Megosztás a következőn keresztül:

Referencia: Saját üzemeltetésű átjárótároló konfigurációs beállításai

  • Cikk

A KÖVETKEZŐKRE VONATKOZIK: Fejlesztő | Prémium

Ez a cikk az API Management saját üzemeltetésű átjárótárolójának konfigurálásához használt kötelező és opcionális beállításokra nyújt hivatkozást.

A (Kubernetes)-hez tartozó éles útmutatóval kapcsolatos további információkért javasoljuk, hogy olvassa el ezt a cikket.

Fontos

Ez a hivatkozás csak a saját üzemeltetésű átjáró v2-ére vonatkozik. A beállítások rendelkezésre állásának minimális verziói meg vannak adva.

Configuration API-integráció

A Configuration API-t a saját üzemeltetésű átjáró használja az Azure API Managementhez való csatlakozáshoz a legújabb konfiguráció lekéréséhez és metrikák küldéséhez, ha engedélyezve van.

Az alábbiakban áttekintheti az összes konfigurációs lehetőséget:

Név Leírás Kötelező Alapértelmezett Elérhetőség
gateway.name A saját üzemeltetésű átjáróerőforrás azonosítója. Igen, a Microsoft Entra-hitelesítés használatakor n/a 2.3+-os verzió
config.service.endpoint Konfigurációs végpont az Azure API Managementben a saját üzemeltetésű átjáróhoz. Keresse meg ezt az értéket az Azure Portalon az Átjárók>üzembe helyezése területen. Igen n/a v2.0+
config.service.auth Meghatározza, hogy a saját üzemeltetésű átjárónak hogyan kell hitelesítenie magát a Configuration API-ban. Jelenleg az átjáró jogkivonata és a Microsoft Entra-hitelesítés támogatott. Igen n/a v2.0+
config.service.auth.azureAd.tenantId A Microsoft Entra-bérlő azonosítója. Igen, a Microsoft Entra-hitelesítés használatakor n/a 2.3+-os verzió
config.service.auth.azureAd.clientId A Microsoft Entra alkalmazás ügyfél-azonosítója a hitelesítéshez (más néven alkalmazásazonosító). Igen, a Microsoft Entra-hitelesítés használatakor n/a 2.3+-os verzió
config.service.auth.azureAd.clientSecret A Microsoft Entra alkalmazás titkos kódja a hitelesítéshez. Igen, a Microsoft Entra-hitelesítés használata esetén (kivéve, ha a tanúsítvány meg van adva) n/a 2.3+-os verzió
config.service.auth.azureAd.certificatePath A Tanúsítvány elérési útja a Microsoft Entra alkalmazáshoz való hitelesítéshez. Igen, a Microsoft Entra-hitelesítés használata esetén (kivéve, ha titkos kulcs van megadva) n/a 2.3+-os verzió
config.service.auth.azureAd.authority A Microsoft Entra-azonosító szolgáltatói URL-címe. Nem https://login.microsoftonline.com 2.3+-os verzió
config.service.auth.tokenAudience A Microsoft Entra-hitelesítéshez használt jogkivonat célközönsége Nem https://azure-api.net/configuration 2.3+-os verzió
config.service.endpoint.disableCertificateValidation Meghatározza, hogy a saját üzemeltetésű átjáró érvényesítse-e a Configuration API kiszolgálóoldali tanúsítványát. Ajánlott tanúsítványérvényesítést használni, csak tesztelési célokra tiltsa le, és körültekintően, mivel biztonsági kockázatot jelenthet. Nem false v2.0+
config.service.integration.timeout Meghatározza a Configuration API-val való interakció időtúllépését. Nem 00:01:40 v2.3.5+

A saját üzemeltetésű átjáró néhány hitelesítési lehetőséget támogat, amelyek integrálhatók a Configuration API-val, amely a használatával config.service.authhatározható meg.

Ez az útmutató segítséget nyújt a hitelesítés meghatározásához szükséges információk megadásához:

  • Az átjáró jogkivonat-alapú hitelesítéséhez adja meg a saját üzemeltetésű átjáró hozzáférési jogkivonatát (hitelesítési kulcsát) az Azure Portalon az Átjárók>üzembe helyezése területen.
  • A Microsoft Entra ID-alapú hitelesítéshez adja meg és adja meg azureAdApp a további config.service.auth.azureAd hitelesítési beállításokat.

Példányok közötti felderítés és szinkronizálás

Név Leírás Kötelező Alapértelmezett Elérhetőség
neighborhood.host A példányok közötti szinkronizáláshoz használt DNS-név egy saját üzemeltetésű átjáró üzembe helyezésének összes példányának feloldásához. A Kubernetesben ez egy fej nélküli szolgáltatással érhető el. Nem N.A. v2.0+
neighborhood.heartbeat.port A saját üzemeltetésű átjáró üzembe helyezésének példányaihoz használt UDP-port, amellyel szívveréseket küldhet más példányoknak. Nem 4291 v2.0+
policy.rate-limit.sync.port A saját üzemeltetésű átjárópéldányokhoz használt UDP-port több példány közötti sebességkorlátozás szinkronizálásához. Nem 4290 v2.0+

HTTP

Név Leírás Kötelező Alapértelmezett Elérhetőség
net.server.http.forwarded.proto.enabled Képes a fejlécek tiszteletére X-Forwarded-Proto az úgynevezett API-útvonal feloldására szolgáló séma azonosításához (http/https csak). Nem false 2.5+-os verzió

Kubernetes-integráció

Kubernetes Bejövő forgalom

Fontos

A Kubernetes Bejövő forgalom támogatása jelenleg kísérleti jellegű, és nem terjed ki az Azure-támogatásra. További információ a GitHubról.

