információ: Virtuális hálózat konfigurációs referencia.

Gyakori hálózati konfigurációs problémák

Ez a szakasz át lett helyezve. Lásd a virtuális hálózat konfigurációs referenciáját.

Hibaelhárítás

Az API Management szolgáltatás kezdeti telepítése sikertelen volt egy alhálózaton

• Helyezzen üzembe egy virtuális gépet ugyanabban az alhálózatban.
• Csatlakozzon a virtuális géphez, és ellenőrizze a kapcsolatot az Azure-előfizetésben található alábbi erőforrások egyikével:
  • Azure Storage blob
  • Azure SQL Database
  • Azure Storage táblázat
  • Azure Key Vault

Fontos

A kapcsolat ellenőrzése után távolítsa el az alhálózat összes erőforrását, mielőtt üzembe helyezné az API Managementet az alhálózaton.

Hálózati állapot ellenőrzése

• Miután telepítette az API Managementet az alhálózaton, a portál használatával ellenőrizze a példány függőségekkel, például Azure Storage való kapcsolatát.

• A portál oldalsáv menüjében, az Üzembe helyezés + infrastruktúra területen válassza a Hálózati>hálózat állapotát.

  

Szűrő	Leírás
Szükséges	Válassza ki az API Managementhez szükséges Azure szolgáltatások kapcsolati követelményeinek áttekintéséhez. A hiba azt jelzi, hogy a példány nem tud alapvető műveleteket végrehajtani az API-k kezeléséhez.
Választható	Válassza ki az opcionális szolgáltatások elérhetőségének áttekintéséhez. A hiba csak azt jelzi, hogy az adott funkció nem működik (például SMTP). A hiba az API Management-példány használatának és figyelésének, valamint a véglegesített SLA biztosításának romlásához vezethet.

A csatlakozási problémák elhárításához válassza a következőt:

• Metrikák – a hálózati kapcsolat állapotmetrikáinak áttekintése

• Diagnosztizálás – virtuális hálózati hitelesítő futtatása egy megadott időszakban

A csatlakozási problémák megoldásához tekintse át a hálózati konfigurációs beállításokat , és javítsa ki a szükséges hálózati beállításokat.

Növekményes frissítések

A hálózat módosításakor tekintse meg a NetworkStatus API-t annak ellenőrzéséhez, hogy az API Management szolgáltatás nem vesztette-e el a kritikus erőforrásokhoz való hozzáférést. A kapcsolat állapotát 15 percenként frissíteni kell.

Hálózati konfigurációs módosítás alkalmazása az API Management-példányra a portál használatával:

1. A példány bal oldali menüjében az Üzembe helyezés és az infrastruktúra területen válassza a Hálózat> lehetőséget.
2. Válassza a Hálózati konfiguráció alkalmazása lehetőséget.

Az API Management-példány előző alhálózathoz való hozzárendelése során felmerülő problémák

• Virtuális hálózat zárolása – Ha egy API Management-példányt visszaköltöztet az eredeti alhálózatra, előfordulhat, hogy a virtuális hálózat zárolása miatt nem lehetséges az azonnali újbóli hozzárendelés, amely akár egy órát is igénybe vehet.
• Erőforráscsoport zárolása – Egy másik megfontolandó forgatókönyv egy hatókör-zárolás jelenléte az erőforráscsoport szintjén vagy annál magasabb szinten, ami akadályozza az erőforrás-navigációs hivatkozás törlését. A probléma megoldásához távolítsa el a hatókör zárolását, és engedélyezze, hogy az API Management szolgáltatás körülbelül 4–6 órás késéssel lépjen ki az eredeti alhálózatról a zárolás eltávolítása előtt, és engedélyezze az üzembe helyezést a kívánt alhálózaton.

Virtuális hálózaton belüli Microsoft Graph kapcsolatának hibaelhárítása

A Microsoft Graph hálózati kapcsolatra van szükség olyan funkciókhoz, mint a felhasználói bejelentkezés a fejlesztői portálra az Microsoft Entra identitásszolgáltató használatával.

A virtuális hálózaton belüli Microsoft Graph kapcsolatának hibaelhárítása:

• Győződjön meg arról, hogy az NSG és más hálózati szabályok konfigurálva vannak az API Management-példányból a Microsoft Graph felé irányuló kimenő kapcsolatokhoz (a AzureActiveDirectory szolgáltatáscímke használatával).

• Győződjön meg arról, hogy a DNS-feloldás és a hálózati hozzáférés a graph.microsoft.com-hez a virtuális hálózaton belülről lehetséges. Például építsen ki egy új virtuális gépet a virtuális hálózaton belül, csatlakozzon hozzá, és próbáljon meg böngészőből vagy cURL, PowerShell vagy más eszközök használatával próbálkozni GET https://graph.microsoft.com/v1.0/$metadata .

Kapcsolódó tartalom

További információk:

• Virtuális hálózat konfigurációs referencia
• Virtuális hálózat csatlakoztatása háttérrendszerhez VPN Gateway
• Virtuális hálózat csatlakoztatása különböző üzemi modellekből
• API-k hibakeresése kérelmek nyomkövetésének használatával
• Virtual Network gyakori kérdések
• Szolgáltatáscímkék