Publikowanie i ochrona interfejsów API uruchomionych na maszynach wirtualnych usługi Azure VMware Solution
Usługa Microsoft Azure API Management umożliwia bezpieczne publikowanie użytkownikom zewnętrznym lub wewnętrznym. Tylko jednostki SKU developer (development) i Premium (production) umożliwiają integrację usługi Azure Virtual Network z publikowaniem interfejsów API działających w obciążeniach usługi Azure VMware Solution. Ponadto obie jednostki SKU umożliwiają łączność między usługą API Management i zapleczem.
Konfiguracja usługi API Management jest taka sama w przypadku usług zaplecza, które działają na maszynach wirtualnych usługi Azure VMware Solution i lokalnie. Usługa API Management konfiguruje również wirtualny adres IP modułu równoważenia obciążenia jako punkt końcowy zaplecza dla obu wdrożeń, gdy serwer zaplecza znajduje się za modułem równoważenia obciążenia NSX w usłudze Azure VMware Solution.
Wdrożenie zewnętrzne
Wdrożenie zewnętrzne publikuje interfejsy API używane przez użytkowników zewnętrznych korzystających z publicznego punktu końcowego. Deweloperzy i inżynierowie devOps mogą zarządzać interfejsami API za pośrednictwem witryny Azure Portal lub programu PowerShell i portalu deweloperów usługi API Management.
Diagram wdrożenia zewnętrznego przedstawia cały proces i zaangażowanych aktorów (pokazanych u góry). Aktorzy to:
Administracja istratory: Reprezentuje zespół administratora lub devOps, który zarządza rozwiązaniem Azure VMware Solution za pośrednictwem witryny Azure Portal i mechanizmów automatyzacji, takich jak program PowerShell lub usługa Azure DevOps.
Użytkownicy: reprezentuje użytkowników uwidocznionych interfejsów API i reprezentuje użytkowników i usługi korzystające z interfejsów API.
Przepływ ruchu przechodzi przez wystąpienie usługi API Management, które abstrakcji usług zaplecza jest podłączone do sieci wirtualnej Koncentratora. Brama usługi ExpressRoute kieruje ruch do połączenia ExpressRoute Global Reach i dociera do modułu równoważenia obciążenia NSX dystrybuującego ruch przychodzący do różnych wystąpień usługi zaplecza.
Usługa API Management ma publiczny interfejs API platformy Azure i zaleca się aktywowanie usługi Azure DDoS Protection.
Wdrażanie wewnętrzne
Wdrożenie wewnętrzne publikuje interfejsy API używane przez użytkowników wewnętrznych lub systemów. Zespoły devOps i deweloperzy interfejsów API używają tych samych narzędzi do zarządzania i portalu deweloperów, co we wdrożeniu zewnętrznym.
Użyj bramy aplikacja systemu Azure dla wdrożeń wewnętrznych, aby utworzyć publiczny i bezpieczny punkt końcowy dla interfejsu API. Możliwości bramy są używane do tworzenia wdrożenia hybrydowego, które umożliwia różne scenariusze.
Użyj tego samego zasobu usługi API Management do użycia zarówno przez użytkowników wewnętrznych, jak i zewnętrznych.
Pojedynczy zasób usługi API Management z podzbiorem interfejsów API zdefiniowanych i dostępnych dla użytkowników zewnętrznych.
Zapewnienie łatwego sposobu przełączania dostępu do usługi API Management z publicznego Internetu i wyłączania.
Na poniższym diagramie wdrażania przedstawiono użytkowników, którzy mogą być wewnętrzni lub zewnętrzni, a każdy typ uzyskuje dostęp do tych samych lub różnych interfejsów API.
We wdrożeniu wewnętrznym interfejsy API są uwidocznione w tym samym wystąpieniu usługi API Management. Przed usługą API Management usługa Application Gateway jest wdrażana z aktywowaną funkcją usługi Azure Web Application Firewall (WAF). Wdrożono również zestaw odbiorników i reguł HTTP w celu filtrowania ruchu, uwidaczniając tylko podzbiór usług zaplecza działających w usłudze Azure VMware Solution.
Ruch wewnętrzny kieruje się przez bramę usługi ExpressRoute do usługi Azure Firewall, a następnie do usługi API Management bezpośrednio lub za pośrednictwem reguł ruchu.
Ruch zewnętrzny przechodzi do platformy Azure za pośrednictwem usługi Application Gateway, która używa zewnętrznej warstwy ochrony dla usługi API Management.
