Şirket içinde barındırılan ağ geçidine genel bakış

Şirket içinde barındırılan ağ geçidi, her API Management hizmetine dahil edilen varsayılan yönetilen ağ geçidinin isteğe bağlı, kapsayıcılı bir sürümüdür. Ağ geçitlerini API'lerinizi barındırdığınız ortamlara yerleştirme gibi senaryolar için kullanışlıdır. API trafik akışını geliştirmek ve API güvenlik ve uyumluluk gereksinimlerini karşılamak için şirket içinde barındırılan ağ geçidini kullanın.

Bu makalede, Azure API Management'ın şirket içinde barındırılan ağ geçidi özelliğinin hibrit ve çoklu bulut API yönetimini nasıl sağladığı, üst düzey mimarisini nasıl sunduğu ve özelliklerini nasıl vurguladığı açıklanmaktadır.

Çeşitli ağ geçidi tekliflerindeki özelliklere genel bakış için bkz . API Management'ta API ağ geçidi.

Kullanılabilirlik

Önemli

Bu özellik, API Management Premium ve Geliştirici katmanlarında sağlanır.

v2 katmanlarında (önizleme) özellik kullanılabilirliği için bkz. v2 katmanlarına genel bakış.

Karma ve çoklu bulut API yönetimi

Şirket içinde barındırılan ağ geçidi özelliği, hibrit ve çoklu bulut ortamları için API Management desteğini genişletir ve kuruluşların şirket içinde ve bulutlarda barındırılan API'leri Azure'daki tek bir API Management hizmetinden verimli ve güvenli bir şekilde yönetmesini sağlar.

Şirket içinde barındırılan ağ geçidiyle müşteriler API Management ağ geçidi bileşeninin kapsayıcılı bir sürümünü API'lerini barındırdıkları ortamlara dağıtma esnekliğine sahiptir. Şirket içinde barındırılan tüm ağ geçitleri, birleştirildikleri API Management hizmetinden yönetilir ve böylece müşterilere tüm iç ve dış API'lerde görünürlük ve birleşik yönetim deneyimi sağlar.

Her API Management hizmeti aşağıdaki temel bileşenlerden oluşur:

  • API olarak kullanıma sunulan yönetim düzlemi, Azure portal, PowerShell ve desteklenen diğer mekanizmalar aracılığıyla hizmeti yapılandırmak için kullanılır.
  • API isteklerine ara sunucu oluşturma, ilke uygulama ve telemetri toplama işlemlerinden sorumlu ağ geçidi (veya veri düzlemi)
  • Geliştiriciler tarafından API'leri keşfetmek, öğrenmek ve eklemek için kullanılan geliştirici portalı

Varsayılan olarak, tüm bu bileşenler Azure'da dağıtılır ve API'leri uygulayan arka uçların nerede barındırıldığına bakılmaksızın tüm API trafiğinin (aşağıdaki resimde düz siyah oklar olarak gösterilir) Azure'da akmasına neden olur. Bu modelin operasyonel basitliği, artan gecikme süresi, uyumluluk sorunları ve bazı durumlarda ek veri aktarımı ücretlerinin maliyetinden kaynaklanmıştır.

API traffic flow without self-hosted gateways

Şirket içinde barındırılan ağ geçitlerini arka uç API uygulamalarının barındırıldığı ortamlara dağıtmak, API trafiğinin doğrudan arka uç API'lerine akmasını sağlar. Bu da gecikme süresini azaltır, veri aktarımı maliyetlerini iyileştirir ve uygulamalarının barındırıldığı konumdan bağımsız olarak kuruluş içindeki tüm API'lerin tek bir yönetim, gözlemlenebilirlik ve bulma avantajına sahip olmanın avantajlarını korurken uyumluluğu sağlar.

API traffic flow with self-hosted gateways

Paketleme

Şirket içinde barındırılan ağ geçidi, Microsoft Yapıt Kayıt Defteri’nden Linux tabanlı bir Docker kapsayıcı görüntüsü olarak kullanılabilir. Şirket içi sunucu kümesinde, bulut altyapısında veya değerlendirme ve geliştirme amacıyla kişisel bir bilgisayarda çalışan Docker, Kubernetes veya başka bir kapsayıcı düzenleme çözümüne dağıtılabilir. Şirket içinde barındırılan ağ geçidini Azure Arc özellikli Kubernetes kümesine bir küme uzantısı olarak da dağıtabilirsiniz.

