Megosztás a következőn keresztül:

Privát csatlakozás az API Managementhez bejövő privát végpont használatával

  • Cikk

A KÖVETKEZŐKRE VONATKOZIK: Fejlesztő | Alapszintű | Standard | Prémium

Konfigurálhat egy bejövő privát végpontot az API Management-példányhoz, hogy a magánhálózat ügyfelei biztonságosan elérhessék a példányt az Azure Private Linken keresztül.

  • A privát végpont egy Olyan Azure-beli virtuális hálózat IP-címét használja, amelyben az üzemel.

  • A magánhálózat és az API Management ügyfelei közötti hálózati forgalom áthalad a virtuális hálózaton és a Microsoft gerinchálózatán lévő privát kapcsolaton, így kiküszöböli a nyilvános internet jelentette kitettséget.

  • Konfiguráljon egyéni DNS-beállításokat vagy egy privát Azure DNS-zónát az API Management gazdaeszköznevének a végpont privát IP-címére való leképezéséhez.

Az API Managementhez privát végponttal létesített biztonságos bejövő kapcsolatot bemutató ábra.

A következőket teheti a privát végpontokkal és a Private Linkkel:

  • Több Private Link-kapcsolat létrehozása API Management-példányhoz.

  • Bejövő forgalom küldése biztonságos kapcsolaton keresztül a privát végponttal.

  • A privát végpontból származó forgalom megkülönböztetésére szolgáló szabályzat használata.

  • A bejövő forgalom korlátozása csak a privát végpontokra, meggátolva az adatkiszivárgást.

Fontos

  • Privát végpontkapcsolatot csak az API Management-példány felé irányuló bejövő forgalomhoz konfigurálhat. A kimenő forgalom jelenleg nem támogatott.

    A külső vagy belső virtuális hálózati modell használatával kimenő kapcsolatot létesíthet privát végpontokkal az API Management-példányból.

  • A bejövő privát végpontok engedélyezéséhez az API Management-példány nem helyezhető be külső vagy belső virtuális hálózatba.

Korlátozások

  • Csak az API Management-példány átjáróvégpontja támogatja a bejövő Private Link-kapcsolatokat.
  • Minden API Management-példány legfeljebb 100 Private Link-kapcsolatot támogat.
  • A kapcsolatok nem támogatottak a saját üzemeltetésű átjárón vagy a munkaterületi átjárón.

Előfeltételek

  • Egy meglévő API Management-példány. Hozzon létre egyet, ha még nem tette meg.
    • Az API Management-példányt a stv2 számítási platformon kell üzemeltetni.
    • Ne helyezze üzembe (injektálja) a példányt külső vagy belső virtuális hálózatba.
  • A privát végpont üzemeltetésére szolgáló virtuális hálózat és alhálózat. Az alhálózat más Azure-erőforrásokat is tartalmazhat.
  • (Ajánlott) A virtuális hálózat ugyanazon vagy másik alhálózatán lévő virtuális gép a privát végpont teszteléséhez.

Jóváhagyási módszer privát végponthoz

A hálózati rendszergazda általában létrehoz egy privát végpontot. Az Azure szerepköralapú hozzáférés-vezérlési (RBAC) engedélyétől függően a létrehozott privát végpontok vagy automatikusan jóváhagyják a forgalmat az API Management-példánynak, vagy az erőforrás tulajdonosának manuálisan kell jóváhagynia a kapcsolatot.

Jóváhagyási módszer Minimális RBAC-engedélyek
Automatikus Microsoft.Network/virtualNetworks/**
Microsoft.Network/virtualNetworks/subnets/**
Microsoft.Network/privateEndpoints/**
Microsoft.Network/networkinterfaces/**
Microsoft.Network/locations/availablePrivateEndpointTypes/read
Microsoft.ApiManagement/service/**
Microsoft.ApiManagement/service/privateEndpointConnections/**
Manuális Microsoft.Network/virtualNetworks/**
Microsoft.Network/virtualNetworks/subnets/**
Microsoft.Network/privateEndpoints/**
Microsoft.Network/networkinterfaces/**
Microsoft.Network/locations/availablePrivateEndpointTypes/read

A privát végpont konfigurálásához szükséges lépések

  1. Elérhető privát végponttípusok lekérése az előfizetésben
  2. Hálózati házirendek letiltása az alhálózatban
  3. Privát végpont létrehozása – portál
  4. A példány privát végpontkapcsolatainak listázása
  5. Függőben lévő privát végpontkapcsolatok jóváhagyása
  6. Opcionálisan letilthatja a nyilvános hálózati hozzáférést

Elérhető privát végponttípusok lekérése az előfizetésben

Ellenőrizze, hogy az API Management privát végponttípus elérhető-e az előfizetésben és a helyen. A portálon keresse meg ezeket az információkat a Private Link Centerben. Válassza a Támogatott erőforrások lehetőséget.

