Połącz prywatnie do usługi API Management z wykorzystaniem wejściowego prywatnego punktu końcowego

DOTYCZY: Deweloper | Podstawowa | Standardowa | Standardowa wersja 2 | Premium | Premium wersja 2

Możesz skonfigurować przychodzący prywatny punkt końcowy dla wystąpienia usługi API Management, aby umożliwić klientom w sieci prywatnej bezpieczny dostęp do wystąpienia za pośrednictwem usługi Azure Private Link.

• Prywatny punkt końcowy używa adresu IP z sieci wirtualnej platformy Azure, w której jest hostowana.

• Ruch sieciowy między klientem w sieci prywatnej a usługą API Management przechodzi przez sieć wirtualną i usługę Private Link w sieci szkieletowej firmy Microsoft, eliminując narażenie z publicznego Internetu.

• Skonfiguruj niestandardowe ustawienia DNS lub prywatną strefę usługi Azure DNS, aby zmapować nazwę hosta API Management na prywatny adres IP punktu końcowego.

Za pomocą prywatnego punktu końcowego i usługi Private Link można wykonywać następujące czynności:

• Tworzyć wiele połączeń Private Link z wystąpieniem usługi API Management.

• Używać prywatnego punktu końcowego do wysyłania ruchu przychodzącego na bezpiecznym połączeniu.

• Użyj polityki, aby odróżnić ruch pochodzący z prywatnego punktu końcowego.

• Ograniczać ruch przychodzący tylko do prywatnych punktów końcowych, uniemożliwiając eksfiltrację danych.

• Połącz przychodzące prywatne punkty końcowe z wystąpieniami w wersji 2 w warstwie Standardowa z wychodzącą integracją sieci wirtualnej, aby zapewnić kompleksową izolację sieci klientów usługi API Management i usług zaplecza.

  

Ważne

• Połączenie prywatnego punktu końcowego można skonfigurować tylko dla ruchu sieciowego przychodzącego do wystąpienia usługi API Management.
• Dostęp do sieci publicznej w wystąpieniu usługi API Management można wyłączyć tylko po skonfigurowaniu prywatnego punktu końcowego.

Ograniczenia

• Tylko punkt końcowy bramy instancji usługi API Management obsługuje przychodzące połączenia Private Link.
• Każde wystąpienie usługi API Management obsługuje co najwyżej 100 połączeń usługi Private Link.
• Połączenia nie są obsługiwane w bramie samodzielnie hostowanej ani w bramie obszaru roboczego.
• W klasycznych warstwach zarządzania API prywatne punkty końcowe nie są obsługiwane w wystąpieniach umieszczanych w sieci wirtualnej wewnętrznej lub zewnętrznej.

Typowe scenariusze

Użyj prywatnego punktu końcowego przychodzącego, aby umożliwić wyłącznie prywatny dostęp bezpośredni do bramy zarządzania API, aby ograniczyć ujawnienie poufnych danych lub backendów.

Obsługiwane konfiguracje obejmują:

• Przekazywanie żądań klientów przez zaporę i konfigurowanie reguł w celu kierowania żądań prywatnie do bramy usługi API Management.

• Skonfiguruj usługę Azure Front Door (lub usługę Azure Front Door z usługą Azure Application Gateway), aby odbierać ruch zewnętrzny, a następnie kierować ruch prywatnie do bramy usługi API Management. Na przykład zobacz Connect Azure Front Door Premium to an Azure API Management with Private Link (Łączenie usługi Azure Front Door Premium z usługą Azure API Management przy użyciu usługi Private Link).

  Uwaga

  Obecnie prywatne kierowanie ruchu z usługi Azure Front Door do instancji API Management Premium v2 nie jest obsługiwane.

Wymagania wstępne

• Istniejące wystąpienie zarządzania API. Utwórz go, jeśli jeszcze tego nie zrobiono.
  • W przypadku korzystania z wystąpienia w klasycznej warstwie dewelopera lub Premium nie należy wdrażać wystąpienia do zewnętrznej ani wewnętrznej sieci wirtualnej.
• Dostępność typu prywatnego punktu końcowego usługi API Management w subskrypcji i regionie.
• Sieć wirtualna zawierająca podsieć do hostowania prywatnego punktu końcowego. Podsieć może zawierać inne zasoby platformy Azure, ale nie można jej delegować do innej usługi.
• (Zalecane) Maszyna wirtualna w tej samej lub innej podsieci w sieci wirtualnej, aby przetestować prywatny punkt końcowy.

• Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Rozpoczynanie pracy z usługą Azure Cloud Shell.

  

• Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.

  • Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Uwierzytelnianie na platformie Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

  • Po wyświetleniu monitu zainstaluj rozszerzenie Azure CLI przy pierwszym użyciu. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Używanie rozszerzeń i zarządzanie nimi za pomocą interfejsu wiersza polecenia platformy Azure.

  • Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.

Metoda zatwierdzania dla prywatnego punktu końcowego

Zazwyczaj administrator sieci tworzy prywatny punkt końcowy. W zależności od uprawnień kontroli dostępu opartej na rolach (RBAC) platformy Azure tworzony prywatny punkt końcowy jest automatycznie zatwierdzony do wysyłania ruchu do wystąpienia usługi API Management lub wymaga od właściciela zasobu ręcznego zatwierdzenia połączenia.

Metoda zatwierdzania	Minimalne uprawnienia RBAC
Automatyczne	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/**
Instrukcja	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read

Kroki konfigurowania prywatnego punktu końcowego

Wykonaj następujące kroki, aby utworzyć i skonfigurować prywatny punkt końcowy dla wystąpienia usługi API Management.

Utwórz prywatny punkt końcowy - portal

Klasyczny

W warstwach klasycznych można utworzyć prywatny punkt końcowy podczas tworzenia wystąpienia usługi API Management w witrynie Azure Portal lub dodać prywatny punkt końcowy do istniejącego wystąpienia.

Tworzenie prywatnego punktu końcowego podczas tworzenia wystąpienia usługi API Management

1. W kreatorze Tworzenia usługi Zarządzania API wybierz kartę Sieci.

2. W obszarze Typ połączenia wybierz pozycję Prywatny punkt końcowy.

3. Wybierz + Dodaj.

4. Na stronie Tworzenie prywatnego punktu końcowego wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz istniejącą grupę zasobów lub utwórz nową. Musi znajdować się w tym samym regionie co sieć wirtualna.
   Lokalizacja	Wybierz lokalizację prywatnego punktu końcowego. Musi znajdować się w tym samym regionie co sieć wirtualna. Może się to różnić od regionu, w którym hostowane jest wystąpienie usługi API Management.
   Nazwisko	Wprowadź nazwę punktu końcowego, na przykład myPrivateEndpoint.
   Zasób podrzędny	Wybierz pozycję Brama.

5. W obszarze Sieć wprowadź lub wybierz sieć wirtualną i podsieć dla prywatnego punktu końcowego.

6. W obszarze Integracja z prywatną usługą DNS wybierz pozycję Integruj z prywatną strefą DNS. Zostanie wyświetlona domyślna strefa DNS: privatelink.azure-api.net.

7. Kliknij przycisk OK.

8. Kontynuuj tworzenie instancji API Management.

Tworzenie prywatnego punktu końcowego dla istniejącego wystąpienia usługi API Management

1. Przejdź do usługi API Management w witrynie Azure Portal.

2. W menu po lewej stronie w obszarze Wdrażanie i infrastruktura wybierz pozycję Sieć.

3. Wybierz Prywatne przychodzące połączenia punktu końcowego>+ Dodaj punkt końcowy.

   

4. Na karcie Podstawy wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz istniejącą grupę zasobów lub utwórz nową. Musi znajdować się w tym samym regionie co sieć wirtualna.
   Szczegóły wystąpienia
   Nazwisko	Wprowadź nazwę punktu końcowego, na przykład myPrivateEndpoint.
   Nazwa interfejsu sieciowego	Wprowadź nazwę interfejsu sieciowego, na przykład myInterface
   Region (Region)	Wybierz lokalizację prywatnego punktu końcowego. Musi znajdować się w tym samym regionie co sieć wirtualna. Może się różnić od regionu, w którym znajduje się instancja API Management.

