Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
ОБЛАСТЬ ПРИМЕНЕНИЯ: Разработчик | Базовый | Базовая версия 2 | Стандартный | Стандартная версия 2 | Премиум | Премиум версия 2
По умолчанию доступ к экземпляру Управление API осуществляется из Интернета в общедоступной конечной точке и выступает в качестве шлюза для общедоступных внутренних серверных служб. Управление API предоставляет несколько вариантов использования виртуальной сети Azure для защиты доступа к экземпляру Управление API и внутренним API. Доступные параметры зависят от уровня служб экземпляра службы управления API. Выберите возможности сети для удовлетворения потребностей вашей организации.
Варианты виртуальной сети сравниваются в следующей таблице. Дополнительные сведения см. в последующих разделах этой статьи и в подробных инструкциях, на которые приведены ссылки.
| Сетевая модель | Поддерживаемые уровни | Поддерживаемые компоненты | Поддерживаемый трафик | Сценарий использования |
|---|---|---|---|---|
| Внедрение виртуальных сетей (классические уровни) — внешние | Разработчик, Премиум | Портал разработчика, шлюз, плоскость управления и репозиторий Git | Входящий и исходящий трафик могут быть разрешены через Интернет, пиринговые виртуальные сети, ExpressRoute и VPN-подключения S2S. | Внешний доступ к частным и локальным серверным службам |
| Внедрение виртуальных сетей (классические уровни) — внутренние | Разработчик, Премиум | Портал разработчика, шлюз, плоскость управления и репозиторий Git | Исходящий и исходящий трафик могут быть разрешены для пиринговых виртуальных сетей, ExpressRoute и VPN-подключений S2S. | Внутренний доступ к частным и локальным серверным службам |
| Внедрение виртуальной сети (уровень "Премиум" версии 2) | Премиум версии 2 | Только шлюз | Входящий и исходящий трафик можно разрешить делегированной подсети виртуальной сети, пиринговых виртуальных сетей, ExpressRoute и VPN-подключений S2S. | Внутренний доступ к частным и локальным серверным службам |
| Интеграция виртуальной сети (уровни версии 2) | Standard v2, Premium версии 2 | Только шлюз | Исходящий трафик запроса может обращаться к API, размещенным в делегированной подсети одной подключенной виртуальной сети. | Внешний доступ к частным и локальным серверным службам |
| Входящая частная конечная точка | Разработчик, Базовый, Стандартный, Стандартный версии 2, Премиум, Премиум версии 2 | Только шлюз (управляемый шлюз поддерживается, автономный шлюз не поддерживается) | Только входящий трафик можно разрешить из Интернета, пиринговых виртуальных сетей, ExpressRoute и VPN-подключений S2S. | Безопасное подключение клиента к шлюзу Управления API |
Внедрение виртуальной сети (классические уровни)
В Управление API классических уровнях разработчика и уровня "Премиум" разверните экземпляр Управление API Управление API в подсети в сети, отличной от Интернета, к которой вы управляете доступом. В виртуальной сети экземпляр Управление API может безопасно обращаться к другим сетевым ресурсам Azure, а также подключаться к локальным сетям с помощью различных технологий VPN.
Для настройки можно использовать портал Azure, Azure CLI, шаблоны Azure Resource Manager или другие инструменты. Вы управляете входящим и исходящим трафиком в подсети, в которой развертывается управление API с помощью групп безопасности сети.
Подробные инструкции по развертыванию и конфигурации сети см. в статье:
- Разверните экземпляр службы управления API в виртуальной сети — внешний режим.
- Разверните экземпляр службы управления API в виртуальной сети — внутренний режим.
- Требования к сетевым ресурсам для внедрения управления API в виртуальную сеть.
Параметры доступа
С помощью виртуальной сети можно настроить портал разработчика, шлюз API и другие Управление API конечные точки, доступные из Интернета (внешнего режима) или только в виртуальной сети (внутренний режим).
Внешние конечные точки управления API доступны из общедоступного Интернета через внешнюю подсистему балансировки нагрузки. Шлюз может обращаться к ресурсам в виртуальной сети.
Используйте службу Управление API во внешнем режиме для доступа к серверным службам, развернутым в виртуальной сети.
Внутренние конечные точки управления API доступны только из виртуальной сети через внутреннюю подсистему балансировки нагрузки. Шлюз может обращаться к ресурсам в виртуальной сети.
