Usare una rete virtuale con Azure API Management

Gestione API offre diverse opzioni per proteggere l'accesso all'istanza di Gestione API e alle API usando una rete virtuale di Azure. Gestione API supporta le opzioni seguenti, che si escludono a vicenda:

• Integrazione (inserimento) dell'istanza di Gestione API nella rete virtuale, consentendo al gateway di accedere alle risorse nella rete.

  È possibile scegliere una delle due modalità di integrazione: esterna o interna. Differiscono se la connettività in ingresso al gateway e altri endpoint di Gestione API è consentita da Internet o solo dall'interno della rete virtuale.

• Abilitazione della connettività in ingresso sicura e privata al gateway Gestione API usando un endpoint privato.

La tabella seguente confronta le opzioni di rete virtuale. Per altre informazioni, vedere sezioni successive di questo articolo e collegamenti a indicazioni dettagliate.

Modello di rete	Livelli supportati	Componenti supportati	Traffico supportato	Scenario di utilizzo
Rete virtuale - esterna	Sviluppatore, Premium	Portale per sviluppatori, gateway, piano di gestione e repository Git	Il traffico in ingresso e in uscita può essere consentito a Internet, reti virtuali con peering, connessioni VPN Express Route e S2S.	Accesso esterno ai back-end privati e locali
Rete virtuale - interna	Sviluppatore, Premium	Portale per sviluppatori, gateway, piano di gestione e repository Git.	Il traffico in ingresso e in uscita può essere autorizzato a eseguire il peering di reti virtuali, Express Route e connessioni VPN S2S.	Accesso interno ai back-end privati e locali
Endpoint privato in ingresso	Sviluppatore, Basic, Standard, Premium	Solo gateway (gateway gestito supportato, gateway self-hosted non supportato).	Solo il traffico in ingresso può essere consentito da Internet, reti virtuali con peering, connessioni VPN Express Route e S2S.	Proteggere la connessione client al gateway Gestione API

Integrazione della rete virtuale

Con le reti virtuali di Azure (reti virtuali), è possibile posizionare l'istanza di Gestione API in una rete non internet-instradabile a cui si controlla l'accesso. In una rete virtuale, l'istanza di Gestione API può accedere in modo sicuro ad altre risorse di Azure in rete e connettersi anche alle reti locali usando varie tecnologie VPN. Per altre informazioni sulle reti virtuali di Azure, iniziare con le informazioni contenute nella panoramica di Azure Rete virtuale.

È possibile usare l'portale di Azure, l'interfaccia della riga di comando di Azure, i modelli di Azure Resource Manager o altri strumenti per la configurazione. È possibile controllare il traffico in ingresso e in uscita nella subnet in cui Gestione API viene distribuito usando i gruppi di sicurezza di rete.

Per informazioni dettagliate sulla procedura di distribuzione e sulla configurazione di rete, vedere:

• Connettersi a una rete virtuale esterna usando Azure Gestione API.
• Connettersi a una rete virtuale interna usando Azure Gestione API.

Opzioni di accesso

Usando una rete virtuale, è possibile configurare il portale per sviluppatori, il gateway API e altri endpoint di Gestione API per essere accessibili da Internet (modalità esterna) o solo all'interno della rete virtuale (modalità interna).

• Esterno: gli endpoint di Gestione API sono accessibili da Internet pubblico tramite un servizio di bilanciamento del carico esterno. Il gateway può accedere alle risorse all'interno della rete virtuale.

  

  Usare Gestione API in modalità esterna per accedere ai servizi back-end distribuiti nella rete virtuale.

• Interno: gli endpoint di Gestione API sono accessibili solo dall'interno della rete virtuale tramite un servizio di bilanciamento del carico interno. Il gateway può accedere alle risorse all'interno della rete virtuale.

  

  Usare Gestione API in modalità interna per:

  • Rendere le API ospitate nel data center privato in modo sicuro accessibili da terze parti usando connessioni VPN di Azure o Azure ExpressRoute.
  • Abilitare scenari cloud ibridi esponendo le API basate su cloud e locali tramite un gateway comune.
  • Gestire le API ospitate in più posizioni geografiche usando un singolo endpoint gateway.

Requisiti delle risorse di rete

Di seguito sono riportati i requisiti delle risorse di rete virtuale per Gestione API. Alcuni requisiti differiscono a seconda della versione (stv2 o stv1) della piattaforma di calcolo che ospita l'istanza di Gestione API.

stv2

• È necessaria una rete virtuale di Azure Resource Manager.
• È necessario specificare un indirizzo IPv4 pubblico dello SKU Standard oltre a specificare una rete virtuale e una subnet.
• La subnet usata per connettersi all'istanza di Gestione API può contenere altri tipi di risorse di Azure.
• La subnet usata per connettersi all'istanza di Gestione API non deve avere alcuna delega abilitata. L'impostazione "Delega subnet a un servizio" per la subnet deve essere impostata su "None".
• Un gruppo di sicurezza di rete collegato alla subnet precedente. È necessario che un gruppo di sicurezza di rete (NSG) consenta in modo esplicito la connettività in ingresso, perché il servizio di bilanciamento del carico usato internamente da Gestione API è sicuro per impostazione predefinita e rifiuta tutto il traffico in ingresso.
• Il servizio Gestione API, la rete virtuale e la subnet e la risorsa indirizzo IP pubblico devono trovarsi nella stessa area e sottoscrizione.
• Per le distribuzioni di Gestione API multi-area, configurare le risorse di rete virtuale separatamente per ogni posizione.

