Zabezpieczanie ruchu przychodzącego lub wychodzącego dla usługi Azure API Management za pomocą sieci wirtualnej
DOTYCZY: Developer | Podstawowa | Standardowa | Standardowa, wersja 2 | Premium
Domyślnie usługa API Management jest uzyskiwana z Internetu w publicznym punkcie końcowym i działa jako brama do publicznych zapleczy. Usługa API Management oferuje kilka opcji zabezpieczania dostępu do wystąpienia usługi API Management i interfejsów API zaplecza przy użyciu sieci wirtualnej platformy Azure. Dostępne opcje zależą od warstwy usług wystąpienia usługi API Management.
Iniekcja wystąpienia usługi API Management do podsieci w sieci wirtualnej, umożliwiając bramie dostęp do zasobów w sieci.
Można wybrać jeden z dwóch trybów iniekcji: zewnętrzny lub wewnętrzny. Różnią się one w zależności od tego, czy łączność przychodząca z bramą i innymi punktami końcowymi usługi API Management jest dozwolona z Internetu, czy tylko z sieci wirtualnej.
Integracja wystąpienia usługi API Management z podsiecią w sieci wirtualnej, dzięki czemu brama usługi API Management może wysyłać żądania wychodzące do zapleczy interfejsu API, które są izolowane w sieci.
Włączanie bezpiecznej i prywatnej łączności przychodzącej z bramą usługi API Management przy użyciu prywatnego punktu końcowego.
W poniższej tabeli porównaliśmy opcje sieci wirtualnej. Aby uzyskać więcej informacji, zobacz kolejne sekcje tego artykułu i linki do szczegółowych wskazówek.
| Model sieci | Obsługiwane warstwy | Obsługiwane składniki | Obsługiwany ruch | Scenariusz użycia |
|---|---|---|---|---|
| Iniekcja sieci wirtualnej — zewnętrzna | Deweloper, Premium | Portal deweloperów, brama, płaszczyzna zarządzania i repozytorium Git | Ruch przychodzący i wychodzący może być dozwolony do Internetu, równorzędnych sieci wirtualnych, usługi Express Route i połączeń sieci VPN typu lokacja-lokacja. | Zewnętrzny dostęp do prywatnych i lokalnych zapleczy |
| Iniekcja sieci wirtualnej — wewnętrzna | Deweloper, Premium | Portal deweloperów, brama, płaszczyzna zarządzania i repozytorium Git | Ruch przychodzący i wychodzący może być dozwolony dla równorzędnych sieci wirtualnych, usługi Express Route i połączeń sieci VPN typu lokacja-lokacja. | Wewnętrzny dostęp do prywatnych i lokalnych zapleczy |
| Integracja ruchu wychodzącego | Standardowa, wersja 2 | Tylko brama | Ruch żądań wychodzących może docierać do interfejsów API hostowanych w delegowanej podsieci sieci wirtualnej. | Zewnętrzny dostęp do prywatnych i lokalnych zapleczy |
| Przychodzący prywatny punkt końcowy | Developer, Basic, Standard, Premium | Tylko brama (obsługiwana brama zarządzana, brama self-hosted nie jest obsługiwana) | Tylko ruch przychodzący może być dozwolony z Internetu, równorzędnych sieci wirtualnych, usługi Express Route i połączeń sieci VPN typu lokacja-lokacja. | Zabezpieczanie połączenia klienta z bramą usługi API Management |
Wstrzykiwanie sieci wirtualnej
Za pomocą iniekcji sieci wirtualnej wdróż wystąpienie usługi API Management ("wstrzykiwanie") w podsieci w sieci nieinternetowej, do której kontrolujesz dostęp. W sieci wirtualnej wystąpienie usługi API Management może bezpiecznie uzyskiwać dostęp do innych sieciowych zasobów platformy Azure, a także łączyć się z sieciami lokalnymi przy użyciu różnych technologii sieci VPN. Aby dowiedzieć się więcej o sieciach wirtualnych platformy Azure, zacznij od informacji w temacie Omówienie usługi Azure Virtual Network.
Do konfiguracji można użyć witryny Azure Portal, interfejsu wiersza polecenia platformy Azure, szablonów usługi Azure Resource Manager lub innych narzędzi. Kontrolujesz ruch przychodzący i wychodzący do podsieci, w której usługa API Management jest wdrażana przy użyciu sieciowych grup zabezpieczeń.
Aby uzyskać szczegółowe instrukcje wdrażania i konfigurację sieci, zobacz:
- Wdróż wystąpienie usługi API Management w sieci wirtualnej — tryb zewnętrzny.
- Wdróż wystąpienie usługi API Management w sieci wirtualnej — tryb wewnętrzny.
- Wymagania dotyczące zasobów sieciowych dotyczące wstrzykiwania usługi API Management do sieci wirtualnej.
Opcje dostępu
Za pomocą sieci wirtualnej można skonfigurować portal dla deweloperów, bramę interfejsu API i inne punkty końcowe usługi API Management, aby były dostępne z Internetu (tryb zewnętrzny) lub tylko w sieci wirtualnej (tryb wewnętrzny).
Zewnętrzne — punkty końcowe usługi API Management są dostępne z publicznego Internetu za pośrednictwem zewnętrznego modułu równoważenia obciążenia. Brama może uzyskiwać dostęp do zasobów w sieci wirtualnej.
Użyj usługi API Management w trybie zewnętrznym, aby uzyskać dostęp do usług zaplecza wdrożonych w sieci wirtualnej.
Wewnętrzne — punkty końcowe usługi API Management są dostępne tylko z poziomu sieci wirtualnej za pośrednictwem wewnętrznego modułu równoważenia obciążenia. Brama może uzyskiwać dostęp do zasobów w sieci wirtualnej.
Użyj usługi API Management w trybie wewnętrznym, aby:
- Bezpieczne udostępnianie interfejsów API w prywatnym centrum danych przez inne firmy przy użyciu połączeń sieci VPN platformy Azure lub usługi Azure ExpressRoute.
- Włącz scenariusze chmury hybrydowej, uwidaczniając interfejsy API oparte na chmurze i lokalne interfejsy API za pośrednictwem wspólnej bramy.
- Zarządzaj interfejsami API hostowanymi w wielu lokalizacjach geograficznych przy użyciu pojedynczego punktu końcowego bramy.
Integracja ruchu wychodzącego
Warstwa Standardowa w wersji 2 obsługuje integrację z siecią wirtualną, aby umożliwić wystąpieniu usługi API Management dotarcie do zapleczy interfejsu API, które są izolowane w jednej połączonej sieci wirtualnej. Brama usługi API Management, płaszczyzna zarządzania i portal deweloperów pozostają publicznie dostępne z Internetu.
Integracja ruchu wychodzącego umożliwia wystąpieniu usługi API Management dotarcie zarówno do usług zaplecza publicznych, jak i i izolowanych przez sieć.
Aby uzyskać więcej informacji, zobacz Integrowanie wystąpienia usługi Azure API Management z prywatną siecią wirtualną na potrzeby połączeń wychodzących.
Przychodzący prywatny punkt końcowy
Usługa API Management obsługuje prywatne punkty końcowe na potrzeby bezpiecznych połączeń przychodzących klientów z wystąpieniem usługi API Management. Każde bezpieczne połączenie używa prywatnego adresu IP z sieci wirtualnej i usługi Azure Private Link.
Za pomocą prywatnego punktu końcowego i usługi Private Link można wykonywać następujące czynności:
Tworzyć wiele połączeń Private Link z wystąpieniem usługi API Management.
Używać prywatnego punktu końcowego do wysyłania ruchu przychodzącego na bezpiecznym połączeniu.
Używać zasad, aby odróżnić ruch pochodzący z prywatnego punktu końcowego.
Ograniczać ruch przychodzący tylko do prywatnych punktów końcowych, uniemożliwiając eksfiltrację danych.
Ważne
Połączenie prywatnego punktu końcowego można skonfigurować tylko dla ruchu przychodzącego do wystąpienia usługi API Management. Obecnie ruch wychodzący nie jest obsługiwany.
Za pomocą zewnętrznego lub wewnętrznego modelu sieci wirtualnej można ustanowić łączność wychodzącą z prywatnymi punktami końcowymi z wystąpienia usługi API Management.
Aby włączyć przychodzące prywatne punkty końcowe, wystąpienie usługi API Management nie może być wstrzykiwane do zewnętrznej lub wewnętrznej sieci wirtualnej.
Aby uzyskać więcej informacji, zobacz Połączenie prywatnie do usługi API Management przy użyciu przychodzącego prywatnego punktu końcowego.
Zaawansowane konfiguracje sieci
Zabezpieczanie punktów końcowych usługi API Management za pomocą zapory aplikacji internetowej
Mogą istnieć scenariusze, w których potrzebujesz zarówno bezpiecznego dostępu zewnętrznego, jak i wewnętrznego do wystąpienia usługi API Management oraz elastyczności w zakresie uzyskiwania dostępu do prywatnych i lokalnych zapleczy. W tych scenariuszach można wybrać zarządzanie dostępem zewnętrznym do punktów końcowych wystąpienia usługi API Management przy użyciu zapory aplikacji internetowej (WAF).
Jednym z przykładów jest wdrożenie wystąpienia usługi API Management w wewnętrznej sieci wirtualnej i kierowanie do niego publicznego dostępu przy użyciu bramy aplikacja systemu Azure dostępnej z Internetu:
Aby uzyskać więcej informacji, zobacz Wdrażanie usługi API Management w wewnętrznej sieci wirtualnej za pomocą usługi Application Gateway.
Następne kroki
Dowiedz się więcej na następujące tematy:
Konfiguracja sieci wirtualnej za pomocą usługi API Management:
- Wdróż wystąpienie usługi Azure API Management w sieci wirtualnej — tryb zewnętrzny.
- Wdróż wystąpienie usługi Azure API Management w sieci wirtualnej — tryb wewnętrzny.
- Połączenie prywatnie do usługi API Management przy użyciu prywatnego punktu końcowego
- Integrowanie wystąpienia usługi Azure API Management z prywatną siecią wirtualną na potrzeby połączeń wychodzących
- Obrona wystąpienia usługi Azure API Management przed atakami DDoS
Powiązane artykuły: