Saját üzemeltetésű átjáró migrálási útmutatója
A KÖVETKEZŐKRE VONATKOZIK: Fejlesztő | Prémium
Ez a cikk bemutatja, hogyan migrálhatja a meglévő, saját üzemeltetésű átjárótelepítéseket a saját üzemeltetésű átjáró 2-be.
Fontos
Az Azure API Management saját üzemeltetésű átjáró 0-s és 1-es verziójú tárolórendszerképeinek támogatása 2023. október 1-jén megszűnik, a hozzá tartozó Configuration API 1-es verziójával együtt. További információ az elavulással kapcsolatos dokumentációnkban
Újdonságok
Mivel arra törekszünk, hogy megkönnyítsük az ügyfelek számára a saját üzemeltetésű átjáró üzembe helyezését, bevezettünk egy új konfigurációs API-t , amely eltávolítja az Azure Storage-függőséget, hacsak nem használ API-ellenőrt vagy kvótákat.
Az új konfigurációs API lehetővé teszi az ügyfelek számára a saját üzemeltetésű átjáró egyszerűbb bevezetését, üzembe helyezését és üzemeltetését a meglévő infrastruktúrájukban.
Új tárolórendszerkép-címkéket vezettünk be, amelyek segítségével az ügyfelek kiválaszthatják az átjáró kipróbálásának és éles környezetben történő üzembe helyezésének legjobb módját.
Annak érdekében, hogy az ügyfelek éles környezetben futtatják az átjárót, kiterjesztettük az éles útmutatónkat , amely ismerteti az átjáró automatikus skálázását és üzembe helyezését a Kubernetes-fürt magas rendelkezésre állása érdekében.
További információ az átjáró csatlakoztatásáról, az új infrastruktúra-követelményekről és arról, hogy mi történik, ha a kapcsolat megszakad ebben a cikkben.
Előfeltételek
Ahhoz, hogy migrálhasson a saját üzemeltetésű 2-s átjáróra, meg kell győződnie arról, hogy az infrastruktúra megfelel a követelményeknek.
Migrálás saját üzemeltetésű átjáró v2-re
A saját üzemeltetésű átjáró v2-ről való migráláshoz néhány apró lépést kell elvégezni:
- Az új tárolórendszerkép használata
- Az új konfigurációs API használata
- Minimális biztonsági követelményeknek való megfelelés
Tárolólemezkép
Módosítsa a rendszerképcímkét az üzembehelyezési szkriptekben a használathoz 2.0.0 vagy a fentiekhez.
Másik lehetőségként válasszon másik tárolórendszerkép-címkét.
Az elérhető címkék teljes listáját itt találja, vagy a Docker Hubon.
Az új konfigurációs API használata
A saját üzemeltetésű átjáró v2-be való migráláshoz az ügyfeleknek az új Configuration API v2-t kell használniuk.
Az Azure API Management jelenleg a következő konfigurációs API-kat biztosítja a saját üzemeltetésű átjáróhoz:
| Konfigurációs szolgáltatás | URL-cím | Támogatott | Követelmények |
|---|---|---|---|
| v2 | {name}.configuration.azure-api.net |
Igen | Láncszem |
| v1 | {name}.management.azure-api.net/subscriptions/{sub-id}/resourceGroups/{rg-name}/providers/Microsoft.ApiManagement/service/{name}?api-version=2021-01-01-preview |
Nem | Láncszem |
Az ügyfélnek az új Configuration API 2-es verziót kell használnia az üzembehelyezési szkriptek módosításával az új URL-cím használatára, és meg kell felelnie az infrastruktúra követelményeinek.
Fontos
- A DNS-állomásnévnek feloldhatónak kell lennie az IP-címekre, és a megfelelő IP-címeknek elérhetőnek kell lenniük. Ez további konfigurációt igényelhet, ha privát DNS-t, belső virtuális hálózatot vagy egyéb infrastrukturális követelményeket használ.
Biztonság
Elérhető TLS-titkosítási csomagok
Indításkor a saját üzemeltetésű átjáró 2.0-s verziójában csak a v1.x által használt titkosítási csomagok egy részhalmaza volt használatban. A 2.0.4-s verziótól visszahoztuk a v1.x által támogatott titkosítási csomagokat.
Ebben a cikkben többet is megtudhat a használt titkosítási csomagokról, vagy a 2.1.1-s verzióval szabályozhatja a használni kívánt titkosítási csomagokat.