5. Wybierz przycisk Dalej: Zasób w dolnej części ekranu. Następujące informacje o wystąpieniu usługi API Management zostały już wypełnione:

   • Subskrypcja
   • Typ zasobu
   • Nazwa zasobu

6. W obszarze Zasób w obszarze Docelowy zasób podrzędny wybierz pozycję Brama.

   

   Ważne

   Tylko podsób bramy jest obsługiwany w usłudze API Management. Inne zasoby podrzędne nie są obsługiwane.

7. Wybierz przycisk Dalej: Sieć wirtualna w dolnej części ekranu.

8. W obszarze Sieć wirtualna wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Sieć wirtualna	Wybierz sieć wirtualną.
   Podsieć	Wybierz podsieć.
   Konfiguracja prywatnego adresu IP	W większości przypadków wybierz pozycję Dynamicznie przydziel adres IP.
   Grupa zabezpieczeń aplikacji	Opcjonalnie wybierz grupę zabezpieczeń aplikacji.

9. Wybierz przycisk Dalej: DNS w dolnej części ekranu.

10. W Prywatna strefa DNS integracji wprowadź lub wybierz następujące informacje:

    Ustawienie	Wartość
    Integruj z prywatną strefą DNS	Pozostaw wartość domyślną Tak.
    Subskrypcja	Wybierz subskrypcję.
    Grupa zasobów	Wybierz swoją grupę zasobów.
    Prywatne strefy DNS	Zostanie wyświetlona wartość domyślna: (nowa) privatelink.azure-api.net.

11. Wybierz pozycję Dalej: Karty w dolnej części ekranu. Jeśli chcesz, wprowadź tagi, aby zorganizować zasoby platformy Azure.

12. Wybierz opcję Dalej: Przejrzyj i utwórz w dolnej części ekranu. Wybierz pozycję Utwórz.

Wyświetlanie listy połączeń prywatnych punktów końcowych z wystąpieniem

Po utworzeniu prywatnego punktu końcowego i zaktualizowaniu usługi prywatny punkt końcowy zostanie wyświetlony na liście na stronie Połączenia przychodzące dla prywatnego punktu końcowego wystąpienia usługi Zarządzanie API w portalu.

Zwróć uwagę na stan połączenia punktu końcowego:

• Zatwierdzone wskazuje, że zasób usługi API Management automatycznie zatwierdził połączenie.
• Oczekiwanie wskazuje, że połączenie musi zostać ręcznie zatwierdzone przez właściciela zasobu.

Zatwierdzanie oczekujących połączeń prywatnych punktów końcowych

Jeśli połączenie prywatnego punktu końcowego znajduje się w stanie oczekiwania, właściciel wystąpienia usługi API Management musi je ręcznie zatwierdzić, zanim będzie można je użyć.

Jeśli masz wystarczające uprawnienia, zatwierdź połączenie prywatnego punktu końcowego na stronie Połączenia prywatnego punktu końcowego wystąpienia usługi API Management w portalu. W menu kontekstowym połączenia (...) wybierz pozycję Zatwierdź.

Możesz również użyć interfejsu API API Management Private Endpoint Connection - Create Or Update REST, aby zatwierdzić oczekujące połączenia prywatnych punktów końcowych.

Standardowa, wersja 2

Prywatny punkt końcowy można utworzyć podczas tworzenia wystąpienia usługi API Management w witrynie Azure Portal lub dodać prywatny punkt końcowy do istniejącego wystąpienia.

Tworzenie prywatnego punktu końcowego podczas tworzenia wystąpienia usługi API Management Standard w wersji 2

1. W kreatorze Tworzenia usługi Zarządzania API wybierz kartę Sieci.

2. W obszarze Konfiguracja sieci wybierz pozycję Przychodzące łącze prywatne i/lub integracja wychodzącej sieci wirtualnej.

3. Obok pozycji Prywatne punkty końcowe wybierz pozycję Utwórz nowe.

4. Na stronie Tworzenie prywatnego punktu końcowego wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz istniejącą grupę zasobów lub utwórz nową. Musi znajdować się w tym samym regionie co sieć wirtualna.
   Lokalizacja	Wybierz lokalizację prywatnego punktu końcowego. Musi znajdować się w tym samym regionie co sieć wirtualna. Może się różnić od regionu, w którym usługa API Management ma hostowaną instancję.
   Nazwisko	Wprowadź nazwę punktu końcowego, na przykład myPrivateEndpoint.
   Zasób podrzędny	Wybierz pozycję Brama.

