Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Şunlar için geçerlidir: Geliştirici | Premium
Kendi kendine barındırılan ağ geçidi, her API Management hizmetine dahil edilen varsayılan yönetilen ağ geçidinin isteğe bağlı, kapsayıcı teknolojisini kullanan bir sürümüdür. Ağ geçitlerini API'lerinizi barındırdığınız ortamlara yerleştirme gibi senaryolar için kullanışlıdır. API trafik akışını geliştirmek ve API güvenlik ve uyumluluk gereksinimlerini karşılamak için şirket içinde barındırılan ağ geçidini kullanın.
Bu makalede, Azure API Management'ın şirket içinde barındırılan ağ geçidi özelliğinin hibrit ve çoklu bulut API yönetimini nasıl sağladığı, üst düzey mimarisini nasıl sunduğu ve özelliklerini nasıl vurguladığı açıklanmaktadır.
Çeşitli ağ geçidi tekliflerindeki özelliklere genel bakış için bkz. API Management'ta API ağ geçidi.
Karma ve çoklu bulut API yönetimi
Şirket içinde barındırılan ağ geçidi özelliği, hibrit ve çoklu bulut ortamları için API Management desteğini genişletir ve kuruluşların şirket içinde ve bulutlarda barındırılan API'leri Azure'daki tek bir API Management hizmetinden verimli ve güvenli bir şekilde yönetmesini sağlar.
Şirket içinde barındırılan ağ geçidiyle müşteriler API Management ağ geçidi bileşeninin kapsayıcılı bir sürümünü API'lerini barındırdıkları ortamlara dağıtma esnekliğine sahiptir. Kendi kendine barındırılan tüm ağ geçitleri, bağlı oldukları API Management hizmeti aracılığıyla yönetilir ve böylece müşterilere tüm iç ve dış API'ler üzerinde görünürlük ve birleşik yönetim deneyimi sağlar.
Her API Management hizmeti aşağıdaki temel bileşenlerden oluşur:
- Api olarak kullanıma sunulan yönetim düzlemi, hizmeti Azure portalı, PowerShell ve desteklenen diğer mekanizmalar aracılığıyla yapılandırmak için kullanılır.
- API isteklerine ara sunucu işlevi görme, ilke uygulama ve telemetri toplama işlemlerinden sorumlu ağ geçidi (veya veri uçağı)
- Geliştiricilerin API'leri keşfetmek, öğrenmek ve kullanmaya başlamak için kullandıkları geliştirici portalı
Varsayılan olarak, tüm bu bileşenler Azure'da dağıtılır ve API'leri uygulayan arka uçların nerede barındırıldığına bakılmaksızın tüm API trafiğinin (aşağıdaki resimde düz siyah oklar olarak gösterilir) Azure'da akmasına neden olur. Bu modelin operasyonel basitliği, artan gecikme süresi, uyumluluk sorunları ve bazı durumlarda ek veri aktarımı ücretlerinin maliyetinden kaynaklanmıştır.
Şirket içinde barındırılan ağ geçitlerinin arka uç API uygulamalarının barındırıldığı ortamlara dağıtılması, API trafiğinin doğrudan arka uç API'lerine akmasını sağlar. Bu da gecikme süresini azaltır, veri aktarımı maliyetlerini iyileştirir ve uygulamalarının barındırıldığı konumdan bağımsız olarak kuruluş içindeki tüm API'lerin tek bir yönetim, gözlemlenebilirlik ve bulma noktasına sahip olmanın avantajlarını korur.
Ambalaj
Yerel barındırılan ağ geçidi, Microsoft Artifact Registry'den Linux tabanlı bir Docker kapsayıcı görüntüsü olarak kullanılabilir. Şirket içi bir sunucu kümesinde, bulut altyapısında veya değerlendirme ve geliştirme amacıyla kişisel bir bilgisayarda çalışan Docker, Kubernetes veya başka bir kapsayıcı düzenleme çözümüne dağıtılabilir. İçeride barındırılan ağ geçidini Azure Arc özellikli Kubernetes kümesine küme uzantısı olarak dağıtma imkanına sahipsiniz.
Konteyner görüntüleri
İhtiyaçlarınızı karşılamak için öz barındırılan ağ geçitleri için çeşitli kapsayıcı görüntüleri sağlıyoruz:
| Etiket kuralı | Tavsiye | Örnek | Dönen etiket | Üretim için önerilir |
|---|---|---|---|---|
{major}.{minor}.{patch} |
Her zaman ağ geçidinin aynı sürümünü çalıştırmak için bu etiketi kullanın | 2.0.0 |
❌ | ✔️ |
v{major} |
Her yeni özellik ve düzeltme eki ile her zaman ağ geçidinin ana sürümünü çalıştırmak için bu etiketi kullanın. | v2 |
✔️ | ❌ |
v{major}-preview |
Her zaman en son önizleme kapsayıcı görüntümüzü çalıştırmak istiyorsanız bu etiketi kullanın. | v2-preview |
✔️ | ❌ |
latest |
Kendi kendine barındırılan ağ geçidini değerlendirmek istiyorsanız bu etiketi kullanın. | latest |
✔️ | ❌ |
beta
1 |
Kendi altyapınızda barındırılan ağ geçidinin önizleme sürümlerini değerlendirmek istiyorsanız bu etiketi kullanın. | beta |
✔️ | ❌ |
Kullanılabilir etiketlerin tam listesini burada bulabilirsiniz.
1Önizleme sürümleri resmi olarak desteklenmez ve yalnızca deneysel amaçlıdır. Kendi kendine barındırılan ağ geçidi destek ilkelerine bakın.
Resmi dağıtım seçeneklerimizde etiketlerin kullanımı
Azure portalındaki dağıtım seçeneklerimiz, müşterilerin şirket içinde barındırılan ağ geçidi v2 kapsayıcı görüntüsünün en son sürümünü tüm özellik güncelleştirmeleri ve düzeltme ekleriyle kullanmasına olanak tanıyan etiketi kullanır v2 .
Uyarı
Komut ve YAML kod parçacıklarını başvuru olarak sağlıyoruz, isterseniz daha özel bir etiket kullanmaktan çekinmeyin.
Helm grafiğimizle yükleme yaparken görüntü etiketleme sizin için iyileştirilmiştir. Helm grafiğinin uygulama sürümü, ağ geçidini belirli bir sürüme sabitler ve latest'e güvenmez.
Kubernetes üzerinde Helm ile bir API Management kendin barındırdığın ağ geçidini nasıl yükleyeceğiniz hakkında daha fazla bilgi edinin.
Dönen etiketleri kullanma riski
Sıralı etiketler, kapsayıcı görüntüsünün yeni bir sürümü yayımlandığında güncelleştirilebilecek etiketlerdir. Bu, kapsayıcı kullanıcılarının dağıtımlarını güncelleştirmek zorunda kalmadan kapsayıcı görüntüsünde güncelleştirmeleri almasını sağlar.
Bu, fark etmeden, örneğin etiket güncelleştirildikten sonra v2 ölçeklendirme eylemleri gerçekleştirdiğinizde farklı sürümleri paralel olarak çalıştırabileceğiniz anlamına gelir.
Örneğin - v2 etiket, 2.0.0 kapsayıcı görüntüsüyle yayımlandı. Ancak 2.1.0 yayınlandığında, v2 etiket 2.1.0 görüntüsüne bağlanacak.
Önemli
Daha yeni bir sürüme yanlışlıkla yükseltmeyi önlemek için üretimde belirli bir sürüm etiketi kullanmayı göz önünde bulundurun.
