Menyambungkan secara privat ke API Management menggunakan titik akhir privat masuk
BERLAKU UNTUK: Pengembang | Dasar | Standar | Premi
Anda dapat mengonfigurasi titik akhir privat masuk untuk instans API Management Anda untuk memungkinkan klien di jaringan privat Anda mengakses instans dengan aman melalui Azure Private Link.
Titik akhir privat menggunakan alamat IP dari Azure VNet tempatnya dihosting.
Lalu lintas jaringan antara klien di jaringan pribadi Anda dan API Management melintasi VNet dan Private Link di jaringan tulang punggung Microsoft, menghilangkan eksposur dari internet publik.
Konfigurasikan pengaturan DNS kustom atau zona pribadi Azure DNS untuk memetakan nama host API Management ke alamat IP pribadi titik akhir.
Dengan titik akhir pribadi dan Private Link, Anda dapat:
Membuat beberapa koneksi Private Link ke instans API Management.
Menggunakan titik akhir pribadi untuk mengirim lalu lintas masuk pada koneksi aman.
Menggunakan kebijakan untuk membedakan lalu lintas yang berasal dari titik akhir pribadi.
Membatasi lalu lintas masuk hanya ke titik akhir pribadi, mencegah penyelundupan data.
Penting
Anda hanya dapat mengonfigurasi koneksi titik akhir privat untuk lalu lintas masuk ke instans API Management. Saat ini, lalu lintas keluar tidak didukung.
Anda dapat menggunakan model jaringan virtual eksternal atau internal untuk membangun konektivitas keluar ke titik akhir privat dari instans API Management Anda.
Untuk mengaktifkan titik akhir privat masuk, instans API Management tidak dapat disuntikkan ke jaringan virtual eksternal atau internal.
Batasan
- Hanya titik akhir Gateway instans API Management yang mendukung koneksi Private Link masuk.
- Setiap instans API Management mendukung paling banyak 100 koneksi Private Link.
- Koneksi tidak didukung di gateway yang dihost sendiri atau di gateway ruang kerja.
Prasyarat
- Instans API Management yang ada. Buat jika Anda belum melakukannya.
- Instans API Management harus dihosting di
stv2
platform komputasi. Misalnya, buat instans baru atau jika Anda sudah memiliki instans di tingkat layanan Premium, aktifkan redundansi zona. - Jangan menyebarkan (menyuntikkan) instans ke jaringan virtual eksternal atau internal.
- Instans API Management harus dihosting di
- Jaringan virtual dan subnet untuk meng-hosting titik akhir pribadi. Subnet mungkin berisi sumber daya Azure lainnya.
- (Direkomendasikan) Mesin virtual di subnet yang sama atau berbeda di jaringan virtual, untuk menguji titik akhir pribadi.
Metode persetujuan untuk titik akhir pribadi
Biasanya, administrator jaringan membuat titik akhir pribadi. Tergantung pada izin kontrol akses berbasis peran (RBAC) Azure Anda, titik akhir pribadi yang Anda buat disetujui secara otomatis untuk mengirim lalu lintas ke instans API Management, atau mengharuskan pemilik sumber daya untuk menyetujui secara manual sambungan tersebut.
Metode persetujuan | Izin RBAC minimum |
---|---|
Otomatis | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/** |
Manual | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Langkah-langkah untuk mengonfigurasi titik akhir pribadi
- Dapatkan jenis titik akhir pribadi yang tersedia dalam langganan
- Menonaktifkan kebijakan jaringan di subnet
- Buat titik akhir pribadi - portal
- Buat daftar koneksi titik akhir pribadi ke instans
- Setujui koneksi titik akhir pribadi yang tertunda
- Nonaktifkan akses jaringan publik secara opsional
Dapatkan jenis titik akhir pribadi yang tersedia dalam langganan
Pastikan bahwa jenis titik akhir pribadi API Management tersedia di langganan dan lokasi Anda. Di portal, temukan informasi ini dengan membuka Pusat Private Link. Pilih Sumber daya yang didukung.
