Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
DOTYCZY: Developer | Podstawowa | Podstawowa wersja 2 | Standardowa | Standardowa, wersja 2 | Premium | Premium, wersja 2
Domyślnie wystąpienie usługi API Management jest dostępne z Internetu w publicznym punkcie końcowym i działa jako brama do publicznych zapleczy. Usługa API Management oferuje kilka opcji użycia sieci wirtualnej platformy Azure w celu zabezpieczenia dostępu do wystąpienia usługi API Management i interfejsów API zaplecza. Dostępne opcje zależą od poziomu usługi w Twoim wystąpieniu API Management. Wybierz możliwości sieciowe, aby spełnić potrzeby organizacji.
W poniższej tabeli porównaliśmy opcje sieci wirtualnej. Aby uzyskać więcej informacji, zobacz kolejne sekcje tego artykułu i linki do szczegółowych wskazówek.
| Model sieci | Obsługiwane warstwy | Obsługiwane składniki | Obsługiwany ruch | Scenariusz użycia |
|---|---|---|---|---|
| Wstrzykiwanie sieci wirtualnej (warstwy klasyczne) — zewnętrzne | Deweloper, Premium | Portal deweloperów, brama, płaszczyzna zarządzania i repozytorium Git | Ruch przychodzący i wychodzący może być dozwolony do Internetu, równorzędnych sieci wirtualnych, usługi ExpressRoute i połączeń sieci VPN typu lokacja-lokacja. | Zewnętrzny dostęp do prywatnych i lokalnych zapleczy |
| Injekcja sieci wirtualnej (klasyczne poziomy) — wewnętrzna | Deweloper, Premium | Portal deweloperów, brama, płaszczyzna zarządzania i repozytorium Git | Ruch przychodzący i wychodzący może być dozwolony dla równorzędnych sieci wirtualnych, usługi ExpressRoute i połączeń sieci VPN typu lokacja-lokacja. | Wewnętrzny dostęp do prywatnych i lokalnych zapleczy |
| Iniekcja sieci wirtualnej (wersje 2) | Premium, wersja 2 | Tylko brama | Ruch przychodzący i wychodzący może być dozwolony do delegowanej podsieci sieci wirtualnej, równorzędnych sieci wirtualnych, usługi ExpressRoute i połączeń sieci VPN typu lokacja-lokacja. | Wewnętrzny dostęp do prywatnych i lokalnych zapleczy |
| Integracja z siecią wirtualną (poziomy v2) | Standardowa v2, Premium v2 | Tylko brama | Ruch żądań wychodzących może docierać do interfejsów API hostowanych w delegowanej podsieci pojedynczej połączonej sieci wirtualnej. | Zewnętrzny dostęp do prywatnych i lokalnych zapleczy |
| Przychodzący prywatny punkt końcowy | Deweloper, Podstawowy, Standard, Standard v2, Premium | Tylko brama (obsługiwana brama zarządzana, brama self-hosted nie jest obsługiwana) | Tylko ruch przychodzący może być dozwolony z Internetu, równorzędnych sieci wirtualnych, usługi ExpressRoute i połączeń sieci VPN typu lokacja-lokacja. | Zabezpieczanie połączenia klienta z bramą usługi API Management |
Wstrzykiwanie sieci wirtualnej (warstwy klasyczne)
W klasycznych warstwach Developer i Premium usługi API Management wdróż wystąpienie usługi API Management w podsieci w sieci nieinternetowej, do której kontrolujesz dostęp. W sieci wirtualnej wystąpienie usługi API Management może bezpiecznie uzyskiwać dostęp do innych sieciowych zasobów platformy Azure, a także łączyć się z sieciami lokalnymi przy użyciu różnych technologii sieci VPN.
