Összevont API-kezelés munkaterületekkel

A KÖVETKEZŐKRE VONATKOZIK: Prémium

Ez a cikk áttekintést nyújt az API Management-munkaterületekről , és arról, hogyan teszik lehetővé a decentralizált API-fejlesztői csapatok számára, hogy az API-kat egy közös szolgáltatási infrastruktúrában felügyeljék és termékeljék.

Miért kell a szervezeteknek összevonni az API-kezelést?

Napjainkban a szervezetek egyre nagyobb kihívásokkal szembesülnek az API-k elterjedésének kezelése terén. Ahogy nő az API-k és az API-fejlesztői csapatok száma, úgy a kezelésük összetettsége is. Ez az összetettség megnövelheti a működési terhelést, a biztonsági kockázatokat és csökkentheti a rugalmasságot. A szervezetek egyrészt egy központosított API-infrastruktúrát szeretnének létrehozni az API-szabályozás, a biztonság és a megfelelőség biztosítása érdekében. Másrészt azt szeretnék, hogy az API-csapatok gyorsan újítsanak és reagáljanak az üzleti igényekre anélkül, hogy az API-platform felügyeletének többlettere lenne.

Az API management összevont modellje kielégíti ezeket az igényeket. Az összevont API-felügyelet lehetővé teszi, hogy a fejlesztői csapatok decentralizált API-felügyeletet biztosítson a vezérlő- és adatsíkok megfelelő elkülönítésével, miközben fenntartja a központosított szabályozást, a monitorozást és az API-felderítést egy API-platform csapata által. Ez a modell leküzdi az alternatív megközelítések korlátait, például a platformcsapat által teljes mértékben központosított API-kezelést vagy az egyes fejlesztői csapatok által a silózott API-kezelést.

Az összevont API-felügyelet a következőket biztosítja:

• Központosított API-szabályozás és megfigyelhetőség
• Egységes fejlesztői portál a hatékony API-felderítéshez és előkészítéshez
• Elkülönített rendszergazdai engedélyek az API-csapatok között, a hatékonyság és a biztonság növelése
• Elkülönített API-futtatókörnyezet az API-csapatok között, javítva a megbízhatóságot, a rugalmasságot és a biztonságot

Hogyan teszik lehetővé a munkaterületek az összevont API-kezelést?

Az Azure API Managementben munkaterületek használatával valósíthat meg összevont API-kezelést. A munkaterületek az API Management szolgáltatásban a "mappákhoz" hasonló módon működnek:

• Minden munkaterület API-kat, termékeket, előfizetéseket, elnevezett értékeket és kapcsolódó erőforrásokat tartalmaz. A munkaterületeken támogatott erőforrások és műveletek teljes listáját az API Management REST API-referenciájában találja.
• A Teams egy munkaterületen belüli erőforrásokhoz való hozzáférését az Azure szerepköralapú hozzáférés-vezérlése (RBAC) kezeli, amely beépített vagy egyéni szerepkörökkel rendelkezik, amelyek hozzárendelhetők a Microsoft Entra-fiókokhoz, és hatókörük egy munkaterületre terjed ki.
• Minden munkaterület egy vagy több munkaterület-átjáróval van társítva, amellyel az API-forgalmat a munkaterület API-k háttérszolgáltatásaihoz irányíthatja.
• A platformcsapat api-szabályzatokat alkalmazhat a munkaterületeken az API-kra, és központi API-felderítési élményt valósíthat meg egy fejlesztői portálon.
• Minden munkaterületi csapat összegyűjtheti és elemezheti az átjáróerőforrás-naplókat a saját munkaterületi API-k figyeléséhez, míg a platformcsapat összevont hozzáféréssel rendelkezik a naplókhoz az API Management szolgáltatás összes munkaterületén, biztosítva a felügyeletet, a biztonságot és a megfelelőséget az API-ökoszisztémájukban.

Megjegyzés:

• Az API Management REST API 2023-09-01-preview vagy újabb verziója támogatja a legújabb munkaterületi funkciókat.
• A díjszabással kapcsolatos szempontokért tekintse meg az API Management díjszabását.

Bár a munkaterületek kezelése független az API Management szolgáltatástól és más munkaterületektől, tervezésük során a kiválasztott szolgáltatásszintű erőforrásokra hivatkozhatnak. Tekintse meg a munkaterületeket és az API Management egyéb funkcióit a cikk későbbi részében.