Azure ile bağlantı
Kendi kendine barındırılan ağ geçitleri, 443 numaralı bağlantı noktasında Azure'a dışarıya giden TCP/IP bağlantısı gerektirir. Her kendi kendine barındırılan ağ geçidi, tek bir API Management hizmetiyle ilişkilendirilmelidir ve yönetim düzlemi üzerinden yapılandırılır. Kendi kendine barındırılan bir ağ geçidi, Azure'a bağlantıyı aşağıdakiler için kullanır:
- Her dakika kalp atışı mesajları göndererek durumunu bildirme
- Düzenli olarak denetleme (10 saniyede bir) ve kullanılabilir olduğunda yapılandırma güncelleştirmelerini uygulama
- Bunu yapmak için yapılandırılmışsa ölçümleri Azure İzleyici'ye gönderme
- Bunu yapmak için ayarlanmışsa Application Insights'a olay gönderme
FQDN bağımlılıkları
Kendi barındırılan her ağ geçidinin düzgün çalışabilmesi için, bulut tabanlı API Management örneğiyle ilgili aşağıdaki uç noktalara 443 numaralı bağlantı noktasından dışa doğru bağlantı gerekir.
| Bitiş noktası | Gerekli mi? | Notlar |
|---|---|---|
| Yapılandırma uç noktasının ana bilgisayar adı |
<apim-service-name>.configuration.azure-api.net
1 |
Özel konak adları da desteklenir ve varsayılan konak adı yerine kullanılabilir. |
| API Management örneğinin genel IP adresi | ✔️ | Birincil konumun IP adresi yeterlidir. |
| Azure Depolama hizmeti etiketinin genel IP adresleri | İsteğe bağlı2 | IP adresleri API Management örneğinin birincil konumuna karşılık gelmelidir. |
| Azure Blob Depolama hesabının ana bilgisayar adı | İsteğe bağlı2 | Örnekle ilişkilendirilmiş hesap (<blob-storage-account-name>.blob.core.windows.net) |
| Azure Tablo Depolama hesabının ana bilgisayar adı | İsteğe bağlı2 | Örnekle ilişkilendirilmiş hesap (<table-storage-account-name>.table.core.windows.net) |
| Azure Resource Manager için uç noktalar | İsteğe bağlı3 | Gerekli uç noktalar şunlardır: management.azure.com. |
| Microsoft Entra entegrasyonu için uç noktalar | İsteğe bağlı4 | Gerekli uç noktalar <region>.login.microsoft.com ve login.microsoftonline.com'dir. |
| Azure Application Insights tümleştirmesi için uç noktalar | İsteğe bağlı5 | En az gerekli uç nokta şunlardır:
|
| Event Hubs tümleştirmesi için uç noktalar | İsteğe bağlı5 | Azure Event Hubs belgelerinde daha fazla bilgi edinin |
| Dış önbellek tümleştirmesi için uç noktalar | İsteğe bağlı5 | Bu gereksinim, kullanılan dış önbelleğe bağlıdır |
1bir iç sanal ağdaki API Management örneği için bkz. İç sanal ağda bağlantı.
2Yalnızca ilkelerde API denetçisi veya kotalar kullanıldığında v2'de gereklidir.
3Yalnızca RBAC izinlerini doğrulamak için Microsoft Entra kimlik doğrulaması kullanılırken gereklidir.
4Yalnızca Microsoft Entra kimlik doğrulaması veya Microsoft Entra ile ilgili ilkeler kullanılırken gereklidir.
5Yalnızca özellik kullanıldığında ve genel IP adresi, bağlantı noktası ve ana bilgisayar adı bilgileri gerektirdiğinde gereklidir.
Önemli
- DNS ana bilgisayar adları IP adreslerine çözümlenebilir olmalı ve buna karşılık gelen IP adreslerine ulaşılabilir olmalıdır.
- İlişkili depolama hesabı adları, Hizmetin Azure portalındaki Ağ bağlantısı durumu sayfasında listelenir.
- İlişkili depolama hesaplarını temel alan genel IP adresleri dinamiktir ve bildirimde bulunmadan değişebilir.
