Menyambungkan secara privat ke API Management menggunakan titik akhir privat masuk

BERLAKU UNTUK: Pengembang | Dasar | Standar | Premi

Anda dapat mengonfigurasi titik akhir privat masuk untuk instans API Management Anda untuk memungkinkan klien di jaringan privat Anda mengakses instans dengan aman melalui Azure Private Link.

• Titik akhir privat menggunakan alamat IP dari Azure VNet tempatnya dihosting.

• Lalu lintas jaringan antara klien di jaringan pribadi Anda dan API Management melintasi VNet dan Private Link di jaringan tulang punggung Microsoft, menghilangkan eksposur dari internet publik.

• Konfigurasikan pengaturan DNS kustom atau zona pribadi Azure DNS untuk memetakan nama host API Management ke alamat IP pribadi titik akhir.

Dengan titik akhir pribadi dan Private Link, Anda dapat:

• Membuat beberapa koneksi Private Link ke instans API Management.

• Menggunakan titik akhir pribadi untuk mengirim lalu lintas masuk pada koneksi aman.

• Menggunakan kebijakan untuk membedakan lalu lintas yang berasal dari titik akhir pribadi.

• Membatasi lalu lintas masuk hanya ke titik akhir pribadi, mencegah penyelundupan data.

Penting

• Anda hanya dapat mengonfigurasi koneksi titik akhir privat untuk lalu lintas masuk ke instans API Management. Saat ini, lalu lintas keluar tidak didukung.

  Anda dapat menggunakan model jaringan virtual eksternal atau internal untuk membangun konektivitas keluar ke titik akhir privat dari instans API Management Anda.

• Untuk mengaktifkan titik akhir privat masuk, instans API Management tidak dapat disuntikkan ke jaringan virtual eksternal atau internal.

Batasan

• Hanya titik akhir Gateway instans API Management yang mendukung koneksi Private Link masuk.
• Setiap instans API Management mendukung paling banyak 100 koneksi Private Link.
• Koneksi tidak didukung di gateway yang dihost sendiri atau di gateway ruang kerja.

Prasyarat

• Instans API Management yang ada. Buat jika Anda belum melakukannya.
  • Instans API Management harus dihosting di stv2 platform komputasi. Misalnya, buat instans baru atau jika Anda sudah memiliki instans di tingkat layanan Premium, aktifkan redundansi zona.
  • Jangan menyebarkan (menyuntikkan) instans ke jaringan virtual eksternal atau internal.
• Jaringan virtual dan subnet untuk meng-hosting titik akhir pribadi. Subnet mungkin berisi sumber daya Azure lainnya.
• (Direkomendasikan) Mesin virtual di subnet yang sama atau berbeda di jaringan virtual, untuk menguji titik akhir pribadi.

Metode persetujuan untuk titik akhir pribadi

Biasanya, administrator jaringan membuat titik akhir pribadi. Tergantung pada izin kontrol akses berbasis peran (RBAC) Azure Anda, titik akhir pribadi yang Anda buat disetujui secara otomatis untuk mengirim lalu lintas ke instans API Management, atau mengharuskan pemilik sumber daya untuk menyetujui secara manual sambungan tersebut.

Metode persetujuan	Izin RBAC minimum
Otomatis	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/**
Manual	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read

Langkah-langkah untuk mengonfigurasi titik akhir pribadi

1. Dapatkan jenis titik akhir pribadi yang tersedia dalam langganan
2. Menonaktifkan kebijakan jaringan di subnet
3. Buat titik akhir pribadi - portal
4. Buat daftar koneksi titik akhir pribadi ke instans
5. Setujui koneksi titik akhir pribadi yang tertunda
6. Nonaktifkan akses jaringan publik secara opsional

Dapatkan jenis titik akhir pribadi yang tersedia dalam langganan

Pastikan bahwa jenis titik akhir pribadi API Management tersedia di langganan dan lokasi Anda. Di portal, temukan informasi ini dengan membuka Pusat Private Link. Pilih Sumber daya yang didukung.

Anda juga dapat menemukan informasi ini dengan menggunakan Jenis Titik Akhir Pribadi yang Tersedia - Daftar REST API.

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01

Output harus menyertakan Microsoft.ApiManagement.service jenis titik akhir:

[...]

      "name": "Microsoft.ApiManagement.service",
      "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Network/AvailablePrivateEndpointTypes/Microsoft.ApiManagement.service",
      "type": "Microsoft.Network/AvailablePrivateEndpointTypes",
      "resourceName": "Microsoft.ApiManagement/service",
      "displayName": "Microsoft.ApiManagement/service",
      "apiVersion": "2021-04-01-preview"
    }
[...]

Menonaktifkan kebijakan jaringan di subnet

Kebijakan jaringan seperti grup keamanan jaringan harus dinonaktifkan di subnet yang digunakan untuk titik akhir pribadi.

Jika Anda menggunakan alat seperti Azure PowerShell, Azure CLI, atau REST API untuk mengonfigurasi titik akhir pribadi, perbarui konfigurasi subnet secara manual. Misalnya, lihat Mengelola kebijakan jaringan untuk titik akhir pribadi.

Saat Anda menggunakan portal Azure untuk membuat titik akhir pribadi, seperti yang diperlihatkan di bagian berikutnya, kebijakan jaringan dinonaktifkan secara otomatis sebagai bagian dari proses pembuatan

Buat titik akhir pribadi - portal

1. Navigasikan ke layanan API Management Anda di portal Microsoft Azure.

2. Di menu sebelah kiri, pilih Jaringan.

3. Pilih Koneksi> titik akhir privat masuk+ Tambahkan titik akhir.

   

4. Di tab Dasar dari Buat titik akhir pribadi, masukkan atau pilih informasi berikut:

   Pengaturan	Nilai
   Detail proyek
   Langganan	Pilih langganan Anda.
   Grup sumber daya	Pilih grup sumber daya yang sudah ada atau buat yang baru. Lokasinya harus berada di wilayah yang sama dengan jaringan virtual Anda.
   Detail instans
   Nama	Masukkan nama untuk titik akhir seperti myPrivateEndpoint.
   Nama Antarmuka Jaringan	Masukkan nama untuk antarmuka jaringan, seperti myInterface
   Wilayah	Pilih lokasi untuk titik akhir pribadi. Lokasinya harus berada di wilayah yang sama dengan jaringan virtual Anda. Ini mungkin berbeda dari wilayah tempat instans API Management Anda di-hosting.

5. Pilih tab Sumber Daya atau tombol Berikutnya: Sumber Daya di bagian bawah halaman. Informasi berikut tentang instans API Management Anda sudah diisi:

   • Langganan
   • Grup sumber daya
   • Nama sumber daya

6. Di Sumber Daya, di Sub-sumber daya Target, pilih Gateway.

   

7. Pilih tab Virtual Network atau tombol Berikutnya: Virtual Network di bagian bawah layar.

8. Di Jaringan, masukkan atau pilih informasi ini:

   Pengaturan	Nilai
   Jaringan virtual	Pilih jaringan virtual Anda.
   Subnet	Pilih subnet Anda.
   Konfigurasi IP privat	Dalam kebanyakan kasus, pilih Alokasikan alamat IP secara dinamis.
   Kelompok keamanan aplikasi	Secara opsional pilih grup keamanan aplikasi.

9. Pilih tab DNS atau tombol Berikutnya: DNS di bagian bawah layar.

10. Di Integrasi DNS Privat, masukkan atau pilih informasi ini:

    Pengaturan	Nilai
    Integrasikan dengan zona DNS privat	Biarkan default Ya.
    Langganan	Pilih langganan Anda.
    Grup sumber daya	Pilih grup sumber daya Anda.
    Zona DNS Private	Nilai default ditampilkan: (baru) privatelink.azure-api.net.

11. Pilih tab Tag atau tombol Berikutnya: Tab di bagian bawah layar. Jika Anda mau, masukkan tag untuk mengatur sumber daya Azure Anda.

12. Pilih Tinjau + buat.

13. Pilih Buat.

Buat daftar koneksi titik akhir pribadi ke instans

Setelah titik akhir privat dibuat, titik akhir tersebut muncul dalam daftar di halaman Koneksi titik akhir privat masuk instans API Management di portal.

Anda juga dapat menggunakan REST API Koneksi Titik Akhir Pribadi - Daftar Berdasarkan Layanan untuk membuat daftar koneksi titik akhir pribadi ke instans layanan.

Perhatikan Status koneksi titik akhir:

• Disetujui menunjukkan bahwa sumber daya API Management secara otomatis menyetujui sambungan.
• Tertunda menunjukkan bahwa sambungan harus disetujui secara manual oleh pemilik sumber daya.

Setujui koneksi titik akhir pribadi yang tertunda

Jika koneksi titik akhir pribadi dalam status tertunda, pemilik instans API Management harus menyetujuinya secara manual sebelum dapat digunakan.

Jika Anda memiliki izin yang memadai, setujui koneksi titik akhir pribadi di halaman Koneksi titik akhir pribadi instans API Management di portal.

Anda juga dapat menggunakan REST API Koneksi Titik Akhir Pribadi API Management - Buat Atau Perbarui.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{apimServiceName}privateEndpointConnections/{privateEndpointConnectionName}?api-version=2021-08-01

Nonaktifkan akses jaringan publik secara opsional

Untuk secara opsional membatasi lalu lintas masuk ke instans API Management hanya ke titik akhir pribadi, nonaktifkan akses jaringan publik. Gunakan API Management Service - Create Or Update REST API untuk mengatur publicNetworkAccess properti ke Disabled.

Catatan

publicNetworkAccess Properti hanya dapat digunakan untuk menonaktifkan akses publik ke instans API Management yang dikonfigurasi dengan titik akhir privat, bukan dengan konfigurasi jaringan lain seperti injeksi VNet.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{apimServiceName}?api-version=2021-08-01
Authorization: Bearer {{authToken.response.body.access_token}}
Content-Type: application/json

Gunakan isi JSON berikut:

{
  [...]
  "properties": {
    "publicNetworkAccess": "Disabled"
  }
}

Memvalidasi koneksi titik akhir pribadi

Setelah titik akhir pribadi dibuat, konfirmasikan pengaturan DNS-nya di portal:

1. Navigasikan ke layanan API Management Anda di portal Microsoft Azure.

2. Di menu sebelah kiri, pilih Koneksi titik akhir privat Masuk Jaringan>, dan pilih titik akhir privat yang Anda buat.

3. Di navigasi sebelah kiri, pilih Konfigurasi DNS.

4. Tinjau catatan DNS dan alamat IP dari titik akhir pribadi. Alamat IP adalah alamat pribadi di ruang alamat subnet tempat titik akhir pribadi dikonfigurasi.

Uji di jaringan virtual

Hubungkan ke mesin virtual yang Anda siapkan di jaringan virtual.

Jalankan utilitas seperti nslookup atau dig untuk mencari alamat IP titik akhir Gateway default Anda melalui Private Link. Contohnya:

nslookup my-apim-service.azure-api.net

Output harus menyertakan alamat IP pribadi yang terkait dengan titik akhir pribadi.

Panggilan API yang dimulai dalam jaringan virtual ke titik akhir Gateway default akan berhasil.

Pengujian dari internet

Dari luar jalur titik akhir pribadi, coba panggil titik akhir Gateway default instans API Management. Jika akses publik dinonaktifkan, output akan menyertakan kesalahan dengan kode status 403 dan pesan yang mirip dengan:

Request originated from client public IP address xxx.xxx.xxx.xxx, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
       
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network. 

Langkah berikutnya

• Gunakan ekspresi kebijakan dengan variabel context.request untuk mengidentifikasi lalu lintas dari titik akhir pribadi.
• Pelajari selengkapnya tentang titik akhir privat dan Private Link, termasuk harga Private Link.
• Pelajari selengkapnya tentang mengelola koneksi titik akhir pribadi.
• Memecahkan masalah konektivitas titik akhir pribadi Azure.
• Gunakan templat Pengelola Sumber Daya untuk membuat instans API Management dan titik akhir pribadi dengan integrasi DNS pribadi.