Példaforgatókönyv áttekintése

Az AZURE API Management használatával api-kat kezelő szervezetek több fejlesztői csapattal is rendelkezhetnek, amelyek különböző API-kat fejlesztenek, definiálnak, kezelnek és termékesítenek. A munkaterületek lehetővé teszik ezeknek a csapatoknak, hogy az API Management használatával külön és a szolgáltatásinfrastruktúra kezelésétől függetlenül kezeljék, érjék el és védjék API-ikat.

Az alábbiakban egy munkaterület létrehozására és használatára vonatkozó minta-munkafolyamatot követünk.

1. Az API Management-példányt kezelő központi API-platform csapata létrehoz egy munkaterületet, és az RBAC-szerepkörök használatával engedélyeket rendel a munkaterület-közreműködőkhöz – például engedélyeket a munkaterületen lévő erőforrások létrehozásához vagy olvasásához. A munkaterülethez egy munkaterület-hatókörű API-átjáró létrehozásra kerül.

2. Egy központi API-platform csapata DevOps-eszközökkel hoz létre egy DevOps-folyamatot az adott munkaterület API-khoz.

3. A munkaterület tagjai API-kat fejlesztenek, publikálnak, termékké alakítanak és karbantartanak a munkaterületen.

4. A központi API-platform csapata felügyeli a szolgáltatás infrastruktúráját, például a monitorozást, a rugalmasságot és a teljes API-szabályzatok kikényszerítését.

Munkaterületi kapcsolódási pont

Minden munkaterület egy vagy több munkaterület-átjáróval van konfigurálva a munkaterületen felügyelt API-k futtatókörnyezetének engedélyezéséhez. A munkaterület-átjáró egy önálló Azure-erőforrás (prémium szintű munkaterületi átjáró), amely ugyanazokkal az alapvető funkciókkal rendelkezik, mint az API Management szolgáltatásba beépített átjáró.

A munkaterület-átjárók kezelése független az API Management szolgáltatástól és egymástól. Lehetővé teszik a futtatókörnyezet elkülönítését a munkaterületek vagy használati esetek között, növelik az API megbízhatóságát, rugalmasságát és biztonságát, és lehetővé teszik a futtatókörnyezeti problémák munkaterületekhez való hozzárendelését.

• A munkaterület-átjárók költségeiről további információt az API Management díjszabásában talál.
• Az API Management-átjárók részletes összehasonlításáért tekintse meg az API Management-átjárók áttekintését.

Munkaterületek társítása egy munkaterületi kapuval

A szervezet igényeitől függően egy munkaterületet vagy több munkaterületet társíthat egy munkaterület-átjáróhoz.

Megjegyzés:

Több munkaterület munkaterület-átjáróval való társítása csak a 2025. április 15. után létrehozott munkaterület-átjárók esetében érhető el.

• A munkaterület átjárója bizonyos specifikus konfigurációval (például virtuális hálózat, skálázás, gazdagépnév) és lefoglalt számítási erőforrásokkal (CPU, memória, hálózati erőforrások) rendelkezik.
• A konfigurációs és számítási erőforrásokat az átjárón üzembe helyezett összes munkaterület megosztja.
• Az API-k hibái vagy a rendellenes forgalom ezeknek az erőforrásoknak a kimerülését okozhatják, ami az átjáró összes munkaterületét érinti. Vagyis minél több munkaterület van üzembe helyezve egy átjárón, annál nagyobb a kockázata annak, hogy egy munkaterület API-jának megbízhatósági problémáit egy másik munkaterületről származó API okozza.
• Az átjáró teljesítményének monitorozása beépített metrikákkal a processzor- és memóriakihasználtság érdekében.

Fontolja meg a megbízhatóságot, a biztonságot és a költségeket a munkaterületek üzembehelyezési modelljének kiválasztásakor.