Используйте Управление API во внутреннем режиме, чтобы:
- предоставлять третьим лицам защищенный доступ к API, размещенным в частном центре обработки данных, с помощью VPN-подключений Azure или Azure ExpressRoute;
- создать гибридное облачное развертывание, предоставляя единый шлюз для облачных и локально размещенных API-интерфейсов;
- управлять API-интерфейсами, размещенными в разных географических расположениях, через одну общую конечную точку шлюза.
Внедрение виртуальной сети (уровень "Премиум" версии 2)
На уровне Управление API Premium версии 2 вставьте экземпляр в делегированную подсеть виртуальной сети для защиты входящего и исходящего трафика шлюза. В настоящее время можно настроить параметры внедрения виртуальной сети во время создания экземпляра.
В этой конфигурации:
- Конечная точка шлюза Управление API доступна через виртуальную сеть по частному IP-адресу.
- Управление API может отправлять исходящие запросы к серверным службам API, изолированным в сети или любой пиринговой сети, если сетевое подключение настроено правильно.
Эта конфигурация рекомендуется использовать для сценариев, в которых необходимо изолировать как экземпляр Управление API, так и внутренние API. Внедрение виртуальной сети на уровне Premium версии 2 автоматически управляет сетевым подключением к большинству зависимостей служб для Azure Управление API.
Дополнительные сведения см. в статье "Внедрение экземпляра Premium версии 2" в виртуальную сеть.
Интеграция виртуальной сети (уровни версии 2)
Уровни "Стандартный" версии 2 и "Премиум" поддерживают интеграцию исходящей виртуальной сети, чтобы разрешить экземпляру службы управления API подключаться к серверным службам API, изолированным в одной подключенной виртуальной сети или любой одноранговой виртуальной сети, если сетевое подключение настроено правильно. Шлюз Управление API, плоскость управления и портал разработчика остаются общедоступными из Интернета.
Интеграция исходящего трафика позволяет экземпляру Управление API обращаться как к общедоступным, так и к изолированным от сети службам серверной части.
Дополнительные сведения см. в статье "Интеграция экземпляра службы "Управление API Azure" с частной виртуальной сетью для исходящих подключений.
Входящие частные конечные точки
Управление API поддерживает частные конечные точки для безопасных входящих подключений клиентов к экземпляру службы управления API. Каждое безопасное подключение использует частный IP-адрес из виртуальной сети и Приватный канал Azure.
С помощью частной конечной точки и Приватного канала вы можете выполнять следующие действия:
Создавать несколько подключений Приватного канала к экземпляру Управления API.
Использовать частную конечную точку для отправки входящего трафика в безопасное подключение.
Использовать политику, чтобы различать трафик, поступающий от частной конечной точки.
Ограничить входящий трафик частными конечными точками, предотвращая кражу данных.
Объедините входящие частные конечные точки с экземплярами Standard версии 2 с интеграцией исходящих виртуальных сетей для обеспечения сквозной сетевой изоляции ваших клиентов и внутренних служб управления API.
Внимание
- Вы можете настроить подключение частной конечной точки только для входящего трафика к экземпляру API Management.
- Можно отключить общедоступный сетевой доступ к экземпляру службы управления API только после настройки частной конечной точки.
Для получения дополнительной информации см. Как подключиться к управлению API через входящую частную конечную точку.
Расширенные конфигурации сети
Защита конечных точек Управления API с помощью брандмауэра веб-приложения
Возможны сценарии, при которых требуется как безопасный внешний, так и внутренний доступ к экземпляру Управления API, а также гибкость для доступа к частным и локальным серверным службам. В этих сценариях можно управлять внешним доступом к конечным точкам экземпляра Управления API с помощью брандмауэра веб-приложения (WAF).
Одним из примеров является развертывание экземпляра Управления API во внутренней виртуальной сети и маршрутизация общего доступа к нему с помощью Шлюза приложений Azure, доступного через Интернет:
Дополнительные сведения см. в статье "Развертывание управления API в внутренней виртуальной сети с помощью шлюза приложений".
Связанный контент
Дополнительные сведения о конфигурации виртуальной сети с помощью Управление API:
- Разверните экземпляр службы "Управление API Azure" в виртуальной сети — внешний режим.
- Разверните экземпляр управления API Azure в виртуальной сети — внутренний режим.
- Подключитесь частным образом к управлению API, используя частную конечную точку
- Внедрение экземпляра Premium версии 2 в виртуальную сеть
- Интеграция экземпляра службы "Управление API Azure" с частной виртуальной сетью для исходящих подключений
- Защита экземпляра службы "Управление API Azure" от атак DDoS
Чтобы узнать больше о виртуальных сетях Azure, начните с сведений в обзоре виртуальной сети Azure.