Publikování a ochrana rozhraní API spuštěných na Azure VMware Solution virtuálních počítači

  • Článek
  • 2 min ke čtení

Microsoft Azure API Management umožňuje bezpečně publikovat pro externí nebo interní uživatele. Pouze skladové (vývojové) a produkční (vývojové) skladové Premium (produkční) umožňují integraci služby Azure Virtual Network k publikování rozhraní API, která běží na Azure VMware Solution úlohách. Obě SKU navíc umožňují připojení mezi službou API Management a back-endem.

Konfigurace API Management je stejná pro back-endové služby, které běží Azure VMware Solution virtuálních počítačích a místních počítačích. Kromě toho API Management nakonfiguruje virtuální IP adresu v nástroji pro vyrovnávání zatížení jako koncový bod back-endu pro obě nasazení, pokud je back-endový server umístěn za NSX Load Balancer na Azure VMware Solution.

Externí nasazení

Externí nasazení publikuje rozhraní API využíovaná externími uživateli, kteří používají veřejný koncový bod. Vývojáři a DevOps mohou rozhraní API spravovat prostřednictvím Azure Portal nebo PowerShellu a portálu API Management developer.

Diagram externího nasazení zobrazuje celý proces a zapojené aktéry (zobrazené nahoře). Aktéři jsou:

  • Správci: Představuje správce nebo DevOps, který spravuje Azure VMware Solution prostřednictvím Azure Portal a automatizace, jako je PowerShell nebo Azure DevOps.

  • Uživatelé: Představuje uživatele zveřejněných rozhraní API a představuje uživatele i služby, které rozhraní API spotřebovávají.

Tok provozu prochází přes instanci API Management, která abstrahuje back-endové služby připojené k virtuální síti centra. Brána ExpressRoute směruje provoz do kanálu expressroute Global Reach a dosáhne NSX Load Balancer distribuuje příchozí provoz do různých instancí back-endové služby.

API Management má veřejné rozhraní API Azure a doporučuje se aktivace služby Azure DDoS Protection.

Diagram znázorňující externí API Management pro Azure VMware Solution

Interní nasazení

Interní nasazení publikuje rozhraní API využíovaná interními uživateli nebo systémy. DevOps a vývojáři rozhraní API používají stejné nástroje pro správu a portál pro vývojáře jako v externím nasazení.

Pomocí Azure Application Gateway pro interní nasazení vytvořte veřejný a zabezpečený koncový bod pro rozhraní API. Funkce brány slouží k vytvoření hybridního nasazení, které umožňuje různé scénáře.

  • Stejný prostředek použijte API Management pro spotřebu interními i externími spotřebiteli.

  • Mít jeden prostředek API Management s podmnožinou rozhraní API definovanými a dostupnými pro externí uživatele.

  • Poskytuje snadný způsob, jak přepnout přístup k API Management z veřejného internetu zapnout a vypnout.

Následující diagram nasazení znázorňuje uživatele, kteří mohou být interní nebo externí a každý typ přistupuje ke stejnému nebo různým rozhraním API.

V interním nasazení se rozhraní API vystaví stejné instanci API Management instanci. Před tímto API Management se Application Gateway s aktivovanou funkcí Azure Web Application Firewall (WAF). Nasazená je také sada naslouchacích prostředí a pravidel HTTP pro filtrování provozu, která vystavuje pouze podmnožinu back-endových služeb spuštěných v Azure VMware Solution.

  • Interní provoz směruje bránu ExpressRoute do Azure Firewall a pak API Management, přímo nebo prostřednictvím pravidel provozu.

  • Externí provoz vstupuje do Azure prostřednictvím Application Gateway, který používá externí vrstvu ochrany pro API Management.

Diagram znázorňující interní nasazení API Management pro Azure VMware Solution