İç sanal ağda bağlantı
Özel bağlantı - Şirket içinde barındırılan ağ geçidi bir sanal ağda dağıtılıyorsa, örneğin eşlenmiş bir ağda özel DNS kullanarak şirket içinde barındırılan ağ geçidinin konumundan v2 yapılandırma uç noktasına özel bağlantıyı etkinleştirin.
İnternet bağlantısı - Şirket içinde barındırılan ağ geçidinin İnternet üzerinden v2 yapılandırma uç noktasına bağlanması gerekiyorsa, yapılandırma uç noktası için özel bir konak adı yapılandırın ve Application Gateway kullanarak uç noktayı kullanıma açın.
Kimlik doğrulama seçenekleri
Şirket içinde barındırılan ağ geçidi ile bulut tabanlı API Management örneğinin yapılandırma uç noktası arasındaki bağlantının kimliğini doğrulamak için ağ geçidi kapsayıcısının yapılandırma ayarlarında aşağıdaki seçenekler bulunur.
| Seçenek | Değerlendirmeler |
|---|---|
| Microsoft Entra kimlik doğrulaması | Ağ geçidine erişim için bir veya daha fazla Microsoft Entra uygulaması yapılandırma Erişimi uygulama başına ayrı olarak yönetme Kuruluşunuzun ilkelerine uygun olarak sırlar için daha uzun geçerlilik süreleri yapılandırın. Standart Microsoft Entra prosedürlerini kullanarak uygulamaya kullanıcı veya grup izinlerini atayın veya iptal edin ve gizli bilgileri yenileyin. |
| Ağ geçidi erişim belirteci (kimlik doğrulama anahtarı olarak da adlandırılır) | Belirteç, süresi en fazla 30 günde bir sona erer ve kapsayıcılarda yenilenmek zorundadır. Bağımsız olarak döndürülebilen bir ağ geçidi anahtarı tarafından desteklenir (örneğin, erişimi iptal etmek için) Ağ geçidi anahtarının yeniden oluşturulması, onunla oluşturulan tüm erişim belirteçlerini geçersiz kıldı |
Tavsiye
Şirket içinde barındırılan bir ağ geçidi tarafından, ağ geçidi erişim belirteci süresi dolmaya yakın veya dolduğunda oluşturulan Event Grid olayları hakkında bilgi almak için Event Grid kaynağı olarak Azure API Management’a bakın. Dağıtılan ağ geçitlerinin her zaman ilişkili API Management örneğiyle kimlik doğrulaması yapabilmesini sağlamak için bu olayları kullanın.
Bağlantı hataları
Azure bağlantısı kaybolduğunda, yerel olarak barındırılan ağ geçidi yapılandırma güncellemelerini alamaz, durumunu raporlayamaz veya telemetriyi karşıya yükleyemez.
Şirket içinde barındırılan ağ geçidi "statik olarak başarısız" olacak şekilde tasarlanmıştır ve Azure'a olan bağlantı kaybolduğunda geçici bir kaybı tolere edebilir. Yerel yapılandırma yedeklemesi ile veya olmadan dağıtılabilir. Yapılandırma yedeklemesi ile kendi kendine barındırılan ağ geçidi, en son indirilen yapılandırmanın yedek kopyasını kapsayıcılarına veya podlarına bağlı kalıcı depolama birimine düzenli olarak kaydeder.
Yapılandırma yedeklemesi kapatıldığında ve Azure bağlantısı kesildiğinde:
- Kendi sunucularında çalıştırılan ağ geçitleri, yapılandırmanın bellekteki bir kopyasını kullanarak çalışmaya devam edecektir.
- Durdurulan kendi kendine barındırılan ağ geçitleri tekrar başlatılamayacak
Yapılandırma yedeklemesi açıldığında ve Azure bağlantısı kesildiğinde:
- Kendi sunucularında çalıştırılan ağ geçitleri, yapılandırmanın bellekteki bir kopyasını kullanarak çalışmaya devam edecektir.
