Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
BERLAKU UNTUK: Dasar v2 | Standar v2 | Premium | Premium v2
Artikel ini memberikan gambaran umum tentang ruang kerja API Management dan bagaimana mereka memberdayakan tim pengembangan API terdesentralisasi untuk mengelola dan mengolah API mereka dalam infrastruktur layanan umum.
Mengapa organisasi harus menggabungkan manajemen API?
Saat ini, organisasi semakin menghadapi tantangan dalam mengelola proliferasi API. Seiring bertambahnya jumlah API dan tim pengembangan API, begitu juga kompleksitas pengelolaannya. Kompleksitas ini dapat menyebabkan peningkatan overhead operasional, risiko keamanan, dan mengurangi kelincahan. Di satu sisi, organisasi ingin membuat infrastruktur API terpusat untuk memastikan tata kelola API, keamanan, dan kepatuhan. Di sisi lain, mereka ingin tim API mereka berinovasi dan merespons kebutuhan bisnis dengan cepat, tanpa overhead mengelola platform API.
Model federasi manajemen API memenuhi kebutuhan ini. Manajemen API federasi memungkinkan manajemen API terdesentralisasi oleh tim pengembangan dengan isolasi kontrol dan sarana data yang sesuai, sambil mempertahankan tata kelola, pemantauan, dan penemuan API terpusat yang dikelola oleh tim platform API. Model ini mengatasi keterbatasan pendekatan alternatif seperti manajemen API yang sepenuhnya terpusat oleh tim platform atau manajemen API yang di-siloed oleh setiap tim pengembangan.
Manajemen API federasi menyediakan:
- Tata kelola dan pengamatan API terpusat
- Portal pengembang terpadu untuk penemuan dan onboarding API yang efektif
- Izin administratif yang dipisahkan antara tim API, meningkatkan produktivitas dan keamanan
- Runtime API yang dipisahkan antara tim API, meningkatkan keandalan, ketahanan, dan keamanan
Cara ruang kerja mengaktifkan manajemen API federasi
Di Azure API Management, gunakan ruang kerja untuk menerapkan manajemen API federasi. Ruang kerja berfungsi seperti "folder" dalam layanan API Management:
- Setiap ruang kerja berisi API, produk, langganan, nilai bernama, dan sumber daya terkait. Lihat referensi API Management REST API untuk daftar lengkap sumber daya dan operasi yang didukung di ruang kerja.
- Akses tim ke sumber daya dalam ruang kerja dikelola melalui kontrol akses berbasis peran (RBAC) Azure dengan peran bawaan atau kustom yang dapat ditetapkan ke akun Microsoft Entra dan dilingkupi ke ruang kerja.
- Setiap ruang kerja dikaitkan dengan satu atau beberapa gateway untuk merutekan lalu lintas API ke layanan backend API di ruang kerja. Bergantung pada tingkat layanan dan kebutuhan Anda, ruang kerja dapat menggunakan gateway terkelola default layanan atau satu atau beberapa gateway ruang kerja.
- Tim platform dapat menerapkan kebijakan yang mencakup API dan produk di ruang kerja untuk mengatur runtime API di seluruh organisasi.
Definisi Azure Policy bawaan (
API Management policies should inherit parent scope policies using <base/>) memungkinkan Anda mengaudit atau memberlakukan bahwa kebijakan ini diterapkan di semua sumber daya ruang kerja. - Tim platform dapat menerapkan pengalaman penemuan API terpusat dengan portal pengembang.
- Setiap tim ruang kerja dapat mengumpulkan dan menganalisis log sumber daya gateway untuk memantau API ruang kerja mereka sendiri, sementara tim platform memiliki akses federasi ke log di semua ruang kerja dalam layanan API Management, memberikan pengawasan, keamanan, dan kepatuhan di seluruh ekosistem API mereka.
Note
- New! Fitur ruang kerja sekarang tersedia di tingkat Basic v2 dan Standard v2, selain tingkat Premium dan Premium v2. Ruang kerja pada tingkat v2 dapat dikaitkan dengan gateway terkelola API Management bawaan atau sumber daya gateway ruang kerja yang terpisah, sehingga Anda memiliki fleksibilitas dalam mengonfigurasi dan menskalakan ruang kerja. Untuk informasi tentang peta jalan dukungan untuk tingkatan ruang kerja, lihat artikel blog.
