IP-адреса службы "Управление API" Azure

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ: все уровни Управление API

В этой статье объясняется, как получить IP-адреса службы "Управление API" Azure. IP-адреса могут быть общедоступными или частными, если служба находится в виртуальной сети. Вы можете использовать IP-адреса для создания правил брандмауэра, фильтрации входящего трафика во внутренние службы или ограничения исходящего трафика.

IP-адреса службы "Управление API"

Каждый экземпляр службы "Управление API" на уровне "Разработчик", "Базовый", "Стандартный" или "Премиум" имеет общедоступные IP-адреса, которые являются эксклюзивными только для данного экземпляра (они не используются совместно с другими ресурсами).

Вы можете посмотреть эти адреса в панели обзора для своего ресурса на портале Azure.

IP-адрес службы

Их также можно получить программным способом с помощью следующего вызова API:

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

Общедоступные IP-адреса будут частью ответа:

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.77.143.53"
    ],
    ...
  }
  ...
}

При развертывании в нескольких регионах развертыванию в каждом регионе соответствует один общедоступный IP-адрес.

IP-адреса службы "Управление API" в виртуальной сети

Если ваша служба "Управление API" находится внутри виртуальной сети, у нее будет два типа IP-адресов — общедоступные и частные.

  • Общедоступные IP-адреса используются для внутреннего взаимодействия через порт 3443 с целью управления конфигурацией (например, с помощью Azure Resource Manager). В конфигурации внешней виртуальной сети они также используются для трафика API среды выполнения. В конфигурации внутренней виртуальной сети общедоступные IP-адреса используются только для внутренних операций управления Azure и не предоставляют экземпляр в Интернете.

  • Частные виртуальные IP-адреса, доступные только в режиме внутренней виртуальной сети, используются для подключения из сети к конечным точкам Управления API — шлюзам, порталу разработчика и плоскости управления для прямого доступа через API. Их можно использовать для настройки записей DNS в сети.

На портале Azure и в ответе на вызов API присутствуют адреса обоих типов:

IP-адрес службы 

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.85.20.170"
    ],
    "privateIPAddresses": [
      "192.168.1.5"
    ],
    ...
  },
  ...
}

Внимание

Частные IP-адреса внутренней подсистемы балансировки нагрузки и Управление API единиц назначаются динамически. Поэтому невозможно предвидеть частный IP-адрес экземпляра Управление API до его развертывания. Кроме того, изменение в другую подсеть, а затем возврат может привести к изменению частного IP-адреса.

IP-адреса для исходящего трафика

Управление API использует общедоступный IP-адрес для подключения за пределами виртуальной сети или одноранговой виртуальной сети и использует частный IP-адрес для подключения в виртуальной сети или одноранговой виртуальной сети.

  • При развертывании Управления API во внешней или внутренней виртуальной сети и подключении Управления API к частным серверным частям (с выходом в Интрасеть) внутренние IP-адреса (динамические IP-адреса или DIP-адреса) из подсети используются для трафика API среды выполнения. Когда запрос отправляется из службы "Управление API" в частную серверную часть, частный IP-адрес отображается в качестве источника запроса.

    Поэтому, если в ограничении по протоколу IP перечислены защищенные ресурсы в виртуальной сети или одноранговой виртуальной сети, рекомендуется использовать весь диапазон подсети службы "Управление API" с правилом IP-адресов, а не только с частным IP-адресом (в режиме внутреннего использования), связанным с ресурсом службы "Управление API".

  • Когда запрос отправляется из службы "Управление API" в общедоступную серверную часть (с выходом в Интернет), общедоступный IP-адрес отображается в качестве источника запроса.

IP-адреса службы "Потребление", "Базовый" версии 2 и "Стандартный" уровня Управление API

Если экземпляр Управление API создается на уровне служб, работающем в общей инфраструктуре, он не имеет выделенного IP-адреса. В настоящее время экземпляры на следующих уровнях служб выполняются в общей инфраструктуре и без детерминированного IP-адреса: потребление, базовый версии 2, стандартная версия 2.

Если необходимо добавить исходящие IP-адреса, используемые экземпляром уровня "Потребление", "Базовый" версии 2 или "Стандартный" версии 2 в список разрешений, можно добавить центр обработки данных экземпляра (регион Azure) в список разрешений. Вы можете скачать JSON-файл со списком IP-адресов всех центров обработки данных Azure. Затем найдите фрагмент JSON, который относится к региону, в котором выполняется экземпляр.

Например, в следующем фрагменте JSON показано, как может выглядеть список разрешений для Западной Европы:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

Чтобы получить сведения о том, когда этот файл обновляется и изменяются IP-адреса, разверните раздел Сведения на странице Центра загрузки.

Изменения IP-адресов

На уровнях "Разработчик", "Базовый", "Стандартный" и "Премиум" службы "Управление API" общедоступный IP-адрес или адреса (виртуальные IP-адреса) и частные виртуальные IP-адреса (если они настроены во внутреннем режиме виртуальной сети) статичны в течение всего периода существования службы, за исключением следующих ситуаций:

  • Служба Управление API удалена или создана повторно.

  • Подписка на службу отключена или предупреждается (например, для неплатеживого обслуживания), а затем восстановлена. Дополнительные сведения о состояниях подписки

  • (Уровни служб Разработчика и "Премиум") В службу добавляется или из нее удаляется Виртуальная сеть Azure.

  • (Уровни служб Разработчика и "Премиум") Служба управления API переводится из режима внешнего развертывания в режим развертывания внутри виртуальной сети или обратно.

  • (Уровни разработчика и уровня "Премиум") Управление API служба перемещается в другую подсеть или переносится с stv1 вычислительной stv2 платформы.

  • (Уровень служб "Премиум") Зоны доступности включаются, добавляются или удаляются.

  • (Уровень служб "Премиум") При развертывании в нескольких регионах региональные IP-адреса изменяются, если регион освобождается, а затем его использование возобновляется.

    Внимание

    При переходе с внешней на внутреннюю виртуальную сеть (и наоборот), изменении подсети в сети или обновлении зоны доступности для экземпляра Управления API необходимо настроить другой ресурс общедоступного IP-адреса вместо прежнего. При необходимости можно вернуться на исходный IP-адрес.