Név Leírás Kötelező Alapértelmezett Elérhetőség
k8s.ingress.enabled Engedélyezze a Kubernetes bejövő integrációját. Nem false 1.2+-os verzió
k8s.ingress.namespace Kubernetes-névtér a Kubernetes bejövő erőforrásainak megtekintéséhez. Nem default 1.2+-os verzió
k8s.ingress.dns.utótag DNS-utótag, amely dns-állomásnevet hoz létre a szolgáltatások számára a kérések küldéséhez. Nem svc.cluster.local 2.4+-os verzió
k8s.ingress.config.path A Kubernetes konfigurációjának elérési útja (Kubeconfig). Nem N.A. 2.4+-os verzió

Mérőszámok

Név Leírás Kötelező Alapértelmezett Elérhetőség
telemetry.metrics.local Helyi metrikák gyűjtésének engedélyezése a StatsD-ben. Az érték a következő lehetőségek egyike: none, statsd. Nem none v2.0+
telemetry.metrics.local.statsd.endpoint StatsD-végpont. Igen, ha telemetry.metrics.local be van állítva; statsdegyébként nem. n/a v2.0+
telemetry.metrics.local.statsd.sampling StatsD-metrikák mintavételezési sebessége. Az értéknek 0 és 1 közöttinek kell lennie, például 0,5-nek. Nem N.A. v2.0+
telemetry.metrics.local.statsd.tag-format StatsD exportőr címkézési formátuma. Az érték a következő lehetőségek egyike: ibrato, dogStatsD, influxDB. Nem N.A. v2.0+
telemetry.metrics.cloud Annak jelzése, hogy engedélyezi-e a metrikák Azure Monitorba történő kibocsátását. Nem true v2.0+
observability.opentelemetry.enabled Annak jelzése, hogy engedélyezi-e a metrikáknak a Kubernetes OpenTelemetry-gyűjtőjéhez való kibocsátását. Nem false v2.0+
observability.opentelemetry.collector.uri Az OpenTelemetry-gyűjtő URI-ja, amelybe metrikákat küldhet. Igen, ha observability.opentelemetry.enabled be van állítva; trueegyébként nem. n/a v2.0+
observability.opentelemetry.system-metrics.enabled Rendszermetrikák küldésének engedélyezése az OpenTelemetry-gyűjtőnek, például a CPU-nak, a memóriának, a szemétgyűjtésnek stb. Nem false 2.3+-os verzió
observability.opentelemetry.histogram.buckets Hisztogram gyűjtők, amelyekben az OpenTelemetry-metrikákat jelenteni kell. Formátum: "x,y,z,...". Nem "5,10,25,50,100,250,500,1000,2500,5000,10000" v2.0+

Naplók

Név Leírás Kötelező Alapértelmezett Elérhetőség
telemetry.logs.std Engedélyezze a naplózást egy szabványos streambe. Az érték a következő lehetőségek egyike: none, text, json. Nem text v2.0+
telemetry.logs.std.level A standard streambe küldött naplók naplószintjének meghatározása. Az érték a következő lehetőségek egyike: all, debug, info, warnerror vagy fatal. Nem info v2.0+
telemetry.logs.std.color Annak jelzése, hogy színes naplókat kell-e használni a standard streamben. Nem true v2.0+
telemetry.logs.local Engedélyezze a helyi naplózást. Az érték a következő lehetőségek egyike: none, auto, localsyslog, rfc5424, , journaljson Nem auto v2.0+
telemetry.logs.local.localsyslog.endpoint localsyslog végpont. Igen, ha telemetry.logs.local a beállítás értéke localsyslog; egyébként nem. A konfigurációval kapcsolatos további részletekért tekintse meg a helyi syslog dokumentációját . n/a v2.0+
telemetry.logs.local.localsyslog.facility Meghatározza például a localsyslog létesítmény kódját. 7 Nem N.A. v2.0+
telemetry.logs.local.rfc5424.endpoint rfc5424 végpont. Igen, ha telemetry.logs.local a beállítás értéke rfc5424; egyébként nem. n/a v2.0+
telemetry.logs.local.rfc5424.facility Létesítmény kódja rfc5424-re, például:7 Nem N.A. v2.0+
telemetry.logs.local.journal.endpoint Naplóvégpont. Igen, ha telemetry.logs.local a beállítás értéke journal; egyébként nem. n/a v2.0+
telemetry.logs.local.json.endpoint UDP-végpont, amely fogadja a JSON-adatokat, fájlelérési útvonalként, IP:portként vagy gazdagépnév:portként megadva. Igen, ha telemetry.logs.local a beállítás értéke json; egyébként nem. 127.0.0.1:8888 v2.0+