- Untuk pertimbangan harga, lihat Harga API Management.
Meskipun ruang kerja dikelola secara independen dari layanan API Management dan ruang kerja lainnya, secara desain ruang kerja dapat mereferensikan sumber daya tingkat layanan yang dipilih. Lihat Ruang kerja dan fitur API Management lainnya, nanti di artikel ini.
Gambaran umum skenario contoh
Organisasi yang mengelola API dengan menggunakan Azure API Management mungkin memiliki beberapa tim pengembangan yang mengembangkan, menentukan, memelihara, dan membuat kumpulan API yang berbeda. Dengan menggunakan ruang kerja, tim ini dapat menggunakan API Management untuk mengelola, mengakses, dan mengamankan API mereka secara terpisah dan independen dalam mengelola infrastruktur layanan.
Alur kerja berikut ini memperlihatkan proses sampel untuk membuat dan menggunakan ruang kerja.
Tim platform API pusat yang mengelola instans API Management membuat ruang kerja dan menetapkan izin ke kolaborator ruang kerja dengan menggunakan peran RBAC. Misalnya, tetapkan izin untuk membuat atau membaca sumber daya di ruang kerja. Tim membuat atau mengaitkan gateway API dengan ruang kerja untuk merutekan lalu lintas API.
Tim platform API pusat menggunakan alat DevOps untuk membuat alur DevOps untuk API di ruang kerja tersebut.
Anggota ruang kerja mengembangkan, menerbitkan, menghasilkan, dan memelihara API di ruang kerja.
Tim platform API pusat mengelola infrastruktur layanan, seperti pemantauan, ketahanan, dan penerapan kebijakan semua API.
Gerbang Ruang Kerja
Setiap ruang kerja dikonfigurasi dengan satu atau beberapa gateway untuk mengaktifkan runtime API yang dikelola dalam ruang kerja. Bergantung pada tingkat layanan dan kebutuhan Anda, Anda dapat menggunakan gateway terkelola default milik layanan dan/atau satu atau beberapa gateway ruang kerja (sumber daya gateway yang terpisah).
| Option | Availability | Benefits | Considerations |
|---|---|---|---|
| Gateway terkelola default | Saat ini dalam tingkat v2 | Tidak ada biaya tambahan untuk sumber daya gateway; tersedia di semua wilayah tempat tingkat layanan ini tersedia; ruang kerja dapat memanfaatkan kemampuan gateway bawaan yang tidak tersedia pada gateway ruang kerja, seperti penerapan multiwilayah, nama host kustom, atau konektivitas Private Link jika didukung di tingkat layanan tersebut | Isolasi lebih rendah; semua ruang kerja berbagi kapasitas dan konfigurasi gateway |
| Gerbang Ruang Kerja | Dasar v2, Standar v2, Premium, Premium v2 | Isolasi runtime yang kuat; penskalaan, nama host, dan konfigurasi jaringan yang independen untuk setiap gateway ruang kerja | Biaya tambahan; waktu penyebaran yang lebih lama; dukungan di lebih sedikit wilayah |
Gateway terkelola default
Pada tingkat v2, Anda dapat mengonfigurasi ruang kerja untuk mengarahkan lalu lintas API melalui gateway terkelola default milik layanan, selain melalui satu atau beberapa sumber daya gateway ruang kerja yang terpisah. Saat ruang kerja menggunakan gateway terkelola default:
- Lalu lintas API merutekan melalui nama host default layanan (misalnya,
<service-name>.azure-api.net). - Ruang kerja berbagi kapasitas dan konfigurasi gateway dengan ruang kerja lain dan API tingkat layanan.
Note
Saat ini Anda dapat mengaitkan ruang kerja dengan gateway terkelola default hanya di tingkat layanan v2 dan melalui API Management Workspace - Create atau Update REST API.
Gerbang Ruang Kerja
Gateway ruang kerja adalah sumber daya Azure mandiri ( gateway ruang kerja premium) dengan fungsionalitas inti yang sama dengan gateway terkelola default.
Anda mengelola gateway ruang kerja secara independen dari layanan API Management dan secara terpisah satu sama lain. Ini memungkinkan isolasi runtime antara ruang kerja atau kasus penggunaan, yang meningkatkan keandalan, ketahanan, dan keamanan API. Mereka juga memungkinkan pengaitan masalah runtime ke ruang kerja.
- Untuk informasi mengenai biaya gateway ruang kerja, lihat Harga API Management.
- Untuk perbandingan terperinci gateway API Management, lihat Gambaran Umum Gateway API Management.
Mengaitkan ruang kerja dengan gateway ruang kerja
Bergantung pada kebutuhan organisasi Anda, Anda dapat mengaitkan satu ruang kerja atau beberapa ruang kerja dengan gateway ruang kerja.
Note
Mengaitkan beberapa ruang kerja dengan gateway ruang kerja hanya tersedia untuk gateway ruang kerja yang dibuat setelah 15 April 2025.
- Gateway ruang kerja memiliki pengaturan konfigurasi tertentu, seperti jaringan virtual, skala, dan nama host, dan sumber daya komputasi yang dialokasikan, termasuk sumber daya CPU, memori, dan jaringan.
- Semua ruang kerja yang disebarkan di gateway berbagi konfigurasi dan sumber daya komputasi.
- Bug dalam API atau lalu lintas anomali dapat menyebabkan kelelahan sumber daya ini, yang memengaruhi semua ruang kerja di gateway tersebut. Dengan kata lain, semakin banyak ruang kerja yang Anda sebarkan di gateway, semakin tinggi risiko API dari satu ruang kerja mengalami masalah keandalan yang disebabkan oleh API dari ruang kerja lain.
- Pantau performa gateway ruang kerja Anda dengan menggunakan metrik bawaan untuk pemanfaatan CPU dan memori.
Pertimbangkan keandalan, keamanan, dan biaya saat memilih model penyebaran untuk ruang kerja.
- Tetapkan ruang kerja ke gateway ruang kerja khususnya sendiri untuk beban kerja yang sangat penting - Untuk memaksimalkan keandalan dan keamanan API, tetapkan setiap ruang kerja yang sangat penting ke gatewaynya sendiri, dan hindari penggunaan bersama dengan ruang kerja lain.
- Menyeimbangkan keandalan, keamanan, dan biaya - Kaitkan beberapa ruang kerja dengan gateway ruang kerja (atau, jika berlaku, gateway terkelola default) untuk menyeimbangkan keandalan, keamanan, dan biaya untuk beban kerja yang tidak penting. Distribusikan ruang kerja di setidaknya dua gateway untuk membantu mencegah masalah, seperti kelelahan sumber daya atau kesalahan konfigurasi, agar tidak memengaruhi semua API dalam organisasi.
- Gunakan gateway yang berbeda untuk kasus penggunaan yang berbeda - Mengelompokkan ruang kerja di gateway ruang kerja berdasarkan kasus penggunaan atau persyaratan jaringan. Misalnya, Anda dapat membedakan antara API internal dan eksternal dengan menetapkannya ke gateway terpisah, masing-masing dengan konfigurasi jaringannya sendiri.
- Bersiaplah untuk mengarantina ruang kerja yang bermasalah - Gunakan proksi, seperti Azure Application Gateway atau Azure Front Door, di depan gateway ruang kerja bersama untuk mempermudah pemindahan ruang kerja yang menyebabkan kehabisan sumber daya ke gateway yang berbeda. Pendekatan ini mencegah dampak pada ruang kerja lain yang berbagi gateway.
Note
- Gateway ruang kerja harus berada di wilayah yang sama dengan wilayah Azure utama instans API Management dan dalam langganan yang sama.
- Semua ruang kerja yang terkait dengan gateway ruang kerja harus berada dalam instance API Management yang sama.
- Anda dapat mengaitkan hingga 30 ruang kerja dengan gateway ruang kerja. Hubungi dukungan untuk meningkatkan batas ini.
Nama host gateway ruang kerja
Setiap gateway ruang kerja menyediakan nama host unik untuk API yang dikelola di ruang kerja terkait. Nama host default mengikuti pola <gateway-name>-<hash>.gateway.<region>.azure-api.net. Gunakan nama host gateway untuk merutekan permintaan API ke API ruang kerja Anda.
