Privé verbinding maken met API Management met behulp van een binnenkomend privé-eindpunt

VAN TOEPASSING OP: Ontwikkelaar | Basic | Standaard | Standard v2 | Premium | Premium v2

U kunt een binnenkomend privé-eindpunt configureren voor uw API Management-exemplaar, zodat clients in uw privénetwerk veilig toegang hebben tot het exemplaar via Azure Private Link.

• Het privé-eindpunt maakt gebruik van een IP-adres van een virtueel Azure-netwerk waarin het wordt gehost.

• Netwerkverkeer tussen een client in uw privénetwerk en API Management gaat via het virtuele netwerk en een Private Link op het Microsoft backbone-netwerk, waardoor blootstelling van het openbare internet wordt geëlimineerd.

• Configureer aangepaste DNS-instellingen of een Azure DNS-privézone om de API Management-hostnaam toe te wijzen aan het privé-IP-adres van het eindpunt.

Met een privé-eindpunt en Private Link kunt u het volgende doen:

• Maak meerdere Private Link-verbindingen met een API Management-exemplaar.

• Gebruik het privé-eindpunt om binnenkomend verkeer te verzenden via een beveiligde verbinding.

• Gebruik beleid om onderscheid te maken tussen verkeer dat afkomstig is van het privé-eindpunt.

• Beperk binnenkomend verkeer alleen tot privé-eindpunten, waardoor exfiltratie van gegevens wordt voorkomen.

• Combineer binnenkomende privé-eindpunten naar Standard v2-exemplaren met uitgaande virtuele netwerkintegratie om end-to-end netwerkisolatie van uw API Management-clients en back-endservices te bieden.

  

Belangrijk

• U kunt alleen een privé-eindpuntverbinding configureren voor inkomend verkeer naar het API Management-exemplaar.
• U kunt alleen openbare netwerktoegang tot het API Management-exemplaar uitschakelen nadat u een privé-eindpunt hebt geconfigureerd.

Beperkingen

• Alleen het gateway-eindpunt van het API Management-exemplaar ondersteunt binnenkomende Private Link-verbindingen.
• Elk API Management-exemplaar ondersteunt maximaal 100 Private Link-verbindingen.
• Verbindingen worden niet ondersteund op de zelf-gehoste gateway of op een werkruimtegateway.
• In de klassieke API Management-lagen worden privé-eindpunten niet ondersteund in exemplaren die zijn geïnjecteerd in een intern of extern virtueel netwerk.

Typische scenario's

Gebruik een binnenkomend privé-eindpunt om privétoegang rechtstreeks tot de API Management-gateway in te schakelen om de blootstelling van gevoelige gegevens of back-ends te beperken.

Ondersteunde configuraties zijn onder andere:

• Geef clientaanvragen door via een firewall en configureer regels om aanvragen privé te routeren naar de API Management-gateway.

• Configureer Azure Front Door (of Azure Front Door met Azure Application Gateway) om extern verkeer te ontvangen en routeer vervolgens privé verkeer naar de API Management-gateway. Zie bijvoorbeeld Azure Front Door Premium verbinden met Azure API Management met Private Link.

  Notitie

  Op dit moment wordt het routeren van verkeer privé van Azure Front Door naar een API Management Premium v2-exemplaar niet ondersteund.

Vereisten

• Een bestaand API Management-exemplaar. Maak er een als u dat nog niet hebt gedaan.
  • Wanneer u een exemplaar in de klassieke Developer- of Premium-laag gebruikt, moet u het exemplaar niet implementeren (injecteren) in een extern of intern virtueel netwerk.
• Beschikbaarheid van het privé-eindpunttype API Management in uw abonnement en regio.
• Een virtueel netwerk met een subnet voor het hosten van het privé-eindpunt. Het subnet kan andere Azure-resources bevatten, maar kan niet worden gedelegeerd aan een andere service.
• (Aanbevolen) Een virtuele machine in hetzelfde of een ander subnet in het virtuele netwerk om het privé-eindpunt te testen.

