Az Azure API Management IP-címei

  • Cikk

A KÖVETKEZŐRE VONATKOZIK: Minden API Management-szint

Ebben a cikkben az Azure API Management szolgáltatás IP-címeinek lekérését ismertetjük. Az IP-címek lehetnek nyilvánosak vagy privátak, ha a szolgáltatás virtuális hálózaton található. IP-címek használatával tűzfalszabályokat hozhat létre, szűrheti a bejövő forgalmat a háttérszolgáltatások felé, vagy korlátozhatja a kimenő forgalmat.

AZ API Management szolgáltatás IP-címei

A fejlesztői, alapszintű, standard vagy prémium szintű API Management szolgáltatáspéldányok nyilvános IP-címekkel rendelkeznek, amelyek csak az adott szolgáltatáspéldányra vannak kiosztva (más erőforrásokkal nem vannak megosztva).

Az IP-címeket lekérheti az erőforrás áttekintési irányítópultjáról az Azure Portalon.

API Management IP-cím

A következő API-hívással programozott módon is lekérheti őket:

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

A válasz részét képezik a nyilvános IP-címek:

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.77.143.53"
    ],
    ...
  }
  ...
}

Többrégiós üzemelő példányokban minden regionális üzembe helyezés egy nyilvános IP-címmel rendelkezik.

Virtuális hálózaton található API Management szolgáltatás IP-címei

Ha az API Management szolgáltatás egy virtuális hálózaton belül található, akkor két IP-címtípussal fog rendelkezni: nyilvános és privát.

  • A nyilvános IP-címeket a port 3443 belső kommunikációjához használják – a konfiguráció kezeléséhez (például az Azure Resource Manageren keresztül). A külső virtuális hálózat konfigurációjában futtatókörnyezeti API-forgalomhoz is használhatók. A belső virtuális hálózat konfigurációjában a nyilvános IP-címek csak az Azure belső felügyeleti műveleteihez használatosak, és nem teszik elérhetővé a példányt az interneten.

  • A csak belső virtuális hálózat módban elérhető privát virtuális IP-címek a hálózaton belülről az API Management-végpontokhoz – átjárókhoz, a fejlesztői portálhoz és a közvetlen API-hozzáféréshez szükséges felügyeleti síkhoz – csatlakoznak. Ezeket használhatja a hálózaton belüli DNS-rekordok beállításához.

Mindkét típus címe megjelenik az Azure Portalon és az API-hívás válaszában:

API Management a VNet IP-címében

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.85.20.170"
    ],
    "privateIPAddresses": [
      "192.168.1.5"
    ],
    ...
  },
  ...
}

Fontos

A belső terheléselosztó és az API Management egységek privát IP-címei dinamikusan vannak hozzárendelve. Ezért az API Management-példány magánhálózati IP-címét nem lehet előre látni az üzembe helyezés előtt. Emellett egy másik alhálózatra való váltás, majd a visszatérés a privát IP-cím megváltozását okozhatja.

Kimenő forgalom IP-címei

Az API Management nyilvános IP-címet használ a virtuális hálózaton vagy a társhálózaton kívüli kapcsolatokhoz, és magánhálózati IP-címet használ a virtuális hálózatban vagy egy társhálózatban lévő kapcsolathoz.

  • Ha az API-felügyelet külső vagy belső virtuális hálózaton van üzembe helyezve, és az API management privát (intranetes) háttérrendszerekhez csatlakozik, az alhálózat belső IP-címei (dinamikus IP-címei vagy DIP-címei) a futtatókörnyezeti API-forgalomhoz lesznek használva. Amikor az API Management egy privát háttérrendszerbe küld egy kérést, a kérés forrásaként egy privát IP-cím jelenik meg.

    Ezért ha az IP-korlátozás a virtuális hálózaton vagy egy társhálózaton belüli biztonságos erőforrásokat sorolja fel, javasoljuk, hogy a teljes API Management alhálózati tartományt ip-szabállyal használja – és (belső módban) ne csak az API Management-erőforráshoz társított privát IP-címet.

  • Amikor az API Management egy nyilvános (internetes) háttérrendszerbe küld egy kérelmet, a nyilvános IP-cím mindig látható lesz a kérés forrásaként.

A Használat, az Alapszintű v2 és a Standard v2 szintű API Management szolgáltatás IP-címei

Ha az API Management-példány megosztott infrastruktúrán futó szolgáltatási szinten jön létre, nem rendelkezik dedikált IP-címmel. A következő szolgáltatási szintek példányai jelenleg megosztott infrastruktúrán futnak, determinisztikus IP-cím nélkül: Használat, Alapszintű v2, Standard v2.

Ha hozzá kell adnia a Használat, alapszintű v2 vagy Standard v2 szintű példány által használt kimenő IP-címeket egy engedélyezési listához, hozzáadhatja a példány adatközpontját (Azure-régióját) egy engedélyezési listához. Letölthet egy JSON-fájlt, amely felsorolja az összes Azure-adatközpont IP-címét. Ezután keresse meg a példány által futtatott régióra vonatkozó JSON-töredéket.

A nyugat-európai engedélyezési lista például a következő JSON-töredékhez hasonlít:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

A fájl frissítésével és az IP-címek változásával kapcsolatos információkért bontsa ki a Letöltőközpont lap Részletek szakaszát.

Az IP-címek módosítása

Az API Management fejlesztői, alapszintű, standard és prémium szintjeiben a nyilvános IP-címek vagy -címek (VIP) és a privát VIP-címek (ha belső virtuális hálózat módban vannak konfigurálva) statikusak a szolgáltatás teljes élettartama során, az alábbi kivételekkel:

  • Az API Management szolgáltatás törlődik, majd újra létrejön.

  • A szolgáltatás-előfizetés le van tiltva vagy figyelmeztetve van (például nem fizetés esetén), majd visszaállítja. További információ az előfizetési állapotokról

  • (Fejlesztői és prémium szintű) Az Azure Virtual Network hozzá lesz adva a szolgáltatáshoz, vagy el lesz távolítva a szolgáltatásból.

  • (Fejlesztői és prémium szintű) Az API Management szolgáltatás a külső és a belső virtuális hálózat üzembe helyezési módja között vált.

  • (Fejlesztői és prémium szintű) Az API Management szolgáltatást egy másik alhálózatra helyezi át, vagy áttelepíti a stv1stv2 számítási platformra.

  • (Prémium szint) A rendelkezésre állási zónák engedélyezve, hozzáadva vagy eltávolítva vannak.

  • (Prémium szint) Többrégiós üzemelő példányok esetén a regionális IP-cím megváltozik, ha egy régiót kiürítenek, majd visszaállítanak.

    Fontos

    Ha külsőről belső virtuális hálózatra vált (vagy fordítva), módosítja a hálózat alhálózatait, vagy frissíti az API Management-példány rendelkezésre állási zónáit, a korábban konfigurálttól eltérő nyilvános IP-címerőforrást kell konfigurálnia. Szükség esetén visszacserélheti az eredeti IP-címre.