Använda ett virtuellt nätverk för att skydda inkommande eller utgående trafik för Azure API Management
GÄLLER FÖR: Utvecklare | Grundläggande | Standard | Standard v2 | Premium
Som standard används DIN API Management från Internet på en offentlig slutpunkt och fungerar som en gateway till offentliga serverdelar. API Management innehåller flera alternativ för att skydda åtkomsten till din API Management-instans och till serverdels-API:er med hjälp av ett virtuellt Azure-nätverk. Tillgängliga alternativ beror på tjänstnivån för din API Management-instans.
Inmatning av API Management-instansen till ett undernät i det virtuella nätverket, vilket gör det möjligt för gatewayen att komma åt resurser i nätverket.
Du kan välja något av två inmatningslägen: externt eller internt. De skiljer sig åt i huruvida inkommande anslutning till gatewayen och andra API Management-slutpunkter tillåts från Internet eller endast inifrån det virtuella nätverket.
Integrering av API Management-instansen med ett undernät i ett virtuellt nätverk så att DIN API Management-gateway kan göra utgående begäranden till API-serverdelar som är isolerade i nätverket.
Aktivera säker och privat inkommande anslutning till API Management-gatewayen med hjälp av en privat slutpunkt.
I följande tabell jämförs alternativ för virtuella nätverk. Mer information finns i senare avsnitt i den här artikeln och länkar till detaljerad vägledning.
Nätverksmodell | Nivåer som stöds | Komponenter som stöds | Trafik som stöds | Användningsscenario |
---|---|---|---|---|
Virtuell nätverksinmatning – extern | Utvecklare, Premium | Utvecklarportal, gateway, hanteringsplan och Git-lagringsplats | Inkommande och utgående trafik kan tillåtas till Internet, peer-kopplade virtuella nätverk, Express Route- och S2S VPN-anslutningar. | Extern åtkomst till privata och lokala serverdelar |
Virtuell nätverksinmatning – intern | Utvecklare, Premium | Utvecklarportal, gateway, hanteringsplan och Git-lagringsplats | Inkommande och utgående trafik kan tillåtas till peerkopplade virtuella nätverk, Express Route- och S2S VPN-anslutningar. | Intern åtkomst till privata och lokala serverdelar |
Utgående integrering | Standard v2 | Endast gateway | Utgående begärandetrafik kan nå API:er som finns i ett delegerat undernät i ett virtuellt nätverk. | Extern åtkomst till privata och lokala serverdelar |
Inkommande privat slutpunkt | Utvecklare, Basic, Standard, Premium | Endast gateway (hanterad gateway stöds, gateway med egen värd stöds inte) | Endast inkommande trafik kan tillåtas från Internet, peer-kopplade virtuella nätverk, Express Route- och S2S VPN-anslutningar. | Säker klientanslutning till API Management-gateway |
Virtuell nätverksinmatning
Med VNet-inmatning distribuerar du ("mata in") din API Management-instans i ett undernät i ett icke-Internet-routbart nätverk som du styr åtkomsten till. I det virtuella nätverket kan din API Management-instans på ett säkert sätt komma åt andra nätverksanslutna Azure-resurser och även ansluta till lokala nätverk med hjälp av olika VPN-tekniker. Om du vill veta mer om virtuella Azure-nätverk börjar du med informationen i översikten över Azure Virtual Network.
Du kan använda Azure-portalen, Azure CLI, Azure Resource Manager-mallar eller andra verktyg för konfigurationen. Du styr inkommande och utgående trafik till undernätet där API Management distribueras med hjälp av nätverkssäkerhetsgrupper.
Detaljerade distributionssteg och nätverkskonfiguration finns i:
- Distribuera DIN API Management-instans till ett virtuellt nätverk – externt läge.
- Distribuera API Management-instansen till ett virtuellt nätverk – internt läge.
- Nätverksresurskrav för API Management-inmatning i ett virtuellt nätverk.
Åtkomstalternativ
Med hjälp av ett virtuellt nätverk kan du konfigurera utvecklarportalen, API-gatewayen och andra API Management-slutpunkter så att de är tillgängliga antingen från Internet (externt läge) eller endast i det virtuella nätverket (internt läge).
Extern – API Management-slutpunkterna är tillgängliga från det offentliga Internet via en extern lastbalanserare. Gatewayen kan komma åt resurser i det virtuella nätverket.
Använd API Management i externt läge för att komma åt serverdelstjänster som distribueras i det virtuella nätverket.
Internt – API Management-slutpunkterna är endast tillgängliga från det virtuella nätverket via en intern lastbalanserare. Gatewayen kan komma åt resurser i det virtuella nätverket.
Använd API Management i internt läge för att:
- Gör API:er som finns i ditt privata datacenter säkert tillgängliga av tredje part med hjälp av Azure VPN-anslutningar eller Azure ExpressRoute.
- Aktivera hybridmolnscenarier genom att exponera dina molnbaserade API:er och lokala API:er via en gemensam gateway.
- Hantera dina API:er som finns på flera geografiska platser med hjälp av en enda gatewayslutpunkt.
Utgående integrering
Nivån Standard v2 stöder VNet-integrering så att API Management-instansen kan nå API-serverdelar som är isolerade i ett enda anslutet virtuellt nätverk. API Management-gatewayen, hanteringsplanet och utvecklarportalen förblir offentligt tillgängliga från Internet.
Med utgående integrering kan API Management-instansen nå både offentliga och nätverksisolerade serverdelstjänster.
Mer information finns i Integrera en Azure API Management-instans med ett privat virtuellt nätverk för utgående anslutningar.
Inkommande privat slutpunkt
API Management stöder privata slutpunkter för säkra inkommande klientanslutningar till din API Management-instans. Varje säker anslutning använder en privat IP-adress från ditt virtuella nätverk och Azure Private Link.
Med en privat slutpunkt och Private Link kan du:
Skapa flera Private Link-anslutningar till en API Management-instans.
Använda den privata slutpunkten för att skicka inkommande trafik via en säker anslutning.
Använda en princip för att särskilja trafik som kommer från den privata slutpunkten.
Begränsa endast inkommande trafik till privata slutpunkter, vilket förhindrar dataexfiltrering.
Viktigt!
Du kan bara konfigurera en privat slutpunktsanslutning för inkommande trafik till API Management-instansen. För närvarande stöds inte utgående trafik.
Du kan använda modellen för externt eller internt virtuellt nätverk för att upprätta utgående anslutning till privata slutpunkter från DIN API Management-instans.
Api Management-instansen kan inte matas in i ett externt eller internt virtuellt nätverk för att aktivera inkommande privata slutpunkter.
Mer information finns i Anslut privat till API Management med hjälp av en inkommande privat slutpunkt.
Avancerade nätverkskonfigurationer
Skydda API Management-slutpunkter med en brandvägg för webbprogram
Du kan ha scenarier där du behöver både säker extern och intern åtkomst till din API Management-instans och flexibilitet för att nå privata och lokala serverdelar. I dessa scenarier kan du välja att hantera extern åtkomst till slutpunkterna för en API Management-instans med en brandvägg för webbprogram (WAF).
Ett exempel är att distribuera en API Management-instans i ett internt virtuellt nätverk och dirigera offentlig åtkomst till den med hjälp av en Internetuppkopplad Azure Application Gateway:
Mer information finns i Distribuera API Management i ett internt virtuellt nätverk med Application Gateway.
Nästa steg
Läs mer om:
Konfiguration av virtuellt nätverk med API Management:
- Distribuera din Azure API Management-instans till ett virtuellt nätverk – externt läge.
- Distribuera din Azure API Management-instans till ett virtuellt nätverk – internt läge.
- Anslut privat till API Management med en privat slutpunkt
- Integrera en Azure API Management-instans med ett privat virtuellt nätverk för utgående anslutningar
- Försvara din Azure API Management-instans mot DDoS-attacker
Relaterade artiklar: