Az Azure API Management IP-címei
A KÖVETKEZŐRE VONATKOZIK: Minden API Management-szint
Ebben a cikkben az Azure API Management szolgáltatás IP-címeinek lekérését ismertetjük. Az IP-címek lehetnek nyilvánosak vagy privátak, ha a szolgáltatás virtuális hálózaton található. IP-címek használatával tűzfalszabályokat hozhat létre, szűrheti a bejövő forgalmat a háttérszolgáltatások felé, vagy korlátozhatja a kimenő forgalmat.
Nyilvános IP-címek
A fejlesztői, alapszintű, standard vagy prémium szintű API Management szolgáltatáspéldányok nyilvános IP-címekkel rendelkeznek, amelyek csak az adott szolgáltatáspéldányra vannak kiosztva (más erőforrásokkal nem vannak megosztva).
Az IP-címeket lekérheti az erőforrás áttekintési irányítópultjáról az Azure Portalon.
A következő API-hívással programozott módon is lekérheti őket:
GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>
A válasz részét képezik a nyilvános IP-címek:
{
...
"properties": {
...
"publicIPAddresses": [
"13.77.143.53"
],
...
}
...
}
Többrégiós üzemelő példányokban minden regionális üzembe helyezés egy nyilvános IP-címmel rendelkezik.
Virtuális hálózaton található API Management szolgáltatás IP-címei
Ha az API Management szolgáltatás egy virtuális hálózaton belül található, akkor két IP-címtípussal fog rendelkezni: nyilvános és privát.
A nyilvános IP-címeket a port
3443
belső kommunikációjához használják – a konfiguráció kezeléséhez (például az Azure Resource Manageren keresztül). A külső virtuális hálózat konfigurációjában futtatókörnyezeti API-forgalomhoz is használhatók. A belső virtuális hálózat konfigurációjában a nyilvános IP-címek csak az Azure belső felügyeleti műveleteihez használatosak, és nem teszik elérhetővé a példányt az interneten.A csak belső virtuális hálózat módban elérhető privát virtuális IP-címek a hálózaton belülről az API Management-végpontokhoz – átjárókhoz, a fejlesztői portálhoz és a közvetlen API-hozzáféréshez szükséges felügyeleti síkhoz – csatlakoznak. Ezeket használhatja a hálózaton belüli DNS-rekordok beállításához.
Mindkét típus címe megjelenik az Azure Portalon és az API-hívás válaszában:
GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>
{
...
"properties": {
...
"publicIPAddresses": [
"13.85.20.170"
],
"privateIPAddresses": [
"192.168.1.5"
],
...
},
...
}
Fontos
A belső terheléselosztó és az API Management egységek privát IP-címei dinamikusan vannak hozzárendelve. Ezért az API Management-példány magánhálózati IP-címét nem lehet előre látni az üzembe helyezés előtt. Emellett egy másik alhálózatra való váltás, majd a visszatérés a privát IP-cím megváltozását okozhatja.
Kimenő forgalom IP-címei
Az API Management nyilvános IP-címet használ a virtuális hálózaton vagy a társhálózaton kívüli kapcsolatokhoz, és magánhálózati IP-címet használ a virtuális hálózatban vagy egy társhálózatban lévő kapcsolathoz.
Ha az API Management külső vagy belső virtuális hálózaton van üzembe helyezve, és az API Management privát (intranetes) háttérrendszerekhez csatlakozik, az alhálózat belső IP-címei (dinamikus IP-címei vagy DIP-címei) a futtatókörnyezeti API-forgalomhoz lesznek használva. Amikor az API Management egy privát háttérrendszerbe küld egy kérést, a kérés forrásaként egy privát IP-cím jelenik meg.
Ezért ha az IP-korlátozás a virtuális hálózaton vagy egy társhálózaton belüli biztonságos erőforrásokat sorolja fel, javasoljuk, hogy a teljes API Management alhálózati tartományt ip-szabállyal használja – és (belső módban) ne csak az API Management-erőforráshoz társított privát IP-címet.
Amikor az API Management egy nyilvános (internetes) háttérrendszerbe küld egy kérelmet, a nyilvános IP-cím mindig látható lesz a kérés forrásaként.
A Használat, az Alapszintű v2 és a Standard v2 szintű API Management szolgáltatás IP-címei
Ha az API Management-példány megosztott infrastruktúrán futó szolgáltatási szinten jön létre, nem rendelkezik dedikált IP-címmel. A következő szolgáltatási szintek példányai jelenleg megosztott infrastruktúrán futnak, determinisztikus IP-cím nélkül: Használat, Alapszintű v2, Standard v2.
Ha hozzá kell adnia a Használat, alapszintű v2 vagy Standard v2 szintű példány által használt kimenő IP-címeket egy engedélyezési listához, hozzáadhatja a példány adatközpontját (Azure-régióját) egy engedélyezési listához. Letölthet egy JSON-fájlt, amely felsorolja az összes Azure-adatközpont IP-címét. Ezután keresse meg a példány által futtatott régióra vonatkozó JSON-töredéket.
A nyugat-európai engedélyezési lista például a következő JSON-töredékhez hasonlít:
{
"name": "AzureCloud.westeurope",
"id": "AzureCloud.westeurope",
"properties": {
"changeNumber": 9,
"region": "westeurope",
"platform": "Azure",
"systemService": "",
"addressPrefixes": [
"13.69.0.0/17",
"13.73.128.0/18",
... Some IP addresses not shown here
"213.199.180.192/27",
"213.199.183.0/24"
]
}
}
A fájl frissítésével és az IP-címek változásával kapcsolatos információkért bontsa ki a Letöltőközpont lap Részletek szakaszát.
Az IP-címek módosítása
Az API Management fejlesztői, alapszintű, standard és prémium szintjeiben a nyilvános IP-címek vagy -címek (VIP) és a privát VIP-címek (ha belső virtuális hálózat módban vannak konfigurálva) statikusak a szolgáltatás teljes élettartama során, az alábbi kivételekkel:
Az API Management szolgáltatás törlődik, majd újra létrejön.
A szolgáltatás-előfizetés le van tiltva vagy figyelmeztetve van (például nem fizetés esetén), majd visszaállítja. További információ az előfizetési állapotokról
(Fejlesztői és prémium szintű) Az Azure Virtual Network hozzá lesz adva a szolgáltatáshoz, vagy el lesz távolítva a szolgáltatásból.
(Fejlesztői és prémium szintű) Az API Management szolgáltatás a külső és a belső virtuális hálózat üzembe helyezési módja között vált.
(Fejlesztői és prémium szintű) Az API Management szolgáltatást egy másik alhálózatra helyezi át, áttelepíti a
stv1
stv2
számítási platformra, vagy egy másik nyilvános IP-címerőforrással konfigurálja.(Prémium szint) A rendelkezésre állási zónák engedélyezve, hozzáadva vagy eltávolítva vannak.
(Prémium szint) Többrégiós üzemelő példányok esetén a regionális IP-cím megváltozik, ha egy régiót kiürítenek, majd visszaállítanak.
Fontos
Ha belsőről külső virtuális hálózatra vált, frissít egy API Management-példányt egy virtuális hálózatban a platformról a
stv1
platformrastv2
való migrálással vagy a hálózat alhálózatainak módosításával, konfigurálhat egy másik nyilvános IP-címet. Ha nem ad meg egyet, a rendszer automatikusan konfigurál egy Azure által felügyelt nyilvános IP-címet.