Ansluta privat till API Management med en inkommande privat slutpunkt

GÄLLER FÖR: Utvecklare | Grundläggande | Standard | Premie

Du kan konfigurera en inkommande privat slutpunkt för din API Management-instans så att klienter i ditt privata nätverk kan få säker åtkomst till instansen via Azure Private Link.

• Den privata slutpunkten använder en IP-adress från ett virtuellt Azure-nätverk där den finns.

• Nätverkstrafiken mellan en klient i ditt privata nätverk och API Management passerar via det virtuella nätverket och en privat länk i Microsofts stamnätverk, vilket gör att det inte exponeras för det offentliga Internet.

• Konfigurera anpassade DNS-inställningar eller en privat Azure DNS-zon så att du kan mappa API Management-värdnamnet till slutpunktens privata IP-adress.

Med en privat slutpunkt och Private Link kan du:

• Skapa flera Private Link-anslutningar till en API Management-instans.

• Använda den privata slutpunkten för att skicka inkommande trafik via en säker anslutning.

• Använda en princip för att särskilja trafik som kommer från den privata slutpunkten.

• Begränsa endast inkommande trafik till privata slutpunkter, vilket förhindrar dataexfiltrering.

Viktigt!

• Du kan bara konfigurera en privat slutpunktsanslutning för inkommande trafik till API Management-instansen. För närvarande stöds inte utgående trafik.

  Du kan använda modellen för externt eller internt virtuellt nätverk för att upprätta utgående anslutning till privata slutpunkter från DIN API Management-instans.

• Api Management-instansen kan inte matas in i ett externt eller internt virtuellt nätverk för att aktivera inkommande privata slutpunkter.

Begränsningar

• Endast API Management-instansens Gateway-slutpunkt stöder inkommande Private Link-anslutningar.
• Varje API Management-instans stöder högst 100 Private Link-anslutningar.
• Anslutningar stöds inte på den lokala gatewayen eller på en arbetsytegateway.

Förutsättningar

• En befintlig API Management-instans. Skapa en om du inte redan har gjort det.
  • API Management-instansen måste finnas på beräkningsplattformenstv2.
  • Distribuera inte instansen till ett externt eller internt virtuellt nätverk.
• Ett virtuellt nätverk och undernät som ska vara värd för den privata slutpunkten. Undernätet kan innehålla andra Azure-resurser.
• (Rekommenderas) En virtuell dator i samma eller ett annat undernät i det virtuella nätverket för att testa den privata slutpunkten.

• Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Snabbstart för Bash i Azure Cloud Shell.

  

• Om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI. Om du kör i Windows eller macOS kan du köra Azure CLI i en Docker-container. Mer information finns i Så här kör du Azure CLI i en Docker-container.

  • Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. Slutför autentiseringsprocessen genom att följa stegen som visas i terminalen. Andra inloggningsalternativ finns i Logga in med Azure CLI.

  • När du uppmanas att installera Azure CLI-tillägget vid första användningen. Mer information om tillägg finns i Använda tillägg med Azure CLI.

  • Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.

Godkännandemetod för privat slutpunkt

Vanligtvis skapar en nätverksadministratör en privat slutpunkt. Beroende på dina RBAC-behörigheter (Rollbaserad åtkomstkontroll) i Azure godkänns en privat slutpunkt som du skapar antingen automatiskt för att skicka trafik till API Management-instansen eller kräver att resursägaren godkänner anslutningen manuellt.

Godkännandemetod	Minsta RBAC-behörigheter
Automatisk	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/**
Manuell	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read

Steg för att konfigurera privat slutpunkt

1. Hämta tillgängliga privata slutpunktstyper i prenumerationen
2. Inaktivera nätverksprinciper i undernätet
3. Skapa privat slutpunkt – portalen
4. Lista privata slutpunktsanslutningar till instansen
5. Godkänna väntande privata slutpunktsanslutningar
6. Du kan också inaktivera åtkomst till offentligt nätverk

Hämta tillgängliga privata slutpunktstyper i prenumerationen

Kontrollera att den privata slutpunktstypen API Management är tillgänglig i din prenumeration och plats. I portalen hittar du den här informationen genom att gå till Private Link Center. Välj Resurser som stöds.

Du kan också hitta den här informationen med hjälp av REST API för tillgängliga privata slutpunkter – lista .

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01

Utdata ska innehålla slutpunktstypen Microsoft.ApiManagement.service :

[...]

      "name": "Microsoft.ApiManagement.service",
      "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Network/AvailablePrivateEndpointTypes/Microsoft.ApiManagement.service",
      "type": "Microsoft.Network/AvailablePrivateEndpointTypes",
      "resourceName": "Microsoft.ApiManagement/service",
      "displayName": "Microsoft.ApiManagement/service",
      "apiVersion": "2021-04-01-preview"
    }
[...]

Inaktivera nätverksprinciper i undernätet

Nätverksprinciper som nätverkssäkerhetsgrupper måste inaktiveras i det undernät som används för den privata slutpunkten.

Om du använder verktyg som Azure PowerShell, Azure CLI eller REST API för att konfigurera privata slutpunkter uppdaterar du undernätskonfigurationen manuellt. Exempel finns i Hantera nätverksprinciper för privata slutpunkter.

När du använder Azure Portal för att skapa en privat slutpunkt, som du ser i nästa avsnitt, inaktiveras nätverksprinciper automatiskt som en del av skapandeprocessen

Skapa privat slutpunkt – portalen

1. Gå till API Management-tjänsten i Azure Portal.

2. I den vänstra menyn går du till Distribution + infrastruktur och väljer Nätverk.

3. Välj Inkommande privata slutpunktsanslutningar>+ Lägg till slutpunkt.

   

4. På fliken Grundläggande i Skapa en privat slutpunkt anger eller väljer du följande information:

   Inställning	Värde
   Projektinformation
   Prenumeration	Välj din prenumeration.
   Resursgrupp	Välj en befintlig resursgrupp eller skapa en ny. Den måste finnas i samma region som ditt virtuella nätverk.
   Instansinformation
   Name	Ange ett namn för slutpunkten, till exempel myPrivateEndpoint.
   Namn på nätverksgränssnitt	Ange ett namn för nätverksgränssnittet, till exempel myInterface
   Region	Välj en plats för den privata slutpunkten. Den måste finnas i samma region som ditt virtuella nätverk. Det kan skilja sig från den region där DIN API Management-instans finns.

5. Välj knappen Nästa: Resurs längst ned på skärmen. Följande information om DIN API Management-instans är redan ifylld:

   • Prenumeration
   • Resurstyp
   • Resursnamn

6. I Resurs går du till Underresurs för Mål och väljer Gateway.

   

7. Välj knappen Nästa: Virtuellt nätverk längst ned på skärmen.

8. I Nätverk anger eller väljer du den här informationen:

   Inställning	Värde
   Virtuellt nätverk	Välj ditt virtuella nätverk.
   Undernät	Välj ditt undernät.
   Privat IP-konfiguration	I de flesta fall väljer du Dynamiskt allokera IP-adress.
   Programsäkerhetsgrupp	Du kan också välja en programsäkerhetsgrupp.

9. Välj knappen Nästa: DNS längst ned på skärmen.

10. I Privat DNS integrering anger eller väljer du den här informationen:

    Inställning	Värde
    Integrera med privat DNS-zon	Lämna standardvärdet Ja.
    Prenumeration	Välj din prenumeration.
    Resursgrupp	Välj din resursgrupp.
    Privata DNS-zoner	Standardvärdet visas: (ny) privatelink.azure-api.net.

11. Välj knappen Nästa: Flikar längst ned på skärmen. Om du vill anger du taggar för att organisera dina Azure-resurser.

    1. Välj knappen Nästa: Granska + skapa längst ned på skärmen.

12. Välj Skapa.

Lista privata slutpunktsanslutningar till instansen

När den privata slutpunkten har skapats och tjänsten har uppdaterats visas den i listan på api Management-instansens sida för inkommande privata slutpunktsanslutningar i portalen.

Observera slutpunktens anslutningsstatus:

• Godkänd anger att API Management-resursen automatiskt godkände anslutningen.
• Väntande anger att anslutningen måste godkännas manuellt av resursägaren.

Godkänna väntande privata slutpunktsanslutningar

Om en privat slutpunktsanslutning är i väntande status måste en ägare av API Management-instansen godkänna den manuellt innan den kan användas.

Om du har tillräcklig behörighet godkänner du en privat slutpunktsanslutning på sidan Privata slutpunktsanslutningar för API Management-instansen i portalen. I anslutningens snabbmeny (...) väljer du Godkänn.

Du kan också använda API Management Private Endpoint Connection – Skapa eller uppdatera REST API för att godkänna väntande privata slutpunktsanslutningar.

Du kan också inaktivera åtkomst till offentligt nätverk

Om du vill begränsa inkommande trafik till API Management-instansen endast till privata slutpunkter inaktiverar du åtkomst till det offentliga nätverket.

Kommentar

Åtkomst till offentligt nätverk kan bara inaktiveras i API Management-instanser som konfigurerats med en privat slutpunkt, inte med andra nätverkskonfigurationer, till exempel VNet-inmatning.

Om du vill inaktivera åtkomst till offentliga nätverk med hjälp av Azure CLI kör du följande az apim update-kommando och ersätter namnen på din API Management-instans och resursgrupp:

az apim update --name my-apim-service --resource-group my-resource-group --public-network-access false

Du kan också använda API Management Service – Uppdatera REST API för att inaktivera åtkomst till offentligt nätverk genom att ange publicNetworkAccess egenskapen till Disabled.

Verifiera privat slutpunktsanslutning

Bekräfta DNS-inställningarna i portalen när den privata slutpunkten har skapats:

1. Gå till API Management-tjänsten i Azure Portal.

2. I den vänstra menyn går du till Distribution + infrastruktur, väljer Nätverks>inkommande privata slutpunktsanslutningar och väljer den privata slutpunkt som du skapade.

3. I det vänstra navigeringsfältet går du till Inställningar och väljer DNS-konfiguration.

4. Granska den privata slutpunktens DNS-poster och IP-adress. IP-adressen är en privat adress i adressutrymmet för det undernät där den privata slutpunkten har konfigurerats.

Testa i virtuellt nätverk

Anslut till en virtuell dator som du har konfigurerat i det virtuella nätverket.

Kör ett verktyg som nslookup eller dig för att leta upp IP-adressen för din standardgatewayslutpunkt via Private Link. Till exempel:

nslookup my-apim-service.azure-api.net

Utdata bör innehålla den privata IP-adress som är associerad med den privata slutpunkten.

API-anrop som initieras i det virtuella nätverket till standardslutpunkten för gatewayen ska lyckas.

Testa från Internet

Försök anropa API Management-instansens standardslutpunkt för gatewayen utanför den privata slutpunktens sökväg. Om offentlig åtkomst är inaktiverad innehåller utdata ett fel med statuskod 403 och ett meddelande som liknar:

Request originated from client public IP address xxx.xxx.xxx.xxx, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
       
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network. 

Relaterat innehåll

• Använd principuttryck med variabeln context.request för att identifiera trafik från den privata slutpunkten.
• Läs mer om privata slutpunkter och Private Link, inklusive priser för Private Link.
• Hantera privata slutpunktsanslutningar.
• Felsöka anslutningsproblem med privata slutpunkter i Azure.
• Använd en Resource Manager-mall för att skapa en API Management-instans och en privat slutpunkt med privat DNS-integrering.