• Gebruik de Bash-omgeving in Azure Cloud Shell. Zie Aan de slag met Azure Cloud Shell voor meer informatie.

  

• Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.

  • Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Zie Verifiëren bij Azure met behulp van Azure CLI voor andere aanmeldingsopties.

  • Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Zie Extensies gebruiken en beheren met de Azure CLIvoor meer informatie over extensies.

  • Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.

Goedkeuringsmethode voor privé-eindpunt

Normaal gesproken maakt een netwerkbeheerder een privé-eindpunt. Afhankelijk van uw RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) van Azure, wordt een privé-eindpunt dat u maakt, automatisch goedgekeurd voor het verzenden van verkeer naar het API Management-exemplaar of moet de resource-eigenaar de verbinding handmatig goedkeuren .

Goedkeuringsmethode	Minimale RBAC-machtigingen
Automatisch	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/**
Handmatig	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read

Stappen voor het configureren van een privé-eindpunt

Volg deze stappen om een privé-eindpunt te maken en te configureren voor uw API Management-exemplaar.

Privé-eindpunt maken - portal

Klassiek

In de klassieke lagen kunt u een privé-eindpunt maken wanneer u een API Management-exemplaar maakt in Azure Portal of u kunt een privé-eindpunt toevoegen aan een bestaand exemplaar.

Privé-eindpunt maken bij het maken van een API Management-exemplaar

1. Selecteer in de wizard API Management-service aanmaken het tabblad Netwerk.

2. Selecteer privé-eindpunt in connectiviteitstype.

3. Selecteer + Toevoegen.

4. Voer op de pagina Privé-eindpunt maken de volgende gegevens in of selecteer deze:

   Instelling	Waarde
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer een bestaande resourcegroep of maak een nieuwe groep. Deze moet zich in dezelfde regio bevinden als uw virtuele netwerk.
   Locatie	Selecteer een locatie voor het privé-eindpunt. Deze moet zich in dezelfde regio bevinden als uw virtuele netwerk. Het kan verschillen van de regio waar uw API Management-exemplaar wordt gehost.
   Naam	Voer een naam in voor het eindpunt, zoals myPrivateEndpoint.
   Subbron	Selecteer Gateway.

5. Voer onder Netwerken het virtuele netwerk en subnet voor uw privé-eindpunt in of selecteer dit.

6. Selecteer Onder Privé-DNS-integratieintegreren met privé-DNS-zone. De standaard-DNS-zone wordt weergegeven: privatelink.azure-api.net.

7. Kies OK.

8. Ga verder met het aanmaken van de API Management-instance.

Privé-eindpunt maken voor een bestaand API Management-exemplaar

1. Ga naar uw API Management-service in Azure Portal.

2. Selecteer Netwerk in het linkermenu onder Implementatie en infrastructuur.

3. Selecteer Binnenkomende privé-eindpuntverbindingen>+ Eindpunt toevoegen.

   

4. Voer op het tabblad Basisinformatie de volgende gegevens in of selecteer deze:

   Instelling	Waarde
   Projectdetails
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer een bestaande resourcegroep of maak een nieuwe groep. Deze moet zich in dezelfde regio bevinden als uw virtuele netwerk.
   Exemplaardetails
   Naam	Voer een naam in voor het eindpunt, zoals myPrivateEndpoint.
   Netwerkinterfacenaam	Voer een naam in voor de netwerkinterface, zoals myInterface
   Regio	Selecteer een locatie voor het privé-eindpunt. Deze moet zich in dezelfde regio bevinden als uw virtuele netwerk. Het kan verschillen van de regio waar uw API Management-exemplaar wordt gehost.