Anda juga dapat menemukan informasi ini dengan menggunakan Jenis Titik Akhir Pribadi yang Tersedia - Daftar REST API.
GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01
Output harus menyertakan Microsoft.ApiManagement.service
jenis titik akhir:
[...]
"name": "Microsoft.ApiManagement.service",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Network/AvailablePrivateEndpointTypes/Microsoft.ApiManagement.service",
"type": "Microsoft.Network/AvailablePrivateEndpointTypes",
"resourceName": "Microsoft.ApiManagement/service",
"displayName": "Microsoft.ApiManagement/service",
"apiVersion": "2021-04-01-preview"
}
[...]
Menonaktifkan kebijakan jaringan di subnet
Kebijakan jaringan seperti grup keamanan jaringan harus dinonaktifkan di subnet yang digunakan untuk titik akhir pribadi.
Jika Anda menggunakan alat seperti Azure PowerShell, Azure CLI, atau REST API untuk mengonfigurasi titik akhir pribadi, perbarui konfigurasi subnet secara manual. Misalnya, lihat Mengelola kebijakan jaringan untuk titik akhir pribadi.
Saat Anda menggunakan portal Azure untuk membuat titik akhir pribadi, seperti yang diperlihatkan di bagian berikutnya, kebijakan jaringan dinonaktifkan secara otomatis sebagai bagian dari proses pembuatan
Buat titik akhir pribadi - portal
Navigasikan ke layanan API Management Anda di portal Microsoft Azure.
Di menu sebelah kiri, pilih Jaringan.
Pilih Koneksi> titik akhir privat masuk+ Tambahkan titik akhir.
Di tab Dasar dari Buat titik akhir pribadi, masukkan atau pilih informasi berikut:
Pengaturan Nilai Detail proyek Langganan Pilih langganan Anda. Grup sumber daya Pilih grup sumber daya yang sudah ada atau buat yang baru. Lokasinya harus berada di wilayah yang sama dengan jaringan virtual Anda. Detail instans Nama Masukkan nama untuk titik akhir seperti myPrivateEndpoint. Nama Antarmuka Jaringan Masukkan nama untuk antarmuka jaringan, seperti myInterface Wilayah Pilih lokasi untuk titik akhir pribadi. Lokasinya harus berada di wilayah yang sama dengan jaringan virtual Anda. Ini mungkin berbeda dari wilayah tempat instans API Management Anda di-hosting. Pilih tab Sumber Daya atau tombol Berikutnya: Sumber Daya di bagian bawah halaman. Informasi berikut tentang instans API Management Anda sudah diisi:
- Langganan
- Grup sumber daya
- Nama sumber daya
Di Sumber Daya, di Sub-sumber daya Target, pilih Gateway.
Pilih tab Virtual Network atau tombol Berikutnya: Virtual Network di bagian bawah layar.
Di Jaringan, masukkan atau pilih informasi ini:
Pengaturan Nilai Jaringan virtual Pilih jaringan virtual Anda. Subnet Pilih subnet Anda. Konfigurasi IP privat Dalam kebanyakan kasus, pilih Alokasikan alamat IP secara dinamis. Kelompok keamanan aplikasi Secara opsional pilih grup keamanan aplikasi. Pilih tab DNS atau tombol Berikutnya: DNS di bagian bawah layar.
Di Integrasi DNS Privat, masukkan atau pilih informasi ini:
Pengaturan Nilai Integrasikan dengan zona DNS privat Biarkan default Ya. Langganan Pilih langganan Anda. Grup sumber daya Pilih grup sumber daya Anda. Zona DNS Private Nilai default ditampilkan: (baru) privatelink.azure-api.net. Pilih tab Tag atau tombol Berikutnya: Tab di bagian bawah layar. Jika Anda mau, masukkan tag untuk mengatur sumber daya Azure Anda.
Pilih Tinjau + buat.
Pilih Buat.
Buat daftar koneksi titik akhir pribadi ke instans
Setelah titik akhir privat dibuat, titik akhir tersebut muncul dalam daftar di halaman Koneksi titik akhir privat masuk instans API Management di portal.
