IP-adresser för Azure API Management

  • Artikel

GÄLLER FÖR: Alla API Management-nivåer

I den här artikeln beskriver vi hur du hämtar IP-adresserna för Azure API Management-tjänsten. IP-adresser kan vara offentliga eller privata om tjänsten finns i ett virtuellt nätverk. Du kan använda IP-adresser för att skapa brandväggsregler, filtrera inkommande trafik till serverdelstjänsterna eller begränsa den utgående trafiken.

IP-adresser för API Management-tjänsten

Varje API Management-tjänstinstans på nivån Developer, Basic, Standard eller Premium har offentliga IP-adresser, som endast är exklusiva för den tjänstinstansen (de delas inte med andra resurser).

Du kan hämta IP-adresserna från översiktsinstrumentpanelen för din resurs i Azure-portalen.

IP-adress för API Management

Du kan också hämta dem programmatiskt med följande API-anrop:

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

Offentliga IP-adresser kommer att ingå i svaret:

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.77.143.53"
    ],
    ...
  }
  ...
}

I distributioner med flera regioner har varje regional distribution en offentlig IP-adress.

IP-adresser för API Management-tjänsten i VNet

Om DIN API Management-tjänst finns i ett virtuellt nätverk har den två typer av IP-adresser: offentliga och privata.

  • Offentliga IP-adresser används för intern kommunikation på porten 3443 – för att hantera konfiguration (till exempel via Azure Resource Manager). I den externa VNet-konfigurationen används de också för körnings-API-trafik. I den interna VNet-konfigurationen används offentliga IP-adresser endast för interna Hanteringsåtgärder i Azure och exponerar inte din instans för Internet.

  • Privata virtuella IP-adresser (VIP), som endast är tillgängliga i det interna VNet-läget, används för att ansluta inifrån nätverket till API Management-slutpunkter – gatewayer, utvecklarportalen och hanteringsplanet för direkt API-åtkomst. Du kan använda dem för att konfigurera DNS-poster i nätverket.

Du ser adresser för båda typerna i Azure-portalen och i svaret för API-anropet:

API Management i VNet IP-adress

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.85.20.170"
    ],
    "privateIPAddresses": [
      "192.168.1.5"
    ],
    ...
  },
  ...
}

Viktigt!

De privata IP-adresserna för intern lastbalanserare och API Management-enheter tilldelas dynamiskt. Därför är det omöjligt att förutse den privata IP-adressen för API Management-instansen innan den distribueras. Om du ändrar till ett annat undernät och sedan returnerar kan det dessutom orsaka en ändring i den privata IP-adressen.

IP-adresser för utgående trafik

API Management använder en offentlig IP-adress för en anslutning utanför det virtuella nätverket eller ett peer-kopplat virtuellt nätverk och använder en privat IP-adress för en anslutning i det virtuella nätverket eller ett peer-kopplat virtuellt nätverk.

  • När API-hantering distribueras i ett externt eller internt virtuellt nätverk och API-hantering ansluter till privata (intranätuppkopplade) serverdelar används interna IP-adresser (dynamisk IP- eller DIP-adresser) från undernätet för API-körningstrafiken. När en begäran skickas från API Management till en privat serverdel visas en privat IP-adress som begärans ursprung.

    Om IP-begränsningen visar säkra resurser i det virtuella nätverket eller ett peer-kopplat VNet rekommenderar vi därför att du använder hela API Management-undernätsintervallet med en IP-regel – och (i internt läge) inte bara den privata IP-adress som är associerad med API Management-resursen.

  • När en begäran skickas från API Management till en offentlig (internetuppkopplad) serverdel visas alltid en offentlig IP-adress som begärans ursprung.

IP-adresser för tjänsten Consumption, Basic v2 och Standard v2 tier API Management

Om din API Management-instans skapas på en tjänstnivå som körs på en delad infrastruktur har den ingen dedikerad IP-adress. För närvarande körs instanser på följande tjänstnivåer på en delad infrastruktur och utan en deterministisk IP-adress: Förbrukning, Basic v2, Standard v2.

Om du behöver lägga till de utgående IP-adresser som används av din instans av förbrukning, Basic v2 eller Standard v2-nivå i en allowlist kan du lägga till instansens datacenter (Azure-region) i en tillåtna lista. Du kan ladda ned en JSON-fil som listar IP-adresser för alla Azure-datacenter. Leta sedan reda på JSON-fragmentet som gäller för den region som din instans körs i.

Följande JSON-fragment är till exempel hur listan över tillåtna för Västeuropa kan se ut:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

Information om när den här filen uppdateras och när IP-adresserna ändras finns i avsnittet Informationsidan Ladda ned center.

Ändringar i IP-adresserna

På nivåerna Developer, Basic, Standard och Premium i API Management är de offentliga IP-adresserna eller adresserna (VIP) och privata VIP-adresser (om de konfigureras i det interna VNet-läget) statiska under en tjänsts livslängd, med följande undantag:

  • API Management-tjänsten tas bort och skapas sedan igen.

  • Tjänstprenumerationen är inaktiverad eller varnad (till exempel för utebliven betalning) och återställs sedan. Läs mer om prenumerationstillstånd

  • (Developer- och Premium-nivåer) Azure Virtual Network läggs till eller tas bort från tjänsten.

  • (Developer- och Premium-nivåer) API Management-tjänsten växlas mellan externt och internt VNet-distributionsläge.

  • (Developer- och Premium-nivåer) API Management-tjänsten flyttas till ett annat undernät eller migreras från stv1 till beräkningsplattformenstv2.

  • (Premium-nivå) Tillgänglighetszoner aktiveras, läggs till eller tas bort.

  • (Premium-nivå) I distributioner med flera regioner ändras den regionala IP-adressen om en region töms och sedan återställs.

    Viktigt!

    När du ändrar från ett externt till ett internt virtuellt nätverk (eller vice versa), ändrar undernät i nätverket eller uppdaterar tillgänglighetszoner för API Management-instansen, måste du konfigurera en annan offentlig IP-adressresurs än den som konfigurerades tidigare. Du kan växla tillbaka till den ursprungliga IP-adressen om det behövs.