API's publiceren en beveiligen die worden uitgevoerd op Azure VMware Solution VM's

  • Artikel
  • 2 minuten om te lezen

Microsoft Azure API Management kunt u veilig publiceren naar externe of interne gebruikers. Alleen de SKU's Developer (ontwikkeling) en Premium (productie) staan Azure Virtual Network-integratie toe om API's te publiceren die worden uitgevoerd op Azure VMware Solution workloads. Bovendien maken beide SKU's de connectiviteit mogelijk tussen de API Management-service en de back-end.

De API Management configuratie is hetzelfde voor back-endservices die worden uitgevoerd op Azure VMware Solution virtuele machines (VM's) en on-premises. Daarnaast configureert API Management het virtuele IP-adres op de load balancer als het back-end-eindpunt voor beide implementaties wanneer de back-endserver achter een NSX-Load Balancer op de Azure VMware Solution.

Externe implementatie

Een externe implementatie publiceert API's die worden gebruikt door externe gebruikers die gebruikmaken van een openbaar eindpunt. Ontwikkelaars en DevOps-technici kunnen API's beheren via de Azure Portal of PowerShell en de API Management-ontwikkelaarsportal.

In het externe implementatiediagram ziet u het hele proces en de betrokken actoren (bovenaan). De actors zijn:

  • Beheerder(s): Vertegenwoordigt de beheerder of het DevOps-team, dat Azure VMware Solution beheert via de Azure Portal en automatiseringsmechanismen zoals PowerShell of Azure DevOps.

  • Gebruikers: Vertegenwoordigt de consumenten van de blootgestelde API's en vertegenwoordigt zowel gebruikers als services die de API's gebruiken.

De verkeersstroom loopt via de API Management-instantie, waarmee de back-endservices worden geabstraheerd, aangesloten op het virtuele hubnetwerk. De ExpressRoute-gateway routeert het verkeer naar het ExpressRoute Global Reach-kanaal en bereikt een NSX-Load Balancer die het binnenkomende verkeer distribueert naar de verschillende back-endservice-exemplaren.

API Management beschikt over een openbare Api van Azure en het activeren van Azure DDOS Protection Service wordt aanbevolen.

Diagram met een externe API Management implementatie voor Azure VMware Solution

Interne implementatie

Een interne implementatie publiceert API's die worden gebruikt door interne gebruikers of systemen. DevOps-teams en API-ontwikkelaars gebruiken dezelfde beheerhulpprogramma's en ontwikkelaarsportal als in de externe implementatie.

Gebruik Azure Application Gateway voor interne implementaties om een openbaar en veilig eindpunt voor de API te maken. De mogelijkheden van de gateway worden gebruikt om een hybride implementatie te maken die verschillende scenario's mogelijk maakt.

  • Gebruik dezelfde API Management voor gebruik door zowel interne als externe consumenten.

  • Eén resource API Management met een subset api's gedefinieerd en beschikbaar voor externe consumenten.

  • Een eenvoudige manier bieden om de toegang tot API Management van het openbare internet aan en uit te schakelen.

In het onderstaande implementatiediagram ziet u consumenten die intern of extern kunnen zijn, met elk type dat toegang heeft tot dezelfde of verschillende API's.

In een interne implementatie worden API's blootgesteld aan hetzelfde API Management exemplaar. Vóór API Management wordt Application Gateway geïmplementeerd met de mogelijkheid Azure Web Application Firewall (WAF) geactiveerd. Ook geïmplementeerd, een set HTTP-listeners en -regels om het verkeer te filteren, waarbij alleen een subset van de back-Azure VMware Solution.

  • Intern verkeer routeert via ExpressRoute Gateway naar Azure Firewall en vervolgens API Management, rechtstreeks of via verkeersregels.

  • Extern verkeer wordt via Azure Application Gateway, dat gebruikmaakt van de externe beveiligingslaag voor API Management.

Diagram met een interne API Management implementatie voor Azure VMware Solution