Endereços IP do Gerenciamento de API do Azure

APLICA-SE A: todas as camadas do Gerenciamento de API

Neste artigo, descreveremos como recuperar endereços IP do serviço de Gerenciamento de API do Azure. Caso o serviço esteja em uma rede virtual, os endereços IP poderão ser públicos ou privados. É possível usar endereços IP para criar regras de firewall, filtrar o tráfego de entrada nos serviços de back-end ou restringir o tráfego de saída.

Endereços IP públicos

Cada instância de serviço do Gerenciamento de API na camada Desenvolvedor, Básica, Standard ou Premium tem endereços IP públicos, que são exclusivos somente para essa instância de serviço (eles não são compartilhados com outros recursos).

É possível recuperar os endereços IP no painel de visão geral do seu recurso no portal do Azure.

Também é possível obtê-los de modo programático usando a seguinte chamada à API:

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

Os endereços IP públicos farão parte desta resposta:

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "172.31.0.1"
    ],
    ...
  }
  ...
}

Em implantações multirregionais, cada implantação regional terá um endereço IP público.

Endereços IP do serviço de Gerenciamento de API na VNet

Caso o serviço de Gerenciamento de API esteja dentro de uma rede virtual, ele terá dois tipos de endereços IP: público e privado.

• Os endereços IP públicos são usados para estabelecer uma comunicação interna na porta 3443 a fim de gerenciar a configuração (por exemplo, por meio do Azure Resource Manager). Na configuração de VNet externa, elas também são usadas para tráfego de API de runtime. Na configuração de VNet interna, os endereços IP públicos são usados apenas para operações de gerenciamento interno do Azure e não expõem sua instância à Internet.

• Os endereços IP virtuais (VIP) privados, disponíveis somente no modo VNet interna, são usados para se conectar de dentro da rede a pontos de extremidade de Gerenciamento de API e gateways, bem como ao portal do desenvolvedor e ao plano de gerenciamento para obter um acesso direto à API. É possível usá-los para configurar registros DNS na rede.

Será possível conferir os endereços de ambos os tipos no portal do Azure e na resposta da chamada à API:

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "172.31.0.1"
    ],
    "privateIPAddresses": [
      "192.168.1.5"
    ],
    ...
  },
  ...
}

Importante

Os endereços de IP privados do balanceador de carga interno e das unidades de Gerenciamento de API são atribuídos dinamicamente. Portanto, é impossível prever o IP privado da instância de Gerenciamento de API antes da sua implantação. Além disso, alterar para uma sub-rede diferente e retornar pode causar uma alteração no endereço de IP privado.

Endereços IP para tráfego de saída

O Gerenciamento de API usa um endereço de IP público em uma conexão fora da VNet ou de uma VNet emparelhada e usa um endereço de IP privado em uma conexão na VNet ou em uma VNet emparelhada.

• Quando o Gerenciamento de API é implantado em uma rede virtual externa ou interna e o Gerenciamento de API se conecta a back-ends privados (voltados para a intranet), endereços IP internos (endereços IP dinâmicos ou DIP) da sub-rede são usados para o tráfego de API de runtime. Ao enviar uma solicitação do Gerenciamento de API a um back-end privado, um endereço IP privado ficará visível como a origem da solicitação.

  Portanto, se a restrição de IP listar recursos seguros dentro da VNet ou de uma VNet emparelhada, é recomendável usar todo o intervalo de sub-redes do Gerenciamento de API com uma regra de IP, e (no modo interno) não apenas o endereço IP privado associado ao recurso de Gerenciamento de API.

• Ao enviar uma solicitação do Gerenciamento de API a um back-end público (voltado para a Internet), um endereço IP público sempre ficará visível como a origem da solicitação.

Endereços IP de Consumo, Basic v2, Standard v2 e serviço de Gerenciamento de API de camada Premium v2

Se a sua instância do Gerenciamento de API for criada em uma camada de serviço executada em uma infraestrutura compartilhada, ela não terá um endereço IP dedicado. Atualmente, as instâncias nas seguintes camadas de serviço são executadas em uma infraestrutura compartilhada e sem um endereço IP determinístico: Consumo, Basic v2, Standard v2, Premium v2.

Se você precisar adicionar os endereços IP de saída usados pela instância da camada Consumption, Basic v2, Standard v2 ou Premium v2 a uma lista de permissões, poderá adicionar o data center da instância (região do Azure) a uma lista de permissões. Você pode fazer o download de um arquivo JSON que lista endereços IP para todos os datacenters do Azure. Em seguida, localize o fragmento JSON que se aplica à região em que a instância é executada.

Por exemplo, o fragmento JSON a seguir é o que a lista de permitidos para a Europa Ocidental pode se parecer:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

Para obter informações sobre quando este arquivo é atualizado e quando os endereços IP são alterados, expanda a seção Detalhes da página do Centro de Download.

Alterações de endereços IP

Nas camadas Desenvolvedor, Básica, Standard e Premium do Gerenciamento de API, o endereço ou os endereços IP públicos (VIP) e os endereços IP privados (se configurados no modo de VNet interna) são estáticos durante o tempo de vida de um serviço, exceto nos seguintes cenários:

• O serviço do Gerenciamento de API é excluído e recriado.

• A assinatura do serviço é desabilitada ou avisada (por exemplo, por não pagamento) e, depois, reintegrada. Saiba mais sobre os estados das assinaturas

• (Camadas Desenvolvedor e Premium) A Rede Virtual do Azure é adicionada ao serviço ou removida dele.

• (Camadas Desenvolvedor e Premium) O serviço de Gerenciamento de API é alternado entre o modo de implantação de VNet externa e interna.

• (Camadas Desenvolvedor e Premium) O serviço de Gerenciamento de API é movido para uma sub-rede diferente, migrado do stv1 para a plataforma de computação stv2 ou configurado com um recurso de endereço IP público diferente.

• (Camada Premium) As zonas de disponibilidade estão habilitadas, foram adicionadas ou removidas.

• (Camada Premium) Em implantações multirregionais, o endereço IP regional é alterado caso uma região esteja vazia, depois ele é restabelecido.

  Importante

  Ao alterar de uma rede virtual interna para externa, atualizar uma instância de Gerenciamento de API em uma VNet migrando da plataforma stv1 para a stv2 ou alterar sub-redes na rede, você pode configurar um endereço IP público diferente. Se você não fornecer um endereço IP público gerenciado pelo Azure, isso será configurado automaticamente.

Conteúdo relacionado

• Implantar o Gerenciamento de API em uma rede virtual – modo externo
• Implantar o Gerenciamento de API em uma rede virtual – modo interno
• Usando uma rede virtual com o Gerenciamento de API do Azure