Saat ini, gateway ruang kerja tidak mendukung nama host kustom. Anda dapat mengonfigurasi Azure Application Gateway atau Azure Front Door dengan nama host kustom di depan gateway ruang kerja.
Isolasi jaringan untuk gateway ruang kerja
Anda dapat secara opsional mengonfigurasi sumber daya gateway ruang kerja di jaringan virtual privat untuk mengisolasi lalu lintas masuk dan keluar. Jika Anda mengonfigurasi isolasi ini, gateway ruang kerja harus menggunakan subnet khusus di jaringan virtual.
Untuk persyaratan terperinci, lihat Persyaratan sumber daya jaringan untuk gerbang ruang kerja.
Note
- Konfigurasi jaringan gateway ruang kerja tidak bergantung pada konfigurasi jaringan instans API Management.
- Saat ini, gateway ruang kerja hanya dapat dikonfigurasi di jaringan virtual saat gateway dibuat. Anda tidak dapat mengubah konfigurasi atau pengaturan jaringan gateway nanti.
Meningkatkan kapasitas gateway ruang kerja
Kelola kapasitas gateway ruang kerja dengan menambahkan atau menghapus unit skala, serupa dengan unit yang dapat Anda tambahkan ke instans API Management di tingkat layanan tertentu. Biaya gateway ruang kerja didasarkan pada jumlah unit yang Anda pilih.
Ketersediaan gateway ruang kerja berdasarkan wilayah
Untuk daftar wilayah terbaru di mana gateway ruang kerja tersedia, lihat Ketersediaan tingkat v2 dan gateway ruang kerja.
Batasan ruang kerja dan gateway ruang kerja
Batasan ruang kerja
- Ruang kerja tidak dapat dikaitkan dengan gateway yang dihost sendiri
- API di ruang kerja tidak dicakup oleh Defender untuk API
- Ruang kerja tidak mendukung pengelola kredensial
- Ruang kerja hanya mendukung cache internal; cache eksternal tidak didukung
- Ruang kerja tidak mendukung API GraphQL sintetis
- Ruang kerja tidak mendukung pembuatan API langsung dari sumber daya Azure seperti Azure OpenAI Service, App Service, Aplikasi Fungsi, dan sebagainya di portal Azure
- Ruang kerja tidak mendukung server MCP
- Metrik permintaan tidak dapat dibagi berdasarkan ruang kerja di Azure Monitor; semua metrik ruang kerja diagregasi di tingkat layanan
- Ruang kerja tidak mendukung sertifikat CA
- Ruang kerja tidak mendukung identitas terkelola, termasuk fitur terkait seperti menyimpan rahasia di Azure Key Vault dan menggunakan kebijakan
authentication-managed-identity
Batasan gateway untuk ruang kerja
Batasan berikut berlaku untuk sumber daya gateway ruang kerja terkelola. Hal tersebut tidak berlaku saat menggunakan ruang kerja pada gateway terkelola bawaan layanan.
- Gateway ruang kerja tidak mendukung titik akhir privat untuk lalu lintas masuk
- Gateway ruang kerja tidak mendukung nama host kustom
- Ruang kerja hanya dapat dikaitkan dengan gateway ruang kerja yang berada di wilayah dan langganan yang sama dengan sumber daya API Management
Pewarisan kebijakan global di pusat sambungan ruang kerja
Gateway ruang kerja menjalankan rantai kebijakan penuh, termasuk kebijakan global tingkat layanan (global.policy.xml). Perilaku ini berarti bahwa setiap kebijakan yang ditetapkan pada cakupan global dievaluasi dan diterapkan untuk permintaan API yang diproses oleh gateway ruang kerja, sama seperti pada gateway default. Perilaku ini memang sudah dirancang demikian dan konsisten dengan model evaluasi kebijakan API Management, di mana Anda menerapkan kebijakan secara hierarkis pada cakupan berikut: global (layanan) > ruang kerja > produk > API > operasi.
Rekomendasi untuk kebijakan global dengan gerbang jaringan ruang kerja
Tinjau kebijakan global Anda untuk memastikan kebijakan tersebut hanya berisi kebijakan yang dimaksudkan untuk diterapkan di semua gateway, termasuk gateway ruang kerja.
Jika Anda memerlukan perilaku yang berbeda per gateway, gunakan kebijakan pilihan dengan
context.Deployment.Gateway.Iduntuk menjalankan kebijakan secara kondisional berdasarkan gateway yang memproses permintaan.Jika Anda menentukan identitas terkelola autentikasi di cakupan global tetapi token tidak boleh tersedia untuk API yang terlingkup ruang kerja, pindahkan kebijakan ke cakupan yang lebih sempit (misalnya, tingkat produk atau API) daripada kebijakan global.
Peran RBAC untuk ruang kerja
Azure RBAC digunakan untuk mengonfigurasi izin kolaborator ruang kerja untuk membaca dan mengedit entitas di ruang kerja. Untuk daftar peran, lihat Cara menggunakan kontrol akses berbasis peran di API Management.
Untuk mengelola API dan sumber daya lain di ruang kerja, tetapkan peran kepada anggota ruang kerja (atau izin yang setara melalui peran kustom) yang dicakup untuk layanan API Management dan ruang kerja. Peran cakupan layanan memungkinkan referensi sumber daya tingkat layanan tertentu dari sumber daya tingkat ruang kerja. Misalnya, atur pengguna ke dalam grup tingkat ruang kerja untuk mengontrol API dan visibilitas produk.
Jika ruang kerja menggunakan gateway khusus untuk ruang kerja, anggota yang mengelola gateway tersebut juga harus ditetapkan peran yang cakupannya ditetapkan untuk sumber daya gateway ruang kerja.
Note
Untuk manajemen yang lebih mudah, siapkan grup Microsoft Entra untuk menetapkan izin ruang kerja ke beberapa pengguna.
Ruang kerja dan fitur API Management lainnya
Ruang kerja mandiri untuk memaksimalkan pemisahan akses administratif dan runtime API. Untuk memastikan produktivitas yang lebih tinggi dan memungkinkan tata kelola, pengamatan, penggunaan kembali, dan penemuan API di seluruh platform, ada beberapa pengecualian.
Referensi sumber daya - Sumber daya di ruang kerja dapat mereferensikan sumber daya lain di ruang kerja dan sumber daya yang dipilih dari tingkat layanan, seperti pengguna, server otorisasi, atau grup pengguna bawaan. Mereka tidak dapat mereferensikan sumber daya dari ruang kerja lain.
Demi alasan keamanan, Anda tidak dapat merujuk ke sumber daya tingkat layanan dari kebijakan tingkat ruang kerja (misalnya, nilai bernama) atau menggunakan nama sumber daya, seperti
backend-iddalam kebijakan set-backend-service.Important
Semua sumber daya dalam layanan API Management (misalnya, API, produk, tag, atau langganan) harus memiliki nama unik, bahkan jika berada di ruang kerja yang berbeda. Anda tidak dapat memiliki sumber daya dengan jenis yang sama dan dengan nama sumber daya Azure yang sama di ruang kerja yang sama, di ruang kerja lain, atau di tingkat layanan.
Portal pengembang - Ruang kerja adalah konsep administratif dan tidak ditampilkan sebagaimana adanya kepada konsumen portal pengembang, termasuk UI dan API portal pengembang yang mendasarinya. Anda dapat menerbitkan API dan produk dalam ruang kerja ke portal pengembang, sama seperti API dan produk di tingkat layanan.
Note
API Management mendukung penetapan server otorisasi yang ditentukan pada tingkat layanan ke API dalam ruang kerja.
Bermigrasi dari ruang kerja pratinjau
Jika Anda membuat ruang kerja pratinjau di Azure API Management dan ingin terus menggunakannya, migrasikan ruang kerja Anda ke versi yang tersedia secara umum dengan mengaitkan gateway ruang kerja dengan setiap ruang kerja.
Untuk mendapatkan detail dan mempelajari tentang perubahan lain yang dapat memengaruhi ruang kerja pratinjau Anda, lihat Perubahan signifikan ruang kerja (Maret 2025).
Menghapus ruang kerja
Saat Anda menghapus ruang kerja dengan menggunakan antarmuka portal Azure, Anda juga menghapus semua sumber daya turunannya (API, produk, dan sebagainya) serta gateway khusus ruang kerja jika ada yang terkait. Ini tidak menghapus instans API Management atau ruang kerja lainnya.