Gelen özel uç nokta kullanarak API Management'a özel olarak Bağlan

ŞUNLAR IÇIN GEÇERLIDIR: Geliştirici | Temel | Standart | Premium

Özel ağınızdaki istemcilerin Azure Özel Bağlantı üzerinden örneğe güvenli bir şekilde erişmesine izin vermek için API Management örneğiniz için bir gelen özel uç nokta yapılandırabilirsiniz.

• Özel uç nokta, barındırıldığı Azure sanal ağından bir IP adresi kullanır.

• Özel ağınızdaki bir istemci ile API Yönetimi arasındaki ağ trafiği, VNet ve Microsoft omurga ağındaki bir Özel Bağlantı üzerinden geçerek genel internetten etkilenmeyi ortadan kaldırır.

• API Management ana bilgisayar adını uç noktanın özel IP adresine eşlemek için, özel DNS ayarlarını veya bir Azure DNS özel bölgesini yapılandırın.

Özel uç nokta ve Özel Bağlantı ile şunları yapabilirsiniz:

• Bir API Management örneğine birden çok Özel Bağlantı bağlantısı oluşturun.

• Güvenli bir bağlantıda gelen trafiği göndermek için özel uç noktayı kullanın.

• Özel uç noktadan gelen trafiği ayırt etmek için ilkeyi kullanın.

• Gelen trafiği yalnızca özel uç noktalarla sınırlayarak veri sızdırmayı önleyin.

Önemli

• Yalnızca API Management örneğine gelen trafik için özel uç nokta bağlantısı yapılandırabilirsiniz. Şu anda giden trafik desteklenmiyor.

  API Management örneğinizden özel uç noktalara giden bağlantı kurmak için dış veya iç sanal ağ modelini kullanabilirsiniz.

• Gelen özel uç noktaları etkinleştirmek için API Management örneği bir dış veya iç sanal ağa eklenemez.

Sınırlamalar

• Yalnızca API Management örneğinin Ağ Geçidi uç noktası gelen Özel Bağlantı bağlantılarını destekler.
• Her API Management örneği en fazla 100 Özel Bağlantı bağlantısını destekler.
• Bağlan ions şirket içinde barındırılan ağ geçidinde desteklenmez.

Önkoşullar

• Mevcut bir API Management örneği. Henüz oluşturmadıysanız bir tane oluşturun.
  • API Management örneği işlem platformunda stv2barındırılmalıdır. Örneğin, yeni bir örnek oluşturun veya Premium hizmet katmanında zaten bir örneğiniz varsa, alanlar arası yedekliliği etkinleştirin.
  • Örneği bir dış veya iç sanal ağa dağıtmayın (eklemeyin).
• Özel uç noktayı barındırmak için bir sanal ağ ve alt ağ. Alt ağ başka Azure kaynakları içerebilir.
• (Önerilen) Özel uç noktayı test etmek için aynı veya sanal ağdaki farklı bir alt ağda yer alan bir sanal makine.

Özel uç nokta için onay yöntemi

Genellikle bir ağ yöneticisi özel bir uç nokta oluşturur. Azure rol tabanlı erişim denetimi (RBAC) izinlerinize bağlı olarak, oluşturduğunuz özel uç nokta API Management örneğine trafik göndermek için otomatik olarak onaylanır veya kaynak sahibinin bağlantıyı el ile onaylamasını gerektirir.

Onay yöntemi	En düşük RBAC izinleri
Otomatik	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/**
El ile	Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read

Özel uç noktayı yapılandırma adımları

1. Abonelikte kullanılabilir özel uç nokta türlerini alma
2. Alt ağda ağ ilkelerini devre dışı bırakma
3. Özel uç nokta oluşturma - portal
4. Örneğe özel uç nokta bağlantılarını listeleme
5. Bekleyen özel uç nokta bağlantılarını onaylama
6. İsteğe bağlı olarak genel ağ erişimini devre dışı bırakma

Abonelikte kullanılabilir özel uç nokta türlerini alma

API Management özel uç nokta türünün aboneliğinizde ve konumunuzda kullanılabilir olduğunu doğrulayın. Portalda, Özel Bağlantı Merkezi'ne giderek bu bilgileri bulun. Desteklenen kaynaklar'ı seçin.

Bu bilgileri, Kullanılabilir Özel Uç Nokta Türleri - Liste REST API'sini kullanarak da bulabilirsiniz.

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01

Çıkışta Microsoft.ApiManagement.service uç nokta türü bulunmalıdır:

[...]

      "name": "Microsoft.ApiManagement.service",
      "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Network/AvailablePrivateEndpointTypes/Microsoft.ApiManagement.service",
      "type": "Microsoft.Network/AvailablePrivateEndpointTypes",
      "resourceName": "Microsoft.ApiManagement/service",
      "displayName": "Microsoft.ApiManagement/service",
      "apiVersion": "2021-04-01-preview"
    }
[...]

Alt ağda ağ ilkelerini devre dışı bırakma

Ağ güvenlik grupları gibi ağ ilkeleri, özel uç nokta için kullanılan alt ağda devre dışı bırakılmalıdır.

Özel uç noktaları yapılandırmak için Azure PowerShell, Azure CLI veya REST API gibi araçlar kullanıyorsanız alt ağ yapılandırmasını el ile güncelleştirin. Örnekler için bkz . Özel uç noktalar için ağ ilkelerini yönetme.

Bir sonraki bölümde gösterildiği gibi Özel uç nokta oluşturmak için Azure portalını kullandığınızda, ağ ilkeleri oluşturma işleminin bir parçası olarak otomatik olarak devre dışı bırakılır

Özel uç nokta oluşturma - portal

1. Azure portalında API Management hizmetinize gidin.

2. Sol taraftaki menüde Ağ'ı seçin.

3. Gelen özel uç nokta bağlantıları>+ Uç nokta ekle'yi seçin.

   

4. Özel uç nokta oluşturma'nın Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

   Ayar	Value
   Proje ayrıntıları
   Abonelik	Aboneliğinizi seçin.
   Kaynak grubu	Mevcut bir kaynak grubunu seçin veya yeni bir kaynak grubu oluşturun. Sanal ağınızla aynı bölgede olmalıdır.
   Örnek ayrıntıları
   Veri Akışı Adı	Uç nokta için myPrivateEndpoint gibi bir ad girin.
   Ağ Arabirimi Adı	Ağ arabirimi için myInterface gibi bir ad girin
   Bölge	Özel uç nokta için bir konum seçin. Sanal ağınızla aynı bölgede olmalıdır. API Management örneğinizin barındırıldığı bölgeden farklı olabilir.

5. Sayfanın en altındaki Kaynak sekmesini veya Sonraki: Kaynak düğmesini seçin. API Management örneğinizle ilgili aşağıdaki bilgiler zaten doldurulmuş:

   • Abonelik
   • Kaynak grubu
   • Kaynak adı

6. Kaynak'ta, Hedef alt kaynağı'nda Ağ Geçidi'ni seçin.

   

7. Ekranın en altındaki Sanal Ağ sekmesini veya İleri: Sanal Ağ düğmesini seçin.

8. Ağ bölümünde şu bilgileri girin veya seçin:

   Ayar	Value
   Sanal ağ	Sanal ağınızı seçin.
   Alt ağ	Alt ağınızı seçin.
   Özel IP yapılandırması	Çoğu durumda IP adresini dinamik olarak ayır'ı seçin .
   Uygulama güvenlik grubu	İsteğe bağlı olarak bir uygulama güvenlik grubu seçin.

9. Ekranın alt kısmındaki DNS sekmesini veya sonraki: DNS düğmesini seçin.

10. Özel DNS tümleştirmesinde şu bilgileri girin veya seçin:

    Ayar	Value
    Özel DNS bölgesi ile tümleştirme	Varsayılan değeri Evet olarak bırakın.
    Abonelik	Aboneliğinizi seçin.
    Kaynak grubu	Kaynak grubunuzu seçin.
    Özel DNS bölgeleri	Varsayılan değer görüntülenir: (yeni) privatelink.azure-api.net.

11. Ekranın alt kısmındaki Etiketler sekmesini veya Sonraki: Sekmeler düğmesini seçin. İstersenz, Azure kaynaklarınızı düzenlemek için etiketler girin.

12. Gözden geçir ve oluştur’u seçin.

13. Oluştur'u belirleyin.

Örneğe özel uç nokta bağlantılarını listeleme

Özel uç nokta oluşturulduktan sonra, portaldaki API Management örneğinin Gelen özel uç nokta bağlantıları sayfasındaki listede görünür.

Hizmet örneğine özel uç nokta bağlantılarını listelemek için Özel Uç Nokta Bağlan ion - Hizmete Göre ListeLE REST API'sini de kullanabilirsiniz.

Uç noktanın Bağlan durumunu not edin:

• Onaylandı , API Management kaynağının bağlantıyı otomatik olarak onayladığı gösterir.
• Beklemede , bağlantının kaynak sahibi tarafından el ile onaylanması gerektiğini gösterir.

Bekleyen özel uç nokta bağlantılarını onaylama

Özel uç nokta bağlantısı bekleme durumundaysa, API Management örneğinin sahibinin kullanılabilmesi için önce bağlantıyı el ile onaylaması gerekir.

Yeterli izinlere sahipseniz, portaldaki API Management örneğinin Özel uç nokta bağlantıları sayfasında özel uç nokta bağlantısını onaylayın.

API Management Özel Uç Nokta Bağlan ion - REST API Oluşturma veya Güncelleştirme'yi de kullanabilirsiniz.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{apimServiceName}privateEndpointConnections/{privateEndpointConnectionName}?api-version=2021-08-01

İsteğe bağlı olarak genel ağ erişimini devre dışı bırakma

İsteğe bağlı olarak gelen trafiği API Management örneğine yalnızca özel uç noktalarla sınırlamak için genel ağ erişimini devre dışı bırakın. ÖZELLIĞINI Disabledolarak ayarlamak publicNetworkAccess için API Management Hizmeti - REST API'yi Oluşturma veya Güncelleştirme özelliğini kullanın.

Not

publicNetworkAccess özelliği yalnızca özel uç noktayla yapılandırılmış API Management örneklerine genel erişimi devre dışı bırakmak için kullanılabilir, sanal ağ ekleme gibi diğer ağ yapılandırmalarıyla kullanılamaz.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{apimServiceName}?api-version=2021-08-01
Authorization: Bearer {{authToken.response.body.access_token}}
Content-Type: application/json

Aşağıdaki JSON gövdesini kullanın:

{
  [...]
  "properties": {
    "publicNetworkAccess": "Disabled"
  }
}

Özel uç nokta bağlantısını doğrulama

Özel uç nokta oluşturulduktan sonra portalda DNS ayarlarını onaylayın:

1. Azure portalında API Management hizmetinize gidin.

2. Sol taraftaki menüde Ağ>Gelen özel uç nokta bağlantıları'nı seçin ve oluşturduğunuz özel uç noktayı seçin.

3. Sol gezinti bölmesinde DNS yapılandırması’nı seçin.

4. Özel uç noktanın DNS kayıtlarını ve IP adresini gözden geçirin. IP adresi, özel uç noktanın yapılandırıldığı alt ağın adres alanında yer alan özel bir adrestir.

Sanal ağda test

Sanal ağda ayarladığınız bir sanal makineye bağlanın.

Özel Bağlantı üzerinden varsayılan Ağ Geçidi uç noktanızın IP adresini aramak için veya dig gibi nslookup bir yardımcı program çalıştırın. Örneğin:

nslookup my-apim-service.azure-api.net

Çıkış, özel uç noktayla ilişkili özel IP adresini içermelidir.

Sanal ağ içinde varsayılan Ağ Geçidi uç noktasına başlatılan API çağrıları başarılı olmalıdır.

İnternet'ten test

Özel uç nokta yolunun dışından API Management Örneğinin varsayılan Ağ Geçidi uç noktasını çağırmayı deneyin. Genel erişim devre dışı bırakılırsa çıkış, durum koduyla 403 birlikte bir hata ve şuna benzer bir ileti içerir:

Request originated from client public IP address xxx.xxx.xxx.xxx, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
       
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network. 

Sonraki adımlar

• Özel uç noktadan gelen trafiği tanımlamak için değişkeniyle context.request ilke ifadelerini kullanın.
• Özel Bağlantı fiyatlandırma dahil olmak üzere özel uç noktalar ve Özel Bağlantı hakkında daha fazla bilgi edinin.
• Özel uç nokta bağlantılarını yönetme hakkında daha fazla bilgi edinin.
• Azure özel uç nokta bağlantı sorunlarını giderme.
• Özel DNS tümleştirmesi ile bir API Management örneği ve özel uç nokta oluşturmak için Resource Manager şablonu kullanın.