Menggunakan jaringan virtual untuk mengamankan lalu lintas masuk atau keluar untuk Azure API Management
BERLAKU UNTUK: Pengembang | Dasar | Standar | Standar v2 | Premium
Secara default API Management Anda diakses dari internet di titik akhir publik, dan bertindak sebagai gateway ke backend publik. API Management menyediakan beberapa opsi untuk mengamankan akses ke instans API Management Anda dan ke API backend menggunakan jaringan virtual Azure. Opsi yang tersedia bergantung pada tingkat layanan instans API Management Anda.
Injeksi instans API Management ke subnet di jaringan virtual, memungkinkan gateway untuk mengakses sumber daya di jaringan.
Anda dapat memilih salah satu dari dua mode injeksi: eksternal atau internal. Mode-mode tersebut berbeda dalam hal apakah konektivitas masuk ke gateway dan titik akhir API Management lainnya diizinkan dari internet atau hanya dari dalam jaringan virtual.
Integrasi instans API Management Anda dengan subnet di jaringan virtual sehingga gateway API Management Anda dapat membuat permintaan keluar ke backend API yang terisolasi di jaringan.
Mengaktifkan konektivitas masuk yang aman dan privat ke gateway API Management menggunakan titik akhir privat.
Tabel berikut membandingkan opsi jejaring virtual. Untuk informasi selengkapnya, lihat bagian selanjutnya dari artikel ini dan tautan ke panduan terperinci.
Model jaringan | Tingkatan yang didukung | Komponen yang didukung | Lalu lintas yang didukung | Skenario penggunaan |
---|---|---|---|---|
Injeksi jaringan virtual - eksternal | Pengembang, Premium | Portal pengembang, gateway, bidang manajemen, dan repositori Git | Lalu lintas masuk dan keluar dapat diizinkan ke internet, jaringan virtual yang di-peering, Rute Ekspres, dan koneksi VPN S2S. | Akses eksternal ke backend privat dan lokal |
Injeksi jaringan virtual - internal | Pengembang, Premium | Portal pengembang, gateway, bidang manajemen, dan repositori Git | Lalu lintas masuk dan keluar dapat diizinkan untuk melakukan peering jaringan virtual, Rute Ekspres, dan koneksi VPN S2S. | Akses internal ke backend privat dan lokal |
Integrasi keluar | Standar v2 | Gateway saja | Lalu lintas permintaan keluar dapat menjangkau API yang dihosting di subnet yang didelegasikan dari jaringan virtual. | Akses eksternal ke backend privat dan lokal |
Titik akhir privat masuk | Pengembang, Dasar, Standar, dan Premium | Gateway saja (gateway terkelola didukung, gateway yang dihost sendiri tidak didukung) | Hanya lalu lintas masuk yang dapat diizinkan dari internet, jaringan virtual yang di-peering, Rute Ekspres, dan koneksi VPN S2S. | Mengamankan koneksi klien ke gateway API Management |
Injeksi jaringan virtual
Dengan injeksi VNet, sebarkan ("inject") instans API Management Anda di subnet di jaringan yang tidak dapat dirutekan internet tempat Anda mengontrol akses. Di jaringan virtual, instans API Management Anda dapat mengakses sumber daya Azure jaringan lain dengan aman dan juga terhubung ke jaringan lokal menggunakan berbagai teknologi VPN. Untuk mempelajari selengkapnya tentang Azure VNet, mulailah dengan mempelajari informasi di Gambaran Umum Azure Virtual Network.
Anda dapat menggunakan portal Azure, Azure CLI, templat Azure Resource Manager, atau alat lainnya untuk konfigurasi. Anda mengontrol lalu lintas masuk dan keluar ke subnet tempat API Management disebarkan menggunakan grup keamanan jaringan.
Untuk detail langkah penyebaran dan konfigurasi jaringan, lihat:
- Sebarkan instans API Management Anda ke jaringan virtual - mode eksternal.
- Sebarkan instans API Management Anda ke jaringan virtual - mode internal.
- Persyaratan sumber daya jaringan untuk injeksi API Management ke jaringan virtual.
Opsi Akses
Dengan menggunakan jaringan virtual, Anda dapat mengonfigurasi portal pengembang, gateway API, dan titik akhir API Management lainnya agar dapat diakses baik dari internet (mode eksternal) atau hanya dalam VNet (mode internal).
Eksternal - Titik akhir API Management dapat diakses dari internet publik melalui penyeimbang beban eksternal. Gateway dapat mengakses sumber daya di dalam VNet.
Gunakan API Management dalam mode eksternal untuk mengakses layanan backend yang disebarkan di jaringan virtual.
Internal - Titik akhir API Management hanya dapat diakses dari dalam VNet melalui penyeimbang beban internal. Gateway dapat mengakses sumber daya di dalam VNet.
Gunakan API Management dalam mode internal untuk:
- Membuat API yang dihosting di pusat data privat Anda dapat diakses dengan aman oleh pihak ketiga menggunakan koneksi VPN Azure atau Azure ExpressRoute.
- Aktifkan skenario cloud hibrid dengan mengekspos API berbasis cloud dan API lokal Anda melalui gateway umum.
- Kelola API Anda yang dihosting di beberapa lokasi geografis dengan menggunakan titik akhir gateway tunggal.
Integrasi keluar
Tingkat Standard v2 mendukung integrasi VNet untuk memungkinkan instans API Management Anda menjangkau backend API yang diisolasi dalam satu VNet yang terhubung. Gateway API Management, bidang manajemen, dan portal pengembang tetap dapat diakses secara publik dari internet.
Integrasi keluar memungkinkan instans API Management menjangkau layanan backend publik dan terisolasi jaringan.
Untuk informasi selengkapnya, lihat Mengintegrasikan instans Azure API Management dengan VNet privat untuk koneksi keluar.
Titik akhir privat masuk
API Management mendukung titik akhir privat untuk koneksi klien masuk yang aman ke instans API Management Anda. Setiap koneksi aman menggunakan alamat IP privat dari jaringan virtual Anda dan Azure Private Link.
Dengan titik akhir pribadi dan Private Link, Anda dapat:
Membuat beberapa koneksi Private Link ke instans API Management.
Menggunakan titik akhir pribadi untuk mengirim lalu lintas masuk pada koneksi aman.
Menggunakan kebijakan untuk membedakan lalu lintas yang berasal dari titik akhir pribadi.
Membatasi lalu lintas masuk hanya ke titik akhir pribadi, mencegah penyelundupan data.
Penting
Anda hanya dapat mengonfigurasi koneksi titik akhir privat untuk lalu lintas masuk ke instans API Management. Saat ini, lalu lintas keluar tidak didukung.
Anda dapat menggunakan model jaringan virtual eksternal atau internal untuk membangun konektivitas keluar ke titik akhir privat dari instans API Management Anda.
Untuk mengaktifkan titik akhir privat masuk, instans API Management tidak dapat disuntikkan ke jaringan virtual eksternal atau internal.
Untuk informasi selengkapnya, lihat Koneksi secara privat ke API Management menggunakan titik akhir privat masuk.
Konfigurasi jaringan tingkat lanjut
Mengamankan titik akhir API Management dengan firewall aplikasi web
Anda mungkin memiliki skenario di mana Anda memerlukan akses eksternal dan internal yang aman ke instans API Management Anda, dan fleksibilitas untuk menjangkau backend privat dan lokal. Untuk skenario ini, Anda dapat memilih untuk mengelola akses eksternal ke titik akhir instans API Management dengan firewall aplikasi web (WAF).
Salah satu contohnya adalah menyebarkan instans API Management di jaringan virtual internal, dan merutekan akses publik ke instans tersebut menggunakan Azure Application Gateway yang terhubung ke internet:
Untuk informasi selengkapnya, lihat Menyebarkan API Management di jaringan virtual internal dengan Application Gateway.
Langkah berikutnya
Pelajari lebih lanjut tentang:
Konfigurasi jaringan virtual dengan API Management:
- Sebarkan instans Azure API Management Anda ke jaringan virtual - mode eksternal.
- Sebarkan instans Azure API Management Anda ke jaringan virtual - mode internal.
- Sambungkan secara privat ke API Management menggunakan titik akhir privat
- Mengintegrasikan instans Azure API Management dengan VNet privat untuk koneksi keluar
- Pertahankan instans Azure API Management Anda terhadap serangan DDoS
Artikel Terkait: