使用虛擬網路來保護 Azure API 管理 的輸入或輸出流量

適用於：開發人員 |基本 |標準 |標準 v2 |進階版

根據預設，您的 API 管理 會從公用端點的因特網存取，並做為公用後端的網關。 API 管理 提供數個選項，可讓您使用 Azure 虛擬網路保護對 API 管理 實例和後端 API 的存取。 可用選項取決於您 APIM 執行個體的服務層級。

• 將 APIM 執行個體插入虛擬網路的子網路中，讓網路閘道能夠存取網路中的資源。

  您可以選擇兩種插入模式之一：外部或內部。 其不同之處在於是否允許來自網際網路或只允許來自虛擬網路內的與網路閘道和其他 APIM 端點的輸入連線。

• 將 API 管理 實例與虛擬網路中的子網整合，讓 API 管理 閘道可以將輸出要求傳送至網路中隔離的 API 後端。

• 使用私人端點，啟用與 APIM 網路閘道的安全與私人輸入連線。

下表比較虛擬網路選項。 如需詳細資訊，請參閱本文稍後的各節，以及詳細指導的連結。

網路模型	所支援的服務層	支援的元件	支援的流量	使用方式情節
虛擬網路插入 - 外部	開發人員、進階	開發人員入口網站、網路閘道、管理平面和 Git 存放庫	可以允許向網際網路、對等互連的虛擬網路、Express Route 和 S2S VPN 連線的輸入和輸出流量。	對私人和內部部署後端的外部存取
虛擬網路插入 - 內部	開發人員、進階	開發人員入口網站、網路閘道、管理平面和 Git 存放庫	可以允許向對等互連的虛擬網路、Express Route 和 S2S VPN 連線的輸入和輸出流量。	內部存取私人和內部部署後端
輸出整合	標準 v2	僅限閘道	輸出要求流量可以連線到裝載在虛擬網路之委派子網中的 API。	對私人和內部部署後端的外部存取
輸入私人端點	開發人員、基本、標準、進階	僅限網關（不支援受控閘道、自我裝載閘道）	可以允許從網際網路、對等互連的虛擬網路、Express Route 和 S2S VPN 連線的輸入流量。	保護 APIM 網路閘道的用戶端連線

虛擬網路插入

使用 VNet 插入，將 APIM 執行個體部署 (「插入」) 至您控制存取之非網際網路可路由網路的子網路。 在虛擬網路中，APIM 執行個體可以安全存取其他網路 Azure 資源，也可以使用各種 VPN 技術連線到內部部署網路。 若要深入瞭解「Azure VNet」，請從以下資訊著手：Azure 虛擬網路概觀。

您可以使用 Azure 入口網站、Azure CLI、Azure Resource Manager 範本或其他工具來進行設定。 針對部署 APIM 的子網路，使用網路安全性群組來控制其輸入和輸出流量。

如需詳細的部署步驟和網路設定，請參閱：

• 將您的 APIM 執行個體部署到虛擬網路 - 外部模式。
• 將您的 APIM 執行個體部署到虛擬網路 - 內部模式。
• API 管理 插入虛擬網路的網路資源需求。

存取選項

您可以使用虛擬網路，將開發人員入口網站、API 閘道和其他 APIM 端點設定為可從網際網路存取 (外部模式)，或只能在 VNet 存取 (內部模式)。

• 外部 - 可透過外部負載平衡器，從公用網際網路存取 APIM 端點。 網路閘道可以存取 VNet 內的資源。

  

  在外部模式中使用 APIM 來存取在虛擬網路中部署的後端服務。

• 內部 - 可透過內部負載平衡器，僅從 VNet 存取 APIM 端點。 網路閘道可以存取 VNet 內的資源。

  

  以內部模式使用 APIM，以：

  • 使用 Azure VPN 連線或 Azure ExpressRoute，讓裝載於私人資料中心的 API 可供第三方安全地存取。
  • 透過通用閘道器公開雲端式 API 和內部部署 API，以實現混合式雲端情節。
  • 使用單一閘道器端點來管理多個地理位置中所裝載的 API。

輸出整合

標準 v2 層支援 VNet 整合，讓您的 API 管理 實例能夠連線到在單一連線 VNet 中隔離的 API 後端。 還是可以從網際網路公開存取 APIM 閘道、管理平面和開發人員入口網站。

輸出整合可讓 API 管理 實例同時連線到公用和網路隔離的後端服務。

如需詳細資訊，請參閱整合 Azure API 管理 實例與私人 VNet 以進行輸出連線。

輸入私人端點

APIM 支援私人端點，以保護您的 APIM 執行個體的輸入用戶端連線。 每個安全連線都會使用來自虛擬網路和 Azure Private Link 的私人 IP 位址。

使用私人端點和 Private Link，您可以：

• 建立多個與 APIM 執行個體的 Private Link 連線。

• 使用私人端點，以在安全連線上傳送輸入流量。

• 使用原則，以區分來自私人端點的流量。

• 僅將傳入流量限制為私人端點，以防止資料外流。

重要

• 您只能為 APIM 執行個體的輸入流量設定私人端點連線。 目前不支援輸出流量。

  您可以使用外部或內部虛擬網路模型，建立從 APIM 執行個體到私人端點的輸出連線。

• 若要啟用輸入私人端點，則無法將 APIM 執行個體插入到外部或內部虛擬網路。

如需詳細資訊，請參閱使用輸入私人端點私下連線至 APIM。

進階網路設定

使用 Web 應用程式防火牆保護 APIM 端點

您可能會遇到需要安全外部和內部存取 APIM 執行個體，以及觸達私人和內部部署後端彈性的情節。 在這些情節中，您可以選擇使用 Web 應用程式防火牆 (WAF) 管理對 APIM 執行個體端點的外部存取。

其中一個範例是將 APIM 執行個體部署在內部虛擬網路中，並使用網際網路對向 Azure 應用程式閘道將公用存取路由至其中：

如需詳細資訊，請參閱使用應用程式閘道在內部虛擬網路中部署 APIM。

下一步

深入了解：

使用 APIM 的虛擬網路設定：

• 將您的 Azure APIM 執行個體部署到虛擬網路 - 外部模式。
• 將您的 Azure APIM 執行個體部署到虛擬網路 - 內部模式。
• 使用私人端點私下連線至 APIM
• 將 Azure API 管理 實例與用於輸出連線的私人 VNet 整合
• 防禦您的 Azure API 管理執行個體免於遭受 DDoS 攻擊

相關文章：

• 使用 VPN 閘道將虛擬網路連線到後端
• 從不同的部署模型連接虛擬網路
• 虛擬網路常見問題集