Anda juga dapat menggunakan REST API Koneksi Titik Akhir Pribadi - Daftar Berdasarkan Layanan untuk membuat daftar koneksi titik akhir pribadi ke instans layanan.
Perhatikan Status koneksi titik akhir:
- Disetujui menunjukkan bahwa sumber daya API Management secara otomatis menyetujui sambungan.
- Tertunda menunjukkan bahwa sambungan harus disetujui secara manual oleh pemilik sumber daya.
Setujui koneksi titik akhir pribadi yang tertunda
Jika koneksi titik akhir pribadi dalam status tertunda, pemilik instans API Management harus menyetujuinya secara manual sebelum dapat digunakan.
Jika Anda memiliki izin yang memadai, setujui koneksi titik akhir pribadi di halaman Koneksi titik akhir pribadi instans API Management di portal.
Anda juga dapat menggunakan REST API Koneksi Titik Akhir Pribadi API Management - Buat Atau Perbarui.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{apimServiceName}privateEndpointConnections/{privateEndpointConnectionName}?api-version=2021-08-01
Nonaktifkan akses jaringan publik secara opsional
Untuk secara opsional membatasi lalu lintas masuk ke instans API Management hanya ke titik akhir pribadi, nonaktifkan akses jaringan publik. Gunakan API Management Service - Create Or Update REST API untuk mengatur publicNetworkAccess
properti ke Disabled
.
Catatan
publicNetworkAccess
Properti hanya dapat digunakan untuk menonaktifkan akses publik ke instans API Management yang dikonfigurasi dengan titik akhir privat, bukan dengan konfigurasi jaringan lain seperti injeksi VNet.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{apimServiceName}?api-version=2021-08-01
Authorization: Bearer {{authToken.response.body.access_token}}
Content-Type: application/json
Gunakan isi JSON berikut:
{
[...]
"properties": {
"publicNetworkAccess": "Disabled"
}
}
Memvalidasi koneksi titik akhir pribadi
Setelah titik akhir pribadi dibuat, konfirmasikan pengaturan DNS-nya di portal:
Navigasikan ke layanan API Management Anda di portal Microsoft Azure.
Di menu sebelah kiri, pilih Koneksi titik akhir privat Masuk Jaringan>, dan pilih titik akhir privat yang Anda buat.
Di navigasi sebelah kiri, pilih Konfigurasi DNS.
Tinjau catatan DNS dan alamat IP dari titik akhir pribadi. Alamat IP adalah alamat pribadi di ruang alamat subnet tempat titik akhir pribadi dikonfigurasi.
Uji di jaringan virtual
Hubungkan ke mesin virtual yang Anda siapkan di jaringan virtual.
Jalankan utilitas seperti nslookup
atau dig
untuk mencari alamat IP titik akhir Gateway default Anda melalui Private Link. Contohnya:
nslookup my-apim-service.azure-api.net
Output harus menyertakan alamat IP pribadi yang terkait dengan titik akhir pribadi.
Panggilan API yang dimulai dalam jaringan virtual ke titik akhir Gateway default akan berhasil.
Pengujian dari internet
Dari luar jalur titik akhir pribadi, coba panggil titik akhir Gateway default instans API Management. Jika akses publik dinonaktifkan, output akan menyertakan kesalahan dengan kode status 403
dan pesan yang mirip dengan:
Request originated from client public IP address xxx.xxx.xxx.xxx, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network.
Langkah berikutnya
- Gunakan ekspresi kebijakan dengan variabel
context.request
untuk mengidentifikasi lalu lintas dari titik akhir pribadi. - Pelajari selengkapnya tentang titik akhir privat dan Private Link, termasuk harga Private Link.
- Pelajari selengkapnya tentang mengelola koneksi titik akhir pribadi.
- Memecahkan masalah konektivitas titik akhir pribadi Azure.
- Gunakan templat Pengelola Sumber Daya untuk membuat instans API Management dan titik akhir pribadi dengan integrasi DNS pribadi.