5. Selecteer de knop Volgende: Resource onderaan het scherm. De volgende informatie over uw API Management-exemplaar is al ingevuld:

   • Abonnement
   • Brontype
   • Resourcenaam

6. In Resource, in Doelsubresource, selecteer Gateway.

   

   Belangrijk

   Alleen de gateway-subresource wordt ondersteund voor API Management. Andere subbronnen worden niet ondersteund.

7. Selecteer de knop Volgende: Virtueel netwerk onderaan het scherm.

8. Voer in Virtual Network deze gegevens in of selecteer deze:

   Instelling	Waarde
   Virtueel netwerk	Selecteer uw virtuele netwerk.
   Subnetwerk	Selecteer uw subnet.
   Privé-IP-configuratie	In de meeste gevallen selecteert u Dynamisch IP-adres toewijzen.
   Toepassingsbeveiligingsgroep	Selecteer desgewenst een toepassingsbeveiligingsgroep.

9. Selecteer de knop Volgende: DNS onderaan het scherm.

10. Voer in Privé-DNS integratie deze gegevens in of selecteer deze:

    Instelling	Waarde
    Integreren met privé-DNS-zone	Laat de standaardwaarde Ja staan.
    Abonnement	Selecteer uw abonnement.
    Resourcegroep	Selecteer uw resourcegroep.
    Persoonlijke DNS-zones	De standaardwaarde wordt weergegeven: (nieuw) privatelink.azure-api.net.

11. Selecteer Volgende: Tabbladen onder aan het scherm. Voer desgewenst tags in om uw Azure-resources te organiseren.

12. Selecteer Volgende: Controleren en maken onderaan het scherm. Kies Maken.

Privé-eindpuntverbindingen met de instantie opsommen.

Nadat u het privé-eindpunt hebt gemaakt en de service hebt bijgewerkt, wordt het privé-eindpunt weergegeven in de lijst op de pagina Voor binnenkomende privé-eindpuntverbindingen van het API Management-exemplaar in de portal.

Let op de verbindingsstatus van het eindpunt:

• Goedgekeurd geeft aan dat de API Management-resource de verbinding automatisch heeft goedgekeurd.
• In behandeling geeft aan dat de verbinding handmatig moet worden goedgekeurd door de resource-eigenaar.

In behandeling zijnde privé-eindpuntverbindingen goedkeuren

Als een privé-eindpuntverbinding in behandeling is, moet een eigenaar van het API Management-exemplaar deze handmatig goedkeuren voordat deze kan worden gebruikt.

Als u over voldoende machtigingen beschikt, keurt u een privé-eindpuntverbinding goed op de pagina Privé-eindpuntverbindingen van het API Management-exemplaar in de portal. Selecteer Goedkeuren in het contextmenu (...) van de verbinding.

U kunt ook de API Management Private Endpoint Connection - Create Or Update REST API gebruiken om in behandeling zijnde privé-eindpuntverbindingen goed te keuren.

Standard v2

U kunt een privé-eindpunt maken wanneer u een API Management-exemplaar maakt in Azure Portal of u kunt een privé-eindpunt toevoegen aan een bestaand exemplaar.

Privé-eindpunt maken bij het maken van een API Management Standard v2-exemplaar

1. Selecteer in de wizard API Management-service aanmaken het tabblad Netwerk.

2. Selecteer in de netwerkconfiguratiede optie Binnenkomende privékoppeling en/of uitgaande virtuele netwerkintegratie.

3. Naast privé-eindpunten, selecteer Nieuw maken.

4. Voer op de pagina Privé-eindpunt maken de volgende gegevens in of selecteer deze:

   Instelling	Waarde
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer een bestaande resourcegroep of maak een nieuwe groep. Deze moet zich in dezelfde regio bevinden als uw virtuele netwerk.
   Locatie	Selecteer een locatie voor het privé-eindpunt. Deze moet zich in dezelfde regio bevinden als uw virtuele netwerk. Het kan verschillen van de regio waar uw API Management-exemplaar wordt gehost.
   Naam	Voer een naam in voor het eindpunt, zoals myPrivateEndpoint.
   Subbron	Selecteer Gateway.