Biztonság

Tanúsítványok és rejtjelek

Név Leírás Kötelező Alapértelmezett Elérhetőség
certificates.local.ca.enabled Annak jelzése, hogy a saját üzemeltetésű átjárónak a csatlakoztatott helyi hitelesítésszolgáltatói tanúsítványokat kell-e használnia. A saját üzemeltetésű átjárót gyökérként vagy 1001-as felhasználói azonosítóval kell futtatni. Nem false v2.0+
net.server.tls.ciphers.allowed-suites Az API-ügyfél és a saját üzemeltetésű átjáró közötti TLS-kapcsolathoz használandó titkosítások vesszővel tagolt listája. Nem TLS_AES_256_GCM_SHA384,TLS_CHACHA20_POLY1305_SHA256,TLS_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256,TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA v2.0+
net.client.tls.ciphers.allowed-suites A saját üzemeltetésű átjáró és a háttérrendszer közötti TLS-kapcsolathoz használandó titkosítások vesszővel tagolt listája. Nem TLS_AES_256_GCM_SHA384,TLS_CHACHA20_POLY1305_SHA256,TLS_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256,TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA v2.0+
security.certificate-revocation.validation.enabled Lehetővé teszi a visszavont tanúsítványok listájának érvényesítésének be- és kikapcsolását Nem false v2.3.6+

TLS

Név Leírás Kötelező Alapértelmezett Elérhetőség
Microsoft.WindowsAzure.ApiManagement.Gateway.Security.Backend.Protocols.Tls13 Annak jelzése, hogy a TLS 1.3 engedélyezve van-e a háttérrendszer felé. Hasonló a protokoll-titkosítások felügyelt átjáróban való kezeléséhez. Nem true v2.0+
Microsoft.WindowsAzure.ApiManagement.Gateway.Security.Backend.Protocols.Tls12 Annak jelzése, hogy a TLS 1.2 engedélyezve van-e a háttérrendszer felé. Hasonló a protokoll-titkosítások felügyelt átjáróban való kezeléséhez. Nem true v2.0+
Microsoft.WindowsAzure.ApiManagement.Gateway.Security.Backend.Protocols.Tls11 Annak jelzése, hogy a TLS 1.1 engedélyezve van-e a háttérrendszer felé. Hasonló a protokoll-titkosítások felügyelt átjáróban való kezeléséhez. Nem false v2.0+
Microsoft.WindowsAzure.ApiManagement.Gateway.Security.Backend.Protocols.Tls10 Annak jelzése, hogy a TLS 1.0 engedélyezve van-e a háttérrendszer felé. Hasonló a protokoll-titkosítások felügyelt átjáróban való kezeléséhez. Nem false v2.0+
Microsoft.WindowsAzure.ApiManagement.Gateway.Security.Backend.Protocols.Ssl30 Annak jelzése, hogy az SSL 3.0 engedélyezve van-e a háttérrendszer felé. Hasonló a protokoll-titkosítások felügyelt átjáróban való kezeléséhez. Nem false v2.0+

Független felhők

Az alábbiakban áttekintheti azokat a beállításokat, amelyeket konfigurálni kell a szuverén felhők használatához:

Név Nyilvános Azure China USA-beli államigazgatás
config.service.auth.tokenAudience https://azure-api.net/configuration (Alapértelmezett) https://azure-api.cn/configuration https://azure-api.us/configuration
logs.applicationinsights.endpoint https://dc.services.visualstudio.com/v2/track (Alapértelmezett) https://dc.applicationinsights.azure.cn/v2/track https://dc.applicationinsights.us/v2/track

Beállítások konfigurálása

Kubernetes YAML-fájl

Ha a saját üzemeltetésű átjárót YAML-fájllal telepíti a Kubernetesbe, a beállításokat név-érték párként konfigurálja az data átjáró ConfigMap elemében. Példa:

apiVersion: v1
    kind: ConfigMap
    metadata:
        name: contoso-gateway-environment
    data:
        config.service.endpoint: "contoso.configuration.azure-api.net"
        telemetry.logs.std: "text"
        telemetry.logs.local.localsyslog.endpoint: "/dev/log"
        telemetry.logs.local.localsyslog.facility: "7"

[...]

Helm-diagram

Ha a Helm használatával telepíti a saját üzemeltetésű átjárót a Kubernetesben, adja át a diagramkonfigurációs beállításokat paraméterekként a helm install parancsnak. Példa:

helm install azure-api-management-gateway \
    --set gateway.configuration.uri='contoso.configuration.azure-api.net' \
    --set gateway.auth.key='GatewayKey contosogw&xxxxxxxxxxxxxx...' \
    --set secret.createSecret=false \
    --set secret.existingSecretName=`mysecret` \
    azure-apim-gateway/azure-api-management-gateway

Következő lépések