- Durdurulan kendi içinde barındırılan ağ geçitleri, yapılandırmanın yedek kopyasını kullanarak başlayabilir
Bağlantı geri yüklendiğinde, kesintiden etkilenen şirket içinde barındırılan her ağ geçidi, ilişkili API Management hizmetine otomatik olarak yeniden bağlanır ve ağ geçidi "çevrimdışı" olduğunda gerçekleşen tüm yapılandırma güncelleştirmelerini indirir.
Güvenlik
Sınırlamalar
Yönetilen ağ geçitlerinde bulunan aşağıdaki işlevler şirket içinde barındırılan ağ geçitlerinde kullanılamaz :
- TLS oturum yeniden başlatma.
- İstemci sertifikası yeniden anlaşması. İstemci sertifikası kimlik doğrulamasını kullanmak için API tüketicilerinin ilk TLS el sıkışmasının bir parçası olarak sertifikalarını sunması gerekir. Bu davranışı sağlamak için, kendinden barındırılan bir ağ geçidi özel ana bilgisayar adı (etki alanı adı) yapılandırırken İstemci Sertifikası Müzakere ayarını etkinleştirin.
Aktarım Katmanı Güvenliği (TLS)
Desteklenen protokoller
Kendi kendine barındırılan ağ geçidi varsayılan olarak TLS v1.2 desteği sağlar.
Özel etki alanları kullanan müşteriler , denetim düzleminde TLS v1.0 ve/veya v1.1'i etkinleştirebilir.
Kullanılabilir şifreleme paketleri
Şirket içinde barındırılan ağ geçidi hem istemci hem de sunucu bağlantıları için aşağıdaki şifreleme paketlerini kullanır:
TLS_AES_256_GCM_SHA384TLS_CHACHA20_POLY1305_SHA256TLS_AES_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384TLS_DHE_RSA_WITH_AES_256_CBC_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_DHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHATLS_ECDHE_RSA_WITH_AES_256_CBC_SHATLS_DHE_RSA_WITH_AES_256_CBC_SHATLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHATLS_ECDHE_RSA_WITH_AES_128_CBC_SHATLS_DHE_RSA_WITH_AES_128_CBC_SHATLS_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHATLS_RSA_WITH_AES_128_CBC_SHA
Şifreleme paketlerini yönetme
v2.1.1 ve üzeri itibariyle, yapılandırma aracılığıyla kullanılan şifreleri yönetebilirsiniz:
-
net.server.tls.ciphers.allowed-suitesAPI istemcisi ile şirket içinde barındırılan ağ geçidi arasındaki TLS bağlantısı için kullanılacak şifrelerin virgülle ayrılmış bir listesini tanımlamanızı sağlar. -
net.client.tls.ciphers.allowed-suitesşirket içinde barındırılan ağ geçidi ile arka uç arasındaki TLS bağlantısı için kullanılacak şifrelerin virgülle ayrılmış bir listesini tanımlamanızı sağlar.
İlgili içerik
- API ağ geçidine genel bakış bölümünden çeşitli ağ geçitleri hakkında daha fazla bilgi edinin
- Kendi barındırılan ağ geçidi için destek ilkesi hakkında daha fazla bilgi edinin
- Hibrit ve çoklu bulut dünyasında API Management hakkında daha fazla bilgi edinin
- Kubernetes üzerinde kendi kendine barındırılan ağ geçidini üretimde çalıştırma yönergeleri hakkında daha fazla bilgi edinin
- Docker'a kendi kendine barındırılan ağ geçidini dağıt
- Kubernetes'e kendi kendine barındırılan geçidi dağıtma
- Kendi kendine barındırılan ağ geçidini Azure Arc özellikli Kubernetes kümesine dağıtma
- Azure Container Apps'e kendi kendine barındırılan ağ geçidini dağıtma
- Kendi bünyesinde barındırılan ağ geçidi yapılandırma ayarları
- API Management'ta gözlemlenebilirlik özellikleri hakkında bilgi edinin
- Kendi kendine barındırılan ağ geçidi ile Dapr entegrasyonu hakkında bilgi edinin