Een virtueel netwerk gebruiken om inkomend of uitgaand verkeer voor Azure API Management te beveiligen
VAN TOEPASSING OP: Ontwikkelaar | Basic | Standaard | Standard v2 | Premium
Uw API Management is standaard toegankelijk vanaf internet op een openbaar eindpunt en fungeert als gateway voor openbare back-ends. API Management biedt verschillende opties voor het beveiligen van toegang tot uw API Management-exemplaar en back-end-API's met behulp van een virtueel Azure-netwerk. Beschikbare opties zijn afhankelijk van de servicelaag van uw API Management-exemplaar.
Injectie van het API Management-exemplaar in een subnet in het virtuele netwerk, waardoor de gateway toegang heeft tot resources in het netwerk.
U kunt kiezen uit twee injectiemodi: extern of intern. Ze verschillen in of binnenkomende connectiviteit met de gateway en andere API Management-eindpunten is toegestaan vanaf internet of alleen vanuit het virtuele netwerk.
Integratie van uw API Management-exemplaar met een subnet in een virtueel netwerk, zodat uw API Management-gateway uitgaande aanvragen kan indienen bij API-back-ends die zijn geïsoleerd in het netwerk.
Veilige en privé-binnenkomende connectiviteit met de API Management-gateway inschakelen met behulp van een privé-eindpunt.
In de volgende tabel worden opties voor virtuele netwerken vergeleken. Zie latere secties van dit artikel en koppelingen naar gedetailleerde richtlijnen voor meer informatie.
| Netwerkmodel | Ondersteunde lagen | Ondersteunde onderdelen | Ondersteund verkeer | Gebruiksscenario |
|---|---|---|---|---|
| Virtuele netwerkinjectie - extern | Ontwikkelaar, Premium | Ontwikkelaarsportal, gateway, beheervlak en Git-opslagplaats | Binnenkomend en uitgaand verkeer kan worden toegestaan voor internet-, gekoppelde virtuele netwerken, Express Route en S2S VPN-verbindingen. | Externe toegang tot privé- en on-premises back-ends |
| Virtuele netwerkinjectie - intern | Ontwikkelaar, Premium | Ontwikkelaarsportal, gateway, beheervlak en Git-opslagplaats | Binnenkomend en uitgaand verkeer kan worden toegestaan voor gekoppelde virtuele netwerken, Express Route en S2S VPN-verbindingen. | Interne toegang tot privé- en on-premises back-ends |
| Uitgaande integratie | Standard v2 | Alleen gateway | Uitgaand aanvraagverkeer kan API's bereiken die worden gehost in een gedelegeerd subnet van een virtueel netwerk. | Externe toegang tot privé- en on-premises back-ends |
| Privé-eindpunt voor inkomend verkeer | Ontwikkelaar, Basic, Standard, Premium | Alleen gateway (beheerde gateway ondersteund, zelf-hostende gateway niet ondersteund) | Alleen inkomend verkeer kan worden toegestaan via internet, gekoppelde virtuele netwerken, Express Route en S2S VPN-verbindingen. | Clientverbinding met API Management-gateway beveiligen |
Virtuele netwerkinjectie
Implementeer met VNet-injectie uw API Management-exemplaar in een subnet in een niet-internetrouteerbaar netwerk waarnaar u de toegang wilt beheren. In het virtuele netwerk kan uw API Management-exemplaar veilig toegang krijgen tot andere azure-resources in het netwerk en ook verbinding maken met on-premises netwerken met behulp van verschillende VPN-technologieën. Als u meer wilt weten over Azure VNets, begint u met de informatie in het overzicht van azure Virtual Network.
U kunt de Azure-portal, Azure CLI, Azure Resource Manager-sjablonen of andere hulpprogramma's voor de configuratie gebruiken. U bepaalt inkomend en uitgaand verkeer naar het subnet waarin API Management wordt geïmplementeerd met behulp van netwerkbeveiligingsgroepen.
Zie voor gedetailleerde implementatiestappen en netwerkconfiguratie:
- Implementeer uw API Management-exemplaar in een virtueel netwerk - externe modus.
- Implementeer uw API Management-exemplaar in een virtueel netwerk - interne modus.
- Vereisten voor netwerkresources voor API Management-injectie in een virtueel netwerk.
Opties voor toegang
Met behulp van een virtueel netwerk kunt u de ontwikkelaarsportal, API-gateway en andere API Management-eindpunten configureren om toegankelijk te zijn via internet (externe modus) of alleen in het VNet (interne modus).
