Azure örnek örneğiniz için özel bir etki API Management yapılandırma

  • Makale
  • Okumak için 5 dakika

Bir Azure API Management hizmeti örneği oluşturdukta, Azure buna bir azure-api.net alt etki alanı atar (örneğin, apim-service-name.azure-api.net ). Ayrıca, gibi API Management etki alanı adınızı kullanarak kendi uç noktalarınızı da ortaya contoso.com çıkarabilirsiniz. Bu öğreticide, mevcut bir özel DNS adını bir özel DNS örneği tarafından ortaya API Management gösterilir.

Önemli

API Management, yalnızca konak üst bilgisi değerleri eşleşen istekleri kabul eder:

  • Varsayılan etki alanı adı
  • Yapılandırılmış özel etki alanı adlarının herhangi biri

Uyarı

Uygulamalarınızı sertifika sabitleme ile geliştirmek isterseniz, varsayılan sertifikayı değil, sizin yönetmeniz gereken özel bir etki alanı adı ve sertifika kullan gerekir. Varsayılan sertifikayı sabitlemek, yönetmediğiniz sertifikanın özelliklerine sabit bir bağımlılık alır ve bunu önerilmez.

Önkoşullar

  • Etkin bir Azure aboneliği. Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.
  • Bir API Management örneği. Daha fazla bilgi için bkz. Azure API Management oluşturma.
  • Size veya kuruluşa ait özel bir etki alanı adı. Bu konu, özel bir etki alanı adı temin etmek için yönergeler sağlamaz.
  • Dns sunucusunda barındırılan ve özel etki alanı adını etki alanı örneğinizin varsayılan etki alanı adıyla eş API Management. Bu konu, CNAME kaydı barındırma hakkında yönergeler sağlamaz.
  • Ortak ve özel anahtar () ile geçerli bir sertifika. PFX). Konu veya konu alternatif adının (SAN) etki alanı adıyla eşleşmesi gerekir (bu, API Management TLS üzerinden URL'leri güvenli bir şekilde açığa çıkartır).

Özel etki Azure portal ayarlamak için özel etki alanı adını kullanın

  1. Azure portal API Management örneğine gidin.

  2. Özel etki alanları'ı seçin.

    Özel bir etki alanı adı atayabilirsiniz birkaç uç nokta vardır. Şu anda aşağıdaki uç noktalar kullanılabilir:

    Uç Nokta Varsayılan
    Ağ geçidi Varsayılan değer: <apim-service-name>.azure-api.net . Ağ geçidi, Tüketim katmanında yapılandırma için kullanılabilen tek uç noktadır.
    Geliştirici portalı (eski) Varsayılan değer: <apim-service-name>.portal.azure-api.net
    Geliştirici portalı Varsayılan değer: <apim-service-name>.developer.azure-api.net
    Yönetim Varsayılan değer: <apim-service-name>.management.azure-api.net
    SCM Varsayılan değer: <apim-service-name>.scm.azure-api.net

    Not

    Uç noktalardan herhangi birini güncelleştirebilirsiniz. Müşteriler genellikle Ağ Geçidini (bu URL, API Management aracılığıyla ortaya çıkar) ve Portalı (geliştirici portalı URL'si) çağıracak şekilde güncelleştirmektedir.

    Yalnızca API Management sahipler yönetim ve SCM uç noktalarını dahili olarak kullanabilir. Bu uç noktalara daha az sıklıkta özel bir etki alanı adı atanır.

    Premium ve Geliştirici katmanları, Ağ Geçidi uç noktası için birden çok konak adı ayarlamayı destekler.

  3. +Ekle'yi veya güncelleştirmek istediğiniz mevcut bir uç noktayı seçin.

  4. Sağ pencerede, özel etki alanı için uç nokta türü'ne tıklayın.

  5. Konak Adı alanında, kullanmak istediğiniz adı belirtin. Örneğin, api.contoso.com.

  6. Sertifika altında, Sertifika'Key Vault Özel'i seçin.

    • Anahtar Kasası
      • Seç’e tıklayın.
      • Açılan listeden Abonelik'i seçin.
      • Açılan listeden Anahtar kasasını seçin.
      • Sertifikalar yüklendiktan sonra açılan listeden Sertifika'yi seçin.
      • Seç’e tıklayın.
    • Özel
      • Sertifikayı seçmek ve karşıya yüklemek için Sertifika dosyası alanını seçin.
      • Upload bir . PFX dosyasını açın ve sertifika bir parolayla korunuyorsa Parolasını girin.

  7. Bir Ağ Geçidi uç noktası yapılandırıldığında, gerektiğinde İstemci sertifikası veya Varsayılan SSL bağlaması gibi diğer seçenekleri seçin veya seçimini kaldırın.

  8. Güncelleştir’i seçin.

    Not

    gibi joker karakter etki alanı *.contoso.com adları Tüketim katmanı dışındaki tüm katmanlarda de kullanılabilir.

    İpucu

    Sertifikaları yönetmek ve Azure Key Vault için bir sertifikanın kullanılması autorenew önerilir.

    Özel etki Azure Key Vault TLS/SSL sertifikasını yönetmek için sertifikayı kullanırsanız, sertifikanın gizli değil sertifika Key Vault sertifika olarak eklendiklerine emin olun.

    TlS/SSL sertifikasını getirmek için, API Management içeren sertifikanın listesine sahip olması ve gizli dizi izinlerini Azure Key Vault olması gerekir.

    • Bu Azure portal tüm gerekli yapılandırma adımları otomatik olarak tamamlanır.
    • Komut satırı araçları veya yönetim API'si kullanılırken, bu izinlerin iki adımda el ile verilmesi gerekir:
      • API Management örneğinizin Yönetilen kimlikler sayfasını kullanarak Yönetilen Kimlik'in etkinleştirildiğinden emin olun ve ilgili sayfada yer alan asıl kimliği not edin.
      • İzin listesine izin verin ve sertifikayı içeren kimlikte bu sorumlu kimliğine Azure Key Vault izinlerini al.

    Sertifika olarak ayarlanmışsa ve API Management katmanınız SLA'ya sahipse (yani Geliştirici katmanı hariç tüm katmanlarda), API Management hizmette kesinti olmadan otomatik olarak en son sürümü autorenew alır.

  9. Uygula'ya tıklayın.

    Not

    Sertifikayı atama işlemi, dağıtım boyutuna bağlı olarak 15 dakika veya daha uzun sürebilir. Geliştirici SKU'su kapalı kalma süresine sahipken Temel ve daha yüksek SKU'lar kapalı kalma süresine sahip değildir.

API Management proxy sunucusu TLS el sıkışmasının SSL sertifikalarıyla nasıl yanıt verir

Sunucu Adı Belirtme (SNı) üst bilgisini çağıran istemciler

Proxy (Gateway) için yapılandırılmış bir veya birden çok özel etki alanı varsa API Management, her ikisinin de HTTPS isteklerine yanıt verebilir:

  • Özel etki alanı (örneğin, contoso.com )
  • Varsayılan etki alanı (örneğin, apim-service-name.azure-api.net ).

SNı üstbilgisindeki bilgilere göre API Management uygun sunucu sertifikasıyla yanıt verir.

SNı üstbilgisi olmadan çağıran istemciler

SNI üstbilgisini göndermiyor bir istemci kullanıyorsanız, API Management aşağıdaki mantığa göre yanıtlar oluşturur:

  • Hizmetin yalnızca bir özel etki alanı proxy için yapılandırılmış olması durumunda varsayılan sertifika, proxy özel etki alanına verilen sertifikadır.
  • hizmet, Proxy için birden çok özel etki alanı yapılandırmışsa ( geliştirici ve Premium katmanında desteklenir), defaultsslbinding özelliğini true olarak ayarlayarak varsayılan sertifikayı belirleyebilirsiniz ("defaultsslbinding": "true"). Özelliği ayarlanmamışsa varsayılan sertifika, adresinde barındırılan varsayılan ara sunucu etki alanına verilen sertifikadır *.azure-api.net .

Büyük yük ile PUT/POST isteği desteği

API Management proxy sunucusu, HTTPS 'de istemci tarafı sertifikaları kullanılırken büyük yükleri olan istekleri (> 40 KB) destekler. Sunucunun isteğinin donmasını engellemek için, proxy ana bilgisayar adı üzerinde "Negotiateclientcertificate": "true" özelliğini ayarlayabilirsiniz.

Özelliği true olarak ayarlanırsa, istemci sertifikası, herhangi bir HTTP isteği değişimi öncesinde SSL/TLS bağlantı sırasında istenir. Ayar, proxy ana bilgisayar adı düzeyinde geçerli olduğundan, tüm bağlantı istekleri istemci sertifikası ister. bu sınırlamaya geçici çözüm alabilir ve Proxy için en fazla 20 özel etki alanı yapılandırabilirsiniz (yalnızca Premium katmanında desteklenir).

DNS yapılandırması

Özel etki alanı adınız için DNS'yi yapılandırarak şunları da kullanabilirsiniz:

  • Yapılandırılan özel etki alanı adınızın uç noktasına yönelik bir CNAME kaydı yapılandırma veya
  • Ağ geçidi IP adresinize göre bir A API Management yapılandırma.

CNAME kayıtları (veya diğer ad kayıtları) ve A kayıtları bir etki alanı adını belirli bir sunucu veya hizmetle ilişkilendirmeye olanak sağlarken, bunlar farklı çalışır.

CNAME veya Diğer Ad kaydı

CNAME kaydı, belirli bir etki alanını (veya www contoso.com) kurallı contoso.com bir etki alanı adıyla . eşler. Oluşturulduktan sonra, CNAME etki alanı için bir diğer ad oluşturur. CNAME girişi özel etki alanı hizmetinizin IP adresine otomatik olarak çözümlenir, bu nedenle IP adresi değişirse herhangi bir işlem yapmak zorunda olmaznız.

Not

Bazı etki alanı kayıtlayıcıları yalnızca www contoso.com gibi bir CNAME kaydı kullanırken alt etki alanları eşlemesine izin vermekte ve bu kayıt gibi kök adları . contoso.com. CNAME kayıtları hakkında daha fazla bilgi için kayıt şirketiniz tarafından sağlanan belgelere, CNAME-record'de Wikipedia girdisi veya IETF Etki Alanı Adları - Uygulama ve Belirtim belgesine bakın.

A kaydı

A kaydı, veya www contoso.com gibi bir etki alanını veya .contoso.com gibi bir joker contoso.com * etki alanını bir IP adresiyle eşler. . Bir A kaydı statik BIR IP adresine eşlenmiş olduğu için, IP adresine yapılan değişiklikleri otomatik olarak çözümleyezamaz. A kaydı yerine daha kararlı CNAME-record kullanılması önerilir.

Not

Örnek API Management ip adresi statik olsa da, birkaç senaryoda değişebilir. DNS yapılandırma yöntemini seçerken, IP'nin değişti olması durumunda A kaydından daha kararlı olduğu için özel etki alanını yapılandıran bir CNAME kaydı kullanılması önerilir. IP belgeleri makalesinde ve SSS'de daha API Management okuyun.

Sonraki adımlar

Hizmetinizi yükseltme ve ölçeklendirme