5. W obszarze Sieć wprowadź lub wybierz sieć wirtualną i podsieć dla prywatnego punktu końcowego.

6. W obszarze Integracja z prywatną usługą DNS wybierz pozycję Integruj z prywatną strefą DNS. Zostanie wyświetlona domyślna strefa DNS: privatelink.azure-api.net.

7. Kliknij przycisk OK.

8. Opcjonalnie skonfiguruj ustawienia dla integracji wychodzącej sieci wirtualnej.

9. Kontynuuj tworzenie instancji API Management.

Tworzenie prywatnego punktu końcowego dla istniejącego wystąpienia usługi API Management Standard w wersji 2

1. W portalu Azure przejdź do wystąpienia standardowego usługi API Management v2.

2. W menu po lewej stronie w obszarze Wdrażanie i infrastruktura wybierz pozycjęEdytuj>.

3. W obszarze Funkcje ruchu przychodzącego obok pozycji Prywatne punkty końcowe wybierz pozycję Utwórz nowy.

4. Na stronie Tworzenie prywatnego punktu końcowego wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz istniejącą grupę zasobów lub utwórz nową. Musi znajdować się w tym samym regionie co sieć wirtualna.
   Lokalizacja	Wybierz lokalizację prywatnego punktu końcowego. Musi znajdować się w tym samym regionie co sieć wirtualna. Może się różnić od regionu, w którym jest hostowane wystąpienie usługi API Management.
   Nazwisko	Wprowadź nazwę punktu końcowego, na przykład myPrivateEndpoint.
   Zasób podrzędny	Wybierz pozycję Brama.

5. W obszarze Konfigurowanie sieci wirtualnej wprowadź lub wybierz sieć wirtualną i podsieć dla prywatnego punktu końcowego.

6. W obszarze Integracja z prywatną usługą DNS wybierz pozycję Włącz, a następnie wybierz swoją subskrypcję i grupę zasobów. Zostanie wyświetlona domyślna strefa DNS: privatelink.azure-api.net.

7. Wybierz pozycję Utwórz. Domyślnie stan połączenia punktu końcowego to Zatwierdzone.

Wyświetlanie listy połączeń prywatnych punktów końcowych

Aby wyświetlić listę połączeń prywatnych punktów końcowych dla wystąpienia API Management:

1. W witrynie Azure Portal, przejdź do wystąpienia usługi API Management Standard v2.

2. W menu po lewej stronie w obszarze Wdrażanie i infrastruktura wybierz pozycję Sieć.

3. Obok pozycji Prywatne punkty końcowe wybierz link.

4. Na stronie Prywatne punkty końcowe przejrzyj punkty końcowe prywatnego dostępu w instancji Zarządzania API.

5. Aby zmienić stan połączenia lub usunąć punkt końcowy, wybierz punkt końcowy, a następnie wybierz menu kontekstowe (...) . Wybierz odpowiednie polecenie w menu.

Premium, wersja 2

W przypadku wystąpienia usługi API Management w wersji Premium v2 należy obecnie oddzielnie utworzyć zasób prywatnego punktu końcowego w usługach Prywatne Łącze.

Tworzenie prywatnego punktu końcowego dla istniejącego wystąpienia usługi API Management Premium w wersji 2

1. W witrynie Azure Portal przejdź do pozycji Prywatne punkty końcowe.

2. Wybierz + Utwórz.

3. Na karcie Podstawy tworzenia prywatnego punktu końcowego wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz istniejącą grupę zasobów lub utwórz nową. Musi znajdować się w tym samym regionie co sieć wirtualna.
   Szczegóły wystąpienia
   Nazwisko	Wprowadź nazwę punktu końcowego, na przykład myPrivateEndpoint.
   Nazwa interfejsu sieciowego	Wprowadź nazwę interfejsu sieciowego, na przykład myInterface
   Region (Region)	Wybierz lokalizację prywatnego punktu końcowego. Musi znajdować się w tym samym regionie co sieć wirtualna. Może się różnić od regionu, w którym jest hostowane wystąpienie usługi API Management.

4. Wybierz przycisk Dalej: Zasób w dolnej części ekranu.

5. W obszarze Zasób wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Subskrypcja	Subskrypcja została wybrana.
   Typ zasobu	Wybierz pozycję Microsoft.ApiManagement/service.
   Resource	Wybierz wystąpienie usługi API Management Premium w wersji 2.
   Docelowy zasób podrzędny	Wybierz pozycję Brama.

   

   Ważne

   Tylko podsób bramy jest obsługiwany w usłudze API Management. Inne zasoby podrzędne nie są obsługiwane.

6. Wybierz przycisk Dalej: Sieć wirtualna w dolnej części ekranu.

7. W obszarze Sieć wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Sieć wirtualna	Wybierz sieć wirtualną.
   Podsieć	Wybierz podsieć.
   Zasady sieci dla prywatnych punktów końcowych	Pozostaw wartość domyślną Wyłączone.
   Konfiguracja prywatnego adresu IP	W większości przypadków wybierz pozycję Dynamicznie przydziel adres IP.
   Grupa zabezpieczeń aplikacji	Opcjonalnie wybierz grupę zabezpieczeń aplikacji.

8. Wybierz przycisk Dalej: DNS w dolnej części ekranu.

9. W Prywatna strefa DNS integracji wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Integruj z prywatną strefą DNS	Pozostaw wartość domyślną Tak.
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz swoją grupę zasobów.
   Prywatne strefy DNS	Zostanie wyświetlona wartość domyślna: (nowa) privatelink.azure-api.net.

10. Wybierz pozycję Dalej: Karty w dolnej części ekranu. Jeśli chcesz, wprowadź tagi, aby zorganizować zasoby platformy Azure.

11. Wybierz opcję Dalej: Przejrzyj i utwórz w dolnej części ekranu. Wybierz pozycję Utwórz.

Wyświetlanie listy połączeń prywatnych punktów końcowych

Po utworzeniu prywatnego punktu końcowego i zaktualizowaniu usługi prywatny punkt końcowy zostanie wyświetlony na liście na stronie Prywatne punkty końcowe .

Upewnij się, że stan połączenia punktu końcowego to Zatwierdzone.

Opcjonalnie wyłącz dostęp do sieci publicznej

Aby ograniczyć przychodzący ruch do instancji usługi API Management tylko do prywatnych punktów końcowych, wyłącz właściwość dostępu do sieci publicznej.

Ważne

• Dostęp do sieci publicznej można wyłączyć po skonfigurowaniu prywatnego punktu końcowego.
• Dostęp do sieci publicznej można wyłączyć w istniejącym wystąpieniu usługi API Management, a nie podczas procesu wdrażania.

Uwaga

Dostęp do sieci publicznej można wyłączyć w wystąpieniach usługi API Management skonfigurowanych przy użyciu prywatnego punktu końcowego, a nie z innymi konfiguracjami sieci.

Klasyczny

Aby wyłączyć właściwość dostępu do sieci publicznej w klasycznych warstwach za pomocą Azure CLI, wykonaj następujące polecenie az apim update, zastępując nazwy wystąpienia usługi API Management i grupy zasobów:

az apim update --name my-apim-service --resource-group my-resource-group --public-network-access false

Możesz również użyć usługi zarządzania API - Aktualizuj interfejsu API REST, aby wyłączyć dostęp do sieci publicznej, ustawiając właściwość publicNetworkAccess na Disabled.

Standardowa, wersja 2

Użyj portalu, aby wyłączyć właściwość dostępu do sieci publicznej w instancji Standard v2.

1. W witrynie Azure Portal przejdź do wystąpienia usługi API Management w wersji 2.

2. W menu po lewej stronie w obszarze Wdrażanie i infrastruktura wybierz pozycjęEdytuj>.

3. W obszarze Funkcje przychodzące w sekcji Dostęp do sieci publicznej wybierz pozycję Wyłącz.

Premium, wersja 2

W warstwie Premium v2 użyj API Management Service - Update REST API, aby wyłączyć dostęp do sieci publicznej, ustawiając publicNetworkAccess właściwość na Disabled.

Zweryfikuj połączenie prywatnego punktu końcowego

Po utworzeniu prywatnego punktu końcowego potwierdź jego ustawienia DNS w portalu.

Klasyczny

1. Przejdź do usługi API Management w witrynie Azure Portal.

2. W menu po lewej stronie w obszarze Wdrażanie i infrastruktura wybierz pozycję Połączenia> przychodzące prywatnego punktu końcowego dla ruchu sieciowego i wybierz utworzony prywatny punkt końcowy.

3. W obszarze Nawigacji po lewej stronie w obszarze Ustawienia wybierz pozycję Konfiguracja DNS.

4. Sprawdź rekordy DNS i adres IP prywatnego punktu końcowego. Adres IP jest prywatnym adresem w przestrzeni adresowej podsieci, w której skonfigurowano prywatny punkt końcowy.

Standardowa, wersja 2

1. Przejdź do usługi API Management w witrynie Azure Portal.

2. W menu po lewej stronie w obszarze Wdrażanie i infrastruktura wybierz pozycjęEdytuj> i wybierz utworzony prywatny punkt końcowy.

3. Na stronie Prywatny punkt końcowy przejrzyj sieć wirtualną punktu końcowego i prywatne ustawienia integracji DNS.

Premium, wersja 2

1. W witrynie Azure Portal przejdź do pozycji Prywatne punkty końcowe, a następnie wybierz nazwę prywatnego punktu końcowego.

2. W obszarze Nawigacji po lewej stronie w obszarze Ustawienia wybierz pozycję Konfiguracja DNS.

3. Sprawdź rekordy DNS i adres IP prywatnego punktu końcowego. Adres IP jest prywatnym adresem w przestrzeni adresowej podsieci, w której skonfigurowano prywatny punkt końcowy.

Testowanie w sieci wirtualnej

Połącz się z maszyną wirtualną skonfigurowaną w sieci wirtualnej.

Uruchom narzędzie, takie jak nslookup lub dig , aby wyszukać adres IP domyślnego punktu końcowego bramy za pośrednictwem usługi Private Link. Na przykład:

nslookup my-apim-service.privatelink.azure-api.net

Dane wyjściowe powinny zawierać prywatny adres IP skojarzony z prywatnym punktem końcowym.

Wywołania interfejsu API zainicjowane w sieci wirtualnej poprzez domyślny punkt końcowy bramy powinny zakończyć się powodzeniem.

Testowanie z Internetu

Poza ścieżką prywatnego punktu końcowego spróbuj wywołać domyślny punkt końcowy bramy wystąpienia usługi API Management. Jeśli dostęp publiczny jest wyłączony, dane wyjściowe zawierają błąd z kodem 403 stanu i komunikat podobny do:

Request originated from client public IP address 192.0.2.12, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
       
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network. 

Ograniczenie dotyczące niestandardowej nazwy domeny w warstwach v2

Obecnie w warstwach Standardowa v2 i Premium v2 usługa API Management wymaga publicznie rozpoznawalnej nazwy DNS, aby zezwolić na ruch do punktu końcowego bramy. Jeśli skonfigurujesz niestandardową nazwę domeny dla punktu końcowego bramy, ta nazwa musi być publicznie rozpoznawana, a nie ograniczona do prywatnej strefy DNS.

Aby obejść ten problem w scenariuszach, w których ograniczasz publiczny dostęp do bramy i konfigurujesz nazwę domeny prywatnej, możesz skonfigurować usługę Application Gateway do odbierania ruchu w nazwie domeny prywatnej i kierować go do punktu końcowego bramy wystąpienia usługi API Management. Aby zapoznać się z przykładową architekturą, zobacz to repozytorium GitHub.

Powiązana zawartość

• Użyj wyrażeń zasadniczych ze zmienną context.request, aby zidentyfikować ruch z prywatnego punktu końcowego.
• Dowiedz się więcej o prywatnych punktach końcowych i usłudze Private Link, w tym o cenach usługi Private Link.
• Zarządzanie połączeniami prywatnego punktu końcowego.
• Rozwiązywanie problemów z łącznością prywatnego punktu końcowego Azure.
• Użyj szablonu usługi Resource Manager, aby utworzyć klasyczne wystąpienie usługi zarządzania API i prywatny punkt końcowy.