Gelen özel uç noktayı kullanarak API Management'a özel olarak bağlanma

ŞUNLAR IÇIN GEÇERLIDIR: Geliştirici | Temel | Standart | Premium

Özel ağınızdaki istemcilerin Azure Özel Bağlantı üzerinden örneğe güvenli bir şekilde erişmesine izin vermek için API Management örneğiniz için bir gelen özel uç nokta yapılandırabilirsiniz.

• Özel uç nokta, barındırıldığı Azure sanal ağından bir IP adresi kullanır.

• Özel ağınızdaki bir istemci ile API Yönetimi arasındaki ağ trafiği, VNet ve Microsoft omurga ağındaki bir Özel Bağlantı üzerinden geçerek genel internetten etkilenmeyi ortadan kaldırır.

• API Management ana bilgisayar adını uç noktanın özel IP adresine eşlemek için, özel DNS ayarlarını veya bir Azure DNS özel bölgesini yapılandırın.

Özel uç nokta ve Özel Bağlantı ile şunları yapabilirsiniz:

• Bir API Management örneğine birden çok Özel Bağlantı bağlantısı oluşturun.

• Güvenli bir bağlantıda gelen trafiği göndermek için özel uç noktayı kullanın.

• Özel uç noktadan gelen trafiği ayırt etmek için ilkeyi kullanın.

• Gelen trafiği yalnızca özel uç noktalarla sınırlayarak veri sızdırmayı önleyin.

Önemli

• Yalnızca API Management örneğine gelen trafik için özel uç nokta bağlantısı yapılandırabilirsiniz. Şu anda giden trafik desteklenmiyor.

  API Management örneğinizden özel uç noktalara giden bağlantı kurmak için dış veya iç sanal ağ modelini kullanabilirsiniz.

• Gelen özel uç noktaları etkinleştirmek için API Management örneği bir dış veya iç sanal ağa eklenemez.

Sınırlamalar

• Yalnızca API Management örneğinin Ağ Geçidi uç noktası gelen Özel Bağlantı bağlantılarını destekler.
• Her API Management örneği en fazla 100 Özel Bağlantı bağlantısını destekler.
• Bağlantılar şirket içinde barındırılan ağ geçidinde veya çalışma alanı ağ geçidinde desteklenmez.

Önkoşullar

• Mevcut bir API Management örneği. Henüz oluşturmadıysanız bir tane oluşturun.
  • API Management örneği işlem platformunda stv2barındırılmalıdır.
  • Örneği bir dış veya iç sanal ağa dağıtmayın (eklemeyin).
• Özel uç noktayı barındırmak için bir sanal ağ ve alt ağ. Alt ağ başka Azure kaynakları içerebilir.
• (Önerilen) Özel uç noktayı test etmek için aynı veya sanal ağdaki farklı bir alt ağda yer alan bir sanal makine.

• Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'de Bash için hızlı başlangıç.

  

• CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.

  • Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz . Azure CLI ile oturum açma.

  • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma.

  • Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

Özel uç nokta için onay yöntemi

Genellikle bir ağ yöneticisi özel bir uç nokta oluşturur. Azure rol tabanlı erişim denetimi (RBAC) izinlerinize bağlı olarak, oluşturduğunuz özel uç nokta API Management örneğine trafik göndermek için otomatik olarak onaylanır veya kaynak sahibinin bağlantıyı el ile onaylamasını gerektirir.

Onay yöntemi	En düşük RBAC izinleri
Otomatik	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/**
El ile	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read

Özel uç noktayı yapılandırma adımları

1. Abonelikte kullanılabilir özel uç nokta türlerini alma
2. Alt ağda ağ ilkelerini devre dışı bırakma
3. Özel uç nokta oluşturma - portal
4. Örneğe özel uç nokta bağlantılarını listeleme
5. Bekleyen özel uç nokta bağlantılarını onaylama
6. İsteğe bağlı olarak genel ağ erişimini devre dışı bırakma

Abonelikte kullanılabilir özel uç nokta türlerini alma

API Management özel uç nokta türünün aboneliğinizde ve konumunuzda kullanılabilir olduğunu doğrulayın. Portalda, Özel Bağlantı Merkezi'ne giderek bu bilgileri bulun. Desteklenen kaynaklar'ı seçin.

Bu bilgileri, Kullanılabilir Özel Uç Nokta Türleri - Liste REST API'sini kullanarak da bulabilirsiniz.

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01

Çıkışta Microsoft.ApiManagement.service uç nokta türü bulunmalıdır:

[...]

      "name": "Microsoft.ApiManagement.service",
      "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Network/AvailablePrivateEndpointTypes/Microsoft.ApiManagement.service",
      "type": "Microsoft.Network/AvailablePrivateEndpointTypes",
      "resourceName": "Microsoft.ApiManagement/service",
      "displayName": "Microsoft.ApiManagement/service",
      "apiVersion": "2021-04-01-preview"
    }
[...]

Alt ağda ağ ilkelerini devre dışı bırakma

Ağ güvenlik grupları gibi ağ ilkeleri, özel uç nokta için kullanılan alt ağda devre dışı bırakılmalıdır.

Özel uç noktaları yapılandırmak için Azure PowerShell, Azure CLI veya REST API gibi araçlar kullanıyorsanız alt ağ yapılandırmasını el ile güncelleştirin. Örnekler için bkz . Özel uç noktalar için ağ ilkelerini yönetme.

Bir sonraki bölümde gösterildiği gibi Özel uç nokta oluşturmak için Azure portalını kullandığınızda, ağ ilkeleri oluşturma işleminin bir parçası olarak otomatik olarak devre dışı bırakılır

Özel uç nokta oluşturma - portal

1. Azure portalında API Management hizmetinize gidin.

2. Sol taraftaki menüde, Dağıtım ve altyapı altında Ağ'ı seçin.

3. Gelen özel uç nokta bağlantıları>+ Uç nokta ekle'yi seçin.

   

4. Özel uç nokta oluşturma'nın Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

   Ayar	Value
   Proje ayrıntıları
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	Mevcut bir kaynak grubunu seçin veya yeni bir kaynak grubu oluşturun. Sanal ağınızla aynı bölgede olmalıdır.
   Örnek ayrıntıları
   Veri Akışı Adı	Uç nokta için myPrivateEndpoint gibi bir ad girin.
   Ağ Arabirimi Adı	Ağ arabirimi için myInterface gibi bir ad girin
   Bölge	Özel uç nokta için bir konum seçin. Sanal ağınızla aynı bölgede olmalıdır. API Management örneğinizin barındırıldığı bölgeden farklı olabilir.

5. Ekranın alt kısmındaki İleri: Kaynak düğmesini seçin. API Management örneğinizle ilgili aşağıdaki bilgiler zaten doldurulmuş:

   • Abonelik
   • Kaynak türü
   • Kaynak adı

6. Kaynak'ta, Hedef alt kaynağı'nda Ağ Geçidi'ni seçin.

   

7. Ekranın alt kısmındaki İleri: Sanal Ağ düğmesini seçin.

8. Ağ bölümünde şu bilgileri girin veya seçin:

   Ayar	Value
   Sanal ağ	Sanal ağınızı seçin.
   Alt ağ	Alt ağınızı seçin.
   Özel IP yapılandırması	Çoğu durumda IP adresini dinamik olarak ayır'ı seçin .
   Uygulama güvenlik grubu	İsteğe bağlı olarak bir uygulama güvenlik grubu seçin.

9. Ekranın alt kısmındaki İleri: DNS düğmesini seçin.

10. Özel DNS tümleştirmesinde şu bilgileri girin veya seçin:

    Ayar	Value
    Özel DNS bölgesi ile tümleştirme	Varsayılan değeri Evet olarak bırakın.
    Abonelik	Aboneliğinizi seçin.
    Kaynak grubu	Kaynak grubunuzu seçin.
    Özel DNS bölgeleri	Varsayılan değer görüntülenir: (yeni) privatelink.azure-api.net.

11. Ekranın alt kısmındaki İleri: Sekmeler düğmesini seçin. İstersenz, Azure kaynaklarınızı düzenlemek için etiketler girin.

    1. Ekranın alt kısmındaki İleri: Gözden Geçir + oluştur düğmesini seçin.

12. Oluştur'u belirleyin.

Örneğe özel uç nokta bağlantılarını listeleme

Özel uç nokta oluşturulduktan ve hizmet güncelleştirildikten sonra, portaldaki API Management örneğinin Gelen özel uç nokta bağlantıları sayfasındaki listede görünür.

Uç noktanın Bağlantı durumunu not edin:

• Onaylandı , API Management kaynağının bağlantıyı otomatik olarak onayladığı gösterir.
• Beklemede , bağlantının kaynak sahibi tarafından el ile onaylanması gerektiğini gösterir.

Bekleyen özel uç nokta bağlantılarını onaylama

Özel uç nokta bağlantısı bekleme durumundaysa, API Management örneğinin sahibinin kullanılabilmesi için önce bağlantıyı el ile onaylaması gerekir.

Yeterli izinlere sahipseniz, portaldaki API Management örneğinin Özel uç nokta bağlantıları sayfasında özel uç nokta bağlantısını onaylayın. Bağlantının bağlam (...) menüsünde Onayla'yı seçin.

Bekleyen özel uç nokta bağlantılarını onaylamak için API Management Özel Uç Nokta Bağlantısı - REST API'yi Oluştur veya Güncelleştir'i de kullanabilirsiniz.

İsteğe bağlı olarak genel ağ erişimini devre dışı bırakma

İsteğe bağlı olarak gelen trafiği API Management örneğine yalnızca özel uç noktalarla sınırlamak için genel ağ erişimini devre dışı bırakın.

Not

Genel ağ erişimi, sanal ağ ekleme gibi diğer ağ yapılandırmalarıyla değil, yalnızca özel uç noktayla yapılandırılmış API Management örneklerinde devre dışı bırakılabilir.

Azure CLI kullanarak genel ağ erişimini devre dışı bırakmak için aşağıdaki az apim update komutunu çalıştırarak API Management örneğinizin ve kaynak grubunuzun adlarını yazın:

az apim update --name my-apim-service --resource-group my-resource-group --public-network-access false

Özelliğini olarak ayarlayarak genel ağ erişimini devre dışı bırakmak için API Management Hizmeti - REST API'yi güncelleştirme özelliğini publicNetworkAccess Disabledde kullanabilirsiniz.

Özel uç nokta bağlantısını doğrulama

Özel uç nokta oluşturulduktan sonra portalda DNS ayarlarını onaylayın:

1. Azure portalında API Management hizmetinize gidin.

2. Sol taraftaki menüde, Dağıtım + altyapı altında Ağ>Gelen özel uç nokta bağlantıları'nı seçin ve oluşturduğunuz özel uç noktayı seçin.

3. Sol gezinti bölmesinde, Ayarlar'ın altında DNS yapılandırması'nı seçin.

4. Özel uç noktanın DNS kayıtlarını ve IP adresini gözden geçirin. IP adresi, özel uç noktanın yapılandırıldığı alt ağın adres alanında yer alan özel bir adrestir.

Sanal ağda test

Sanal ağda ayarladığınız bir sanal makineye bağlanın.

Özel Bağlantı üzerinden varsayılan Ağ Geçidi uç noktanızın IP adresini aramak için veya dig gibi nslookup bir yardımcı program çalıştırın. Örneğin:

nslookup my-apim-service.azure-api.net

Çıkış, özel uç noktayla ilişkili özel IP adresini içermelidir.

Sanal ağ içinde varsayılan Ağ Geçidi uç noktasına başlatılan API çağrıları başarılı olmalıdır.

İnternet'ten test

Özel uç nokta yolunun dışından API Management Örneğinin varsayılan Ağ Geçidi uç noktasını çağırmayı deneyin. Genel erişim devre dışı bırakılırsa çıkış, durum koduyla 403 birlikte bir hata ve şuna benzer bir ileti içerir:

Request originated from client public IP address xxx.xxx.xxx.xxx, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
       
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network. 

İlgili içerik

• Özel uç noktadan gelen trafiği tanımlamak için değişkeniyle context.request ilke ifadelerini kullanın.
• Özel Bağlantı fiyatlandırma dahil olmak üzere özel uç noktalar ve Özel Bağlantı hakkında daha fazla bilgi edinin.
• Özel uç nokta bağlantılarını yönetme.
• Azure özel uç nokta bağlantı sorunlarını giderme.
• Özel DNS tümleştirmesi ile bir API Management örneği ve özel uç nokta oluşturmak için Resource Manager şablonu kullanın.