• Dedikált átjárók használata kritikus fontosságú számítási feladatokhoz – Az API megbízhatóságának és biztonságának maximalizálása érdekében rendeljen hozzá minden kritikus fontosságú munkaterületet a saját átjáróhoz, elkerülve a más munkaterületekkel való megosztott használatot.
• A megbízhatóság, a biztonság és a költségek kiegyensúlyozása – Több munkaterület társítása átjáróval a nem kritikus számítási feladatok megbízhatóságának, biztonságának és költségeinek kiegyenlítéséhez. A munkaterületek legalább két átjáró közötti elosztása segít megelőzni a problémákat, például az erőforrások kimerülését vagy a konfigurációs hibákat, amelyek hatással vannak a szervezet összes API-jának működésére.
• Különböző átjárók használata különböző használati esetekhez – Munkaterületek csoportosítása egy átjárón használati eset vagy hálózati követelmények alapján. Megkülönböztetheti például a belső és a külső APIS-t úgy, hogy külön átjárókhoz rendeli őket, és mindegyik saját hálózati konfigurációval rendelkezik.
• Felkészülés a problémás munkaterületek karanténba helyezésére – Használjon proxyt, például az Azure Application Gatewayt vagy az Azure Front Doort a megosztott munkaterület-átjárók előtt, hogy egyszerűbb legyen áthelyezni egy olyan munkaterületet, amely erőforrás-kimerülést okoz egy másik átjáróra, megakadályozva az átjárót megosztó többi munkaterületre gyakorolt hatást.

Megjegyzés:

• A munkaterületi átjárónak ugyanabban a régióban kell lennie, mint az API Management-példány elsődleges Azure-régiója és ugyanabban az előfizetésben
• A munkaterület-átjáróhoz társított összes munkaterületnek ugyanabban az API Management-példányban kell lennie
• A munkaterület-átjáró legfeljebb 30 munkaterülethez társítható (a korlát növeléséhez forduljon az ügyfélszolgálathoz)

Átjáró gazdagépneve

Minden munkaterületi átjáró egyedi gazdagépnevet biztosít a hozzá tartozó munkaterületen kezelt API-khoz. Az alapértelmezett állomásnevek a mintát <gateway-name>-<hash>.gateway.<region>.azure-api.netkövetik. Az átjáró hostneve segítségével irányítsa az API-kérelmeket a munkaterület API-khoz.

Az egyéni gazdagépnevek jelenleg nem támogatottak a munkaterület-átjárók esetében. Az Azure Application Gatewayt vagy az Azure Front Doort egyéni gazdagépnévvel konfigurálhatja egy munkaterület-átjáró előtt.

Hálózati elkülönítés

A munkaterület-átjárók igény szerint konfigurálhatók privát virtuális hálózaton a bejövő és/vagy kimenő forgalom elkülönítésére. Ha konfigurálva van, a munkaterület-átjárónak dedikált alhálózatot kell használnia a virtuális hálózaton.

A részletes követelményekért tekintse meg a munkaterület-átjárók hálózati erőforrás-követelményeit.

Megjegyzés:

• A munkaterület-átjáró hálózati konfigurációja független az API Management-példány hálózati konfigurációitól.
• A munkaterületi átjárók jelenleg csak az átjáró létrehozásakor konfigurálhatók virtuális hálózaton. Az átjáró hálózati konfigurációját vagy beállításait később nem módosíthatja.

Kapacitás méretezése

Az átjárókapacitás kezelése skálázási egységek hozzáadásával vagy eltávolításával, hasonlóan a bizonyos szolgáltatási szintek API Management-példányához adható egységekhez . A munkaterület-átjárók költségei a kiválasztott egységek számán alapulnak.

Regionális rendelkezésre állás

Azoknak a régióknak az aktuális listáját, ahol a munkaterületi átjárók elérhetők, tekintse meg a v2-szintek és a munkaterületi átjárók rendelkezésre állását.

Átjárókorlátozások

A munkaterület-átjárókra jelenleg a következő korlátozások vonatkoznak:

• A munkaterület nem társítható saját üzemeltetésű átjáróhoz
• A munkaterület-átjárók nem támogatják a bejövő privát végpontokat
• A munkaterületi átjárók API-jaihoz nem rendelhetők hozzá egyéni gazdagépnevek.
• A munkaterületek API-it nem fedik le az API-khoz készült Defender
• A munkaterület-átjárók nem támogatják az API Management szolgáltatás hitelesítőadat-kezelőjét
• A munkaterület-átjárók csak a belső gyorsítótárat támogatják; a külső gyorsítótár nem támogatott
• A munkaterület-átjárók nem támogatják a szintetikus GraphQL API-kat
• A munkaterület-átjárók nem támogatják közvetlenül az API-k létrehozását olyan Azure-erőforrásokból, mint az Azure OpenAI Service, az App Service, a Function Apps stb.
• A kérelemmetrikákat nem lehet munkaterületek szerint felosztani az Azure Monitorban; az összes munkaterületi metrikát a szolgáltatás szintjén összesíti a rendszer
• A munkaterület-átjárók nem támogatják a CA tanúsítványokat
• A munkaterület-átjárók nem támogatják a felügyelt identitásokat, beleértve az olyan kapcsolódó funkciókat, mint a titkos kódok tárolása az Azure Key Vaultban és a authentication-managed-identity szabályzat használata
• Munkaterület-átjárók csak az API Management-példány elsődleges Azure-régiójában hozhatók létre

RBAC-szerepkörök munkaterületekhez

Az Azure RBAC használatával konfigurálhatók a munkaterület közreműködőinek a munkaterületen lévő entitások olvasására és szerkesztésére vonatkozó engedélyei. A szerepkörök listájáért lásd : Szerepköralapú hozzáférés-vezérlés használata az API Managementben.

