Az Azure API Management IP-címei
A KÖVETKEZŐRE VONATKOZIK: Minden API Management-szint
Ebben a cikkben az Azure API Management szolgáltatás IP-címeinek lekérését ismertetjük. Az IP-címek lehetnek nyilvánosak vagy privátak, ha a szolgáltatás virtuális hálózaton található. IP-címek használatával tűzfalszabályokat hozhat létre, szűrheti a bejövő forgalmat a háttérszolgáltatások felé, vagy korlátozhatja a kimenő forgalmat.
AZ API Management szolgáltatás IP-címei
A fejlesztői, alapszintű, standard vagy prémium szintű API Management szolgáltatáspéldányok nyilvános IP-címekkel rendelkeznek, amelyek csak az adott szolgáltatáspéldányra vannak kiosztva (más erőforrásokkal nem vannak megosztva).
Az IP-címeket lekérheti az erőforrás áttekintési irányítópultjáról az Azure Portalon.
A következő API-hívással programozott módon is lekérheti őket:
GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>
A válasz részét képezik a nyilvános IP-címek:
{
...
"properties": {
...
"publicIPAddresses": [
"13.77.143.53"
],
...
}
...
}
Többrégiós üzemelő példányokban minden regionális üzembe helyezés egy nyilvános IP-címmel rendelkezik.
Virtuális hálózaton található API Management szolgáltatás IP-címei
Ha az API Management szolgáltatás egy virtuális hálózaton belül található, akkor két IP-címtípussal fog rendelkezni: nyilvános és privát.
A nyilvános IP-címeket a port
3443
belső kommunikációjához használják – a konfiguráció kezeléséhez (például az Azure Resource Manageren keresztül). A külső virtuális hálózat konfigurációjában futtatókörnyezeti API-forgalomhoz is használhatók. A belső virtuális hálózat konfigurációjában a nyilvános IP-címek csak az Azure belső felügyeleti műveleteihez használatosak, és nem teszik elérhetővé a példányt az interneten.A csak belső virtuális hálózat módban elérhető privát virtuális IP-címek a hálózaton belülről az API Management-végpontokhoz – átjárókhoz, a fejlesztői portálhoz és a közvetlen API-hozzáféréshez szükséges felügyeleti síkhoz – csatlakoznak. Ezeket használhatja a hálózaton belüli DNS-rekordok beállításához.
Mindkét típus címe megjelenik az Azure Portalon és az API-hívás válaszában:
GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>
{
...
"properties": {
...
"publicIPAddresses": [
"13.85.20.170"
],
"privateIPAddresses": [
"192.168.1.5"
],
...
},
...
}
Fontos
A belső terheléselosztó és az API Management egységek privát IP-címei dinamikusan vannak hozzárendelve. Ezért az API Management-példány magánhálózati IP-címét nem lehet előre látni az üzembe helyezés előtt. Emellett egy másik alhálózatra való váltás, majd a visszatérés a privát IP-cím megváltozását okozhatja.
Kimenő forgalom IP-címei
Az API Management nyilvános IP-címet használ a virtuális hálózaton vagy a társhálózaton kívüli kapcsolatokhoz, és magánhálózati IP-címet használ a virtuális hálózatban vagy egy társhálózatban lévő kapcsolathoz.
Ha az API-felügyelet külső vagy belső virtuális hálózaton van üzembe helyezve, és az API management privát (intranetes) háttérrendszerekhez csatlakozik, az alhálózat belső IP-címei (dinamikus IP-címei vagy DIP-címei) a futtatókörnyezeti API-forgalomhoz lesznek használva. Amikor az API Management egy privát háttérrendszerbe küld egy kérést, a kérés forrásaként egy privát IP-cím jelenik meg.
Ezért ha az IP-korlátozás a virtuális hálózaton vagy egy társhálózaton belüli biztonságos erőforrásokat sorolja fel, javasoljuk, hogy a teljes API Management alhálózati tartományt ip-szabállyal használja – és (belső módban) ne csak az API Management-erőforráshoz társított privát IP-címet.
Amikor az API Management egy nyilvános (internetes) háttérrendszerbe küld egy kérelmet, a nyilvános IP-cím mindig látható lesz a kérés forrásaként.
A Használat, az Alapszintű v2 és a Standard v2 szintű API Management szolgáltatás IP-címei
Ha az API Management-példány megosztott infrastruktúrán futó szolgáltatási szinten jön létre, nem rendelkezik dedikált IP-címmel. A következő szolgáltatási szintek példányai jelenleg megosztott infrastruktúrán futnak, determinisztikus IP-cím nélkül: Használat, Alapszintű v2, Standard v2.
Ha hozzá kell adnia a Használat, alapszintű v2 vagy Standard v2 szintű példány által használt kimenő IP-címeket egy engedélyezési listához, hozzáadhatja a példány adatközpontját (Azure-régióját) egy engedélyezési listához. Letölthet egy JSON-fájlt, amely felsorolja az összes Azure-adatközpont IP-címét. Ezután keresse meg a példány által futtatott régióra vonatkozó JSON-töredéket.
A nyugat-európai engedélyezési lista például a következő JSON-töredékhez hasonlít:
{
"name": "AzureCloud.westeurope",
"id": "AzureCloud.westeurope",
"properties": {
"changeNumber": 9,
"region": "westeurope",
"platform": "Azure",
"systemService": "",
"addressPrefixes": [
"13.69.0.0/17",
"13.73.128.0/18",
... Some IP addresses not shown here
"213.199.180.192/27",
"213.199.183.0/24"
]
}
}
A fájl frissítésével és az IP-címek változásával kapcsolatos információkért bontsa ki a Letöltőközpont lap Részletek szakaszát.
Az IP-címek módosítása
Az API Management fejlesztői, alapszintű, standard és prémium szintjeiben a nyilvános IP-címek vagy -címek (VIP) és a privát VIP-címek (ha belső virtuális hálózat módban vannak konfigurálva) statikusak a szolgáltatás teljes élettartama során, az alábbi kivételekkel:
Az API Management szolgáltatás törlődik, majd újra létrejön.
A szolgáltatás-előfizetés le van tiltva vagy figyelmeztetve van (például nem fizetés esetén), majd visszaállítja. További információ az előfizetési állapotokról
(Fejlesztői és prémium szintű) Az Azure Virtual Network hozzá lesz adva a szolgáltatáshoz, vagy el lesz távolítva a szolgáltatásból.
(Fejlesztői és prémium szintű) Az API Management szolgáltatás a külső és a belső virtuális hálózat üzembe helyezési módja között vált.
(Fejlesztői és prémium szintű) Az API Management szolgáltatást egy másik alhálózatra helyezi át, vagy áttelepíti a
stv1
stv2
számítási platformra.(Prémium szint) A rendelkezésre állási zónák engedélyezve, hozzáadva vagy eltávolítva vannak.
(Prémium szint) Többrégiós üzemelő példányok esetén a regionális IP-cím megváltozik, ha egy régiót kiürítenek, majd visszaállítanak.
Fontos
Ha külsőről belső virtuális hálózatra vált (vagy fordítva), módosítja a hálózat alhálózatait, vagy frissíti az API Management-példány rendelkezésre állási zónáit, a korábban konfigurálttól eltérő nyilvános IP-címerőforrást kell konfigurálnia. Szükség esetén visszacserélheti az eredeti IP-címre.