privé naar API Management Verbinding maken met behulp van een binnenkomend privé-eindpunt

VAN TOEPASSING OP: Ontwikkelaar | Basic | Standaard | Premium

U kunt een binnenkomend privé-eindpunt configureren voor uw API Management-exemplaar, zodat clients in uw privénetwerk veilig toegang hebben tot het exemplaar via Azure Private Link.

• Het privé-eindpunt maakt gebruik van een IP-adres van een Azure-VNet waarin het wordt gehost.

• Netwerkverkeer tussen een client op uw privénetwerk en API Management loopt via het VNet en een Private Link in het backbone-netwerk van Microsoft, waardoor blootstelling vanaf het openbare internet wordt voorkomen.

• Configureer aangepaste DNS-instellingen of een Azure DNS-privézone om de API Management-hostnaam toe te wijzen aan het privé-IP-adres van het eindpunt.

Met een privé-eindpunt en Private Link kunt u het volgende doen:

• Maak meerdere Private Link-verbindingen met een API Management-exemplaar.

• Gebruik het privé-eindpunt om binnenkomend verkeer te verzenden via een beveiligde verbinding.

• Gebruik beleid om onderscheid te maken tussen verkeer dat afkomstig is van het privé-eindpunt.

• Beperk binnenkomend verkeer alleen tot privé-eindpunten, waardoor exfiltratie van gegevens wordt voorkomen.

Belangrijk

• U kunt alleen een privé-eindpuntverbinding configureren voor inkomend verkeer naar het API Management-exemplaar. Op dit moment wordt uitgaand verkeer niet ondersteund.

  U kunt het externe of interne virtuele netwerkmodel gebruiken om uitgaande connectiviteit met privé-eindpunten tot stand te brengen vanuit uw API Management-exemplaar.

• Als u binnenkomende privé-eindpunten wilt inschakelen, kan het API Management-exemplaar niet worden opgenomen in een extern of intern virtueel netwerk.

Beperkingen

• Alleen het gateway-eindpunt van het API Management-exemplaar ondersteunt binnenkomende Private Link-verbindingen.
• Elk API Management-exemplaar ondersteunt maximaal 100 Private Link-verbindingen.
• Verbinding maken ionen worden niet ondersteund op de zelf-hostende gateway.

Vereisten

• Een bestaand API Management-exemplaar. Maak er een als u dat nog niet hebt gedaan.
  • Het API Management-exemplaar moet worden gehost op het stv2 rekenplatform. Maak bijvoorbeeld een nieuw exemplaar of schakel zoneredundantie in als u al een exemplaar in de Premium-servicelaag hebt.
  • Implementeer het exemplaar niet (injecteer) in een extern of intern virtueel netwerk.
• Een virtueel netwerk en subnet voor het hosten van het privé-eindpunt. Het subnet kan andere Azure-resources bevatten.
• (Aanbevolen) Een virtuele machine in hetzelfde of een ander subnet in het virtuele netwerk om het privé-eindpunt te testen.

Goedkeuringsmethode voor privé-eindpunt

Normaal gesproken maakt een netwerkbeheerder een privé-eindpunt. Afhankelijk van uw RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) van Azure, wordt een privé-eindpunt dat u maakt, automatisch goedgekeurd voor het verzenden van verkeer naar het API Management-exemplaar of moet de resource-eigenaar de verbinding handmatig goedkeuren .

Goedkeuringsmethode	Minimale RBAC-machtigingen
Automatisch	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/**
Handmatig	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read

Stappen voor het configureren van een privé-eindpunt

1. Beschikbare typen privé-eindpunten in abonnement ophalen
2. Netwerkbeleid uitschakelen in subnet
3. Privé-eindpunt maken - portal
4. Privé-eindpuntverbindingen met het exemplaar weergeven
5. In behandeling zijnde privé-eindpuntverbindingen goedkeuren
6. Optioneel openbare netwerktoegang uitschakelen

Beschikbare typen privé-eindpunten in abonnement ophalen

Controleer of het type privé-eindpunt van API Management beschikbaar is in uw abonnement en locatie. Zoek deze informatie in de portal door naar het Private Link Center te gaan. Selecteer Ondersteunde resources.