5. Voer onder Netwerken het virtuele netwerk en subnet voor uw privé-eindpunt in of selecteer dit.

6. Selecteer Onder Privé-DNS-integratieintegreren met privé-DNS-zone. De standaard-DNS-zone wordt weergegeven: privatelink.azure-api.net.

7. Kies OK.

8. Configureer eventueel instellingen voor de integratie van uitgaande virtuele netwerken.

9. Ga verder met het aanmaken van de API Management-instance.

Privé-eindpunt maken voor een bestaand API Management Standard v2-exemplaar

1. Ga in Azure Portal naar uw API Management Standard v2-exemplaar.

2. Selecteer In het linkermenu onder Implementatie en infrastructuurde optie Netwerk>bewerken.

3. Onder Binnenkomende functies, naast privé-eindpunten, selecteer Nieuwe maken.

4. Voer op de pagina Privé-eindpunt maken de volgende gegevens in of selecteer deze:

   Instelling	Waarde
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer een bestaande resourcegroep of maak een nieuwe groep. Deze moet zich in dezelfde regio bevinden als uw virtuele netwerk.
   Locatie	Selecteer een locatie voor het privé-eindpunt. Deze moet zich in dezelfde regio bevinden als uw virtuele netwerk. Het kan verschillen van de regio waar uw API Management-exemplaar wordt gehost.
   Naam	Voer een naam in voor het eindpunt, zoals myPrivateEndpoint.
   Subbron	Selecteer Gateway.

5. Voer onder Virtueel netwerk configureren het virtuele netwerk en subnet voor uw privé-eindpunt in of selecteer dit.

6. Selecteer onder Privé-DNS-integratiede optie Inschakelen en selecteer uw abonnement en resourcegroep. De standaard-DNS-zone wordt weergegeven: privatelink.azure-api.net.

7. Kies Maken. De verbindingsstatus van het eindpunt is standaard goedgekeurd.

Privé-eindpuntverbindingen vermelden

Om privé-eindpuntverbindingen van het API Management-exemplaar op te sommen:

1. Ga in Azure Portal naar uw API Management Standard v2-exemplaar.

2. Selecteer Netwerk in het linkermenu onder Implementatie en infrastructuur.

3. Selecteer de koppeling naast privé-eindpunten.

4. Controleer op de pagina Privé-eindpunten de privé-eindpunten van het API Management-exemplaar.

5. Als u de verbindingsstatus wilt wijzigen of het eindpunt wilt verwijderen, selecteert u een eindpunt en selecteert u vervolgens het contextmenu (...) . Kies de juiste opdracht in het menu.

Premium v2

Voor een API Management Premium v2-exemplaar moet u momenteel afzonderlijk een privé-eindpuntresource maken in Private Link-services.

Privé-eindpunt maken voor een bestaand API Management Premium v2-exemplaar

1. Ga in Azure Portal naar privé-eindpunten.

2. Selecteer + Creëren.

3. Voer op het tabblad Basisbeginselen van Een privé-eindpunt maken de volgende gegevens in of selecteer deze:

   Instelling	Waarde
   Projectdetails
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer een bestaande resourcegroep of maak een nieuwe groep. Deze moet zich in dezelfde regio bevinden als uw virtuele netwerk.
   Exemplaardetails
   Naam	Voer een naam in voor het eindpunt, zoals myPrivateEndpoint.
   Netwerkinterfacenaam	Voer een naam in voor de netwerkinterface, zoals myInterface
   Regio	Selecteer een locatie voor het privé-eindpunt. Deze moet zich in dezelfde regio bevinden als uw virtuele netwerk. Het kan verschillen van de regio waar uw API Management-exemplaar wordt gehost.