Minimális biztonsági követelményeknek való megfelelés
Az indítás során a saját üzemeltetésű átjáró előkészíti a használni kívánt hitelesítésszolgáltatói tanúsítványokat. Ehhez az átjárótárolónak legalább 1001 felhasználói azonosítóval kell futnia, és nem használhat írásvédett fájlrendszert.
A Kubernetes-tároló biztonsági környezetének konfigurálásakor legalább az alábbiakra van szükség:
securityContext:
runAsNonRoot: true
runAsUser: 1001
readOnlyRootFilesystem: false
A saját üzemeltetésű átjáró azonban nem gyökérként futtatható a Kubernetesben, 2.0.3 így az ügyfelek biztonságosabban futtathatják az átjárót.
Íme egy példa a saját üzemeltetésű átjáró biztonsági környezetére:
securityContext:
allowPrivilegeEscalation: false
runAsNonRoot: true
runAsUser: 1001 # This is a built-in user, but you can use any user ie 1000 as well
runAsGroup: 2000 # This is just an example
privileged: false
capabilities:
drop:
- all
Figyelmeztetés
A saját üzemeltetésű átjáró írásvédett fájlrendszerrel (readOnlyRootFilesystem: true) való futtatása nem támogatott.
Hatás felmérése az Azure Advisornal
A migrálás megkönnyítése érdekében új Azure Advisor-javaslatokat vezettünk be:
- Saját üzemeltetésű átjáró 2-es verziójára vonatkozó javaslat használata – Azonosítja azOkat az Azure API Management-példányokat, ahol azonosították a v0.x vagy v1.x önkiszolgáló átjáró használatát.
- A Configuration API v2 használata saját üzemeltetésű átjárókra vonatkozó javaslathoz – Azonosítja azOkat az Azure API Management-példányokat, ahol a Configuration API v1 használata azonosítható a saját üzemeltetésű átjáróhoz.
Javasoljuk az ügyfeleknek, hogy az Azure Advisor "Minden javaslat" áttekintését használják annak megállapításához, hogy szükség van-e migrálásra. A szűrési beállításokkal ellenőrizheti, hogy a fenti javaslatok egyike szerepel-e.
Azure API Management-példányok azonosítása az Azure Resource Graph használatával
Ez az Azure Resource Graph-lekérdezés az érintett Azure API Management-példányok listáját tartalmazza:
AdvisorResources
| where type == 'microsoft.advisor/recommendations'
| where properties.impactedField == 'Microsoft.ApiManagement/service' and properties.category == 'OperationalExcellence'
| extend
recommendationTitle = properties.shortDescription.solution
| where recommendationTitle == 'Use self-hosted gateway v2' or recommendationTitle == 'Use Configuration API v2 for self-hosted gateways'
| extend
instanceName = properties.impactedValue,
recommendationImpact = properties.impact,
recommendationMetadata = properties.extendedProperties,
lastUpdated = properties.lastUpdated
| project tenantId, subscriptionId, resourceGroup, instanceName, recommendationTitle, recommendationImpact, recommendationMetadata, lastUpdated
az graph query -q "AdvisorResources | where type == 'microsoft.advisor/recommendations' | where properties.impactedField == 'Microsoft.ApiManagement/service' and properties.category == 'OperationalExcellence' | extend recommendationTitle = properties.shortDescription.solution | where recommendationTitle == 'Use self-hosted gateway v2' or recommendationTitle == 'Use Configuration API v2 for self-hosted gateways' | extend instanceName = properties.impactedValue, recommendationImpact = properties.impact, recommendationMetadata = properties.extendedProperties, lastUpdated = properties.lastUpdated | project tenantId, subscriptionId, resourceGroup, instanceName, recommendationTitle, recommendationImpact, lastUpdated"
Ismert korlátozások
Íme egy lista a saját üzemeltetésű átjáró 2-s verziójára vonatkozó ismert korlátozásokról:
- A Configuration API v2 nem támogatja az egyéni tartományneveket
Következő lépések
- További információ az API Managementről egy hibrid és többfelhős világban
- További információ a saját üzemeltetésű átjáró éles környezetben való futtatásáról a Kubernetesen
- Saját üzemeltetésű átjáró üzembe helyezése a Dockerben
- Saját üzemeltetésű átjáró üzembe helyezése a Kubernetesben
- Saját üzemeltetésű átjáró üzembe helyezése az Azure Arc-kompatibilis Kubernetes-fürtön