Do konfiguracji można użyć witryny Azure Portal, interfejsu wiersza polecenia platformy Azure, szablonów usługi Azure Resource Manager lub innych narzędzi. Kontrolujesz ruch przychodzący i wychodzący do podsieci, w której usługa API Management jest wdrażana przy użyciu sieciowych grup zabezpieczeń.
Aby uzyskać szczegółowe instrukcje wdrażania i konfigurację sieci, zobacz:
- Deployuj instancję API Management w sieci wirtualnej w trybie zewnętrznym.
- Utwórz i skonfiguruj wystąpienie usługi API Management w sieci wirtualnej — tryb wewnętrzny.
- Wymagania dotyczące zasobów sieciowych dotyczące wstrzykiwania usługi API Management do sieci wirtualnej.
Opcje dostępu
Za pomocą sieci wirtualnej można skonfigurować portal dla deweloperów, bramę interfejsu API i inne punkty końcowe usługi API Management, aby były dostępne z Internetu (tryb zewnętrzny) lub tylko w sieci wirtualnej (tryb wewnętrzny).
Zewnętrzne — punkty końcowe usługi API Management są dostępne z publicznego Internetu za pośrednictwem zewnętrznego modułu równoważenia obciążenia. Brama może uzyskiwać dostęp do zasobów w sieci wirtualnej.
Użyj usługi API Management w trybie zewnętrznym, aby uzyskać dostęp do usług zaplecza wdrożonych w sieci wirtualnej.
Wewnętrzne — punkty końcowe usługi API Management są dostępne tylko z poziomu sieci wirtualnej za pośrednictwem wewnętrznego modułu równoważenia obciążenia. Brama może uzyskiwać dostęp do zasobów w sieci wirtualnej.
Użyj usługi API Management w trybie wewnętrznym, aby:
- Bezpieczne udostępnianie interfejsów API w prywatnym centrum danych przez inne firmy przy użyciu połączeń sieci VPN platformy Azure lub usługi Azure ExpressRoute.
- Włącz scenariusze chmury hybrydowej, uwidaczniając interfejsy API oparte na chmurze i lokalne interfejsy API za pośrednictwem wspólnej bramy.
- Zarządzaj interfejsami API hostowanymi w wielu lokalizacjach geograficznych przy użyciu pojedynczego punktu końcowego bramy.
Iniekcja sieci wirtualnej (warstwy w wersji 2)
W warstwie API Management w wersji 2 wprowadź wystąpienie do delegowanej podsieci sieci wirtualnej, aby zabezpieczyć ruch przychodzący i wychodzący bramy. Obecnie można skonfigurować ustawienia iniekcji sieci wirtualnej podczas tworzenia wystąpienia.
W tej konfiguracji:
- Punkt końcowy bramy usługi API Management jest dostępny za pośrednictwem sieci wirtualnej pod prywatnym adresem IP.
- Usługa API Management może wysyłać żądania wychodzące do zapleczy interfejsu API, które są izolowane w sieci lub dowolnej sieci równorzędnej, o ile łączność sieciowa jest prawidłowo skonfigurowana.
Ta konfiguracja jest zalecana w scenariuszach, w których chcesz odizolować zarówno wystąpienie usługi API Management, jak i interfejsy API zaplecza. Iniekcja sieci wirtualnej w warstwie Premium v2 automatycznie zarządza łącznością sieciową z większością zależności usług dla usługi Azure API Management.
Aby uzyskać więcej informacji, zobacz Włączenie wystąpienia Premium v2 do sieci wirtualnej.
Integracja z siecią wirtualną (warstwy w wersji 2)
Warstwy Standard v2 i Premium v2 obsługują integrację wychodzących połączeń sieci wirtualnej, umożliwiając instancji usługi API Management dotarcie do zapleczy API, które są izolowane w jednej połączonej sieci wirtualnej lub dowolnej połączonej sieci równorzędnej, pod warunkiem, że łączność sieciowa jest prawidłowo skonfigurowana. Brama usługi API Management, płaszczyzna zarządzania i portal deweloperów pozostają publicznie dostępne z Internetu.
