Händelser
17 mars 21 - 21 mars 10
Gå med i mötesserien för att skapa skalbara AI-lösningar baserat på verkliga användningsfall med andra utvecklare och experter.
Registrera dig nuAnsluta privat till API Management med en inkommande privat slutpunkt
GÄLLER FÖR: Utvecklare | Grundläggande | Standard | Standard v2 | Premie
Du kan konfigurera en inkommande privat slutpunkt för din API Management-instans så att klienter i ditt privata nätverk kan få säker åtkomst till instansen via Azure Private Link.
Anteckning
Stöd för privata slutpunkter på Standard v2-nivån är för närvarande i begränsad förhandsversion. Fyll i formuläret om du vill registrera dig.
Den privata slutpunkten använder en IP-adress från ett virtuellt Azure-nätverk där den finns.
Nätverkstrafik mellan en klient i ditt privata nätverk och API Management passerar över det virtuella nätverket och en Private Link i Microsofts stamnätverk, vilket eliminerar exponeringen från det offentliga Internet.
Konfigurera anpassade DNS-inställningar eller en privat Azure DNS-zon så att du kan mappa API Management-värdnamnet till slutpunktens privata IP-adress.
Med en privat slutpunkt och Private Link kan du:
Skapa flera Private Link-anslutningar till en API Management-instans.
Använda den privata slutpunkten för att skicka inkommande trafik via en säker anslutning.
Använda en princip för att särskilja trafik som kommer från den privata slutpunkten.
Begränsa endast inkommande trafik till privata slutpunkter, vilket förhindrar dataexfiltrering.
Kombinera inkommande privata slutpunkter till Standard v2-instanser med utgående integrering av virtuella nätverk för att tillhandahålla nätverksisolering från slutpunkt till slutpunkt för dina API Management-klienter och serverdelstjänster.
Viktigt
- Du kan bara konfigurera en privat slutpunktsanslutning för inkommande trafik till API Management-instansen.
- Endast API Management-instansens Gateway-slutpunkt stöder inkommande Private Link-anslutningar.
- Varje API Management-instans stöder högst 100 Private Link-anslutningar.
- Anslutningar stöds inte på den lokala gatewayen eller på en arbetsytegateway.
- På de klassiska API Management-nivåerna stöds inte privata slutpunkter i instanser som matas in i ett internt eller externt virtuellt nätverk.
- En befintlig API Management-instans. Skapa en om du inte redan har gjort det.
- Ett virtuellt nätverk som innehåller ett undernät som ska vara värd för den privata slutpunkten. Undernätet kan innehålla andra Azure-resurser.
- (Rekommenderas) En virtuell dator i samma eller ett annat undernät i det virtuella nätverket för att testa den privata slutpunkten.
Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Snabbstart för Bash i Azure Cloud Shell.
Om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI. Om du kör i Windows eller macOS kan du köra Azure CLI i en Docker-container. Mer information finns i Så här kör du Azure CLI i en Docker-container.
Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. Slutför autentiseringsprocessen genom att följa stegen som visas i terminalen. Andra inloggningsalternativ finns i Logga in med Azure CLI.
När du uppmanas att installera Azure CLI-tillägget vid första användningen. Mer information om tillägg finns i Använda tillägg med Azure CLI.
Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.
Vanligtvis skapar en nätverksadministratör en privat slutpunkt. Beroende på dina RBAC-behörigheter (Rollbaserad åtkomstkontroll) i Azure godkänns en privat slutpunkt som du skapar antingen automatiskt för att skicka trafik till API Management-instansen eller kräver att resursägaren godkänner anslutningen manuellt.
| Godkännandemetod | Minsta RBAC-behörigheter |
|---|---|
| Automatisk | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/readMicrosoft.ApiManagement/service/**Microsoft.ApiManagement/service/privateEndpointConnections/** |
| Manuell | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
- Hämta tillgängliga privata slutpunktstyper i prenumerationen
- Inaktivera nätverksprinciper i undernätet
- Skapa privat slutpunkt – portalen
Kontrollera att den privata slutpunktstypen API Management är tillgänglig i din prenumeration och plats. I portalen hittar du den här informationen genom att gå till Private Link Center. Välj Resurser som stöds.
Du kan också hitta den här informationen med hjälp av REST API för tillgängliga privata slutpunkter – lista .
rest
GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01
Utdata ska innehålla slutpunktstypen Microsoft.ApiManagement.service :
JSON
[...]
"name": "Microsoft.ApiManagement.service",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Network/AvailablePrivateEndpointTypes/Microsoft.ApiManagement.service",
"type": "Microsoft.Network/AvailablePrivateEndpointTypes",
"resourceName": "Microsoft.ApiManagement/service",
"displayName": "Microsoft.ApiManagement/service",
"apiVersion": "2021-04-01-preview"
}
[...]
Nätverksprinciper som nätverkssäkerhetsgrupper måste inaktiveras i det undernät som används för den privata slutpunkten.
Om du använder verktyg som Azure PowerShell, Azure CLI eller REST API för att konfigurera privata slutpunkter uppdaterar du undernätskonfigurationen manuellt. Exempel finns i Hantera nätverksprinciper för privata slutpunkter.
När du använder Azure Portal för att skapa en privat slutpunkt, som du ser i nästa avsnitt, inaktiveras nätverksprinciper automatiskt som en del av skapandeprocessen.
Du kan skapa en privat slutpunkt för din API Management-instans i Azure Portal.
På de klassiska API Management-nivåerna kan du skapa en privat slutpunkt när du skapar instansen. I en befintlig instans använder du instansens bladet Nätverk i Azure Portal.
I den vänstra menyn går du till Distribution + infrastruktur och väljer Nätverk.
Välj Inkommande privata slutpunktsanslutningar>+ Lägg till slutpunkt.
På fliken Grundläggande i Skapa en privat slutpunkt anger eller väljer du följande information:
Inställning Värde Projektinformation Prenumeration Välj din prenumeration. Resursgrupp Välj en befintlig resursgrupp eller skapa en ny. Den måste finnas i samma region som ditt virtuella nätverk. Instansinformation Name Ange ett namn för slutpunkten, till exempel myPrivateEndpoint. Namn på nätverksgränssnitt Ange ett namn för nätverksgränssnittet, till exempel myInterface Region Välj en plats för den privata slutpunkten. Den måste finnas i samma region som ditt virtuella nätverk. Det kan skilja sig från den region där DIN API Management-instans finns. Välj knappen Nästa: Resurs längst ned på skärmen. Följande information om DIN API Management-instans är redan ifylld:
- Prenumeration
- Resurstyp
- Resursnamn
I Resurs går du till Underresurs för Mål och väljer Gateway.
Viktigt
Endast gateway-underresursen stöds för API Management. Andra underresurser stöds inte.
Välj knappen Nästa: Virtuellt nätverk längst ned på skärmen.
I Virtuellt nätverk anger eller väljer du den här informationen:
Inställning Värde Virtuellt nätverk Välj ditt virtuella nätverk. Undernät Välj ditt undernät. Privat IP-konfiguration I de flesta fall väljer du Dynamiskt allokera IP-adress. Programsäkerhetsgrupp Du kan också välja en programsäkerhetsgrupp. Välj knappen Nästa: DNS längst ned på skärmen.
I Privat DNS integrering anger eller väljer du den här informationen:
Inställning Värde Integrera med privat DNS-zon Lämna standardvärdet Ja. Prenumeration Välj din prenumeration. Resursgrupp Välj din resursgrupp. Privata DNS-zoner Standardvärdet visas: (ny) privatelink.azure-api.net. Välj knappen Nästa: Flikar längst ned på skärmen. Om du vill anger du taggar för att organisera dina Azure-resurser.
Välj knappen Nästa: Granska + skapa längst ned på skärmen. Välj Skapa.
När den privata slutpunkten har skapats och tjänsten har uppdaterats visas den i listan på api Management-instansens sida för inkommande privata slutpunktsanslutningar i portalen.
Observera slutpunktens anslutningsstatus:
- Godkänd anger att API Management-resursen automatiskt godkände anslutningen.
- Väntande anger att anslutningen måste godkännas manuellt av resursägaren.
Om en privat slutpunktsanslutning är i väntande status måste en ägare av API Management-instansen godkänna den manuellt innan den kan användas.
Om du har tillräcklig behörighet godkänner du en privat slutpunktsanslutning på sidan Privata slutpunktsanslutningar för API Management-instansen i portalen. I anslutningens snabbmeny (...) väljer du Godkänn.
Du kan också använda API Management Private Endpoint Connection – Skapa eller uppdatera REST API för att godkänna väntande privata slutpunktsanslutningar.
Om du vill begränsa inkommande trafik till API Management-instansen endast till privata slutpunkter inaktiverar du den offentliga nätverksåtkomstegenskapen.
Anteckning
Åtkomst till offentligt nätverk kan bara inaktiveras i API Management-instanser som konfigurerats med en privat slutpunkt, inte med andra nätverkskonfigurationer.
Om du vill inaktivera den offentliga nätverksåtkomstegenskapen med hjälp av Azure CLI kör du följande az apim update-kommando och ersätter namnen på din API Management-instans och resursgrupp:
Azure CLI
az apim update --name my-apim-service --resource-group my-resource-group --public-network-access false
Du kan också använda API Management Service – Uppdatera REST API för att inaktivera åtkomst till offentligt nätverk genom att ange publicNetworkAccess egenskapen till Disabled.
Bekräfta DNS-inställningarna i portalen när den privata slutpunkten har skapats:
I den vänstra menyn går du till Distribution + infrastruktur, väljer Nätverks>inkommande privata slutpunktsanslutningar och väljer den privata slutpunkt som du skapade.
I det vänstra navigeringsfältet går du till Inställningar och väljer DNS-konfiguration.
Granska den privata slutpunktens DNS-poster och IP-adress. IP-adressen är en privat adress i adressutrymmet för det undernät där den privata slutpunkten har konfigurerats.
Anslut till en virtuell dator som du har konfigurerat i det virtuella nätverket.
Kör ett verktyg som nslookup eller dig för att leta upp IP-adressen för din standardgatewayslutpunkt via Private Link. Till exempel:
nslookup my-apim-service.privatelink.azure-api.net
Utdata bör innehålla den privata IP-adress som är associerad med den privata slutpunkten.
API-anrop som initieras i det virtuella nätverket till standardslutpunkten för gatewayen ska lyckas.
Försök anropa API Management-instansens standardslutpunkt för gatewayen utanför den privata slutpunktens sökväg. Om offentlig åtkomst är inaktiverad innehåller utdata ett fel med statuskod 403 och ett meddelande som liknar:
Request originated from client public IP address 192.0.2.12, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network.
- Använd principuttryck med variabeln
context.requestför att identifiera trafik från den privata slutpunkten. - Läs mer om privata slutpunkter och Private Link, inklusive priser för Private Link.
- Hantera privata slutpunktsanslutningar.
- Felsöka anslutningsproblem med privata slutpunkter i Azure.
- Använd en Resource Manager-mall för att skapa en klassisk API Management-instans och en privat slutpunkt med privat DNS-integrering.
- Anslut Azure Front Door Premium till en Azure API Management med Private Link (förhandsversion).
Ytterligare resurser
Utbildning
Modul
Connect an Azure SQL server using an Azure Private Endpoint using the Azure portal - Training
Learn how to securely connect an Azure SQL server using an Azure Private Endpoint via the Azure portal, ensuring private and safe communication with your SQL server.
Certifiering
Microsoft Certified: Azure Network Engineer Associate - Certifications
Demonstrate the design, implementation, and maintenance of Azure networking infrastructure, load balancing traffic, network routing, and more.