A munkaterület API-jainak és egyéb erőforrásainak kezeléséhez a munkaterülettagokat az API Management szolgáltatáshoz, a munkaterülethez és a munkaterületi átjáróhoz tartozó szerepkörökhöz (vagy az egyéni szerepköröket használó egyenértékű engedélyekhez) kell hozzárendelni. A szolgáltatás hatókörébe tartozó szerepkör lehetővé teszi bizonyos szolgáltatási szintű erőforrások munkaterületszintű erőforrásokra való hivatkozását. Például egy felhasználót egy munkaterületszintű csoportba rendezve szabályozhatja az API-t és a termékek láthatóságát.

Megjegyzés:

A könnyebb kezelés érdekében állítsa be a Microsoft Entra-csoportokat, hogy több felhasználóhoz rendeljen munkaterületi engedélyeket.

Munkaterületek és egyéb API Management-funkciók

A munkaterületek úgy vannak kialakítva, hogy önállóak legyenek a rendszergazdai hozzáférés és az API-futtatókörnyezet elkülönítésének maximalizálása érdekében. Számos kivétel van a nagyobb hatékonyság biztosítása és a platformszintű szabályozás, a megfigyelhetőség, az újrahasználhatóság és az API-felderítés engedélyezéséhez.

• Erőforráshivatkozások – A munkaterület erőforrásai hivatkozhatnak a munkaterület más erőforrásaira, valamint a szolgáltatási szintről kiválasztott erőforrásokra, például felhasználókra, engedélyezési kiszolgálókra vagy beépített felhasználói csoportokra. Nem hivatkozhatnak más munkaterületről származó erőforrásokra.

  Biztonsági okokból nem lehet szolgáltatásszintű erőforrásokra hivatkozni munkaterületszintű szabályzatokból (például elnevezett értékekből) vagy erőforrásnevekből, például backend-id a set-backend-service szabályzatból.

  Fontos

  Az API Management szolgáltatás összes erőforrásának (például API-knak, termékeknek, címkéknek vagy előfizetéseknek) egyedi névvel kell rendelkeznie, még akkor is, ha különböző munkaterületeken találhatók. Nem lehet azonos típusú és azonos Azure-erőforrásnévvel rendelkező erőforrás ugyanabban a munkaterületen, más munkaterületeken vagy szolgáltatásszinten.

• Fejlesztői portál – A munkaterületek felügyeleti fogalmak, és nem jelennek meg ilyen módon a fejlesztői portál felhasználói számára, például a fejlesztői portál felhasználói felületén és az alapul szolgáló API-on keresztül. A munkaterületen belüli API-k és termékek közzétehetők a fejlesztői portálon, ugyanúgy, mint az API-k és a szolgáltatási szintű termékek.

  Megjegyzés:

  Az API Management támogatja a szolgáltatásszinten definiált engedélyezési kiszolgálók hozzárendelését a munkaterületeken belüli API-khoz.

Migrálás előzetes verziójú munkaterületekről

Ha előzetes verziójú munkaterületeket hozott létre az Azure API Managementben, és továbbra is használni szeretné őket, migrálja a munkaterületeket az általánosan elérhető verzióra egy munkaterület-átjáró társításával az egyes munkaterületekkel.

A részletekért és az előzetes verziójú munkaterületeket érintő egyéb módosításokért lásd: Munkaterületek kompatibilitástörő változásai (2025. március).

Munkaterület törlése

A munkaterület törlése törli az összes gyermekerőforrást (API-kat, termékeket stb.) és a hozzá tartozó átjárót, ha az Azure Portal felületével törli a munkaterületet. Nem törli az API Management-példányt vagy más munkaterületeket.

Kapcsolódó tartalom

• Munkaterület létrehozása
• A munkaterületek jelentős változásai – 2024. június
• A munkaterületekben jelentős változások – 2025. március
• Korlátok – API Management-munkaterületek