4. Selecteer de knop Volgende: Resource onderaan het scherm.

5. Voer in Resource deze gegevens in of selecteer deze:

   Instelling	Waarde
   Abonnement	Uw abonnement is geselecteerd.
   Brontype	Selecteer Microsoft.ApiManagement/service.
   Hulpbron	Selecteer uw API Management Premium v2-exemplaar.
   Doel-subbron	Selecteer Gateway.

   

   Belangrijk

   Alleen de gateway-subresource wordt ondersteund voor API Management. Andere subbronnen worden niet ondersteund.

6. Selecteer de knop Volgende: Virtueel netwerk onderaan het scherm.

7. Voer in Netwerken deze gegevens in of selecteer deze:

   Instelling	Waarde
   Virtueel netwerk	Selecteer uw virtuele netwerk.
   Subnetwerk	Selecteer uw subnet.
   Netwerkbeleid voor privé-eindpunten	Laat de standaardwaarde Uitgeschakeld staan.
   Privé-IP-configuratie	In de meeste gevallen selecteert u Dynamisch IP-adres toewijzen.
   Toepassingsbeveiligingsgroep	Selecteer desgewenst een toepassingsbeveiligingsgroep.

8. Selecteer de knop Volgende: DNS onderaan het scherm.

9. Voer in Privé-DNS integratie deze gegevens in of selecteer deze:

   Instelling	Waarde
   Integreren met privé-DNS-zone	Laat de standaardwaarde Ja staan.
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer uw resourcegroep.
   Persoonlijke DNS-zones	De standaardwaarde wordt weergegeven: (nieuw) privatelink.azure-api.net.

10. Selecteer Volgende: Tabbladen onder aan het scherm. Voer desgewenst tags in om uw Azure-resources te organiseren.

11. Kies Volgende: Controleren en maken onder aan het scherm. Kies Maken.

Privé-eindpuntverbindingen vermelden

Nadat u het privé-eindpunt hebt gemaakt en de service hebt bijgewerkt, wordt het privé-eindpunt weergegeven in de lijst op de pagina Privé-eindpunten .

Zorg ervoor dat de verbindingsstatus van het eindpunt is goedgekeurd.

Optioneel openbare netwerktoegang uitschakelen

Als u inkomend verkeer naar het API Management-exemplaar alleen wilt beperken tot privé-eindpunten, schakelt u de eigenschap voor openbare netwerktoegang uit.

Belangrijk

• U kunt openbare netwerktoegang uitschakelen nadat u een privé-eindpunt hebt geconfigureerd.
• U kunt openbare netwerktoegang uitschakelen in een bestaand API Management-exemplaar, niet tijdens het implementatieproces.

Notitie

U kunt openbare netwerktoegang uitschakelen in API Management-exemplaren die zijn geconfigureerd met een privé-eindpunt, niet met andere netwerkconfiguraties.

Klassiek

Als u de eigenschap openbare netwerktoegang in de klassieke lagen wilt uitschakelen met behulp van de Azure CLI, voert u de volgende opdracht az apim update uit, waarbij u de namen van uw API Management-exemplaar en resourcegroep vervangt:

az apim update --name my-apim-service --resource-group my-resource-group --public-network-access false

U kunt ook de API Management-service - REST API bijwerken om openbare netwerktoegang uit te schakelen door de publicNetworkAccess eigenschap in te stellen op Disabled.

Standard v2

Gebruik de portal om de eigenschap openbare netwerktoegang in een Standard v2-exemplaar uit te schakelen.

1. Ga in Azure Portal naar uw API Management Standard v2-exemplaar.

2. Selecteer In het linkermenu onder Implementatie en infrastructuurde optie Netwerk>bewerken.

3. Selecteer Uitschakelen in de sectie Openbare netwerktoegang onder Binnenkomende functies.

Premium v2

Gebruik in de Premium v2-laag de REST API 'API Management Service - Update' om openbare netwerktoegang uit te schakelen door de publicNetworkAccess eigenschap in te stellen op Disabled.

Privé-eindpuntverbinding valideren

Nadat u het privé-eindpunt hebt gemaakt, bevestigt u de DNS-instellingen in de portal.

Klassiek

1. Ga naar uw API Management-service in Azure Portal.

2. Selecteer in het linkermenu onder > de optie Binnenkomende privé-eindpuntverbindingen voor inkomend netwerk en selecteer het privé-eindpunt dat u hebt gemaakt.

3. Selecteer in de linkernavigatie onder Instellingen de DNS-configuratie.

4. Controleer de DNS-records en het IP-adres van het privé-eindpunt. Het IP-adres is een privéadres in de adresruimte van het subnet waar u het privé-eindpunt hebt geconfigureerd.

Standard v2

1. Ga naar uw API Management-service in Azure Portal.

2. Selecteer in het linkermenu onder Implementatie en infrastructuurde optie Netwerk>bewerken en selecteer het privé-eindpunt dat u hebt gemaakt.

3. Controleer op de pagina Privé-eindpunt de instellingen voor het virtuele netwerk en de privé-DNS-integratie van het eindpunt.

Premium v2

1. Ga in Azure Portal naar Privé-eindpunten en selecteer vervolgens de naam van uw privé-eindpunt.

2. Selecteer in de linkernavigatie onder Instellingen de DNS-configuratie.

3. Controleer de DNS-records en het IP-adres van het privé-eindpunt. Het IP-adres is een privéadres in de adresruimte van het subnet waar u het privé-eindpunt hebt geconfigureerd.

Testen in virtueel netwerk

Maak verbinding met een virtuele machine die u hebt ingesteld in het virtuele netwerk.

Voer een hulpprogramma uit, zoals nslookup of dig zoek het IP-adres van uw standaardgateway-eindpunt op via Private Link. Voorbeeld:

nslookup my-apim-service.privatelink.azure-api.net

De uitvoer moet het privé-IP-adres bevatten dat is gekoppeld aan het privé-eindpunt.

API-aanroepen die in het virtuele netwerk zijn geïnitieerd naar het standaardgateway-eindpunt, moeten slagen.

Testen vanaf internet

Probeer van buiten het privé-eindpuntpad het standaardgateway-eindpunt van het API Management-exemplaar aan te roepen. Als openbare toegang is uitgeschakeld, bevat de uitvoer een fout met statuscode 403 en een bericht dat vergelijkbaar is met:

Request originated from client public IP address 192.0.2.12, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
       
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network. 

Beperking voor aangepaste domeinnaam in v2-lagen

Op dit moment vereist API Management in de lagen Standard v2 en Premium v2 een openbaar omzetbare DNS-naam om verkeer naar het gateway-eindpunt toe te staan. Als u een aangepaste domeinnaam voor het gateway-eindpunt configureert, moet die naam openbaar kunnen worden omgezet, niet beperkt tot een privé-DNS-zone.

Als tijdelijke oplossing in scenario's waarin u openbare toegang tot de gateway beperkt en u een privédomeinnaam configureert, kunt u Application Gateway instellen voor het ontvangen van verkeer op de privédomeinnaam en deze routeren naar het gateway-eindpunt van het API Management-exemplaar. Zie deze GitHub-opslagplaats voor een voorbeeldarchitectuur.

Gerelateerde inhoud

• Gebruik beleidsexpressies met de context.request variabele om verkeer van het privé-eindpunt te identificeren.
• Meer informatie over privé-eindpunten en Private Link, inclusief prijzen voor Private Link.
• Privé-eindpuntverbindingen beheren.
• Verbindingsproblemen met privé-eindpunten in Azure oplossen.
• Gebruik een Resource Manager-sjabloon om een klassiek API Management-exemplaar en een privé-eindpunt te maken.