Aracılığıyla paylaş

Gelen özel uç nokta kullanarak API Management'a özel olarak bağlanma

ŞUNLAR IÇIN GEÇERLIDIR: Geliştirici | Temel | Standart | Standart v2 | Premium | Premium v2

Özel ağınızdaki istemcilerin Azure Özel Bağlantı üzerinden örneğe güvenli bir şekilde erişmesine izin vermek için API Management örneğiniz için bir gelen özel uç nokta yapılandırabilirsiniz.

  • Özel uç nokta, barındırıldığı Azure sanal ağından bir IP adresi kullanır.

  • Özel ağınızdaki bir istemci ile API Management arasındaki ağ trafiği, sanal ağ üzerinden ve Microsoft omurga ağındaki bir Özel Bağlantı arasında geçiş yaparak genel İnternet'ten etkilenmeyi ortadan kaldırır.

  • API Management ana bilgisayar adını uç noktanın özel IP adresine eşlemek için, özel DNS ayarlarını veya bir Azure DNS özel bölgesini yapılandırın.

Özel uç nokta kullanarak API Management'a güvenli bir gelen bağlantıyı gösteren diyagram.

Özel uç nokta ve Özel Bağlantı ile şunları yapabilirsiniz:

  • Bir API Management örneğine birden çok Özel Bağlantı bağlantısı oluşturun.

  • Güvenli bir bağlantıda gelen trafiği göndermek için özel uç noktayı kullanın.

  • Özel uç noktadan gelen trafiği ayırt etmek için ilkeyi kullanın.

  • Gelen trafiği yalnızca özel uç noktalarla sınırlayarak veri sızdırmayı önleyin.

  • API Management müşterilerinizin ve arka uç hizmetlerinizin uçtan uca ağ yalıtımını sağlamak için Standart v2 örnekleriyle gelen özel uç noktaları ve giden sanal ağ tümleştirmesini birleştirin.

    Özel uç nokta kullanılarak API Management Standard v2'ye güvenli bir gelen bağlantı gösteren diyagram.

Önemli

  • Yalnızca API Management örneğine gelen trafik için özel uç nokta bağlantısı yapılandırabilirsiniz.
  • Api Management örneğine genel ağ erişimini yalnızca özel uç nokta yapılandırdıktan sonra devre dışı bırakabilirsiniz.

Sınırlamalar

  • Yalnızca API Management örneğinin Ağ Geçidi uç noktası gelen Özel Bağlantı bağlantılarını destekler.
  • Her API Management örneği en fazla 100 Özel Bağlantı bağlantısını destekler.
  • Bağlantılar şirket içinde barındırılan ağ geçidinde veya çalışma alanı ağ geçidinde desteklenmez.
  • Klasik API Management katmanlarında, iç veya dış sanal ağa eklenen örneklerde özel uç noktalar desteklenmez.

Tipik senaryolar

Gelen özel uç noktayı kullanarak sadece özel erişimi sağlayarak hassas verilerin veya arka uçların açığa çıkmasını sınırlamak için API Management ağ geçidine doğrudan erişim sağlayın.

Desteklenen yapılandırmalar şunlardır:

  • İstemci isteklerini bir güvenlik duvarı üzerinden geçirin ve istekleri özel olarak API Management ağ geçidine yönlendirmek için kuralları yapılandırın.

  • Dış trafiği almak ve ardından trafiği özel olarak API Management ağ geçidine yönlendirmek için Azure Front Door'ı (veya Azure Application Gateway ile Azure Front Door'ı) yapılandırın. Örneğin bkz. Azure Front Door Premium'u Özel Bağlantı ile Azure API Management'a bağlama.

    Not

    Şu anda Azure Front Door'dan api Management Premium v2 örneğine trafiği özel olarak yönlendirme desteklenmez.

Önkoşullar

  • Mevcut bir API Management örneği. Henüz oluşturmadıysanız bir tane oluşturun.
    • Klasik Geliştirici veya Premium katmanında bir örneği kullanırken örneği dış veya sanal ağa dağıtmayın (eklemeyin).
  • Aboneliğinizde ve bölgenizde API Management özel uç nokta türünün kullanılabilirliği.
  • Özel uç noktayı barındırmak için alt ağ içeren bir sanal ağ. Alt ağ diğer Azure kaynaklarını içerebilir, ancak başka bir hizmete devredemez.
  • (Önerilen) Özel uç noktayı test etmek için aynı veya sanal ağdaki farklı bir alt ağda yer alan bir sanal makine.

  • Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'i kullanmaya başlama.

  • CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.

    • Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz. Azure CLI kullanarak Azure'da kimlik doğrulaması.

    • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz . Azure CLI ile uzantıları kullanma ve yönetme.

    • Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

Özel uç nokta için onay yöntemi

Genellikle bir ağ yöneticisi özel bir uç nokta oluşturur. Azure rol tabanlı erişim denetimi (RBAC) izinlerinize bağlı olarak, oluşturduğunuz özel uç nokta API Management örneğine trafik göndermek için otomatik olarak onaylanır veya kaynak sahibinin bağlantıyı el ile onaylamasını gerektirir.

Onay yöntemi Minimum RBAC izinleri
Otomatik Microsoft.Network/virtualNetworks/**
Microsoft.Network/virtualNetworks/subnets/**
Microsoft.Network/privateEndpoints/**
Microsoft.Network/networkinterfaces/**
Microsoft.Network/locations/availablePrivateEndpointTypes/read
Microsoft.ApiManagement/service/**
Microsoft.ApiManagement/service/privateEndpointConnections/**
Kılavuz Microsoft.Network/virtualNetworks/**
Microsoft.Network/virtualNetworks/subnets/**
Microsoft.Network/privateEndpoints/**
Microsoft.Network/networkinterfaces/**
Microsoft.Network/locations/availablePrivateEndpointTypes/read

Özel uç noktayı yapılandırma adımları

API Management örneğiniz için özel uç nokta oluşturmak ve yapılandırmak için bu adımları izleyin.

Özel uç nokta oluşturma - portal

Klasik katmanlarda, Azure portalında bir API Management örneği oluştururken özel uç nokta oluşturabilir veya var olan bir örneğe özel uç nokta ekleyebilirsiniz.

API Management örneği oluştururken özel uç nokta oluşturma

  1. API Management hizmeti oluşturma sihirbazında sekmesini seçin.

  2. Bağlantı türü'ndeÖzel uç nokta'yı seçin.

  3. + Ekle'yi seçin.

  4. Özel uç nokta oluştur sayfasında aşağıdaki bilgileri girin veya seçin:

    Ayar Değer
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu Mevcut bir kaynak grubunu seçin veya yeni bir kaynak grubu oluşturun. Sanal ağınızla aynı bölgede olmalıdır.
    Yer Özel uç nokta için bir konum seçin. Sanal ağınızla aynı bölgede olmalıdır. API Management örneğinizin barındırıldığı bölgeden farklı olabilir.
    Veri Akışı Adı Uç nokta için myPrivateEndpoint gibi bir ad girin.
    Alt kaynak Ağ Geçidi'ni seçin.

  5. Ağ altında, özel uç noktanız için sanal ağı ve alt ağı girin veya seçin.

  6. Özel DNS tümleştirmesi'nin altında Özel DNS bölgesiyle tümleştir'i seçin. Varsayılan DNS bölgesi görüntülenir: privatelink.azure-api.net.

  7. Tamam'ı seçin.

  8. API Management örneği oluşturmaya devam edin.

Mevcut API Management örneği için özel uç nokta oluşturma

  1. Azure portalında API Management hizmetinize gidin.

  2. Sol taraftaki menüde, Dağıtım ve altyapı altında, 'ı seçin.

  3. Gelen özel uç nokta bağlantıları>+ Uç nokta ekle'yi seçin.

    Azure portalını kullanarak özel uç nokta eklemeyi gösteren ekran görüntüsü.

  4. Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

    Ayar Değer
    Proje ayrıntıları
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu Mevcut bir kaynak grubunu seçin veya yeni bir kaynak grubu oluşturun. Sanal ağınızla aynı bölgede olmalıdır.
    Örnek ayrıntıları
    Veri Akışı Adı Uç nokta için myPrivateEndpoint gibi bir ad girin.
    Ağ Arabirimi Adı Ağ arabirimi için myInterface gibi bir ad girin
    Bölge Özel uç nokta için bir konum seçin. Sanal ağınızla aynı bölgede olmalıdır. API Management örneğinizin barındırıldığı bölgeden farklı olabilir.

  5. Ekranın alt kısmındaki İleri: Kaynak düğmesini seçin. API Management örneğinizle ilgili aşağıdaki bilgiler zaten doldurulmuş:

    • Abonelik
    • Kaynak türü
    • Kaynak adı

  6. Kaynak bölümünde, Hedef alt kaynak bölümünde, Ağ Geçidi'ni seçin.

    Azure portalında özel uç nokta oluşturma ayarlarını gösteren ekran görüntüsü.

    Önemli

    API Management için yalnızca Ağ Geçidi alt kaynağı desteklenir. Diğer alt kaynaklar desteklenmez.

  7. Ekranın alt kısmındaki İleri: Sanal Ağ düğmesini seçin.

  8. Sanal Ağ şu bilgileri girin veya seçin:

    Ayar Değer
    Sanal ağ Sanal ağınızı seçin.
    Alt ağ Alt ağınızı seçin.
    Özel IP yapılandırması Çoğu durumda IP adresini dinamik olarak ayır'ı seçin .
    Uygulama güvenlik grubu İsteğe bağlı olarak bir uygulama güvenlik grubu seçin.

  9. Ekranın alt kısmındaki İleri: DNS düğmesini seçin.

  10. Özel DNS tümleştirmesinde şu bilgileri girin veya seçin:

    Ayar Değer
    Özel DNS bölgesi ile tümleştirme Varsayılan değeri Evet olarak bırakın.
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu Kaynak grubunuzu seçin.
    Özel DNS bölgeleri Varsayılan değer görüntülenir: (yeni) privatelink.azure-api.net.

  11. Ekranın alt kısmındaki İleri: Sekmeler'i seçin. İstersensiniz, Azure kaynaklarınızı düzenlemek için etiketler girin.

  12. Ekranın alt kısmındaki İleri: gözden geçir + oluştur'u seçin. Oluştur'u belirleyin.

Örneğe özel uç nokta bağlantılarını listeleme

Özel uç noktayı oluşturup hizmeti güncelleştirdikten sonra, özel uç nokta portaldaki API Management örneğinin Gelen özel uç nokta bağlantıları sayfasındaki listede görünür.

Uç noktanın Bağlantı durumunu not edin:

  • Onaylandı , API Management kaynağının bağlantıyı otomatik olarak onayladığı gösterir.
  • Beklemede , bağlantının kaynak sahibi tarafından el ile onaylanması gerektiğini gösterir.

Bekleyen özel uç nokta bağlantılarını onaylama

Özel uç nokta bağlantısı bekleme durumundaysa, API Management örneğinin sahibinin kullanılabilmesi için önce bağlantıyı el ile onaylaması gerekir.

Yeterli izinlere sahipseniz, portaldaki API Management örneğinin Özel uç nokta bağlantıları sayfasında özel uç nokta bağlantısını onaylayın. Bağlantının bağlam (...) menüsünde Onayla'yı seçin.

Bekleyen özel uç nokta bağlantılarını onaylamak için API Management Özel Uç Nokta Bağlantısı - REST API'sini Oluştur veya Güncelleştir'i de kullanabilirsiniz.

