Şirket içinde barındırılan ağ geçidi geçiş kılavuzu
ŞUNLAR IÇIN GEÇERLIDIR: Geliştirici | Premium
Bu makalede, mevcut şirket içinde barındırılan ağ geçidi dağıtımlarını şirket içinde barındırılan ağ geçidi v2'ye geçirme açıklanmaktadır.
Önemli
Azure API Management şirket içinde barındırılan ağ geçidi sürüm 0 ve sürüm 1 kapsayıcı görüntüleri desteği, ilgili Yapılandırma API'si v1 ile birlikte 1 Ekim 2023'te sona eriyor. Kullanımdan kaldırma belgelerimizden daha fazla bilgi edinin
Yenilikler
Müşterilerin şirket içinde barındırılan ağ geçidimizi dağıtmasını kolaylaştırmaya çalışıyoruz. API denetçisi veya kotaları kullanmadığınız sürece Azure Depolama bağımlılığını kaldıran yeni bir yapılandırma API'sini kullanıma sunduk.
Yeni yapılandırma API'si, müşterilerin mevcut altyapılarında şirket içinde barındırılan ağ geçidimizi daha kolay benimsemesine, dağıtmasına ve çalıştırmasına olanak tanır.
Müşterilerin ağ geçidimizi denemenin ve üretim ortamında dağıtmanın en iyi yolunu seçmesine olanak sağlamak için yeni kapsayıcı görüntüsü etiketleri kullanıma sunduk.
Müşterilerin ağ geçidimizi üretimde çalıştırmasına yardımcı olmak için, ağ geçidini otomatik ölçeklendirmeyi ve Kubernetes kümenizde yüksek kullanılabilirlik için dağıtmayı kapsayacak şekilde üretim kılavuzumuzu genişlettik.
Bu makalede ağ geçidimizin bağlantısı, yeni altyapı gereksinimlerimiz ve bağlantı kesilirse ne olacağı hakkında daha fazla bilgi edinin.
Önkoşullar
Şirket içinde barındırılan ağ geçidi v2'ye geçiş yapmak için önce altyapınızın gereksinimleri karşıladığından emin olmanız gerekir.
Şirket içinde barındırılan ağ geçidi v2'ye geçiş
Şirket içinde barındırılan ağ geçidi v2'den geçiş yapmak için birkaç küçük adım gerekir:
- Yeni kapsayıcı görüntüsünü kullanma
- Yeni yapılandırma API'sini kullanma
- Minimum güvenlik gereksinimlerini karşılama
Kapsayıcı Görüntüsü
Dağıtım betiklerinizdeki görüntü etiketini veya üzerini kullanacak 2.0.0 şekilde değiştirin.
Alternatif olarak, diğer kapsayıcı görüntüsü etiketlerimizden birini seçin.
Kullanılabilir etiketlerin tam listesini burada veya Docker Hub'da bulabilirsiniz.
Yeni yapılandırma API'sini kullanma
Şirket içinde barındırılan ağ geçidi v2'ye geçiş yapmak için müşterilerin yeni Yapılandırma API'miz v2'yi kullanması gerekir.
Şu anda Azure API Management, şirket içinde barındırılan ağ geçidi için aşağıdaki Yapılandırma API'lerini sağlar:
| Yapılandırma Hizmeti | URL | Desteklenir | Gereksinimler |
|---|---|---|---|
| v2 | {name}.configuration.azure-api.net |
Yes | Bağlantı |
| v1 | {name}.management.azure-api.net/subscriptions/{sub-id}/resourceGroups/{rg-name}/providers/Microsoft.ApiManagement/service/{name}?api-version=2021-01-01-preview |
Hayır | Bağlantı |
Müşterinin yeni URL'yi kullanacak ve altyapı gereksinimlerini karşılayacak şekilde dağıtım betiklerini değiştirerek yeni Yapılandırma API'si v2'yi kullanması gerekir.
Önemli
- DNS ana bilgisayar adı IP adresleri için çözümlenebilir olmalı ve buna karşılık gelen IP adreslerine ulaşılabilir olmalıdır. Özel DNS, iç sanal ağ veya diğer altyapı gereksinimleri kullanıyorsanız bu ek yapılandırma gerektirebilir.
Güvenlik
Kullanılabilir TLS şifreleme paketleri
Başlatma sırasında, şirket içinde barındırılan ağ geçidi v2.0 yalnızca v1.x'in kullandığı şifreleme paketlerinin bir alt kümesini kullandı. v2.0.4 itibarıyla v1.x tarafından desteklenen tüm şifre paketlerini geri getirdik.
Bu makalede kullanılan şifreleme paketleri hakkında daha fazla bilgi edinebilir veya hangi şifreleme paketlerinin kullanılacağını denetlemek için v2.1.1'i kullanabilirsiniz.
Minimum güvenlik gereksinimlerini karşılama
Başlatma sırasında, şirket içinde barındırılan ağ geçidi kullanılacak CA sertifikalarını hazırlar. Bunun için ağ geçidi kapsayıcısının en az kullanıcı kimliği 1001 ile çalışması gerekir ve salt okunur dosya sistemi kullanılamaz.
Kubernetes'te kapsayıcı için bir güvenlik bağlamı yapılandırırken, en azından aşağıdakiler gereklidir:
securityContext:
runAsNonRoot: true
runAsUser: 1001
readOnlyRootFilesystem: false
Ancak, şirket içinde barındırılan ağ geçidinden 2.0.3 itibaren Kubernetes'te kök olmayan olarak çalışabilir ve müşterilerin ağ geçidini daha güvenli bir şekilde çalıştırmasına olanak sağlar.
Şirket içinde barındırılan ağ geçidi için güvenlik bağlamının bir örneği aşağıda verilmişti:
securityContext:
allowPrivilegeEscalation: false
runAsNonRoot: true
runAsUser: 1001 # This is a built-in user, but you can use any user ie 1000 as well
runAsGroup: 2000 # This is just an example
privileged: false
capabilities:
drop:
- all
Uyarı
Şirket içinde barındırılan ağ geçidini salt okunur dosya sistemi (readOnlyRootFilesystem: true) ile çalıştırmak desteklenmez.
Azure Danışmanı ile etkiyi değerlendirme
Geçişi kolaylaştırmak için yeni Azure Danışmanı önerileri kullanıma sunulmuştur:
- Şirket içinde barındırılan ağ geçidi v2 önerisini kullanma - Şirket içinde barındırılan v0.x veya v1.x ağ geçidi kullanımının tanımlandığı Azure API Management örneklerini tanımlar.
- Şirket içinde barındırılan ağ geçitleri için Yapılandırma API'sini v2 kullanma önerisi - Şirket içinde barındırılan ağ geçidi için Configuration API v1 kullanımının tanımlandığı Azure API Management örneklerini tanımlar.
Geçiş gerekip gerekmediğini belirlemek için müşterilerin Azure Danışmanı'nda "Tüm Öneriler" genel bakış özelliğini kullanmalarını kesinlikle öneririz. Yukarıdaki önerilerden birinin mevcut olup olmadığını görmek için filtreleme seçeneklerini kullanın.
Azure API Management örneklerini tanımlamak için Azure Kaynak Grafı kullanma
Bu Azure Kaynak Grafı sorgusu, etkilenen Azure API Management örneklerinin listesini sağlar:
AdvisorResources
| where type == 'microsoft.advisor/recommendations'
| where properties.impactedField == 'Microsoft.ApiManagement/service' and properties.category == 'OperationalExcellence'
| extend
recommendationTitle = properties.shortDescription.solution
| where recommendationTitle == 'Use self-hosted gateway v2' or recommendationTitle == 'Use Configuration API v2 for self-hosted gateways'
| extend
instanceName = properties.impactedValue,
recommendationImpact = properties.impact,
recommendationMetadata = properties.extendedProperties,
lastUpdated = properties.lastUpdated
| project tenantId, subscriptionId, resourceGroup, instanceName, recommendationTitle, recommendationImpact, recommendationMetadata, lastUpdated
az graph query -q "AdvisorResources | where type == 'microsoft.advisor/recommendations' | where properties.impactedField == 'Microsoft.ApiManagement/service' and properties.category == 'OperationalExcellence' | extend recommendationTitle = properties.shortDescription.solution | where recommendationTitle == 'Use self-hosted gateway v2' or recommendationTitle == 'Use Configuration API v2 for self-hosted gateways' | extend instanceName = properties.impactedValue, recommendationImpact = properties.impact, recommendationMetadata = properties.extendedProperties, lastUpdated = properties.lastUpdated | project tenantId, subscriptionId, resourceGroup, instanceName, recommendationTitle, recommendationImpact, lastUpdated"
Bilinen sınırlamalar
Şirket içinde barındırılan ağ geçidi v2 için bilinen sınırlamaların listesi aşağıdadır:
- Yapılandırma API'si v2 özel etki alanı adlarını desteklemiyor
Sonraki adımlar
- Hibrit ve çoklu bulut dünyasında API Management hakkında daha fazla bilgi edinin
- Üretimde Kubernetes'te şirket içinde barındırılan ağ geçidini çalıştırma yönergeleri hakkında daha fazla bilgi edinin
- Docker'a şirket içinde barındırılan ağ geçidi dağıtma
- Kubernetes'e şirket içinde barındırılan ağ geçidi dağıtma
- Azure Arc özellikli Kubernetes kümesine şirket içinde barındırılan ağ geçidi dağıtma
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin