Adresses IP du service Gestion des API Azure

  • Article

S’APPLIQUE À : Tous les niveaux de Gestion des API

Cet article explique comment récupérer les adresses IP d'un service Gestion des API Azure. Les adresses IP peuvent être publiques ou privées si le service se trouve dans un réseau virtuel. Vous pouvez utiliser des adresses IP pour créer des règles de pare-feu, filtrer le trafic entrant à destination des services principaux, ou limiter le trafic sortant.

Adresses IP du service Gestion des API

Chaque instance du service Gestion des API dans les niveaux Développeur, De base, Standard ou Premium a des adresses IP publiques propres cette instance de service (elles ne sont pas partagées avec d’autres ressources).

Vous pouvez récupérer les adresses IP à partir du tableau de bord de vue d’ensemble de votre ressource dans le portail Azure.

Adresse IP du service Gestion des API

Vous pouvez également les récupérer par programmation à l'aide de l'appel d'API suivant :

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

Les adresses IP publiques seront contenues dans la réponse :

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.77.143.53"
    ],
    ...
  }
  ...
}

Dans les déploiements multirégionaux, chaque déploiement régional possède une adresse IP publique.

Adresses IP du service Gestion des API dans un réseau virtuel

Si votre service Gestion des API se trouve dans un réseau virtuel, il dispose de deux types d’adresses IP : publiques et privées.

  • Les adresses IP publiques sont utilisées pour les communications internes sur le port 3443 - afin de gérer la configuration (par exemple, via Azure Resource Manager). Dans la configuration du réseau virtuel externe, ils sont également utilisés pour le trafic API d’exécution. Dans la configuration du réseau virtuel interne, les adresses IP publiques sont utilisées uniquement pour les opérations de gestion interne Azure et n'exposent pas votre instance à Internet.

  • Les adresses IP virtuelles privées, disponibles uniquement dans le mode réseau virtuel interne, sont utilisées pour se connecter aux points de terminaison (passerelles, portail des développeurs et plan de gestion pour un accès direct à l’API) du service Gestion des API depuis le réseau. Vous pouvez les utiliser pour configurer des enregistrements DNS au sein du réseau.

Vous verrez des adresses des deux types sur le portail Azure et dans la réponse de l'appel d'API :

Gestion des API dans une adresse IP de réseau virtuel

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.85.20.170"
    ],
    "privateIPAddresses": [
      "192.168.1.5"
    ],
    ...
  },
  ...
}

Important

Les adresses IP privées de l’équilibreur de charge interne et des unités Gestion des API sont attribuées dynamiquement. Par conséquent, il est impossible d’anticiper l’adresse IP privée de l’instance Gestion des API avant son déploiement. En outre, le changement vers un autre sous-réseau, puis le retour peuvent entraîner une modification de l’adresse IP privée.

Adresses IP pour le trafic sortant

La gestion des API utilise une adresse IP publique pour une connexion extérieure au réseau virtuel à un réseau virtuel appairé, ainsi qu’une adresse IP privée pour une connexion au sein du réseau virtuel ou d’un réseau appairé.

  • Lorsque la gestion des API est déployée dans un réseau virtuel externe ou interne et qu’elle se connecte à des back-ends privés (sur l’intranet), les adresses IP internes (adresses IP dynamiques ou DIP) du sous-réseau sont utilisées pour le trafic de l’API du runtime. Quand une demande est envoyée par la gestion des API à un back-end privé, une adresse IP publique est montrée comme origine de la demande.

    Par conséquent, si la restriction d’IP liste des ressources sécurisées au sein du réseau virtuel ou d’un réseau virtuel appairé, il est recommandé d’utiliser l’intégralité de la plage de sous-réseau de la gestion des API avec une règle d’adresse IP et (en mode interne) pas seulement l’adresse IP privée associée à la ressource de gestion des API.

  • Lorsqu’une demande est envoyée par la gestion des API à un back-end public (sur Internet), une adresse IP publique est toujours montrée comme origine de la demande.

Adresses IP d’un service Gestion des API de niveau Consommation, De base v2 et Standard v2

Si votre instance Gestion des API est créée dans un niveau de service qui s’exécute sur une infrastructure partagée, elle ne dispose pas d’une adresse IP dédiée. Actuellement, les instances dans les niveaux de service suivant s’exécutent sur une infrastructure partagée et sans aucune adresse IP déterministe : Consommation, Essentiel v2, Standard v2.

Si vous devez ajouter les adresses IP sortantes utilisées par votre instance de niveau Consommation, De base v2 ou Standard v2 à une liste d’autorisation, vous pouvez ajouter le centre de données de l’instance (région Azure) à une liste d’autorisation. Vous pouvez télécharger un fichier JSON qui liste les adresses IP de tous les centres de données Azure. Recherchez ensuite le fragment JSON qui s’applique à la région dans laquelle s’exécute votre instance.

Par exemple, le fragment JSON suivant est ce à quoi pourrait ressembler la liste d’autorisation pour la région Europe Ouest :

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

Pour savoir quand ce fichier est mis à jour et quand les adresses IP changent, développez la section Détails de la page du Centre de téléchargement.

Modification des adresses IP

Aux niveaux Développeur, De base, Standard et Premium d’un service Gestion des API, les adresses IP publiques (VIP) et les adresses VIP privées (si celles-ci sont configurées en mode VNet interne) sont statiques pendant toute la durée de vie du service, avec les exceptions suivantes :

  • Le service Gestion des API est supprimé, puis recréé.

  • La souscription au service est désactivé ou averti (par exemple, pour non-paiement), puis rétabli. En savoir plus sur les états d'abonnement

  • (Niveaux Développeur et Premium) Le Réseau virtuel Azure est ajouté au service ou supprimé de celui-ci.

  • (Niveaux Développeur et Premium) Le service Gestion des API bascule entre les modes de déploiement de réseau virtuel externe et interne.

  • (Niveaux Développeur et Premium) Le service de gestion des API est déplacé vers un autre sous-réseau ou migré de stv1 à la plate-forme de calcul stv2.

  • (Niveau Premium) Les zones de disponibilité sont activées, ajoutées ou supprimées.

  • (Niveau Premium) Dans les déploiements multirégionaux, l'adresse IP régionale change si une région est libérée, puis rétablie.

    Important

    Lorsque vous passez d’un réseau virtuel externe à un réseau virtuel interne (ou vice versa), que vous modifiez des sous-réseaux dans le réseau ou que vous mettez à jour des zones de disponibilité pour l’instance Gestion des API, vous devez configurer une autre ressource adresse IP publique que celle configurée précédemment. Vous pouvez revenir à l’adresse IP d’origine, si besoin.