İsteğe bağlı olarak genel ağ erişimini devre dışı bırakma

Api Management örneğine gelen trafiği yalnızca özel uç noktalarla sınırlamak için genel ağ erişim özelliğini devre dışı bırakın.

Önemli

  • Özel uç nokta yapılandırdıktan sonra genel ağ erişimini devre dışı bırakabilirsiniz.
  • Dağıtım işlemi sırasında değil , mevcut bir API Management örneğinde genel ağ erişimini devre dışı bırakabilirsiniz.

Not

Genel ağ erişimini, diğer ağ yapılandırmalarıyla değil, özel bir uç noktayla yapılandırılmış API Management örneklerinde devre dışı bırakabilirsiniz.

Azure CLI kullanarak klasik katmanlarda genel ağ erişim özelliğini devre dışı bırakmak için aşağıdaki az apim update komutunu çalıştırarak API Management örneğinizin ve kaynak grubunuzun adlarını yazın:

az apim update --name my-apim-service --resource-group my-resource-group --public-network-access false

Kamu ağ erişimini devre dışı bırakmak için özelliği olarak ayarlayarak, publicNetworkAccess REST API'sini de kullanabilirsiniz.

Özel uç nokta bağlantısını doğrulama

Özel uç noktayı oluşturduktan sonra portalda DNS ayarlarını onaylayın.

  1. Azure portalında API Management hizmetinize gidin.

  2. Sol taraftaki menüde, Dağıtım + altyapı altında >Gelen özel uç nokta bağlantıları'nı seçin ve oluşturduğunuz özel uç noktayı seçin.

  3. Sol gezinti bölmesinde, Ayarlar'ın altında DNS yapılandırması'nı seçin.

  4. Özel uç noktanın DNS kayıtlarını ve IP adresini gözden geçirin. IP adresi, özel uç noktayı yapılandırdığınız alt ağın adres alanında bulunan özel bir adrestir.

Sanal ağda test

Sanal ağda ayarladığınız bir sanal makineye bağlanın.

Özel Bağlantı üzerinden şu anki Ağ Geçidi uç noktanızın IP adresini bulmak için nslookup veya dig gibi bir yardımcı program çalıştırın. Örneğin:

nslookup my-apim-service.privatelink.azure-api.net

Çıkış, özel uç noktayla ilişkili özel IP adresini içermelidir.

Sanal ağ içinde varsayılan Ağ Geçidi uç noktasına başlatılan API çağrıları başarılı olmalıdır.

İnternet'ten test

Özel uç nokta yolunun dışından API Management Örneğinin varsayılan Ağ Geçidi uç noktasını çağırmayı deneyin. Genel erişim devre dışı bırakılırsa çıkış, durum koduyla 403 birlikte bir hata ve şuna benzer bir ileti içerir:

Request originated from client public IP address 192.0.2.12, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
       
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network.

v2 katmanlarında özel etki alanı adı kısıtlaması

Şu anda Standart v2 ve Premium v2 katmanlarında API Management, Ağ Geçidi uç noktasına giden trafiğe izin vermek için genel olarak çözümlenebilir bir DNS adı gerektirir. Ağ Geçidi uç noktası için bir özel etki alanı adı yapılandırdığınızda, bu ad, Özel DNS bölgesiyle sınırlı olmamalı ve genel olarak çözümlenebilir olmalıdır.

Ağ geçidine genel erişimi sınırladığınız ve özel bir etki alanı adı yapılandırdığınız senaryolarda geçici bir çözüm olarak Application Gateway'i özel etki alanı adında trafik alacak şekilde ayarlayabilir ve API Management örneğinin Ağ Geçidi uç noktasına yönlendirebilirsiniz. Örnek bir mimari için bu GitHub deposuna bakın.

İlgili içerik

  • Last updated on