リソース プロバイダーのソース IP アドレスの更新 (2023 年 3 月)

2023 年 3 月 31 日、API Management サービスの耐回復性を高めるための継続的な作業の一環として、Azure API Management ゾーンのリソース プロバイダーを各リージョンで冗長化することになりました。 リソース プロバイダーがサービスとの通信に使う IP アドレスは、次の 7 つのリージョンで変更されます。

リージョン 古い IP アドレス 新しい IP アドレス
カナダ中部 52.139.20.34 20.48.201.76
ブラジル南部 191.233.24.179 191.238.73.14
ドイツ中西部 51.116.96.0 20.52.94.112
南アフリカ北部 102.133.0.79 102.37.166.220
韓国中部 40.82.157.167 20.194.74.240
インド中部 13.71.49.1 20.192.45.112
米国中南部 20.188.77.119 20.97.32.190

この変更は、API Management サービスの可用性に影響するものではありません。 ただし、2023 年 3 月 31 日以降に API Management サービスを構成するには、以下の手順が必要になる場合があります

この変更の影響を受けるサービス

次の場合、サービスはこの変更の影響を受けます。

  • API Management サービスが、上の表に示されている 7 つのリージョンのいずれかにある場合。
  • API Management サービスが Azure 仮想ネットワーク内で実行されている場合。
  • 仮想ネットワークのネットワーク セキュリティ グループ (NSG) またはユーザー定義ルート (UDR) が、明示的なソース IP アドレスで構成されている場合。

変更の期日

影響を受けるリージョンのソース IP アドレスは、2023 年 3 月 31 日に変更されます。 それまでに必要なネットワークの変更を完了してください。

2023 年 3 月 31 日以降、IP アドレスの変更を行わない場合サービスは継続されますが、API の追加や削除、API ポリシーの変更、その他 API Management サービスの構成ができなくなります。

この種の変更は今後回避できますか?

はい、できます。

API Management では、仮想ネットワークの NSG を構成するために使用できる "サービス タグ" を公開しています。 このサービス タグには、API Management がサービスを管理するために使うソース IP アドレスの情報が含まれています。 このトピックの詳細については、API Management のドキュメントの「NSG 規則の構成」を参照してください。

何をする必要がありますか?

NSG セキュリティ規則を更新して、API Management リソース プロバイダーが API Management インスタンスと通信できるようにします。 NSG を管理する方法の詳細については、Azure Virtual Network ドキュメントの「ネットワーク セキュリティ グループの作成、変更、または削除」を参照してください。

  1. NSG を表示するには、Azure portal に移動します。 「ネットワーク セキュリティ グループ」を検索して選択します。

  2. API Management サービスをホストする仮想ネットワークに関連付けられた NSG 名を選びます。

  3. メニュー バーで、[受信セキュリティ規則] を選びます。

  4. 受信セキュリティ規則には、上記の表の "古い IP アドレス" に一致するソース アドレスを示すエントリが既にあるはずです。 そうでない場合は、明示的なソース IP アドレス フィルター処理を使っていないため、この更新を省略できます。

  5. [追加] を選択します。

  6. フォームに次の情報を入力します。

    1. ソース: サービス タグ
    2. ソース サービス タグ: ApiManagement
    3. ソース ポート範囲: *
    4. 宛先: VirtualNetwork
    5. 宛先ポート範囲: 3443
    6. プロトコル: TCP
    7. アクション: 許可
    8. 優先順位: 新しい規則を既存の規則に対して順序付けるための適切な優先度を選びます。

    [名前] と [説明] フィールドには、任意の値を設定できます。 その他のフィールドはすべて空白のままにしてください。

  7. [OK] を選択します。

さらに、新しいコントロール プレーンの IP アドレスに対応するために、仮想ネットワークのネットワーク ルーティングの調整が必要な場合があります。 API Management サブネットからのすべてのトラフィックがインターネットに直接ではなく、ファイアウォールを通過するように既定ルート (0.0.0.0/0) を構成した場合は、追加の構成が必要です。

コントロール プレーンの IP アドレスに対してユーザー定義ルート (UDR) を構成した場合、新しい IP アドレスも同じようにルーティングする必要があります。 管理要求のネットワーク ルーティングを処理するために必要な変更の詳細については、トラフィックの強制トンネリングに関するドキュメントを参照してください。

最後に、API Management リソース プロバイダーから API Management サービス サブネットへの通信に影響する可能性のあるシステムが他にないか確認します。 仮想ネットワーク構成の詳細については、Virtual Network のドキュメントを参照してください。

詳細情報