Přehled brány v místním prostředí
Tento článek vysvětluje, jak funkce brány v prostředí Azure API Management umožňuje hybridní a více cloudovou správu rozhraní API, prezentuje svou architekturu vysoké úrovně a zvýrazňuje její možnosti.
Hybridní a multi cloudová správa rozhraní API
Funkce brány v místním prostředí rozšiřuje podporu hybridních API Management více cloudových prostředí API Management umožňuje organizacím efektivně API Management bezpečně spravovat rozhraní API hostovaná místně API Management napříč cloudy z jedné služby API Management v Azure.
Díky bráně v vlastním hostování mají zákazníci flexibilitu nasadit kontejnerizovanou verzi komponenty brány API Management do stejných prostředí, ve kterých hostují svá rozhraní API. Všechny brány v vlastním hostování se spravují ze služby API Management, se kterou jsou federované, a zákazníci tak mají přehled a jednotné prostředí pro správu napříč všemi interními a externími rozhraními API. Umístění bran blízko rozhraní API umožňuje zákazníkům optimalizovat toky provozu rozhraní API a řešit požadavky na zabezpečení a dodržování předpisů.
Každá API Management se skládá z následujících klíčových komponent:
- Rovina správy zveřejněná jako rozhraní API, která slouží ke konfiguraci služby prostřednictvím Azure Portal, PowerShellu a dalších podporovaných mechanismů.
- Brána (nebo rovina dat) zodpovídá za proxy požadavků rozhraní API, použití zásad a shromažďování telemetrie.
- Vývojářský portál používaný vývojáři ke zjišťování, učení a onboardování rozhraní API
Ve výchozím nastavení se všechny tyto komponenty nasadí v Azure, což způsobí, že veškerý provoz rozhraní API (zobrazený jako plná černá šipka na obrázku níže) prochází přes Azure bez ohledu na to, kde jsou hostované back-endy implementující rozhraní API. Provozní jednoduchost tohoto modelu je nákladově vyšší latence, problémy s dodržováním předpisů a v některých případech i další poplatky za přenos dat.
Nasazení bran v místní síti do stejných prostředí, ve kterých jsou hostované implementace rozhraní API back-endu, umožňuje tok provozu rozhraní API přímo do back-endových rozhraní API, což zvyšuje latenci, optimalizuje náklady na přenos dat a umožňuje dodržování předpisů při zachování výhod jednoho bodu správy, pozorovatelnosti a zjišťování všech rozhraní API v organizaci bez ohledu na to, kde jsou jejich implementace hostované.
Balení a funkce
Brána v vlastním hostování je kontejnerizovaná funkčně ekvivalentní verze spravované brány nasazené do Azure jako součást každé API Management služby. Brána v vlastním hostování je k dispozici jako kontejner Dockeru založený na Linuxu z Microsoft Container Registry. Můžete ho nasadit do Dockeru, Kubernetes nebo jiného řešení orchestrace kontejnerů spuštěného v místním serverovém clusteru, v cloudové infrastruktuře nebo pro účely vyhodnocení a vývoje na osobním počítači. Bránu v vlastním hostování můžete také nasadit jako rozšíření clusteru do clusteru Kubernetes s podporou Azure Arc clusteru Kubernetes.
Následující funkce nalezené ve spravovaných bránách nejsou v branách v místní službě k dispozici:
- Protokoly služby Azure Monitor
- Upstreamová (back-endová) správa verzí a šifer PROTOKOLU TLS
- Ověření serveru a klientských certifikátů pomocí kořenových certifikátů certifikační autority nahraných API Management službě. Můžete nakonfigurovat vlastní certifikační autority pro brány v vlastním hostování a zásady ověřování klientských certifikátů, aby je vynucoval.
- Integrace s Service Fabric
- Obnovení relace TLS
- Nové vyjednávání o klientském certifikátu. To znamená, že aby ověřování klientských certifikátů fungovalo, musí spotřebiteli rozhraní API prezentovat své certifikáty jako součást počáteční metody handshake protokolu TLS. Abyste to zajistili, povolte nastavení vyjednat klientský certifikát při konfiguraci vlastního názvu hostitele v místní bráně.
- Integrovaná mezipaměť. Informace o používání externí mezipaměti v branách v vlastním hostování najdete v tomto dokumentu.
Možnosti připojení k Azure
Brány v vlastním hostování vyžadují odchozí připojení TCP/IP k Azure na portu 443. Každá brána v vlastním hostování musí být přidružená k jedné službě API Management a je nakonfigurovaná prostřednictvím její roviny správy. Brána v vlastním hostování používá připojení k Azure pro:
- Hlášení stavu odesíláním zpráv heartbeatu každou minutu
- Pravidelně kontrolovat (každých 10 sekund) a instalovat aktualizace konfigurace, kdykoli jsou k dispozici.
- Odesílání protokolů a metrik žádostí do Azure Monitor, pokud jsou k tomu nakonfigurované
- Odesílání událostí do služby Application Přehledy, pokud je nastavené na
Když dojde ke ztrátě připojení k Azure, brána v vlastním hostování nebude moci přijímat aktualizace konfigurace, hlásit její stav ani nahrávat telemetrii.
Brána v vlastním hostování je navržená tak, aby "selhala jako statická" a dokáže dočasnou ztrátu připojení k Azure vytrvat. Je možné ji nasadit s místní zálohou konfigurace nebo bez ní. V prvním případě budou brány v místní službě pravidelně ukládat záložní kopii nejnovější stažené konfigurace na trvalý svazek připojený ke svému kontejneru nebo podu.
Když je zálohování konfigurace vypnuté a připojení k Azure se přeruší:
- Spouštění bran v vlastním hostování bude i nadále fungovat pomocí kopie konfigurace v paměti.
- Zastavené brány v vlastním hostování se nebudou moct spustit.
Když je zapnuté zálohování konfigurace a přeruší se připojení k Azure:
- Spouštění bran v vlastním hostování bude i nadále fungovat pomocí kopie konfigurace v paměti.
- Zastavené brány v samostatném prostředí budou moct začít používat záložní kopii konfigurace.
Po obnovení připojení se každá brána v místní síti ovlivněná výpadkem automaticky znovu připojí k přidružené službě API Management a stáhne všechny aktualizace konfigurace, ke kterým došlo, když byla brána offline.