Integracja ruchu wychodzącego umożliwia wystąpieniu usługi API Management dotarcie zarówno do usług zaplecza publicznych, jak i i izolowanych przez sieć.
Aby uzyskać więcej informacji, zobacz Integrowanie wystąpienia usługi Azure API Management z prywatną siecią wirtualną dla połączeń wychodzących.
Przychodzący prywatny punkt końcowy
Usługa API Management obsługuje prywatne punkty końcowe w celu zapewnienia bezpiecznych połączeń przychodzących klientów z Twoim wystąpieniem usługi API Management. Każde bezpieczne połączenie używa prywatnego adresu IP z sieci wirtualnej i usługi Azure Private Link.
Za pomocą prywatnego punktu końcowego i usługi Private Link można wykonywać następujące czynności:
Tworzyć wiele połączeń Private Link z wystąpieniem usługi API Management.
Używać prywatnego punktu końcowego do wysyłania ruchu przychodzącego na bezpiecznym połączeniu.
Używać zasad, aby odróżnić ruch pochodzący z prywatnego punktu końcowego.
Ograniczać ruch przychodzący tylko do prywatnych punktów końcowych, uniemożliwiając eksfiltrację danych.
Połącz przychodzące prywatne punkty końcowe z wystąpieniami w wersji 2 w warstwie Standardowa z wychodzącą integracją sieci wirtualnej , aby zapewnić kompleksową izolację sieci klientów usługi API Management i usług zaplecza.
Ważne
- Można skonfigurować połączenie prywatnego punktu końcowego tylko dla ruchu przychodzącego do instancji usługi API Management.
- Dostęp do sieci publicznej w wystąpieniu usługi API Management można wyłączyć tylko po skonfigurowaniu prywatnego punktu końcowego.
Aby uzyskać więcej informacji, zobacz Łączenie prywatnie z usługą API Management z użyciem prywatnego punktu końcowego typu przychodzącego.
Zaawansowane konfiguracje sieci
Zabezpieczanie punktów końcowych usługi API Management za pomocą zapory aplikacji internetowej
Mogą istnieć scenariusze, w których potrzebujesz zarówno bezpiecznego dostępu zewnętrznego, jak i wewnętrznego do wystąpienia usługi API Management oraz elastyczności w zakresie uzyskiwania dostępu do prywatnych i lokalnych zapleczy. W tych scenariuszach można wybrać zarządzanie dostępem zewnętrznym do punktów końcowych wystąpienia usługi API Management przy użyciu zapory aplikacji internetowej (WAF).
Jednym z przykładów jest wdrożenie wystąpienia usługi API Management w wewnętrznej sieci wirtualnej i kierowanie do niego publicznego dostępu przy użyciu bramy aplikacja systemu Azure dostępnej z Internetu:
Aby uzyskać więcej informacji, zobacz Wdrażanie usługi API Management w wewnętrznej sieci wirtualnej za pomocą usługi Application Gateway.
Powiązana zawartość
Dowiedz się więcej o konfiguracji sieci wirtualnej za pomocą usługi API Management:
- Wdrażaj wystąpienie usługi Azure API Management w sieci wirtualnej w trybie zewnętrznym.
- Skonfiguruj wystąpienie usługi Azure API Management w sieci wirtualnej — tryb wewnętrzny.
- Prywatne łączenie się z usługą API Management za pomocą prywatnego punktu końcowego
- Dodaj wystąpienie Premium v2 do sieci wirtualnej
- Zintegrować wystąpienie usługi Azure API Management z prywatną siecią wirtualną dla połączeń wychodzących
- Obrona wystąpienia usługi Azure API Management przed atakami DDoS
Aby dowiedzieć się więcej o sieciach wirtualnych platformy Azure, zacznij od informacji w temacie Omówienie usługi Azure Virtual Network.