Indirizzi IP di Azure Gestione API

In questo articolo viene descritto come recuperare gli indirizzi IP del servizio di Gestione API di Azure. Gli indirizzi IP possono essere pubblici o privati se il servizio si trova in una rete virtuale. È possibile usare gli indirizzi IP per creare regole del firewall, filtrare il traffico in ingresso ai servizi back-end o limitare il traffico in uscita.

Indirizzi IP del servizio Gestione API

Ogni Gestione API istanza del servizio in Developer, Basic, Standard o Premium ha indirizzi IP pubblici, che sono esclusivi solo per l'istanza del servizio (non sono condivisi con altre risorse).

È possibile recuperare gli indirizzi IP dal dashboard di panoramica della risorsa nel portale di Azure.

indirizzo IP Gestione API

È anche possibile recuperarli a livello di codice con la chiamata API seguente:

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

Gli indirizzi IP pubblici fanno parte della risposta:

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.77.143.53"
    ],
    ...
  }
  ...
}

Nelle distribuzioni multi-area ogni distribuzione a livello di area ha un indirizzo IP pubblico.

Indirizzi IP del servizio Gestione API nella rete virtuale

Se il servizio Gestione API si trova all'interno di una rete virtuale, avrà due tipi di indirizzi IP: pubblico e privato.

  • Gli indirizzi IP pubblici vengono usati per la comunicazione interna sulla porta 3443 , ad esempio per la gestione della configurazione, ad esempio tramite Resource Manager di Azure. Nella configurazione della rete virtuale esterna vengono usati anche per il traffico api di runtime.

  • Gli indirizzi IP virtuali privati ,disponibili solo nella modalità rete virtuale interna, vengono usati per connettersi dall'interno della rete a Gestione API endpoint - gateway, portale per sviluppatori e piano di gestione per l'accesso diretto alle API. È possibile usarli per configurare i record DNS all'interno della rete.

Verranno visualizzati gli indirizzi di entrambi i tipi nella portale di Azure e nella risposta della chiamata API:

Gestione API nell'indirizzo IP della rete virtuale

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.85.20.170"
    ],
    "privateIPAddresses": [
      "192.168.1.5"
    ],
    ...
  },
  ...
}

Indirizzi IP per il traffico in uscita

Gestione API usa un indirizzo IP pubblico per una connessione all'esterno della rete virtuale o di una rete virtuale con peering e un indirizzo IP privato per una connessione nella rete virtuale o in una rete virtuale con peering.

  • Quando la gestione API viene distribuita in una rete virtuale esterna o interna e la gestione API si connette a back-end privati (intranet), indirizzi IP interni (IP dinamico o indirizzi DIP) dalla subnet vengono usati per il traffico API di runtime. Quando una richiesta viene inviata da Gestione API a un back-end privato, un indirizzo IP privato sarà visibile come origine della richiesta.

    Pertanto, se la restrizione IP elenca le risorse sicure all'interno della rete virtuale o una rete virtuale con peering, è consigliabile usare l'intero intervallo di subnet Gestione API con una regola IP e (in modalità interna) non solo l'indirizzo IP privato associato alla risorsa Gestione API.

  • Quando una richiesta viene inviata da Gestione API a un back-end pubblico (con connessione Internet), un indirizzo IP pubblico sarà sempre visibile come origine della richiesta.

Indirizzi IP del livello consumo Gestione API servizio

Se il servizio Gestione API è un servizio a livello di consumo, non ha un indirizzo IP dedicato. Il servizio livello di consumo viene eseguito in un'infrastruttura condivisa e senza un indirizzo IP deterministico.

Se è necessario aggiungere gli indirizzi IP in uscita usati dall'istanza del livello Consumo a un elenco allowlist, è possibile aggiungere il data center dell'istanza (area di Azure) a un elenco consentito. È possibile scaricare un file JSON che elenca gli indirizzi IP per tutti i data center di Azure. Trovare quindi il frammento JSON che si applica all'area in cui viene eseguita l'istanza.

Ad esempio, il frammento JSON seguente è quello che potrebbe essere simile all'elenco allowlist per l'Europa occidentale:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

Per informazioni sull'aggiornamento di questo file e la modifica degli indirizzi IP, espandere la sezione Dettagli della pagina dell'Area download.

Modifiche agli indirizzi IP

Nei livelli Developer, Basic, Standard e Premium di Gestione API, l'indirizzo IP pubblico o gli indirizzi VIP (VIP) e gli indirizzi VIP privati (se configurati nella modalità rete virtuale interna) sono statici per la durata di un servizio, con le eccezioni seguenti:

  • Il servizio Gestione API viene eliminato e quindi ricreato.

  • La sottoscrizione al servizio viene sospesa o avvisata, ad esempio per mancato pagamento, e quindi ripristinata.

  • (Livelli Developer e Premium) Azure Rete virtuale viene aggiunto o rimosso dal servizio.

  • (Livelli Developer e Premium) Gestione API servizio passa tra la modalità di distribuzione esterna e interna della rete virtuale.

  • (livello Premium) Le zone di disponibilità sono abilitate, aggiunte o rimosse.

  • (livello Premium) Nelle distribuzioni a più aree, l'indirizzo IP regionale cambia se un'area viene liberata e quindi ripristinata.

    Importante

    Quando si passa da una rete virtuale esterna a una rete virtuale interna (o viceversa), modificando le subnet nella rete o aggiornando le zone di disponibilità per l'istanza di Gestione API, è necessario configurare una risorsa di indirizzo IP pubblico diversa rispetto a quella configurata in precedenza. Se necessario, è possibile eseguire lo scambio con l'indirizzo IP originale.