stv1

• È necessaria una rete virtuale di Azure Resource Manager.
• La subnet usata per connettersi all'istanza di Gestione API deve essere dedicata all'Gestione API. Non può contenere altri tipi di risorse di Azure.
• La subnet usata per connettersi all'istanza di Gestione API non deve avere alcuna delega abilitata. L'impostazione "Delega subnet a un servizio" per la subnet deve essere impostata su "None".
• Il servizio Gestione API, la rete virtuale e le risorse della subnet devono trovarsi nella stessa area e nella stessa sottoscrizione.
• Per le distribuzioni di Gestione API multi-area, configurare le risorse di rete virtuale separatamente per ogni posizione.

Dimensioni della subnet

La dimensione minima della subnet in cui è possibile distribuire Gestione API è /29, che fornisce tre indirizzi IP utilizzabili. Ogni unità di scalabilità aggiuntiva di Gestione API richiede due più indirizzi IP. Il requisito minimo per le dimensioni è basato sulle considerazioni seguenti:

• Azure riserva cinque indirizzi IP all'interno di ogni subnet che non può essere usata. Il primo e l'ultimo degli indirizzi IP delle subnet vengono riservati per la conformità al protocollo. Per i servizi di Azure vengono usati tre indirizzi. Per altre informazioni, vedere Esistono restrizioni sull'uso di indirizzi IP all'interno di queste subnet?

• Oltre agli indirizzi IP usati dall'infrastruttura di rete virtuale di Azure, ogni Gestione API istanza nella subnet usa:

  • Due indirizzi IP per unità di SKU Basic, Standard o Premium o
  • Un indirizzo IP per lo SKU sviluppatore.

• Quando si distribuisce in una rete virtuale interna, l'istanza richiede un indirizzo IP aggiuntivo per il servizio di bilanciamento del carico interno.

Esempio

• Per SKU Basic, Standard o Premium:

  • /29 subnet: 8 possibili indirizzi IP - 5 indirizzi IP riservati di Azure - 2 Gestione API indirizzi IP per un'istanza - 1 indirizzo IP per il bilanciamento del carico interno, se usato in modalità interna = 0 indirizzi IP rimanenti lasciati per le unità di scalabilità orizzontale.

  • /28 subnet: 16 possibili indirizzi IP - 5 indirizzi IP riservati di Azure - 2 Gestione API indirizzi IP per un'istanza - 1 indirizzo IP per il servizio di bilanciamento del carico interno, se usato in modalità interna = 8 indirizzi IP rimanenti lasciati per quattro unità di scalabilità orizzontale (2 indirizzi IP/unità di scalabilità orizzontale) per un totale di cinque unità. Questa subnet ottimizza in modo efficiente i limiti di scalabilità dello SKU Basic e Standard.

  • /27 subnet: 32 possibili indirizzi IP - 5 indirizzi IP riservati di Azure - 2 Gestione API indirizzi IP per un'istanza - 1 indirizzo IP per il servizio di bilanciamento del carico interno, se usato in modalità interna = 24 indirizzi IP rimanenti lasciati per dodici unità di scalabilità orizzontale (2 indirizzi IP/unità di scalabilità orizzontale) per un totale di tredici unità. Questa subnet ottimizza in modo efficiente il limite di scalabilità orizzontale dello SKU Premium a limite leggero.

  • /26 subnet: 64 possibili indirizzi IP - 5 indirizzi IP riservati di Azure - 2 Gestione API indirizzi IP per un'istanza - 1 indirizzo IP per il servizio di bilanciamento del carico interno, se usato in modalità interna = 56 indirizzi IP rimanenti lasciati per 2 unità di scalabilità orizzontale (2 indirizzi IP/unità di scalabilità orizzontale) per un totale di venti nove unità. È possibile, con un ticket di supporto di Azure, ridimensionare lo SKU Premium oltre dodici unità. Se si prevede una richiesta elevata, considerare la subnet /26.

  • /25 subnet: 128 possibili indirizzi IP - 5 indirizzi IP riservati di Azure - 2 Gestione API indirizzi IP per un'istanza - 1 indirizzo IP per il servizio di bilanciamento del carico interno, se usato in modalità interna = 120 indirizzi IP rimanenti lasciati per sessanta unità di scalabilità orizzontale (2 indirizzi IP/unità di scalabilità orizzontale) per un totale di sessanta-uno unità. Si tratta di un numero estremamente elevato e teorico di unità di scalabilità orizzontale.

Routing

Vedere le indicazioni sul routing durante la distribuzione dell'istanza di Gestione API in una rete virtuale esterna o in una rete virtuale interna.

Altre informazioni sugli indirizzi IP di Gestione API.

