Şirket içinde barındırılan ağ geçidine genel bakış

Şirket içinde barındırılan ağ geçidi, her API Management hizmetinde bulunan varsayılan yönetilen ağ geçidinin isteğe bağlı, kapsayıcılı bir sürümüdür. Ağ geçitlerini API'lerinizi barındırdığınız ortamlara yerleştirme gibi senaryolar için kullanışlıdır. API trafik akışını geliştirmek ve API güvenlik ve uyumluluk gereksinimlerini karşılamak için şirket içi barındırılan ağ geçidini kullanın.

Bu makalede Azure API Management'nin şirket içinde barındırılan ağ geçidi özelliğinin hibrit ve çok bulutlu API yönetimini nasıl sağladığı, üst düzey mimarisini nasıl sunduğu ve özelliklerini vurguladığı açıklanır.

Çeşitli ağ geçidi tekliflerindeki özelliklere genel bakış için bkz. API Management'de API ağ geçidi.

Kullanılabilirlik

Önemli

Bu özellik, API Management Premium ve Geliştirici katmanlarında kullanılabilir.

Hibrit ve çok bulutlu API yönetimi

Şirket içinde barındırılan ağ geçidi özelliği, hibrit ve çok bulutlu ortamlar için API Management desteği genişletir ve kuruluşların şirket içinde ve bulutlarda barındırılan API'leri Azure'daki tek bir API Management hizmetinden verimli ve güvenli bir şekilde yönetmesini sağlar.

Şirket içinde barındırılan ağ geçidi ile müşteriler, api'lerini barındırdıkları ortamlara API Management ağ geçidi bileşeninin kapsayıcılı bir sürümünü dağıtma esnekliğine sahiptir. Şirket içinde barındırılan tüm ağ geçitleri, federasyonları olan API Management hizmetinden yönetilir ve böylece müşterilere tüm iç ve dış API'lerde görünürlük ve birleşik yönetim deneyimi sağlar.

Her API Management hizmeti aşağıdaki temel bileşenlerden oluşur:

  • API olarak kullanıma sunulan yönetim düzlemi, hizmeti Azure portal, PowerShell ve desteklenen diğer mekanizmalar aracılığıyla yapılandırmak için kullanılır.
  • API isteklerine ara sunucu oluşturma, ilke uygulama ve telemetri toplama işlemlerinden sorumlu ağ geçidi (veya veri düzlemi)
  • Geliştiriciler tarafından API'leri keşfetmek, öğrenmek ve eklemek için kullanılan geliştirici portalı

Varsayılan olarak, tüm bu bileşenler Azure'da dağıtılır ve API'leri uygulayan arka uçların nerede barındırıldığına bakılmaksızın tüm API trafiğinin (aşağıdaki resimde düz siyah oklar olarak gösterilir) Azure'da akmasına neden olur. Bu modelin operasyonel basitliği, artan gecikme süresi, uyumluluk sorunları ve bazı durumlarda ek veri aktarım ücretlerinin maliyetinden kaynaklanmıştır.

Şirket içi barındırılan ağ geçitleri olmadan API trafik akışı

Şirket içinde barındırılan ağ geçitlerinin arka uç API uygulamalarının barındırıldığı ortamlara dağıtılması, API trafiğinin doğrudan arka uç API'lerine akmasını sağlar. Bu sayede gecikme süresini kısaltır, veri aktarımı maliyetlerini iyileştirir ve uygulamalarının barındırıldığı konumdan bağımsız olarak kuruluş içindeki tüm API'lerin tek bir yönetim, gözlemlenebilirlik ve bulma avantajını korur.

Şirket içi barındırılan ağ geçitleriyle API trafik akışı

Paketleme

Şirket içinde barındırılan ağ geçidi, Microsoft Yapıt Kayıt Defteri Linux tabanlı docker kapsayıcı görüntüsü olarak kullanılabilir. Şirket içi sunucu kümesinde, bulut altyapısında veya değerlendirme ve geliştirme amacıyla kişisel bir bilgisayarda çalışan Docker, Kubernetes veya başka bir kapsayıcı düzenleme çözümüne dağıtılabilir. Şirket içinde barındırılan ağ geçidini Azure Arc özellikli kubernetes kümesine küme uzantısı olarak da dağıtabilirsiniz.

Kapsayıcı görüntüleri

Şirket içinde barındırılan ağ geçitleri için ihtiyaçlarınızı karşılayacak çeşitli kapsayıcı görüntüleri sağlıyoruz:

Etiket kuralı Öneri Örnek Sıralı etiket Üretim için önerilir
{major}.{minor}.{patch} Ağ geçidinin her zaman aynı sürümünü çalıştırmak için bu etiketi kullanın 2.0.0 ✔️
v{major} Her yeni özellik ve düzeltme eki ile ağ geçidinin ana sürümünü her zaman çalıştırmak için bu etiketi kullanın. v2 ✔️
v{major}-preview En son önizleme kapsayıcı görüntümüzü her zaman çalıştırmak istiyorsanız bu etiketi kullanın. v2-preview ✔️
latest Şirket içi barındırılan ağ geçidini değerlendirmek istiyorsanız bu etiketi kullanın. latest ✔️

Kullanılabilir etiketlerin tam listesini burada bulabilirsiniz.

Resmi dağıtım seçeneklerimizde etiketlerin kullanımı

Azure portal dağıtım seçeneklerimiz, müşterilerin şirket içinde barındırılan v2 ağ geçidi v2 kapsayıcı görüntüsünün en son sürümünü tüm özellik güncelleştirmeleri ve düzeltme ekleriyle kullanmasına olanak tanıyan etiketini kullanır.

Not

Komut ve YAML kod parçacıklarını başvuru olarak sağlarız, isterseniz daha belirgin bir etiket kullanmaktan çekinmeyin.

Helm grafiğimizle yükleme yaparken görüntü etiketleme sizin için iyileştirilmiştir. Helm grafiğinin uygulama sürümü ağ geçidini belirli bir sürüme sabitler ve kullanmaz latest.

Helm ile Kubernetes'te şirket içinde barındırılan API Management ağ geçidi yükleme hakkında daha fazla bilgi edinin.

Sıralı etiketleri kullanma riski

Sıralı etiketler, kapsayıcı görüntüsünün yeni bir sürümü yayımlandığında güncelleştirilebilecek etiketlerdir. Bu, kapsayıcı kullanıcılarının dağıtımlarını güncelleştirmek zorunda kalmadan kapsayıcı görüntüsü güncelleştirmelerini almasını sağlar.

Başka bir deyişle, örneğin etiket güncelleştirildikten sonra v2 ölçeklendirme eylemleri gerçekleştirirken fark etmeden farklı sürümleri paralel olarak çalıştırabilirsiniz.

Örnek - v2 etiket kapsayıcı görüntüsüyle yayımlandı 2.0.0 , ancak ne zaman 2.1.0 yayımlanacak, v2 etiket görüntüye 2.1.0 bağlanır.

Önemli

Daha yeni bir sürüme yanlışlıkla yükseltmeyi önlemek için üretimde belirli bir sürüm etiketi kullanmayı göz önünde bulundurun.

Azure ile bağlantı

Şirket içi barındırılan ağ geçitleri için 443 numaralı bağlantı noktası üzerinden Azure'a giden TCP/IP bağlantısı gerekir. Şirket içinde barındırılan her ağ geçidi tek bir API Management hizmetiyle ilişkilendirilmelidir ve yönetim düzlemi aracılığıyla yapılandırılır. Şirket içinde barındırılan ağ geçidi aşağıdakiler için Azure bağlantısını kullanır:

  • Dakikada bir sinyal iletileri göndererek durumunu bildirme
  • Düzenli olarak denetleme (10 saniyede bir) ve kullanılabilir olduğunda yapılandırma güncelleştirmelerini uygulama
  • Bunu yapmak için yapılandırılmışsa ölçümleri Azure İzleyici'ye gönderme
  • Application Insights'a olay gönderme (bunu yapmak için ayarlandıysa)

Önemli

Azure API Management şirket içi barındırılan ağ geçidi sürüm 0 ve sürüm 1 kapsayıcı görüntüleri desteği, karşılık gelen Yapılandırma API'si v1 ile birlikte 1 Ekim 2023'te sona eriyor. Configuration API v2 ile şirket içi barındırılan ağ geçidi v2.0.0 veya üzerini kullanmak için geçiş kılavuzumuzu kullanın. Kullanımdan kaldırma belgelerimizde daha fazla bilgi edinin

FQDN bağımlılıkları

Şirket içinde barındırılan her ağ geçidinin düzgün çalışması için 443 numaralı bağlantı noktasından bulut tabanlı API Management örneğiyle ilişkili aşağıdaki uç noktalara giden bağlantı gerekir:

Açıklama v1 için gerekli v2 için gerekli Notlar
Yapılandırma uç noktasının ana bilgisayar adı <apim-service-name>.management.azure-api.net <apim-service-name>.configuration.azure-api.net
API Management örneğinin genel IP adresi ✔️ ✔️ Birincil konumun IP adresleri yeterlidir.
Azure Depolama hizmet etiketinin genel IP adresleri ✔️ İsteğe bağlı1 IP adresleri, API Management örneğin birincil konumuna karşılık gelmelidir.
Azure Blob Depolama hesabının ana bilgisayar adı ✔️ İsteğe bağlı1 Örnekle ilişkilendirilmiş hesap (<blob-storage-account-name>.blob.core.windows.net)
Azure Tablo Depolama hesabının ana bilgisayar adı ✔️ İsteğe bağlı1 Örnekle ilişkilendirilmiş hesap (<table-storage-account-name>.table.core.windows.net)
Azure Uygulaması Insights tümleştirmesi için uç noktalar İsteğe bağlı2 İsteğe bağlı2 Gerekli uç noktaların en azı şunlardır:
  • rt.services.visualstudio.com:443
  • dc.services.visualstudio.com:443
  • {region}.livediagnostics.monitor.azure.com:443
Azure İzleyici belgelerinde daha fazla bilgi edinin
Event Hubs tümleştirmesi için uç noktalar İsteğe bağlı2 İsteğe bağlı2 Azure Event Hubs belgelerinde daha fazla bilgi edinin
Dış önbellek tümleştirmesi için uç noktalar İsteğe bağlı2 İsteğe bağlı2 Bu gereksinim, kullanılmakta olan dış önbelleğe bağlıdır

1 Yalnızca api denetçisi veya kotalar ilkelerde kullanıldığında v2'de gereklidir.
2 Yalnızca özellik kullanıldığında ve genel IP adresi, bağlantı noktası ve ana bilgisayar adı bilgileri gerektirdiğinde gereklidir.

