Adresy IP w usłudze Azure API Management

DOTYCZY: Wszystkie warstwy usługi API Management

W tym artykule opisano sposób pobierania adresów IP usługi Azure API Management. Adresy IP mogą być publiczne lub prywatne, jeśli usługa znajduje się w sieci wirtualnej. Za pomocą adresów IP można tworzyć reguły zapory, filtrować ruch przychodzący do usług zaplecza lub ograniczać ruch wychodzący.

Publiczne adresy IP

Każde wystąpienie usługi API Management w warstwie Developer, Basic, Standard lub Premium ma publiczne adresy IP, które są przeznaczone wyłącznie dla tego wystąpienia. (Nie są udostępniane innym zasobom.)

Adresy IP można pobrać z panelu przeglądu zasobu w portalu Azure.

Można je również pobrać programowo przy użyciu tego wywołania interfejsu API:

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

Publiczne adresy IP będą wyświetlane w odpowiedzi:

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "172.31.0.1"
    ],
    ...
  }
  ...
}

W przypadku wdrożeń obejmujących wiele regionów każde wdrożenie regionalne ma jeden publiczny adres IP.

Adresy IP usługi API Management w sieci wirtualnej

Jeśli wystąpienie usługi API Management znajduje się w sieci wirtualnej, ma dwa typy adresów IP: publiczny i prywatny.

• Publiczne adresy IP są używane do komunikacji wewnętrznej, na porcie 3443, do zarządzania konfiguracją (na przykład za pośrednictwem usługi Azure Resource Manager). W konfiguracji zewnętrznej sieci wirtualnej są one również używane do ruchu interfejsu API podczas działania środowiska uruchomieniowego. W wewnętrznej konfiguracji sieci wirtualnej publiczne adresy IP są używane tylko w przypadku operacji zarządzania wewnętrznego platformy Azure i nie odsłaniają wystąpienia w Internecie.

• Prywatne wirtualne adresy IP (VIP), dostępne tylko w wewnętrznym trybie sieci wirtualnej, są używane do łączenia się z sieci z punktami końcowymi usługi API Management: bramami, portalem deweloperów i płaszczyzną zarządzania w celu uzyskania bezpośredniego dostępu do interfejsu API. Tych adresów można użyć do konfigurowania rekordów DNS w sieci.

Zobaczysz adresy obu typów w portalu Azure i w odpowiedzi na wywołanie API:

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "172.31.0.1"
    ],
    "privateIPAddresses": [
      "192.168.1.5"
    ],
    ...
  },
  ...
}

Ważne

Prywatne adresy IP wewnętrznych modułów równoważenia obciążenia i jednostek usługi API Management są przypisywane dynamicznie. W związku z tym nie można przewidzieć prywatnego adresu IP wystąpienia usługi API Management przed jego wdrożeniem. Ponadto zmiana na inną podsieć, a następnie zwrócenie może spowodować zmianę prywatnego adresu IP.

Adresy IP dla ruchu wychodzącego

Usługa API Management używa publicznego adresu IP do nawiązywania połączeń poza siecią wirtualną lub w sieciach wirtualnych równorzędnych. Używa on prywatnego adresu IP dla połączenia w sieci wirtualnej lub równorzędnej sieci wirtualnej.

• Gdy API Management jest wdrażane w zewnętrznej lub wewnętrznej sieci wirtualnej i łączy się z prywatnymi (intranetowymi) zapleczami, wewnętrzne adresy IP (dynamiczne adresy IP, lub DIP) z podsieci są używane dla ruchu API w środowisku uruchomieniowym. Po wysłaniu żądania z usługi API Management do prywatnego zaplecza prywatny adres IP będzie widoczny jako źródło żądania.

  W związku z tym, jeśli ograniczenie adresu IP wyświetla listę bezpiecznych zasobów w sieci wirtualnej lub równorzędnej sieci wirtualnej, zalecamy użycie całego zakresu podsieci usługi API Management z regułą ip i (w trybie wewnętrznym) nie tylko prywatnym adresem IP skojarzonym z zasobem usługi API Management.

• Gdy żądanie jest wysyłane z usługi API Management do publicznego zaplecza (dostępnego z Internetu), publiczny adres IP będzie zawsze widoczny jako źródło żądania.

Adresy IP wystąpień usługi API Management w warstwach Consumption, Basic, Standard i Premium w wersji v2

Jeśli wystąpienie usługi API Management zostanie utworzone w warstwie usługi działającej na współdzielonej infrastrukturze, nie ma dedykowanego adresu IP. Obecnie wystąpienia w następujących warstwach usług działają w udostępnionej infrastrukturze i bez deterministycznego adresu IP: Konsumpcyjna, Podstawowa v2, Standardowa wersja 2, Premium v2.

Jeśli musisz dodać wychodzące adresy IP używane przez wystąpienie Consumption, Basic v2, Standard v2 lub Premium v2 do listy dozwolonych, możesz dodać centrum danych wystąpienia (region platformy Azure) do listy dozwolonych. Możesz pobrać plik JSON, który zawiera listę adresów IP dla wszystkich centrów danych platformy Azure. Następnie znajdź fragment JSON, który ma zastosowanie do regionu, w którym działa twoje wystąpienie.

Na przykład, poniższy fragment kodu JSON przedstawia listę dozwolonych dla Europy Zachodniej i może wyglądać następująco:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.183.0/24"
    ]
  }
}

Aby uzyskać informacje o tym, kiedy ten plik jest aktualizowany i kiedy adresy IP się zmieniają, rozwiń sekcję Szczegóły na stronie Centrum pobierania.

Zmiany adresów IP

W warstwach Developer, Basic, Standard i Premium usługi API Management publiczny adres IP lub adresy IP (VIP) i prywatne adresy VIP (jeśli są skonfigurowane w trybie wewnętrznej sieci wirtualnej) są statyczne przez okres istnienia usługi, z następującymi wyjątkami:

• Usługa API Management zostanie usunięta, a następnie ponownie utworzona.

• Subskrypcja usługi jest wyłączona lub ostrzeżona (na przykład z powodu braku płatności), a następnie przywrócona. Dowiedz się więcej o stanach subskrypcji.

• (Warstwy deweloperskie i Premium) Usługa Azure Virtual Network jest dodawana do usługi lub usuwana z tej usługi.

• (Warstwy deweloperskie i Premium) Usługa API Management jest przełączana między zewnętrznym i wewnętrznym trybem wdrażania sieci wirtualnej.

• (Warstwy deweloperskie i Premium) Usługa API Management jest przenoszona do innej podsieci lub skonfigurowana przy użyciu innego zasobu publicznego adresu IP.

• (Warstwa Premium) Strefy dostępności są włączone, dodawane lub usuwane.

• (Warstwa Premium) W przypadku wdrożeń obejmujących wiele regionów regionalny adres IP zmienia się, jeżeli region zostanie opuszczony, a następnie przywrócony.

  Ważne

  W przypadku zmiany z wewnętrznej na zewnętrzną sieć wirtualną lub zmiany podsieci w sieci można skonfigurować inny publiczny adres IP. Jeśli go nie podasz, publiczny adres IP zarządzany przez platformę Azure zostanie automatycznie skonfigurowany.

Powiązana zawartość

• Wdrażanie usługi API Management w sieci wirtualnej — tryb zewnętrzny
• Wdrażanie usługi API Management w sieci wirtualnej — tryb wewnętrzny
• Używanie sieci wirtualnej z usługą Azure API Management