Gelen özel uç nokta kullanarak API Management'a özel olarak Bağlan
ŞUNLAR IÇIN GEÇERLIDIR: Geliştirici | Temel | Standart | Premium
Özel ağınızdaki istemcilerin Azure Özel Bağlantı üzerinden örneğe güvenli bir şekilde erişmesine izin vermek için API Management örneğiniz için bir gelen özel uç nokta yapılandırabilirsiniz.
Özel uç nokta, barındırıldığı Azure sanal ağından bir IP adresi kullanır.
Özel ağınızdaki bir istemci ile API Yönetimi arasındaki ağ trafiği, VNet ve Microsoft omurga ağındaki bir Özel Bağlantı üzerinden geçerek genel internetten etkilenmeyi ortadan kaldırır.
API Management ana bilgisayar adını uç noktanın özel IP adresine eşlemek için, özel DNS ayarlarını veya bir Azure DNS özel bölgesini yapılandırın.
Özel uç nokta ve Özel Bağlantı ile şunları yapabilirsiniz:
Bir API Management örneğine birden çok Özel Bağlantı bağlantısı oluşturun.
Güvenli bir bağlantıda gelen trafiği göndermek için özel uç noktayı kullanın.
Özel uç noktadan gelen trafiği ayırt etmek için ilkeyi kullanın.
Gelen trafiği yalnızca özel uç noktalarla sınırlayarak veri sızdırmayı önleyin.
Önemli
Yalnızca API Management örneğine gelen trafik için özel uç nokta bağlantısı yapılandırabilirsiniz. Şu anda giden trafik desteklenmiyor.
API Management örneğinizden özel uç noktalara giden bağlantı kurmak için dış veya iç sanal ağ modelini kullanabilirsiniz.
Gelen özel uç noktaları etkinleştirmek için API Management örneği bir dış veya iç sanal ağa eklenemez.
Sınırlamalar
- Yalnızca API Management örneğinin Ağ Geçidi uç noktası gelen Özel Bağlantı bağlantılarını destekler.
- Her API Management örneği en fazla 100 Özel Bağlantı bağlantısını destekler.
- Bağlan ions şirket içinde barındırılan ağ geçidinde desteklenmez.
Önkoşullar
- Mevcut bir API Management örneği. Henüz oluşturmadıysanız bir tane oluşturun.
- API Management örneği işlem platformunda
stv2
barındırılmalıdır. Örneğin, yeni bir örnek oluşturun veya Premium hizmet katmanında zaten bir örneğiniz varsa, alanlar arası yedekliliği etkinleştirin. - Örneği bir dış veya iç sanal ağa dağıtmayın (eklemeyin).
- API Management örneği işlem platformunda
- Özel uç noktayı barındırmak için bir sanal ağ ve alt ağ. Alt ağ başka Azure kaynakları içerebilir.
- (Önerilen) Özel uç noktayı test etmek için aynı veya sanal ağdaki farklı bir alt ağda yer alan bir sanal makine.
Özel uç nokta için onay yöntemi
Genellikle bir ağ yöneticisi özel bir uç nokta oluşturur. Azure rol tabanlı erişim denetimi (RBAC) izinlerinize bağlı olarak, oluşturduğunuz özel uç nokta API Management örneğine trafik göndermek için otomatik olarak onaylanır veya kaynak sahibinin bağlantıyı el ile onaylamasını gerektirir.
Onay yöntemi | En düşük RBAC izinleri |
---|---|
Otomatik | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/** |
El ile | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Özel uç noktayı yapılandırma adımları
- Abonelikte kullanılabilir özel uç nokta türlerini alma
- Alt ağda ağ ilkelerini devre dışı bırakma
- Özel uç nokta oluşturma - portal
- Örneğe özel uç nokta bağlantılarını listeleme
- Bekleyen özel uç nokta bağlantılarını onaylama
- İsteğe bağlı olarak genel ağ erişimini devre dışı bırakma
Abonelikte kullanılabilir özel uç nokta türlerini alma
API Management özel uç nokta türünün aboneliğinizde ve konumunuzda kullanılabilir olduğunu doğrulayın. Portalda, Özel Bağlantı Merkezi'ne giderek bu bilgileri bulun. Desteklenen kaynaklar'ı seçin.
Bu bilgileri, Kullanılabilir Özel Uç Nokta Türleri - Liste REST API'sini kullanarak da bulabilirsiniz.
GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01
Çıkışta Microsoft.ApiManagement.service
uç nokta türü bulunmalıdır:
[...]
"name": "Microsoft.ApiManagement.service",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Network/AvailablePrivateEndpointTypes/Microsoft.ApiManagement.service",
"type": "Microsoft.Network/AvailablePrivateEndpointTypes",
"resourceName": "Microsoft.ApiManagement/service",
"displayName": "Microsoft.ApiManagement/service",
"apiVersion": "2021-04-01-preview"
}
[...]
Alt ağda ağ ilkelerini devre dışı bırakma
Ağ güvenlik grupları gibi ağ ilkeleri, özel uç nokta için kullanılan alt ağda devre dışı bırakılmalıdır.
Özel uç noktaları yapılandırmak için Azure PowerShell, Azure CLI veya REST API gibi araçlar kullanıyorsanız alt ağ yapılandırmasını el ile güncelleştirin. Örnekler için bkz . Özel uç noktalar için ağ ilkelerini yönetme.
Bir sonraki bölümde gösterildiği gibi Özel uç nokta oluşturmak için Azure portalını kullandığınızda, ağ ilkeleri oluşturma işleminin bir parçası olarak otomatik olarak devre dışı bırakılır
Özel uç nokta oluşturma - portal
Sol taraftaki menüde Ağ'ı seçin.
Gelen özel uç nokta bağlantıları>+ Uç nokta ekle'yi seçin.
Özel uç nokta oluşturma'nın Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:
Ayar Value Proje ayrıntıları Abonelik Aboneliğinizi seçin. Kaynak grubu Mevcut bir kaynak grubunu seçin veya yeni bir kaynak grubu oluşturun. Sanal ağınızla aynı bölgede olmalıdır. Örnek ayrıntıları Veri Akışı Adı Uç nokta için myPrivateEndpoint gibi bir ad girin. Ağ Arabirimi Adı Ağ arabirimi için myInterface gibi bir ad girin Bölge Özel uç nokta için bir konum seçin. Sanal ağınızla aynı bölgede olmalıdır. API Management örneğinizin barındırıldığı bölgeden farklı olabilir. Sayfanın en altındaki Kaynak sekmesini veya Sonraki: Kaynak düğmesini seçin. API Management örneğinizle ilgili aşağıdaki bilgiler zaten doldurulmuş:
- Abonelik
- Kaynak grubu
- Kaynak adı
Kaynak'ta, Hedef alt kaynağı'nda Ağ Geçidi'ni seçin.
Ekranın en altındaki Sanal Ağ sekmesini veya İleri: Sanal Ağ düğmesini seçin.
Ağ bölümünde şu bilgileri girin veya seçin:
Ayar Value Sanal ağ Sanal ağınızı seçin. Alt ağ Alt ağınızı seçin. Özel IP yapılandırması Çoğu durumda IP adresini dinamik olarak ayır'ı seçin . Uygulama güvenlik grubu İsteğe bağlı olarak bir uygulama güvenlik grubu seçin. Ekranın alt kısmındaki DNS sekmesini veya sonraki: DNS düğmesini seçin.
Özel DNS tümleştirmesinde şu bilgileri girin veya seçin:
Ayar Value Özel DNS bölgesi ile tümleştirme Varsayılan değeri Evet olarak bırakın. Abonelik Aboneliğinizi seçin. Kaynak grubu Kaynak grubunuzu seçin. Özel DNS bölgeleri Varsayılan değer görüntülenir: (yeni) privatelink.azure-api.net. Ekranın alt kısmındaki Etiketler sekmesini veya Sonraki: Sekmeler düğmesini seçin. İstersenz, Azure kaynaklarınızı düzenlemek için etiketler girin.
Gözden geçir ve oluştur’u seçin.
Oluştur'u belirleyin.
Örneğe özel uç nokta bağlantılarını listeleme
Özel uç nokta oluşturulduktan sonra, portaldaki API Management örneğinin Gelen özel uç nokta bağlantıları sayfasındaki listede görünür.
Hizmet örneğine özel uç nokta bağlantılarını listelemek için Özel Uç Nokta Bağlan ion - Hizmete Göre ListeLE REST API'sini de kullanabilirsiniz.
Uç noktanın Bağlan durumunu not edin:
- Onaylandı , API Management kaynağının bağlantıyı otomatik olarak onayladığı gösterir.
- Beklemede , bağlantının kaynak sahibi tarafından el ile onaylanması gerektiğini gösterir.
Bekleyen özel uç nokta bağlantılarını onaylama
Özel uç nokta bağlantısı bekleme durumundaysa, API Management örneğinin sahibinin kullanılabilmesi için önce bağlantıyı el ile onaylaması gerekir.
Yeterli izinlere sahipseniz, portaldaki API Management örneğinin Özel uç nokta bağlantıları sayfasında özel uç nokta bağlantısını onaylayın.
API Management Özel Uç Nokta Bağlan ion - REST API Oluşturma veya Güncelleştirme'yi de kullanabilirsiniz.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{apimServiceName}privateEndpointConnections/{privateEndpointConnectionName}?api-version=2021-08-01
İsteğe bağlı olarak genel ağ erişimini devre dışı bırakma
İsteğe bağlı olarak gelen trafiği API Management örneğine yalnızca özel uç noktalarla sınırlamak için genel ağ erişimini devre dışı bırakın. ÖZELLIĞINI Disabled
olarak ayarlamak publicNetworkAccess
için API Management Hizmeti - REST API'yi Oluşturma veya Güncelleştirme özelliğini kullanın.
Not
publicNetworkAccess
özelliği yalnızca özel uç noktayla yapılandırılmış API Management örneklerine genel erişimi devre dışı bırakmak için kullanılabilir, sanal ağ ekleme gibi diğer ağ yapılandırmalarıyla kullanılamaz.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ApiManagement/service/{apimServiceName}?api-version=2021-08-01
Authorization: Bearer {{authToken.response.body.access_token}}
Content-Type: application/json
Aşağıdaki JSON gövdesini kullanın:
{
[...]
"properties": {
"publicNetworkAccess": "Disabled"
}
}
Özel uç nokta bağlantısını doğrulama
Özel uç nokta oluşturulduktan sonra portalda DNS ayarlarını onaylayın:
Sol taraftaki menüde Ağ>Gelen özel uç nokta bağlantıları'nı seçin ve oluşturduğunuz özel uç noktayı seçin.
Sol gezinti bölmesinde DNS yapılandırması’nı seçin.
Özel uç noktanın DNS kayıtlarını ve IP adresini gözden geçirin. IP adresi, özel uç noktanın yapılandırıldığı alt ağın adres alanında yer alan özel bir adrestir.
Sanal ağda test
Sanal ağda ayarladığınız bir sanal makineye bağlanın.
Özel Bağlantı üzerinden varsayılan Ağ Geçidi uç noktanızın IP adresini aramak için veya dig
gibi nslookup
bir yardımcı program çalıştırın. Örneğin:
nslookup my-apim-service.azure-api.net
Çıkış, özel uç noktayla ilişkili özel IP adresini içermelidir.
Sanal ağ içinde varsayılan Ağ Geçidi uç noktasına başlatılan API çağrıları başarılı olmalıdır.
İnternet'ten test
Özel uç nokta yolunun dışından API Management Örneğinin varsayılan Ağ Geçidi uç noktasını çağırmayı deneyin. Genel erişim devre dışı bırakılırsa çıkış, durum koduyla 403
birlikte bir hata ve şuna benzer bir ileti içerir:
Request originated from client public IP address xxx.xxx.xxx.xxx, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network.
Sonraki adımlar
- Özel uç noktadan gelen trafiği tanımlamak için değişkeniyle
context.request
ilke ifadelerini kullanın. - Özel Bağlantı fiyatlandırma dahil olmak üzere özel uç noktalar ve Özel Bağlantı hakkında daha fazla bilgi edinin.
- Özel uç nokta bağlantılarını yönetme hakkında daha fazla bilgi edinin.
- Azure özel uç nokta bağlantı sorunlarını giderme.
- Özel DNS tümleştirmesi ile bir API Management örneği ve özel uç nokta oluşturmak için Resource Manager şablonu kullanın.