Publicar e proteger APIs em execução em VMs do Azure VMware Solution

  • Artigo

O Gerenciamento de API do Microsoft Azure permite publicar com segurança para consumidores externos ou internos. Somente as SKUs Developer (desenvolvimento) e Premium (produção) permitem que a integração da Rede Virtual do Azure publique APIs que são executadas em cargas de trabalho da Solução VMware do Azure. Além disso, ambas as SKUs permitem a conectividade entre o serviço de Gerenciamento de API e o back-end.

A configuração de Gerenciamento de API é a mesma para serviços de back-end executados em máquinas virtuais (VMs) da Solução VMware do Azure e no local. O Gerenciamento de API também configura o IP virtual no balanceador de carga como o ponto de extremidade de back-end para ambas as implantações quando o servidor de back-end é colocado atrás de um NSX Load Balancer na Solução VMware do Azure.

Implantação externa

Uma implantação externa publica APIs consumidas por usuários externos que usam um ponto de extremidade público. Os desenvolvedores e engenheiros de DevOps podem gerenciar APIs por meio do portal do Azure ou do PowerShell e do portal do desenvolvedor do Gerenciamento de API.

O diagrama de implantação externa mostra todo o processo e os atores envolvidos (mostrado na parte superior). Os intervenientes são:

  • Administrador(es): representa o administrador ou a equipe de DevOps, que gerencia a Solução VMware do Azure por meio do portal do Azure e de mecanismos de automação como PowerShell ou Azure DevOps.

  • Usuários: representa os consumidores das APIs expostas e representa os usuários e os serviços que consomem as APIs.

O fluxo de tráfego passa pela instância de Gerenciamento de API, que abstrai os serviços de back-end, conectados à rede virtual do Hub. O ExpressRoute Gateway roteia o tráfego para a conexão ExpressRoute Global Reach e alcança um NSX Load Balancer distribuindo o tráfego de entrada para as diferentes instâncias de serviço de back-end.

O Gerenciamento de API tem uma API Pública do Azure e a ativação do Serviço de Proteção contra DDoS do Azure é recomendada.

Diagrama mostrando uma implantação de Gerenciamento de API externa para a Solução VMware do Azure

Implantação interna

Uma implantação interna publica APIs consumidas por usuários ou sistemas internos. As equipes de DevOps e os desenvolvedores de API usam as mesmas ferramentas de gerenciamento e o portal do desenvolvedor que na implantação externa.

Use o Gateway de Aplicativo do Azure para implantações internas para criar um ponto de extremidade público e seguro para a API. Os recursos do gateway são usados para criar uma implantação híbrida que permite cenários diferentes.

  • Use o mesmo recurso de Gerenciamento de API para consumo por consumidores internos e externos.

  • Tenha um único recurso de Gerenciamento de API com um subconjunto de APIs definido e disponível para consumidores externos.

  • Forneça uma maneira fácil de alternar o acesso ao Gerenciamento de API da Internet pública ativada e desativada.

O diagrama de implantação a seguir mostra os consumidores que podem ser internos ou externos, com cada tipo acessando as mesmas APIs ou diferentes.

Em uma implantação interna, as APIs são expostas à mesma instância de Gerenciamento de API. Diante do Gerenciamento de API, o Application Gateway é implantado com o recurso WAF (Azure Web Application Firewall) ativado. Também implantado, um conjunto de ouvintes HTTP e regras para filtrar o tráfego, expondo apenas um subconjunto dos serviços de back-end em execução na Solução VMware do Azure.

  • O tráfego interno é encaminhado através do Gateway de Rota Expressa para o Firewall do Azure e, em seguida, para o Gerenciamento de API, diretamente ou por meio de regras de tráfego.

  • O tráfego externo entra no Azure por meio do Application Gateway, que usa a camada de proteção externa para Gerenciamento de API.

Diagrama mostrando uma implantação interna do Gerenciamento de API para a Solução VMware do Azure