IP-adressen van Azure API Management

  • Artikel

VAN TOEPASSING OP: Alle API Management-lagen

In dit artikel wordt beschreven hoe u de IP-adressen van de Azure API Management-service ophaalt. IP-adressen kunnen openbaar of privé zijn als de service zich in een virtueel netwerk bevindt. U kunt IP-adressen gebruiken om firewallregels te maken, het binnenkomende verkeer naar de back-endservices te filteren of het uitgaande verkeer te beperken.

IP-adressen van API Management-service

Elk API Management-service-exemplaar in de laag Developer, Basic, Standard of Premium heeft openbare IP-adressen, die alleen voor dat service-exemplaar zijn exclusief (ze worden niet gedeeld met andere resources).

U kunt de IP-adressen ophalen uit het overzichtsdashboard van uw resource in Azure Portal.

IP-adres van API Management

U kunt ze ook programmatisch ophalen met de volgende API-aanroep:

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

Openbare IP-adressen maken deel uit van het antwoord:

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.77.143.53"
    ],
    ...
  }
  ...
}

Bij implementaties in meerdere regio's heeft elke regionale implementatie één openbaar IP-adres.

IP-adressen van API Management-service in VNet

Als uw API Management-service zich in een virtueel netwerk bevindt, heeft deze twee typen IP-adressen: openbaar en privé.

  • Openbare IP-adressen worden gebruikt voor interne communicatie op poort 3443 : voor het beheren van de configuratie (bijvoorbeeld via Azure Resource Manager). In de externe VNet-configuratie worden ze ook gebruikt voor runtime-API-verkeer. In de interne VNet-configuratie worden openbare IP-adressen alleen gebruikt voor interne beheerbewerkingen van Azure en worden uw exemplaar niet beschikbaar gemaakt op internet.

  • Privé-VIP-adressen (virtual IP) die alleen beschikbaar zijn in de interne VNet-modus, worden gebruikt om vanuit het netwerk verbinding te maken met API Management-eindpunten: gateways, de ontwikkelaarsportal en het beheervlak voor directe API-toegang. U kunt ze gebruiken voor het instellen van DNS-records in het netwerk.

U ziet adressen van beide typen in Azure Portal en in het antwoord van de API-aanroep:

API Management in VNet-IP-adres

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.85.20.170"
    ],
    "privateIPAddresses": [
      "192.168.1.5"
    ],
    ...
  },
  ...
}

Belangrijk

De privé-IP-adressen van interne load balancer- en API Management-eenheden worden dynamisch toegewezen. Daarom is het onmogelijk om te anticiperen op het privé-IP-adres van het API Management-exemplaar vóór de implementatie. Daarnaast kan het wijzigen van een ander subnet en vervolgens retourneren een wijziging in het privé-IP-adres veroorzaken.

IP-adressen voor uitgaand verkeer

API Management maakt gebruik van een openbaar IP-adres voor een verbinding buiten het VNet of een gekoppeld VNet en maakt gebruik van een privé-IP-adres voor een verbinding in het VNet of een gekoppeld VNet.

  • Wanneer API Management wordt geïmplementeerd in een extern of intern virtueel netwerk en API Management verbinding maakt met privéback-ends (intranetgerichte) back-ends, interne IP-adressen (dynamisch IP- of DIP-adressen) van het subnet, worden gebruikt voor het runtime-API-verkeer. Wanneer een aanvraag vanuit API Management naar een privé-back-end wordt verzonden, is een privé-IP-adres zichtbaar als de oorsprong van de aanvraag.

    Als ip-beperkingen veilige resources binnen het VNet of een gekoppeld VNet weergeven, wordt het aanbevolen om het hele API Management-subnetbereik te gebruiken met een IP-regel en (in interne modus) niet alleen het privé-IP-adres dat is gekoppeld aan de API Management-resource.

  • Wanneer een aanvraag wordt verzonden van API Management naar een openbare (internetgerichte) back-end, is een openbaar IP-adres altijd zichtbaar als de oorsprong van de aanvraag.

IP-adressen van de API Management-service voor verbruik, Basic v2 en Standard v2

Als uw API Management-exemplaar wordt gemaakt in een servicelaag die wordt uitgevoerd op een gedeelde infrastructuur, heeft het geen toegewezen IP-adres. Momenteel worden exemplaren in de volgende servicelagen uitgevoerd op een gedeelde infrastructuur en zonder een deterministisch IP-adres: Verbruik, Basic v2, Standard v2.

Als u de uitgaande IP-adressen die worden gebruikt door uw exemplaar van de verbruiks-, Basic v2- of Standard v2-laag wilt toevoegen aan een acceptatielijst, kunt u het datacenter van het exemplaar (Azure-regio) toevoegen aan een acceptatielijst. U kunt een JSON-bestand met IP-adressen voor alle Azure-datacenters downloaden. Zoek vervolgens het JSON-fragment dat van toepassing is op de regio waarin uw exemplaar wordt uitgevoerd.

Het volgende JSON-fragment is bijvoorbeeld hoe de acceptatielijst voor West-Europa eruit kan zien:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

Vouw de sectie Details van de pagina Downloadcentrum uit voor informatie over wanneer dit bestand wordt bijgewerkt en wanneer de IP-adressen worden gewijzigd.

Wijzigingen in de IP-adressen

In de lagen Developer, Basic, Standard en Premium van API Management zijn het openbare IP-adres of de openbare IP-adressen (VIP) en privé-VIP-adressen (indien geconfigureerd in de interne VNet-modus) statisch voor de levensduur van een service, met de volgende uitzonderingen:

  • De API Management-service wordt verwijderd en vervolgens opnieuw gemaakt.

  • Het serviceabonnement is uitgeschakeld of gewaarschuwd (bijvoorbeeld voor niet-betaling) en vervolgens opnieuw ingesteld. Meer informatie over abonnementsstatussen

  • (Developer- en Premium-lagen) Azure Virtual Network wordt toegevoegd aan of verwijderd uit de service.

  • (Developer- en Premium-lagen) DE API Management-service wordt overgeschakeld tussen de implementatiemodus voor externe en interne VNet's.

  • (Developer- en Premium-lagen) DE API Management-service wordt verplaatst naar een ander subnet of gemigreerd van het stv1 naar het stv2 rekenplatform.

  • (Premium-laag) Beschikbaarheidszones zijn ingeschakeld, toegevoegd of verwijderd.

  • (Premium-laag) Bij implementaties in meerdere regio's verandert het regionale IP-adres als een regio is leeg en vervolgens opnieuw wordt ingesteld.

    Belangrijk

    Wanneer u overstapt van een extern naar intern virtueel netwerk (of omgekeerd), subnetten in het netwerk wijzigt of beschikbaarheidszones voor het API Management-exemplaar bijwerkt, moet u een andere openbare IP-adresresource configureren dan die eerder is geconfigureerd. U kunt indien nodig terugkeren naar het oorspronkelijke IP-adres.