U kunt deze informatie ook vinden met behulp van de beschikbare typen privé-eindpunten - REST API vermelden.

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01

Uitvoer moet het Microsoft.ApiManagement.service eindpunttype bevatten:

[...]

      "name": "Microsoft.ApiManagement.service",
      "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Network/AvailablePrivateEndpointTypes/Microsoft.ApiManagement.service",
      "type": "Microsoft.Network/AvailablePrivateEndpointTypes",
      "resourceName": "Microsoft.ApiManagement/service",
      "displayName": "Microsoft.ApiManagement/service",
      "apiVersion": "2021-04-01-preview"
    }
[...]

Netwerkbeleid uitschakelen in subnet

Netwerkbeleid zoals netwerkbeveiligingsgroepen moet worden uitgeschakeld in het subnet dat wordt gebruikt voor het privé-eindpunt.

Als u hulpprogramma's zoals Azure PowerShell, de Azure CLI of REST API gebruikt om privé-eindpunten te configureren, werkt u de subnetconfiguratie handmatig bij. Zie Netwerkbeleid voor privé-eindpunten beheren voor voorbeelden.

Wanneer u Azure Portal gebruikt om een privé-eindpunt te maken, zoals wordt weergegeven in de volgende sectie, worden netwerkbeleidsregels automatisch uitgeschakeld als onderdeel van het aanmaakproces

Privé-eindpunt maken - portal

1. Navigeer naar uw API Management-service in Azure Portal.

2. Selecteer Netwerk in het menu aan de linkerkant.

3. Selecteer Binnenkomende privé-eindpuntverbindingen>+ Eindpunt toevoegen.

   

4. Voer op het tabblad Basisbeginselen van Een privé-eindpunt maken de volgende gegevens in of selecteer deze:

   Instelling	Weergegeven als
   Projectdetails
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer een bestaande resourcegroep of maak een nieuwe groep. Deze moet zich in dezelfde regio bevinden als uw virtuele netwerk.
   Exemplaardetails
   Naam	Voer een naam in voor het eindpunt, zoals myPrivateEndpoint.
   Netwerkinterfacenaam	Voer een naam in voor de netwerkinterface, zoals myInterface
   Regio	Selecteer een locatie voor het privé-eindpunt. Deze moet zich in dezelfde regio bevinden als uw virtuele netwerk. Het kan verschillen van de regio waar uw API Management-exemplaar wordt gehost.

5. Selecteer het tabblad Resource of de knop Volgende: Resource onderaan de pagina. De volgende informatie over uw API Management-exemplaar is al ingevuld:

   • Abonnement
   • Resourcegroep
   • Resourcenaam

6. Selecteer Gateway in Resource in de subresource Doel.

   

7. Selecteer het tabblad Virtueel netwerk of de knop Volgende: Virtueel netwerk onderaan het scherm.

8. Voer in Netwerken deze gegevens in of selecteer deze:

   Instelling	Weergegeven als
   Virtueel netwerk	Selecteer uw virtuele netwerk.
   Subnet	Selecteer uw subnet.
   Privé-IP-configuratie	In de meeste gevallen selecteert u Dynamisch IP-adres toewijzen.
   Toepassingsbeveiligingsgroep	Selecteer desgewenst een toepassingsbeveiligingsgroep.

9. Selecteer het tabblad DNS of de knop Volgende: DNS onderaan het scherm.

10. Voer in Privé-DNS integratie deze gegevens in of selecteer deze:

    Instelling	Weergegeven als
    Integreren met privé-DNS-zone	Laat de standaardwaarde Ja staan.
    Abonnement	Selecteer uw abonnement.
    Resourcegroep	Selecteer uw resourcegroep.
    Persoonlijke DNS-zones	De standaardwaarde wordt weergegeven: (nieuw) privatelink.azure-api.net.

11. Selecteer het tabblad Tags of de knop Volgende: Tabbladen onderaan het scherm. Voer desgewenst tags in om uw Azure-resources te organiseren.

12. Selecteer Controleren + maken.

13. Selecteer Maken.

Privé-eindpuntverbindingen met het exemplaar weergeven

Nadat het privé-eindpunt is gemaakt, wordt het weergegeven in de lijst op de pagina Verbindingen voor binnenkomende privé-eindpunten van het API Management-exemplaar in de portal.