Önemli

  • DNS ana bilgisayar adlarının IP adresleriyle çözümlenebilmesi ve buna karşılık gelen IP adreslerine ulaşılabilir olması gerekir.
  • İlişkili depolama hesabı adları, Azure portal hizmetin Ağ bağlantısı durumu sayfasında listelenir.
  • İlişkili depolama hesaplarını temel alan genel IP adresleri dinamiktir ve bildirimde bulunmadan değiştirilebilir.

Bağlantı hataları

Azure bağlantısı kaybolduğunda şirket içindeki ağ geçidi yapılandırma güncelleştirmelerini alamaz, durumunu bildiremez veya telemetriyi karşıya yükleyemez.

Şirket içi barındırılan ağ geçidi "statik başarısız olacak" şekilde tasarlanmıştır ve Azure'a geçici bağlantı kaybından kurtulabilir. Yerel yapılandırma yedeklemesi ile veya olmadan dağıtılabilir. Yapılandırma yedekleme ile şirket içinde barındırılan ağ geçitleri, kapsayıcılarına veya podlarına bağlı kalıcı bir birime en son indirilen yapılandırmanın yedek kopyasını düzenli olarak kaydeder.

Yapılandırma yedeklemesi kapatıldığında ve Azure bağlantısı kesildiğinde:

  • Şirket içinde barındırılan ağ geçitlerini çalıştırmak, yapılandırmanın bellek içi bir kopyasını kullanarak çalışmaya devam eder
  • Durdurulan şirket içi barındırılan ağ geçitleri başlatılamaz

Yapılandırma yedeklemesi açıldığında ve Azure bağlantısı kesildiğinde:

  • Şirket içinde barındırılan ağ geçitlerini çalıştırmak, yapılandırmanın bellek içi bir kopyasını kullanarak çalışmaya devam eder
  • Durdurulan şirket içinde barındırılan ağ geçitleri yapılandırmanın yedek kopyasını kullanmaya başlayabilir

Bağlantı geri yüklendiğinde, kesintiden etkilenen şirket içi barındırılan her ağ geçidi ilişkili API Management hizmetine otomatik olarak yeniden bağlanır ve ağ geçidi "çevrimdışı" durumdayken gerçekleşen tüm yapılandırma güncelleştirmelerini indirir.

Güvenlik

Sınırlamalar

Yönetilen ağ geçitlerinde bulunan aşağıdaki işlevler şirket içinde barındırılan ağ geçitlerinde kullanılamaz :

  • TLS oturum yeniden başlatma.
  • İstemci sertifikası yeniden anlaşması. İstemci sertifikası kimlik doğrulamasını kullanmak için API tüketicilerinin sertifikalarını ilk TLS el sıkışmasının bir parçası olarak sunması gerekir. Bu davranışı sağlamak için şirket içinde barındırılan bir ağ geçidi özel ana bilgisayar adı (etki alanı adı) yapılandırırken İstemci Sertifikası Anlaşması ayarını etkinleştirin.

Aktarım Katmanı Güvenliği (TLS)

Önemli

Bu genel bakış yalnızca şirket içi barındırılan ağ geçidi v1 & v2 için geçerlidir.

Desteklenen protokoller

Şirket içi barındırılan ağ geçidi varsayılan olarak TLS v1.2 için destek sağlar.

Özel etki alanları kullanan müşteriler kontrol düzleminde TLS v1.0 ve/veya v1.1'i etkinleştirebilir.

Kullanılabilir şifre paketleri

Önemli

Bu genel bakış yalnızca şirket içi barındırılan ağ geçidi v2 için geçerlidir.

Şirket içinde barındırılan ağ geçidi hem istemci hem de sunucu bağlantıları için aşağıdaki şifreleme paketlerini kullanır:

  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Şifre paketlerini yönetme

v2.1.1 ve üstü itibarıyla yapılandırma aracılığıyla kullanılan şifreleri yönetebilirsiniz:

  • net.server.tls.ciphers.allowed-suites , API istemcisi ile şirket içinde barındırılan ağ geçidi arasındaki TLS bağlantısı için kullanılacak şifrelemelerin virgülle ayrılmış bir listesini tanımlamanızı sağlar.
  • net.client.tls.ciphers.allowed-suites , şirket içinde barındırılan ağ geçidi ile arka uç arasındaki TLS bağlantısı için kullanılacak virgülle ayrılmış bir şifreleme listesi tanımlamanızı sağlar.

Sonraki adımlar