Azure API Management'ın IP adresleri

  • Makale

UYGULANANLAR: Tüm API Management katmanları

Bu makalede, Azure API Management hizmetinin IP adreslerinin nasıl alındığı açıklanmaktadır. Hizmet bir sanal ağdaysa IP adresleri genel veya özel olabilir. Ip adreslerini kullanarak güvenlik duvarı kuralları oluşturabilir, arka uç hizmetlerine gelen trafiği filtreleyebilir veya giden trafiği kısıtlayabilirsiniz.

API Management hizmetinin IP adresleri

Geliştirici, Temel, Standart veya Premium katmanındaki her API Management hizmet örneğinde yalnızca bu hizmet örneğine özel genel IP adresleri vardır (diğer kaynaklarla paylaşılmazlar).

IP adreslerini Azure portalındaki kaynağınızın genel bakış panosundan alabilirsiniz.

API Management IP adresi

Bunları aşağıdaki API çağrısıyla program aracılığıyla da getirebilirsiniz:

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

Genel IP adresleri yanıtın bir parçası olacaktır:

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.77.143.53"
    ],
    ...
  }
  ...
}

Çok bölgeli dağıtımlarda, her bölgesel dağıtımın bir genel IP adresi vardır.

Sanal ağdaki API Management hizmetinin IP adresleri

API Management hizmetiniz bir sanal ağ içindeyse, iki tür IP adresi olur: genel ve özel.

  • Genel IP adresleri, yapılandırmayı yönetmek için (örneğin, Azure Resource Manager aracılığıyla) bağlantı noktasında 3443 iç iletişim için kullanılır. Dış sanal ağ yapılandırmasında, çalışma zamanı API'si trafiği için de kullanılır. İç sanal ağ yapılandırmasında genel IP adresleri yalnızca Azure iç yönetim işlemleri için kullanılır ve örneğinizi İnternet'te kullanıma sunmaz.

  • Yalnızca iç sanal ağ modunda kullanılabilen özel sanal IP (VIP) adresleri ağ içinden API Management uç noktalarına (ağ geçitleri, geliştirici portalı ve doğrudan API erişimi için yönetim düzlemine) bağlanmak için kullanılır. Bunları ağ içinde DNS kayıtlarını ayarlamak için kullanabilirsiniz.

Her iki türün adreslerini Azure portalında ve API çağrısının yanıtında görürsünüz:

Sanal ağ IP adresinde API Management

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.85.20.170"
    ],
    "privateIPAddresses": [
      "192.168.1.5"
    ],
    ...
  },
  ...
}

Önemli

İç yük dengeleyici ve API Management birimlerinin özel IP adresleri dinamik olarak atanır. Bu nedenle, API Management örneğinin özel IP'sini dağıtımından önce tahmin etmek mümkün değildir. Ayrıca, farklı bir alt ağa geçmek ve sonra geri dönmek özel IP adresinde bir değişikliğe neden olabilir.

Giden trafik için IP adresleri

API Management, sanal ağ veya eşlenmiş bir sanal ağ dışındaki bir bağlantı için genel IP adresi kullanır ve sanal ağdaki veya eşlenmiş bir VNet'teki bağlantı için özel bir IP adresi kullanır.

  • API yönetimi bir dış veya iç sanal ağda dağıtıldığında ve API yönetimi özel (intranet'e yönelik) arka uçlara bağlandığında, çalışma zamanı API trafiği için alt ağdan iç IP adresleri (dinamik IP veya DIP adresleri) kullanılır. API Management'tan özel bir arka uçtan istek gönderildiğinde, isteğin kaynağı olarak özel bir IP adresi görünür.

    Bu nedenle, IP kısıtlaması sanal ağ veya eşlenmiş bir sanal ağ içindeki güvenli kaynakları listeliyorsa, API Management alt ağ aralığının tamamının yalnızca API Management kaynağıyla ilişkili özel IP adresiyle değil bir IP kuralıyla (iç modda) kullanılması önerilir.

  • API Management'tan genel (İnternet'e yönelik) bir arka uca istek gönderildiğinde, genel IP adresi her zaman isteğin kaynağı olarak görünür.

Tüketim, Temel v2 ve Standart v2 katmanı API Management hizmetinin IP adresleri

API Management örneğiniz paylaşılan bir altyapı üzerinde çalışan bir hizmet katmanında oluşturulduysa, ayrılmış bir IP adresine sahip değildir. Şu anda, aşağıdaki hizmet katmanlarındaki örnekler paylaşılan bir altyapıda ve belirlenimici bir IP adresi olmadan çalışır: Tüketim, Temel v2, Standart v2.

Tüketim, Temel v2 veya Standart v2 katman örneğiniz tarafından kullanılan giden IP adreslerini izin verilenler listesine eklemeniz gerekiyorsa, örneğin veri merkezini (Azure bölgesi) izin verilenler listesine ekleyebilirsiniz. Tüm Azure veri merkezleri için IP adreslerini listeleyen bir JSON dosyası indirebilirsiniz. Ardından örneğinizin çalıştığı bölgeye uygulanan JSON parçasını bulun.

Örneğin aşağıdaki JSON parçası, Batı Avrupa için izin verilenler listesinin nasıl görünebileceğidir:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

Bu dosyanın ne zaman güncelleştirileceği ve IP adreslerinin ne zaman değiştiği hakkında bilgi için İndirme Merkezi sayfasının Ayrıntılar bölümünü genişletin.

IP adreslerinde yapılan değişiklikler

API Management'ın Geliştirici, Temel, Standart ve Premium katmanlarında, genel IP adresi veya adresleri (VIP) ve özel VIP adresleri (iç sanal ağ modunda yapılandırıldıysa) hizmetin ömrü boyunca statiktir ve aşağıdaki özel durumlar geçerlidir:

  • API Management hizmeti silinir ve sonra yeniden oluşturulur.

  • Hizmet aboneliği devre dışı bırakılır veya uyarılır (örneğin, ödemesiz) ve sonra yeniden devreye alınır. Abonelik durumları hakkında daha fazla bilgi edinin

  • (Geliştirici ve Premium katmanları) Azure Sanal Ağ hizmetine eklenir veya hizmetten kaldırılır.

  • (Geliştirici ve Premium katmanları) API Management hizmeti, dış ve iç sanal ağ dağıtım modu arasında geçiş yapılır.

  • (Geliştirici ve Premium katmanları) API Management hizmeti farklı bir alt ağa taşınır veya içinden işlem platformuna stv2 geçirilirstv1.

  • (Premium katman) Kullanılabilirlik alanları etkinleştirilir, eklenir veya kaldırılır.

  • (Premium katman) Çok bölgeli dağıtımlarda, bölge boşaltılır ve sonra yeniden devreye sokulırsa bölgesel IP adresi değişir.

    Önemli

    Dış sanal ağdan iç sanal ağa (veya tam tersi) geçiş yaparken, ağdaki alt ağları değiştirirken veya API Management örneği için kullanılabilirlik alanlarını güncelleştirirken, daha önce yapılandırılandan farklı bir genel IP adresi kaynağı yapılandırmanız gerekir. Gerekirse özgün IP adresine geri dönebilirsiniz.