U kunt ook het privé-eindpunt Verbinding maken ion - List By Service REST API gebruiken om privé-eindpuntverbindingen met het service-exemplaar weer te geven.

Let op de Verbinding maken status van het eindpunt:

• Goedgekeurd geeft aan dat de API Management-resource de verbinding automatisch heeft goedgekeurd.
• In behandeling geeft aan dat de verbinding handmatig moet worden goedgekeurd door de resource-eigenaar.

In behandeling zijnde privé-eindpuntverbindingen goedkeuren

Als een privé-eindpuntverbinding de status In behandeling heeft, moet een eigenaar van het API Management-exemplaar deze handmatig goedkeuren voordat deze kan worden gebruikt.

Als u over voldoende machtigingen beschikt, keurt u een privé-eindpuntverbinding goed op de pagina Privé-eindpuntverbindingen van het API Management-exemplaar in de portal.

U kunt ook het privé-eindpunt van API Management gebruiken Verbinding maken ion: REST API maken of bijwerken.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{apimServiceName}privateEndpointConnections/{privateEndpointConnectionName}?api-version=2021-08-01

Optioneel openbare netwerktoegang uitschakelen

Als u inkomend verkeer naar het API Management-exemplaar optioneel wilt beperken tot privé-eindpunten, schakelt u openbare netwerktoegang uit. Gebruik de API Management-service - REST API maken of bijwerken om de publicNetworkAccess eigenschap in te stellen op Disabled.

Notitie

De publicNetworkAccess eigenschap kan alleen worden gebruikt om openbare toegang tot API Management-exemplaren uit te schakelen die zijn geconfigureerd met een privé-eindpunt, niet met andere netwerkconfiguraties, zoals VNet-injectie.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{apimServiceName}?api-version=2021-08-01
Authorization: Bearer {{authToken.response.body.access_token}}
Content-Type: application/json

Gebruik de volgende JSON-hoofdtekst:

{
  [...]
  "properties": {
    "publicNetworkAccess": "Disabled"
  }
}

Privé-eindpuntverbinding valideren

Nadat het privé-eindpunt is gemaakt, bevestigt u de DNS-instellingen in de portal:

1. Navigeer naar uw API Management-service in Azure Portal.

2. Selecteer in het linkermenu verbindingen voor binnenkomende privé-eindpunten in het netwerk>en selecteer het privé-eindpunt dat u hebt gemaakt.

3. Selecteer DNS-configuratie in het navigatievenster aan de linkerkant.

4. Controleer de DNS-records en het IP-adres van het privé-eindpunt. Het IP-adres is een privéadres in de adresruimte van het subnet waar het privé-eindpunt is geconfigureerd.

Testen in virtueel netwerk

Maak verbinding met een virtuele machine die u hebt ingesteld in het virtuele netwerk.

Voer een hulpprogramma uit, zoals nslookup of dig zoek het IP-adres van uw standaardgateway-eindpunt op via Private Link. Voorbeeld:

nslookup my-apim-service.azure-api.net

De uitvoer moet het privé-IP-adres bevatten dat is gekoppeld aan het privé-eindpunt.

API-aanroepen die in het virtuele netwerk zijn geïnitieerd naar het standaardgateway-eindpunt, moeten slagen.

Testen vanaf internet

Probeer van buiten het privé-eindpuntpad het standaardgateway-eindpunt van het API Management-exemplaar aan te roepen. Als openbare toegang is uitgeschakeld, bevat uitvoer een fout met statuscode 403 en een bericht dat vergelijkbaar is met:

Request originated from client public IP address xxx.xxx.xxx.xxx, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
       
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network. 

Volgende stappen

• Gebruik beleidsexpressies met de context.request variabele om verkeer van het privé-eindpunt te identificeren.
• Meer informatie over privé-eindpunten en Private Link, inclusief prijzen voor Private Link.
• Meer informatie over het beheren van privé-eindpuntverbindingen.
• Verbindingsproblemen met privé-eindpunten in Azure oplossen.
• Gebruik een Resource Manager-sjabloon om een API Management-exemplaar en een privé-eindpunt met privé-DNS-integratie te maken.