IP adresy služby Azure API Management

  • Článek

PLATÍ PRO: Všechny úrovně služby API Management

V tomto článku popisujeme, jak načíst IP adresy služby Azure API Management. IP adresy můžou být veřejné nebo soukromé, pokud je služba ve virtuální síti. IP adresy můžete použít k vytváření pravidel brány firewall, filtrování příchozího provozu do back-endových služeb nebo k omezení odchozího provozu.

IP adresy služby API Management

Každá instance služby API Management ve vrstvě Developer, Basic, Standard nebo Premium má veřejné IP adresy, které jsou výhradně pro tuto instanci služby (nesdílí se s jinými prostředky).

IP adresy můžete načíst z řídicího panelu přehledu vašeho prostředku na webu Azure Portal.

IP adresa služby API Management

Můžete je také načíst programově pomocí následujícího volání rozhraní API:

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

Veřejné IP adresy budou součástí odpovědi:

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.77.143.53"
    ],
    ...
  }
  ...
}

V nasazeních s více oblastmi má každé místní nasazení jednu veřejnou IP adresu.

IP adresy služby API Management ve virtuální síti

Pokud je vaše služba API Management ve virtuální síti, bude mít dva typy IP adres: veřejné a privátní.

  • Veřejné IP adresy se používají pro interní komunikaci na portu 3443 – ke správě konfigurace (například prostřednictvím Azure Resource Manageru). V konfiguraci externí virtuální sítě se také používají pro provoz rozhraní API modulu runtime. V interní konfiguraci virtuální sítě se veřejné IP adresy používají jenom pro operace interní správy Azure a nezpřístupňují vaši instanci na internetu.

  • Privátní virtuální IP adresy (VIP), které jsou dostupné jenom v interním režimu virtuální sítě, se používají k připojení z sítě ke koncovým bodům služby API Management – branám, portálu pro vývojáře a rovině správy pro přímý přístup k rozhraní API. Můžete je použít k nastavení záznamů DNS v síti.

Adresy obou typů se zobrazí na webu Azure Portal a v odpovědi na volání rozhraní API:

API Management v IP adrese virtuální sítě

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.85.20.170"
    ],
    "privateIPAddresses": [
      "192.168.1.5"
    ],
    ...
  },
  ...
}

Důležité

Privátní IP adresy interního nástroje pro vyrovnávání zatížení a jednotek API Management se přiřazují dynamicky. Proto před nasazením není možné předvídat privátní IP adresu instance služby API Management. Kromě toho může změna na jinou podsíť a vrácení způsobit změnu privátní IP adresy.

IP adresy pro odchozí provoz

Služba API Management používá veřejnou IP adresu pro připojení mimo virtuální síť nebo partnerský vztah a používá privátní IP adresu pro připojení ve virtuální síti nebo partnerské virtuální síti.

  • Když je služba API Management nasazená v externí nebo interní virtuální síti a služba API Management se připojuje k privátním back-endům (intranetovým) back-endům, používají se interní IP adresy (dynamické IP adresy nebo DYNAMICKÉ adresy) z podsítě pro provoz rozhraní API modulu runtime. Když se požadavek odešle ze služby API Management do privátního back-endu, bude privátní IP adresa viditelná jako původ požadavku.

    Proto pokud omezení PROTOKOLU IP uvádí zabezpečené prostředky v rámci virtuální sítě nebo partnerské virtuální sítě, doporučuje se použít celý rozsah podsítí služby API Management s pravidlem PROTOKOLU IP a (v interním režimu) nejen privátní IP adresu přidruženou k prostředku služby API Management.

  • Když se požadavek odešle ze služby API Management do veřejného (internetového) back-endu, bude veřejná IP adresa vždy viditelná jako původ požadavku.

IP adresy služby Consumption, Basic v2 a Standard v2 tier API Management

Pokud je vaše instance služby API Management vytvořená ve vrstvě služby, která běží ve sdílené infrastruktuře, nemá vyhrazenou IP adresu. V současné době instance v následujících úrovních služby běží ve sdílené infrastruktuře a bez deterministické IP adresy: Consumption, Basic v2, Standard v2.

Pokud potřebujete do seznamu povolených přidat odchozí IP adresy používané instancí úrovně Consumption, Basic v2 nebo Standard v2, můžete do seznamu povolených přidat datové centrum instance (oblast Azure). Můžete si stáhnout soubor JSON se seznamem IP adres pro všechna datová centra Azure. Pak vyhledejte fragment JSON, který se vztahuje na oblast, ve které instance běží.

Například následující fragment JSON je to, jak by mohl vypadat seznam povolených pro západní Evropu:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

Informace o tom, kdy se tento soubor aktualizuje a kdy se IP adresy změní, rozbalte část Podrobnosti na stránce Download Center.

Změny IP adres

V úrovních Developer, Basic, Standard a Premium služby API Management jsou veřejné IP adresy nebo adresy (VIP) a privátní VIP adresy (pokud jsou nakonfigurované v interním režimu virtuální sítě) statické po celou dobu života služby s následujícími výjimkami:

  • Služba API Management se odstraní a pak znovu vytvoří.

  • Předplatné služby je zakázané nebo varované (například pro neplacení) a pak se obnoví. Další informace o stavech předplatného

  • (Úrovně Developer a Premium) Služba Azure Virtual Network se přidá nebo odebere ze služby.

  • (Úrovně Developer a Premium) Služba API Management se přepíná mezi externím a interním režimem nasazení virtuální sítě.

  • (Úrovně Developer a Premium) Služba API Management se přesune do jiné podsítě nebo se migruje z výpočetní stv1stv2 platformy.

  • (Úroveň Premium) Zóny dostupnosti jsou povolené, přidané nebo odebrané.

  • (Úroveň Premium) V nasazeních s více oblastmi se místní IP adresa změní, pokud se oblast uvolní a pak obnoví.

    Důležité

    Při změně z externí na interní virtuální síť (nebo naopak), změna podsítí v síti nebo aktualizace zón dostupnosti pro instanci služby API Management je nutné nakonfigurovat jiný prostředek veřejné IP adresy , než který jste nakonfigurovali dříve. V případě potřeby se můžete vrátit zpět na původní IP adresu.