Indirizzi IP di Gestione API di Azure

  • Articolo

SI APPLICA A: Tutti i livelli di Gestione API

In questo articolo viene descritto come recuperare gli indirizzi IP del servizio Gestione API di Azure. Gli indirizzi IP possono essere pubblici o privati se il servizio si trova in una rete virtuale. È possibile usare gli indirizzi IP per creare regole del firewall, filtrare il traffico in ingresso ai servizi back-end o limitare il traffico in uscita.

Indirizzi IP del servizio Gestione API

Ogni istanza del servizio Gestione API nel livello Developer, Basic, Standard o Premium ha indirizzi IP pubblici, che sono esclusivi solo per l'istanza del servizio (non sono condivisi con altre risorse).

È possibile recuperare gli indirizzi IP dal dashboard di panoramica della risorsa nel portale di Azure.

indirizzo IP Gestione API

È anche possibile recuperarli a livello di codice con la chiamata API seguente:

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

Gli indirizzi IP pubblici faranno parte della risposta:

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.77.143.53"
    ],
    ...
  }
  ...
}

Nelle distribuzioni in più aree, ogni distribuzione a livello di area ha un indirizzo IP pubblico.

Indirizzi IP del servizio Gestione API nella rete virtuale

Se il servizio Gestione API si trova all'interno di una rete virtuale, avrà due tipi di indirizzi IP: pubblico e privato.

  • Gli indirizzi IP pubblici vengono usati per la comunicazione interna sulla porta 3443, ad esempio per la gestione della configurazione, ad esempio tramite Azure Resource Manager. Nella configurazione della rete virtuale esterna vengono usate anche per il traffico dell'API di runtime. Nella configurazione della rete virtuale interna, gli indirizzi IP pubblici vengono usati solo per le operazioni di gestione interne di Azure e non espongono l'istanza a Internet.

  • Gli indirizzi IP virtuali privati (VIP), disponibili solo nella modalità di rete virtuale interna, vengono usati per connettersi dalla rete agli endpoint di Gestione API, ovvero gateway, portale per sviluppatori e piano di gestione per l'accesso diretto all'API. È possibile usarli per configurare i record DNS all'interno della rete.

Gli indirizzi di entrambi i tipi verranno visualizzati nel portale di Azure e nella risposta della chiamata API:

Gestione API nell'indirizzo IP della rete virtuale

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.85.20.170"
    ],
    "privateIPAddresses": [
      "192.168.1.5"
    ],
    ...
  },
  ...
}

Importante

Gli indirizzi IP privati del servizio di bilanciamento del carico interno e le unità gestione API vengono assegnati in modo dinamico. Pertanto, è impossibile prevedere l'indirizzo IP privato dell'istanza di Gestione API prima della distribuzione. Inoltre, la modifica a una subnet diversa e quindi la restituzione può causare una modifica nell'indirizzo IP privato.

Indirizzi IP per il traffico in uscita

Gestione API usa un indirizzo IP pubblico per una connessione all'esterno della rete virtuale o di una rete virtuale con peering, e usa un indirizzo IP privato per una connessione nella rete virtuale o in una rete virtuale con peering.

  • Quando gestione API viene distribuita in una rete virtuale esterna o interna e Gestione API si connette a back-end privati (con connessione Intranet), gli indirizzi IP interni (indirizzi IP dinamici o DIP) dalla subnet vengono usati per il traffico dell'API di runtime. Quando una richiesta viene inviata da Gestione API a un back-end privato, un indirizzo IP privato sarà visibile come origine della richiesta.

    Pertanto, se le restrizioni IP elencano le risorse protette all'interno della rete virtuale o di una rete virtuale con peering, è consigliabile usare l'intero intervallo di subnet di Gestione API con una regola IP e (in modalità interna) non solo l'indirizzo IP privato associato alla risorsa gestione API.

  • Quando una richiesta viene inviata da Gestione API a un back-end pubblico (con connessione Internet), un indirizzo IP pubblico sarà sempre visibile come origine della richiesta.

Indirizzi IP del servizio Gestione API a consumo, Basic v2 e Standard v2

Se l'istanza di Gestione API viene creata in un livello di servizio eseguito in un'infrastruttura condivisa, non ha un indirizzo IP dedicato. Attualmente, le istanze nei livelli di servizio seguenti vengono eseguite in un'infrastruttura condivisa e senza un indirizzo IP deterministico: Consumo, Basic v2, Standard v2.

Se è necessario aggiungere gli indirizzi IP in uscita usati dall'istanza di livello Consumption, Basic v2 o Standard v2 a un elenco di elementi consentiti, è possibile aggiungere il data center dell'istanza (area di Azure) a un elenco elementi consentiti. È possibile scaricare un file JSON che elenca gli indirizzi IP per tutti i data center di Azure. Trovare quindi il frammento JSON che si applica all'area in cui viene eseguita l'istanza.

Ad esempio, il frammento JSON seguente è l'aspetto dell'elenco di elementi consentiti per l'Europa occidentale:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

Per informazioni sull'aggiornamento di questo file e la modifica degli indirizzi IP, espandere la sezione Dettagli della pagina dell'Area download.

Modifiche agli indirizzi IP

Nei livelli Developer, Basic, Standard e Premium di Gestione API, l'indirizzo IP pubblico o gli indirizzi VIP (VIP) e gli indirizzi VIP privati (se configurati nella modalità rete virtuale interna) sono statici per la durata di un servizio, con le eccezioni seguenti:

  • Il servizio Gestione API viene eliminato e quindi ricreato.

  • La sottoscrizione del servizio viene disabilitata o avvisata (ad esempio, per il mancato pagamento) e quindi ripristinata. Altre informazioni sugli stati della sottoscrizione

  • (Livelli Developer e Premium) La rete virtuale di Azure viene aggiunta o rimossa dal servizio.

  • (Livelli Developer e Premium) Il servizio Gestione API passa dalla modalità di distribuzione esterna alla rete virtuale interna.

  • (Livelli Developer e Premium) Gestione API servizio viene spostato in una subnet diversa o migrato dalla stv1 piattaforma di stv2 calcolo.

  • (livello Premium) Le zone di disponibilità sono abilitate, aggiunte o rimosse.

  • (livello Premium) Nelle distribuzioni in più aree, l'indirizzo IP a livello di area cambia se un'area viene liberata e quindi ripristinata.

    Importante

    Quando si passa da una rete virtuale esterna a una rete virtuale interna (o viceversa), modificando le subnet nella rete o aggiornando le zone di disponibilità per l'istanza di Gestione API, è necessario configurare una risorsa indirizzo IP pubblico diversa da quella configurata in precedenza. Se necessario, è possibile tornare all'indirizzo IP originale.