Kapsayıcı görüntüleri

İhtiyaçlarınızı karşılamak için şirket içinde barındırılan ağ geçitleri için çeşitli kapsayıcı görüntüleri sağlıyoruz:

Etiket kuralı Öneri Örnek Sıralı etiket Üretim için önerilir
{major}.{minor}.{patch} Her zaman ağ geçidinin aynı sürümünü çalıştırmak için bu etiketi kullanın 2.0.0 ✔️
v{major} Her yeni özellik ve düzeltme eki ile her zaman ağ geçidinin ana sürümünü çalıştırmak için bu etiketi kullanın. v2 ✔️
v{major}-preview Her zaman en son önizleme kapsayıcı görüntümüzü çalıştırmak istiyorsanız bu etiketi kullanın. v2-preview ✔️
latest Şirket içinde barındırılan ağ geçidini değerlendirmek istiyorsanız bu etiketi kullanın. latest ✔️
beta1 Şirket içinde barındırılan ağ geçidinin önizleme sürümlerini değerlendirmek istiyorsanız bu etiketi kullanın. beta ✔️

Kullanılabilir etiketlerin tam listesini burada bulabilirsiniz.

1Önizleme sürümleri resmi olarak desteklenmez ve yalnızca deneysel amaçlıdır. Şirket içinde barındırılan ağ geçidi destek ilkelerine bakın.

Resmi dağıtım seçeneklerimizde etiketlerin kullanımı

Azure portalındaki dağıtım seçeneklerimiz, müşterilerin şirket içinde barındırılan ağ geçidi v2 kapsayıcı görüntüsünün en son sürümünü tüm özellik güncelleştirmeleri ve düzeltme ekleriyle kullanmasına olanak tanıyan etiketi kullanır v2 .

Not

Komut ve YAML kod parçacıklarını başvuru olarak sağlıyoruz, isterseniz daha özel bir etiket kullanmaktan çekinmeyin.

Helm grafiğimizle yükleme yaparken görüntü etiketleme sizin için iyileştirilmiştir. Helm grafiğinin uygulama sürümü, ağ geçidini belirli bir sürüme sabitler ve kullanmaz latest.

Helm ile Kubernetes'e API Management şirket içinde barındırılan ağ geçidi yükleme hakkında daha fazla bilgi edinin.

Sıralı etiketleri kullanma riski

Sıralı etiketler, kapsayıcı görüntüsünün yeni bir sürümü yayımlandığında güncelleştirilebilecek etiketlerdir. Bu, kapsayıcı kullanıcılarının dağıtımlarını güncelleştirmek zorunda kalmadan kapsayıcı görüntüsünde güncelleştirmeleri almasını sağlar.

Bu, fark etmeden, örneğin etiket güncelleştirildikten sonra v2 ölçeklendirme eylemleri gerçekleştirdiğinizde farklı sürümleri paralel olarak çalıştırabileceğiniz anlamına gelir.

Örnek - v2 etiket kapsayıcı görüntüsüyle yayımlandı 2.0.0 , ancak ne zaman 2.1.0 yayınlanacak, v2 etiket görüntüye 2.1.0 bağlanır.

Önemli

Daha yeni bir sürüme yanlışlıkla yükseltmeyi önlemek için üretimde belirli bir sürüm etiketi kullanmayı göz önünde bulundurun.

Azure ile bağlantı

Şirket içinde barındırılan ağ geçitleri, 443 numaralı bağlantı noktası üzerinden Azure'a giden TCP/IP bağlantısı gerektirir. Şirket içinde barındırılan her ağ geçidi tek bir API Management hizmetiyle ilişkilendirilmelidir ve yönetim düzlemi aracılığıyla yapılandırılır. Şirket içinde barındırılan ağ geçidi aşağıdakiler için Azure bağlantısını kullanır:

  • Dakikada bir sinyal iletileri göndererek durumunu bildirme
  • Kullanılabilir olduğunda düzenli olarak denetleme (10 saniyede bir) ve yapılandırma güncelleştirmelerini uygulama
  • Eğer yapılandırılmışsa ölçümleri Azure İzleyici'ye gönderme
  • Ayarlanmışsa, olayları Application Insights'a gönderme

Önemli

Azure API Management şirket içinde barındırılan ağ geçidi sürüm 0 ve sürüm 1 kapsayıcı görüntüleri desteği, ilgili Yapılandırma API'si v1 ile birlikte 1 Ekim 2023'te sona eriyor. Configuration API v2 ile şirket içinde barındırılan ağ geçidi v2.0.0 veya üzerini kullanmak için geçiş kılavuzumuzu kullanın. Kullanımdan kaldırma belgelerimizden daha fazla bilgi edinin

FQDN bağımlılıkları

Şirket içinde barındırılan her ağ geçidinin düzgün çalışması için 443 numaralı bağlantı noktasında bulut tabanlı API Management örneğiyle ilişkili aşağıdaki uç noktalara giden bağlantı gerekir:

Açıklama v1 için gerekli v2 için gerekli Notlar
Yapılandırma uç noktasının ana bilgisayar adı <apim-service-name>.management.azure-api.net <apim-service-name>.configuration.azure-api.net1 Özel konak adları da desteklenir ve varsayılan konak adı yerine kullanılabilir.
API Management örneğinin genel IP adresi ✔️ ✔️ Birincil konumun IP adresi yeterlidir.
Azure Depolama hizmet etiketinin genel IP adresleri ✔️ İsteğe bağlı2 IP adresleri API Management örneğinin birincil konumuna karşılık gelmelidir.
Azure Blob Depolama hesabının ana bilgisayar adı ✔️ İsteğe bağlı2 Örnekle ilişkilendirilmiş hesap (<blob-storage-account-name>.blob.core.windows.net)
Azure Tablo Depolama hesabının ana bilgisayar adı ✔️ İsteğe bağlı2 Örnekle ilişkilendirilmiş hesap (<table-storage-account-name>.table.core.windows.net)
Azure Resource Manager için uç noktalar ✔️ İsteğe bağlı3 Gerekli uç noktalar şunlardır: management.azure.com.
Microsoft Entra tümleştirmesi için uç noktalar ✔️ İsteğe bağlı4 Gerekli uç noktalar ve login.microsoftonline.comşeklindedir<region>.login.microsoft.com.
Azure Uygulaması Analizler tümleştirmesi için uç noktalar İsteğe bağlı5 İsteğe bağlı5 En az gerekli uç nokta şunlardır:
  • rt.services.visualstudio.com:443
  • dc.services.visualstudio.com:443
  • {region}.livediagnostics.monitor.azure.com:443
Azure İzleyici belgelerinde daha fazla bilgi edinin
Event Hubs tümleştirmesi için uç noktalar İsteğe bağlı5 İsteğe bağlı5 Azure Event Hubs belgelerinde daha fazla bilgi edinin
Dış önbellek tümleştirmesi için uç noktalar İsteğe bağlı5 İsteğe bağlı5 Bu gereksinim, kullanılan dış önbelleğe bağlıdır

1bir iç sanal ağdaki API Management örneği için, şirket içinde barındırılan ağ geçidinin konumundan v2 yapılandırma uç noktasına özel bağlantıyı etkinleştirin; örneğin, eşlenmiş bir ağda özel DNS kullanın.
2Yalnızca ilkelerde API denetçisi veya kotalar kullanıldığında v2'de gereklidir.
3Yalnızca RBAC izinlerini doğrulamak için Microsoft Entra kimlik doğrulaması kullanılırken gereklidir.
4Yalnızca Microsoft Entra kimlik doğrulaması veya Microsoft Entra ile ilgili ilkeler kullanılırken gereklidir.
5Yalnızca özellik kullanıldığında ve genel IP adresi, bağlantı noktası ve ana bilgisayar adı bilgileri gerektirdiğinde gereklidir.

Önemli

  • DNS ana bilgisayar adları IP adreslerine çözümlenebilir olmalı ve buna karşılık gelen IP adreslerine ulaşılabilir olmalıdır.
  • İlişkili depolama hesabı adları, Hizmetin Azure portalındaki Ağ bağlantısı durumu sayfasında listelenir.
  • İlişkili depolama hesaplarını temel alan genel IP adresleri dinamiktir ve bildirimde bulunmadan değişebilir.

Kimlik doğrulaması seçenekleri

Şirket içinde barındırılan ağ geçidi ile bulut tabanlı API Management örneğinin yapılandırma uç noktası arasındaki bağlantının kimliğini doğrulamak için ağ geçidi kapsayıcısının yapılandırma ayarlarında aşağıdaki seçenekler bulunur.

Seçenek Dikkat edilmesi gereken noktalar
Microsoft Entra doğrulaması Ağ geçidine erişim için bir veya daha fazla Microsoft Entra uygulaması yapılandırma

Erişimi uygulama başına ayrı olarak yönetme

Gizli diziler için kuruluşunuzun ilkelerine uygun olarak daha uzun süre sonu süreleri yapılandırma

Uygulamaya kullanıcı veya grup izinleri atamak veya iptal etmek ve gizli dizileri döndürmek için standart Microsoft Entra yordamlarını kullanın

Ağ geçidi erişim belirteci (kimlik doğrulama anahtarı olarak da adlandırılır) Belirtecin süresi en fazla 30 günde bir dolar ve kapsayıcılarda yenilenmesi gerekir

Bağımsız olarak döndürülebilen bir ağ geçidi anahtarı tarafından desteklenir (örneğin, erişimi iptal etmek için)

Ağ geçidi anahtarının yeniden oluşturulması, onunla oluşturulan tüm erişim belirteçlerini geçersiz kıldı

Bağlan üretkenlik hataları

Azure bağlantısı kaybolduğunda, şirket içinde barındırılan ağ geçidi yapılandırma güncelleştirmelerini alamaz, durumunu bildiremez veya telemetriyi karşıya yükleyemez.

Şirket içinde barındırılan ağ geçidi "statik başarısız olacak" şekilde tasarlanmıştır ve Azure bağlantısında geçici bir kayıp yaşanabilir. Yerel yapılandırma yedeklemesi ile veya olmadan dağıtılabilir. Yapılandırma yedeklemesi ile şirket içinde barındırılan ağ geçitleri, en son indirilen yapılandırmanın yedek kopyasını kapsayıcılarına veya podlarına bağlı kalıcı bir birime düzenli olarak kaydeder.

Yapılandırma yedeklemesi kapatıldığında ve Azure bağlantısı kesildiğinde:

  • Şirket içinde barındırılan ağ geçitlerini çalıştırmak, yapılandırmanın bellek içi bir kopyasını kullanarak çalışmaya devam eder
  • Durdurulan şirket içinde barındırılan ağ geçitleri başlatılamaz

Yapılandırma yedeklemesi açıldığında ve Azure bağlantısı kesildiğinde:

  • Şirket içinde barındırılan ağ geçitlerini çalıştırmak, yapılandırmanın bellek içi bir kopyasını kullanarak çalışmaya devam eder
  • Durdurulan şirket içinde barındırılan ağ geçitleri yapılandırmanın yedek kopyasını kullanmaya başlayabilir

Bağlantı geri yüklendiğinde, kesintiden etkilenen şirket içinde barındırılan her ağ geçidi, ilişkili API Management hizmetine otomatik olarak yeniden bağlanır ve ağ geçidi "çevrimdışı" olduğunda gerçekleşen tüm yapılandırma güncelleştirmelerini indirir.

Güvenlik

Sınırlamalar

Yönetilen ağ geçitlerinde bulunan aşağıdaki işlevler şirket içinde barındırılan ağ geçitlerinde kullanılamaz :

  • TLS oturum yeniden başlatma.
  • İstemci sertifikası yeniden anlaşması. İstemci sertifikası kimlik doğrulamasını kullanmak için API tüketicilerinin ilk TLS el sıkışmasının bir parçası olarak sertifikalarını sunması gerekir. Bu davranışı sağlamak için, şirket içinde barındırılan bir ağ geçidi özel ana bilgisayar adı (etki alanı adı) yapılandırırken İstemci Sertifikası Anlaşması ayarını etkinleştirin.

Aktarım Katmanı Güvenliği (TLS)

Önemli

Bu genel bakış yalnızca şirket içinde barındırılan ağ geçidi v1 ve v2 için geçerlidir.

Desteklenen protokoller

Şirket içinde barındırılan ağ geçidi varsayılan olarak TLS v1.2 için destek sağlar.

Özel etki alanları kullanan müşteriler, denetim düzleminde TLS v1.0 ve/veya v1.1'i etkinleştirebilir.

Kullanılabilir şifreleme paketleri

Önemli

Bu genel bakış yalnızca şirket içinde barındırılan ağ geçidi v2 için geçerlidir.

Şirket içinde barındırılan ağ geçidi hem istemci hem de sunucu bağlantıları için aşağıdaki şifreleme paketlerini kullanır:

  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Şifreleme paketlerini yönetme

v2.1.1 ve üzeri itibariyle, yapılandırma aracılığıyla kullanılan şifreleri yönetebilirsiniz:

  • net.server.tls.ciphers.allowed-suites API istemcisi ile şirket içinde barındırılan ağ geçidi arasındaki TLS bağlantısı için kullanılacak şifrelerin virgülle ayrılmış bir listesini tanımlamanızı sağlar.
  • net.client.tls.ciphers.allowed-suites şirket içinde barındırılan ağ geçidi ile arka uç arasındaki TLS bağlantısı için kullanılacak şifrelerin virgülle ayrılmış bir listesini tanımlamanızı sağlar.

Sonraki adımlar