DNS

• In modalità esterna, la rete virtuale abilita la risoluzione dei nomi fornita da Azure per impostazione predefinita per gli endpoint Gestione API e altre risorse di Azure. Non fornisce la risoluzione dei nomi per le risorse locali. Facoltativamente, configurare la propria soluzione DNS.

• In modalità interna è necessario fornire una soluzione DNS personalizzata per garantire la risoluzione dei nomi per gli endpoint di Gestione API e altre risorse di Azure necessarie. È consigliabile configurare una zona DNS privata di Azure.

Per altre informazioni, vedere le linee guida dns per la distribuzione dell'istanza di Gestione API in una rete virtuale esterna o in una rete virtuale interna.

Informazioni correlate:

• Risoluzione dei nomi per le risorse in reti virtuali di Azure.
• Creare una zona DNS privato di Azure

Importante

Se si prevede di usare una soluzione DNS personalizzata per la rete virtuale, configurarla prima di distribuire un servizio Gestione API. In caso contrario, sarà necessario aggiornare il servizio Gestione API ogni volta che si modificano i server DNS eseguendo l'operazione Applica configurazione di rete oppure selezionando Applica configurazione di rete nella finestra di configurazione di rete dell'istanza del servizio nella portale di Azure.

Limitazioni

Alcune limitazioni della rete virtuale variano a seconda della versione (stv2 o stv1) della piattaforma di calcolo che ospita l'istanza di Gestione API.

stv2

• Non è possibile spostare una subnet contenente Gestione API istanze tra sottoscrizioni.
• Per le distribuzioni in più aree Gestione API configurate in modalità rete virtuale interna, gli utenti possiedono il routing e sono responsabili della gestione del bilanciamento del carico tra più aree.
• Per importare un'API in Gestione API da una specifica OpenAPI, l'URL della specifica deve essere ospitato in un indirizzo Internet accessibile pubblicamente.

stv1

• Non è possibile spostare una subnet contenente Gestione API istanze tra sottoscrizioni.
• Per le distribuzioni in più aree Gestione API configurate in modalità rete virtuale interna, gli utenti possiedono il routing e sono responsabili della gestione del bilanciamento del carico tra più aree.
• Per importare un'API in Gestione API da una specifica OpenAPI, l'URL della specifica deve essere ospitato in un indirizzo Internet accessibile pubblicamente.
• A causa delle limitazioni della piattaforma, la connettività tra una risorsa in una rete virtuale con peering globale in un'altra area e un servizio Gestione API in modalità interna non funziona. Per altre informazioni, vedere la documentazione della rete virtuale.

Endpoint privato in ingresso

Gestione API supporta gli endpoint privati per le connessioni client in ingresso sicure all'istanza di Gestione API. Ogni connessione protetta usa un indirizzo IP privato dalla rete virtuale e collegamento privato di Azure.

Con un endpoint privato e collegamento privato è possibile:

• Creare più connessioni del collegamento privato a un'istanza di Gestione API.

• Usare l'endpoint privato per inviare il traffico in ingresso su una connessione sicura.

• Usare criteri per distinguere il traffico proveniente dall'endpoint privato.

• Limitare il traffico in ingresso solo agli endpoint privati, impedendo l'esfiltrazione di dati.

Importante

• È possibile configurare solo una connessione endpoint privato per il traffico in ingresso verso l'istanza di Gestione API. Attualmente, il traffico in uscita non è supportato.

  È possibile usare il modello di rete virtuale esterna o interna per stabilire la connettività in uscita agli endpoint privati dall'istanza di Gestione API.

• Per abilitare gli endpoint privati, l'istanza di Gestione API non può essere già configurata con una rete virtuale esterna o interna.

Per altre informazioni, vedere Connettersi privatamente alle Gestione API usando un endpoint privato in ingresso.

Configurazioni di rete avanzate

Proteggere gli endpoint Gestione API con un web application firewall

Potrebbero essere presenti scenari in cui è necessario l'accesso esterno e interno sicuro all'istanza di Gestione API e la flessibilità per raggiungere back-end privati e locali. Per questi scenari, è possibile scegliere di gestire l'accesso esterno agli endpoint di un'istanza di Gestione API con un web application firewall (WAF).

Un esempio consiste nel distribuire un'istanza di Gestione API in una rete virtuale interna e instradare l'accesso pubblico a tale istanza usando un gateway applicazione di Azure con connessione Internet:

Per altre informazioni, vedere Integrare Gestione API in una rete virtuale interna con gateway applicazione.

Passaggi successivi

Altre informazioni su:

Configurazione della rete virtuale con Gestione API:

• Connettersi a una rete virtuale esterna usando Azure Gestione API.
• Connettersi a una rete virtuale interna usando Azure Gestione API.
• Connettersi privatamente a Gestione API usando un endpoint privato
• Difendere l'istanza di Azure Gestione API dagli attacchi DDoS

Articoli correlati:

• Connessione di una rete virtuale al back-end tramite Gateway VPN
• Connessione di una rete virtuale da modelli di distribuzione differenti
• Domande frequenti sulla rete virtuale