Adresy IP usługi Azure API Management

  • Artykuł

DOTYCZY: Wszystkie warstwy usługi API Management

W tym artykule opisano sposób pobierania adresów IP usługi Azure API Management. Adresy IP mogą być publiczne lub prywatne, jeśli usługa znajduje się w sieci wirtualnej. Za pomocą adresów IP można tworzyć reguły zapory, filtrować ruch przychodzący do usług zaplecza lub ograniczać ruch wychodzący.

Adresy IP usługi API Management

Każde wystąpienie usługi API Management w warstwie Developer, Basic, Standard lub Premium ma publiczne adresy IP, które są wyłącznie dla tego wystąpienia usługi (nie są one udostępniane innym zasobom).

Adresy IP można pobrać z pulpitu nawigacyjnego przeglądu zasobu w witrynie Azure Portal.

Adres IP usługi API Management

Można je również pobrać programowo za pomocą następującego wywołania interfejsu API:

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

Publiczne adresy IP będą częścią odpowiedzi:

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.77.143.53"
    ],
    ...
  }
  ...
}

W przypadku wdrożeń obejmujących wiele regionów każde wdrożenie regionalne ma jeden publiczny adres IP.

Adresy IP usługi API Management w sieci wirtualnej

Jeśli usługa API Management znajduje się w sieci wirtualnej, będzie mieć dwa typy adresów IP: publiczny i prywatny.

  • Publiczne adresy IP są używane do komunikacji wewnętrznej na porcie 3443 — do zarządzania konfiguracją (na przykład za pośrednictwem usługi Azure Resource Manager). W konfiguracji zewnętrznej sieci wirtualnej są one również używane do ruchu interfejsu API środowiska uruchomieniowego. W wewnętrznej konfiguracji sieci wirtualnej publiczne adresy IP są używane tylko w przypadku operacji zarządzania wewnętrznego platformy Azure i nie uwidaczniają wystąpienia w Internecie.

  • Prywatne wirtualne adresy IP (VIP), dostępne tylko w wewnętrznym trybie sieci wirtualnej, są używane do nawiązywania połączenia z sieci do punktów końcowych usługi API Management — bram, portalu deweloperów i płaszczyzny zarządzania na potrzeby bezpośredniego dostępu do interfejsu API. Można ich używać do konfigurowania rekordów DNS w sieci.

Zobaczysz adresy obu typów w witrynie Azure Portal i w odpowiedzi wywołania interfejsu API:

Usługa API Management w adresie IP sieci wirtualnej

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "13.85.20.170"
    ],
    "privateIPAddresses": [
      "192.168.1.5"
    ],
    ...
  },
  ...
}

Ważne

Prywatne adresy IP wewnętrznych modułów równoważenia obciążenia i jednostek usługi API Management są przypisywane dynamicznie. W związku z tym nie można przewidzieć prywatnego adresu IP wystąpienia usługi API Management przed jego wdrożeniem. Ponadto zmiana na inną podsieć, a następnie zwrócenie może spowodować zmianę prywatnego adresu IP.

Adresy IP dla ruchu wychodzącego

Usługa API Management używa publicznego adresu IP dla połączenia spoza sieci wirtualnej lub równorzędnej sieci wirtualnej i używa prywatnego adresu IP dla połączenia w sieci wirtualnej lub równorzędnej sieci wirtualnej.

  • Gdy usługa API Management jest wdrażana w zewnętrznej lub wewnętrznej sieci wirtualnej, a usługa API Management łączy się z prywatnymi (intranetowymi) zapleczami, wewnętrznymi adresami IP (dynamicznymi adresami IP lub DIP) z podsieci są używane dla ruchu interfejsu API środowiska uruchomieniowego. Po wysłaniu żądania z usługi API Management do prywatnego zaplecza prywatny adres IP będzie widoczny jako źródło żądania.

    W związku z tym, jeśli ograniczenie adresu IP wyświetla listę bezpiecznych zasobów w sieci wirtualnej lub równorzędnej sieci wirtualnej, zaleca się użycie całego zakresu podsieci usługi API Management z regułą IP — i (w trybie wewnętrznym) nie tylko prywatnym adresem IP skojarzonym z zasobem usługi API Management.

  • Gdy żądanie jest wysyłane z usługi API Management do publicznego zaplecza (dostępnego z Internetu), publiczny adres IP będzie zawsze widoczny jako źródło żądania.

Adresy IP usługi API Management w warstwie Zużycie, Podstawowa wersja 2 i Standardowa w wersji 2

Jeśli wystąpienie usługi API Management zostanie utworzone w warstwie usługi działającej w udostępnionej infrastrukturze, nie ma dedykowanego adresu IP. Obecnie wystąpienia w następujących warstwach usług działają w udostępnionej infrastrukturze i bez deterministycznego adresu IP: Zużycie, Podstawowa wersja 2, Standardowa v2.

Jeśli musisz dodać wychodzące adresy IP używane przez wystąpienie warstwy Consumption, Basic v2 lub Standard v2 do listy dozwolonych, możesz dodać centrum danych wystąpienia (region platformy Azure) do listy dozwolonych. Możesz pobrać plik JSON, który zawiera listę adresów IP dla wszystkich centrów danych platformy Azure. Następnie znajdź fragment JSON, który ma zastosowanie do regionu, w którym działa twoje wystąpienie.

Na przykład poniższy fragment kodu JSON może wyglądać następująco:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

Aby uzyskać informacje o tym, kiedy ten plik jest aktualizowany i kiedy adresy IP się zmieniają, rozwiń sekcję Szczegóły na stronie Centrum pobierania.

Zmiany adresów IP

W warstwach Deweloper, Podstawowa, Standardowa i Premium usługi API Management publiczny adres IP lub adresy IP (VIP) i prywatne adresy VIP (jeśli są skonfigurowane w trybie wewnętrznej sieci wirtualnej) są statyczne przez okres istnienia usługi, z następującymi wyjątkami:

  • Usługa API Management zostanie usunięta, a następnie ponownie utworzona.

  • Subskrypcja usługi jest wyłączona lub ostrzegana (na przykład w przypadku płatności bez płatności), a następnie przywrócona. Dowiedz się więcej o stanach subskrypcji

  • (Warstwy deweloperskie i Premium) Usługa Azure Virtual Network jest dodawana do usługi lub usuwana z tej usługi.

  • (Warstwy deweloperskie i Premium) Usługa API Management jest przełączana między zewnętrznym i wewnętrznym trybem wdrażania sieci wirtualnej.

  • (Warstwy deweloperskie i Premium) Usługa API Management jest przenoszona do innej podsieci lub migrowana z stv1 platformy obliczeniowej stv2 .

  • (Warstwa Premium) Strefy dostępności są włączone, dodawane lub usuwane.

  • (Warstwa Premium) W przypadku wdrożeń obejmujących wiele regionów regionalny regionalny adres IP zmienia się, jeśli region zostanie opuszczony, a następnie przywrócony.

    Ważne

    W przypadku zmiany z zewnętrznej na wewnętrzną sieć wirtualną (lub odwrotnie) zmienianie podsieci w sieci lub aktualizowanie stref dostępności dla wystąpienia usługi API Management należy skonfigurować inny zasób publicznego adresu IP niż wcześniej skonfigurowany. W razie potrzeby możesz zamienić się z powrotem na oryginalny adres IP.