Ezeket az információkat az elérhető privát végponttípusok – REST API listázása használatával is megtalálhatja.

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01

A kimenetnek tartalmaznia kell a Microsoft.ApiManagement.service végpont típusát:

[...]

      "name": "Microsoft.ApiManagement.service",
      "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Network/AvailablePrivateEndpointTypes/Microsoft.ApiManagement.service",
      "type": "Microsoft.Network/AvailablePrivateEndpointTypes",
      "resourceName": "Microsoft.ApiManagement/service",
      "displayName": "Microsoft.ApiManagement/service",
      "apiVersion": "2021-04-01-preview"
    }
[...]

Hálózati házirendek letiltása az alhálózatban

A hálózati házirendeket, például a hálózati biztonsági csoportokat le kell tiltani a privát végponthoz használt alhálózaton.

Ha olyan eszközöket használ, mint az Azure PowerShell, az Azure CLI vagy a REST API a privát végpontok konfigurálásához, frissítse manuálisan az alhálózat konfigurációját. Példákat a privát végpontok hálózati házirendjeinek kezelése című témakörben talál.

Amikor az Azure Portal használatával hoz létre privát végpontot, ahogyan a következő szakaszban látható, a hálózati szabályzatok automatikusan le lesznek tiltva a létrehozási folyamat részeként

Privát végpont létrehozása – portál

  1. Lépjen az API Management szolgáltatáshoz az Azure Portalon.

  2. A bal oldali menü Üzembe helyezés + infrastruktúra területén válassza a Hálózat lehetőséget.

  3. Válassza a bejövő privát végpontkapcsolatok>+ Végpont hozzáadása lehetőséget.

    Képernyőkép arról, hogyan vehet fel privát végpontot az Azure Portal használatával.

  4. A Privát végpont létrehozása alapismeretek lapján adja meg vagy válassza ki a következő információkat:

    Beállítás Érték
    Projekt részletei
    Előfizetés Válassza ki előfizetését.
    Erőforráscsoport Válasszon ki egy meglévő erőforráscsoportot, vagy hozzon létre egy újat. Ennek ugyanabban a régióban kell lennie, mint a virtuális hálózatnak.
    Példány részletei
    Név Adja meg a végpont nevét, például a myPrivateEndpointot.
    Hálózati adapter neve Adja meg a hálózati adapter nevét, például a myInterface nevet
    Régió Válassza ki a privát végpont helyét. Ennek ugyanabban a régióban kell lennie, mint a virtuális hálózatnak. Eltérhet attól a régiótól, ahol az API Management-példányt üzemelteti.

  5. Válassza a Következő: Erőforrás gombot a képernyő alján. Az API Management-példányra vonatkozó alábbi információk már fel van töltve:

    • Előfizetés
    • Erőforrás típusa
    • Erőforrás neve

  6. Az Erőforrás területen a Cél alerőforrás területen válassza az Átjáró lehetőséget.

    Képernyőkép a privát végpont Azure Portalon való létrehozásáról.

  7. Válassza a Következő: Virtuális hálózat gombot a képernyő alján.

  8. A Hálózatkezelés területen adja meg vagy válassza ki az alábbi adatokat:

    Beállítás Érték
    Virtuális hálózat Válassza ki a virtuális hálózatot.
    Alhálózat Válassza ki az alhálózatot.
    Privát IP-konfiguráció A legtöbb esetben válassza a Dinamikusan lefoglalható IP-cím lehetőséget.
    Alkalmazásbiztonsági csoport Igény szerint válasszon ki egy alkalmazásbiztonsági csoportot.

  9. Válassza a Következő: DNS gombot a képernyő alján.

  10. Az integráció saját DNS adja meg vagy válassza ki az alábbi adatokat:

    Beállítás Érték
    Integrálás saját DNS-zónával Hagyja meg az Igen alapértelmezett értékét.
    Előfizetés Válassza ki előfizetését.
    Erőforráscsoport Válassza ki az erőforráscsoportot.
    Privát DNS-zónák Megjelenik az alapértelmezett érték: (új) privatelink.azure-api.net.

  11. Válassza a Következő: Tabulátorok gombot a képernyő alján. Ha szeretné, adjon meg címkéket az Azure-erőforrások rendszerezéséhez.

    1. Válassza a Következő: Véleményezés + létrehozás gombot a képernyő alján.

  12. Válassza a Létrehozás lehetőséget.

A példány privát végpontkapcsolatainak listázása

A privát végpont létrehozása és a szolgáltatás frissítése után megjelenik az API Management-példány bejövő privát végpontkapcsolatok lapján a portálon.

Jegyezze fel a végpont kapcsolati állapotát:

  • A jóváhagyás azt jelzi, hogy az API Management-erőforrás automatikusan jóváhagyta a kapcsolatot.
  • A Függőben állapot azt jelzi, hogy a kapcsolatot manuálisan kell jóváhagynia az erőforrás tulajdonosának.

Függőben lévő privát végpontkapcsolatok jóváhagyása

Ha egy privát végpontkapcsolat függőben lévő állapotban van, az API Management-példány tulajdonosának manuálisan jóvá kell hagynia azt a használat előtt.

Ha rendelkezik megfelelő engedélyekkel, hagyjon jóvá egy privát végpontkapcsolatot az API Management-példány privát végpontkapcsolatok lapján a portálon. A kapcsolat környezetének (...) menüjében válassza a Jóváhagyás lehetőséget.

A függőben lévő privát végpontkapcsolatok jóváhagyásához használhatja az API Management private Endpoint Connection - Create or Update REST API-t is.

Opcionálisan letilthatja a nyilvános hálózati hozzáférést

Ha az API Management-példány bejövő forgalmát csak privát végpontokra szeretné korlátozni, tiltsa le a nyilvános hálózati hozzáférést.

Feljegyzés

A nyilvános hálózati hozzáférés csak magánvégponttal konfigurált API Management-példányokban tiltható le, más hálózati konfigurációkkal, például VNet-injektálással nem.

Ha le szeretné tiltani a nyilvános hálózati hozzáférést az Azure CLI használatával, futtassa az alábbi az apim update parancsot az API Management-példány és az erőforráscsoport nevének helyettesítésével:

az apim update --name my-apim-service --resource-group my-resource-group --public-network-access false

Az API Management Service – REST API frissítése a nyilvános hálózati hozzáférés letiltásához is használható a tulajdonság DisabledbeállításávalpublicNetworkAccess.

Privát végpont kapcsolatának ellenőrzése

A privát végpont létrehozása után ellenőrizze a DNS-beállításait a portálon:

  1. Lépjen az API Management szolgáltatáshoz az Azure Portalon.

  2. A bal oldali menü Üzembe helyezés + infrastruktúra területén válassza a Hálózati>bejövő privát végpont kapcsolatok lehetőséget, és válassza ki a létrehozott privát végpontot.

  3. A bal oldali navigációs sáv Beállítások csoportjában válassza a DNS-konfigurációt.

  4. Tekintse át a privát végpont DNS-rekordjait és IP-címeit. Az IP-cím azon alhálózat címtartományában lévő privát cím, ahol a privát végpont konfigurálva van.

Tesztelés virtuális hálózaton

Csatlakozzon a virtuális hálózaton beállított egyik virtuális géphez.

Futtasson egy segédprogramot, például nslookup dig keresse meg az alapértelmezett átjáróvégpont IP-címét privát kapcsolaton keresztül. Példa:

nslookup my-apim-service.azure-api.net

A kimenetnek tartalmaznia kell a privát végponttal társított privát IP-címet.

A virtuális hálózaton az alapértelmezett átjáróvégpontra indított API-hívásoknak sikeresnek kell lennie.

Tesztelés az internetről

A privát végpont elérési útján kívülről próbálja meg meghívni az API Management-példány alapértelmezett átjáróvégpontját. Ha a nyilvános hozzáférés le van tiltva, a kimenet az állapotkóddal 403 kapcsolatos hibát és a következőhöz hasonló üzenetet tartalmaz:

Request originated from client public IP address xxx.xxx.xxx.xxx, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
       
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network.

Kapcsolódó tartalom