Extern : de API Management-eindpunten zijn toegankelijk via het openbare internet via een externe load balancer. De gateway heeft toegang tot resources in het VNet.
Gebruik API Management in de externe modus voor toegang tot back-endservices die zijn geïmplementeerd in het virtuele netwerk.
Intern : de API Management-eindpunten zijn alleen toegankelijk vanuit het VNet via een interne load balancer. De gateway heeft toegang tot resources in het VNet.
GEBRUIK API Management in de interne modus om:
- Maak API's die worden gehost in uw privé-datacenter veilig toegankelijk voor derden met behulp van Azure VPN-verbindingen of Azure ExpressRoute.
- Schakel hybride cloudscenario's in door uw cloud-API's en on-premises API's beschikbaar te maken via een gemeenschappelijke gateway.
- Beheer uw API's die worden gehost op meerdere geografische locaties, met behulp van één gateway-eindpunt.
Uitgaande integratie
De Standard v2-laag ondersteunt VNet-integratie zodat uw API Management-exemplaar API-back-ends kan bereiken die zijn geïsoleerd in één verbonden VNet. De API Management-gateway, het beheervlak en de ontwikkelaarsportal blijven openbaar toegankelijk vanaf internet.
Met uitgaande integratie kan het API Management-exemplaar zowel openbare als netwerk-geïsoleerde back-endservices bereiken.
Zie Een Azure API Management-exemplaar integreren met een privé-VNet voor uitgaande verbindingen voor meer informatie.
Privé-eindpunt voor inkomend verkeer
API Management ondersteunt privé-eindpunten voor beveiligde binnenkomende clientverbindingen met uw API Management-exemplaar. Elke beveiligde verbinding maakt gebruik van een privé-IP-adres van uw virtuele netwerk en Azure Private Link.
Met een privé-eindpunt en Private Link kunt u het volgende doen:
Maak meerdere Private Link-verbindingen met een API Management-exemplaar.
Gebruik het privé-eindpunt om binnenkomend verkeer te verzenden via een beveiligde verbinding.
Gebruik beleid om onderscheid te maken tussen verkeer dat afkomstig is van het privé-eindpunt.
Beperk binnenkomend verkeer alleen tot privé-eindpunten, waardoor exfiltratie van gegevens wordt voorkomen.
Belangrijk
U kunt alleen een privé-eindpuntverbinding configureren voor inkomend verkeer naar het API Management-exemplaar. Op dit moment wordt uitgaand verkeer niet ondersteund.
U kunt het externe of interne virtuele netwerkmodel gebruiken om uitgaande connectiviteit met privé-eindpunten tot stand te brengen vanuit uw API Management-exemplaar.
Als u binnenkomende privé-eindpunten wilt inschakelen, kan het API Management-exemplaar niet worden opgenomen in een extern of intern virtueel netwerk.
Zie Verbinding maken privé naar API Management met behulp van een binnenkomend privé-eindpunt voor meer informatie.
Geavanceerde netwerkconfiguraties
API Management-eindpunten beveiligen met een webtoepassingsfirewall
Mogelijk hebt u scenario's waarin u zowel externe als interne toegang tot uw API Management-exemplaar nodig hebt, en flexibiliteit om privé- en on-premises back-ends te bereiken. Voor deze scenario's kunt u ervoor kiezen om externe toegang tot de eindpunten van een API Management-exemplaar te beheren met een Web Application Firewall (WAF).
Een voorbeeld is het implementeren van een API Management-exemplaar in een intern virtueel netwerk en het routeren van openbare toegang tot het exemplaar met behulp van een internetgerichte Azure-toepassing Gateway:
Zie API Management implementeren in een intern virtueel netwerk met Application Gateway voor meer informatie.
Volgende stappen
Meer informatie over:
Configuratie van virtueel netwerk met API Management:
- Implementeer uw Azure API Management-exemplaar in een virtueel netwerk - externe modus.
- Implementeer uw Azure API Management-exemplaar in een virtueel netwerk - interne modus.
- Verbinding maken privé naar API Management met behulp van een privé-eindpunt
- Een Azure API Management-exemplaar integreren met een privé-VNet voor uitgaande verbindingen
- Uw Azure API Management-exemplaar verdedigen tegen DDoS-aanvallen
Verwante artikelen: