Použití virtuální sítě k zabezpečení příchozího nebo odchozího provozu pro Azure API Management
PLATÍ PRO: Vývojář | Základní | Basic v2 | Standardní | Standard v2 | Premium | Premium v2
Ve výchozím nastavení je vaše instance služby API Management přístupná z internetu ve veřejném koncovém bodu a funguje jako brána pro veřejné back-endy. Služba API Management nabízí několik možností použití virtuální sítě Azure k zabezpečení přístupu k vaší instanci služby API Management a k back-endovým rozhraním API. Dostupné možnosti závisí na úrovni služby vaší instance služby API Management. Zvolte možnosti sítě, které vyhovují potřebám vaší organizace.
Následující tabulka porovnává možnosti virtuálních sítí. Další informace najdete v dalších částech tohoto článku a odkazy na podrobné pokyny.
| Síťový model | Podporované úrovně | Podporované komponenty | Podporovaný provoz | Scénář použití |
|---|---|---|---|---|
| Injektáž virtuální sítě (klasické úrovně) – externí | Vývojář, Premium | Portál pro vývojáře, brána, rovina správy a úložiště Git | Příchozí a odchozí provoz je možné povolit do internetu, partnerských virtuálních sítí, ExpressRoute a připojení VPN S2S. | Externí přístup k privátním a místním back-endům |
| Injektáž virtuální sítě (klasické úrovně) – interní | Vývojář, Premium | Portál pro vývojáře, brána, rovina správy a úložiště Git | Příchozí a odchozí provoz je možné povolit pro partnerské virtuální sítě, ExpressRoute a připojení VPN typu S2S. | Interní přístup k privátním a místním back-endům |
| Injektáž virtuální sítě (vrstvy v2) | Premium v2 | Pouze brána | Příchozí a odchozí provoz je možné povolit do delegované podsítě virtuální sítě, partnerských virtuálních sítí, ExpressRoute a připojení VPN S2S. | Interní přístup k privátním a místním back-endům |
| Integrace virtuální sítě (vrstvy v2) | Standard v2, Premium v2 | Pouze brána | Odchozí provoz požadavků se může spojit s rozhraními API hostovanými v delegované podsíti jedné připojené virtuální sítě. | Externí přístup k privátním a místním back-endům |
| Příchozí privátní koncový bod | Developer, Basic, Standard, Standard v2 (preview), Premium | Pouze brána (podporovaná spravovaná brána, brána v místním prostředí se nepodporuje) | Z internetu, partnerských virtuálních sítí, ExpressRoute a připojení VPN S2S je možné povolit jenom příchozí provoz. | Zabezpečení připojení klienta k bráně služby API Management |
Injektáž virtuální sítě (klasické úrovně)
V klasických úrovních Developer a Premium služby API Management nasaďte instanci služby API Management v podsíti v síti, která není směrovatelná na internet, do které řídíte přístup. Ve virtuální síti může vaše instance služby API Management bezpečně přistupovat k dalším síťovým prostředkům Azure a také se připojovat k místním sítím pomocí různých technologií VPN.
Pro konfiguraci můžete použít Azure Portal, Azure CLI, šablony Azure Resource Manageru nebo jiné nástroje. Řídíte příchozí a odchozí provoz do podsítě, ve které je služba API Management nasazená pomocí skupin zabezpečení sítě.
Podrobné kroky nasazení a konfigurace sítě najdete v následujících tématech:
- Nasaďte instanci služby API Management do virtuální sítě – externí režim.
- Nasaďte instanci služby API Management do virtuální sítě – interní režim.
- Požadavky na síťové prostředky pro injektáž služby API Management do virtuální sítě
Možnosti přístupu
Pomocí virtuální sítě můžete nakonfigurovat portál pro vývojáře, bránu rozhraní API a další koncové body služby API Management tak, aby byly přístupné buď z internetu (externího režimu), nebo jenom ve virtuální síti (interní režim).
Externí – Koncové body služby API Management jsou přístupné z veřejného internetu prostřednictvím externího nástroje pro vyrovnávání zatížení. Brána má přístup k prostředkům ve virtuální síti.
Použití služby API Management v externím režimu pro přístup k back-endovým službám nasazených ve virtuální síti.
Interní – Koncové body služby API Management jsou přístupné jenom z virtuální sítě prostřednictvím interního nástroje pro vyrovnávání zatížení. Brána má přístup k prostředkům ve virtuální síti.
Použití služby API Management v interním režimu k:
- Zajistěte, aby rozhraní API hostovaná ve vašem privátním datacentru byla zabezpečená přístupná třetími stranami pomocí připojení Azure VPN nebo Azure ExpressRoute.
- Povolte hybridní cloudové scénáře zveřejněním cloudových rozhraní API a místních rozhraní API prostřednictvím společné brány.
- Spravujte svá rozhraní API hostovaná v několika geografických umístěních pomocí jednoho koncového bodu brány.
Injektáž virtuální sítě (vrstvy v2)
Ve vrstvě API Management Premium v2 vložte instanci do delegovaného podsítě virtuální sítě, aby se zajistil příchozí a odchozí provoz brány. V současné době můžete nakonfigurovat nastavení pro injektáž virtuální sítě v okamžiku vytvoření instance.
V této konfiguraci:
- Koncový bod brány služby API Management je přístupný prostřednictvím virtuální sítě na privátní IP adrese.
- Služba API Management může provádět odchozí požadavky na back-endy rozhraní API, které jsou izolované v síti.
Tato konfigurace se doporučuje pro scénáře, ve kterých chcete izolovat instanci služby API Management i back-endová rozhraní API. Injektáž virtuální sítě na úrovni Premium v2 automaticky spravuje síťové připojení k většině závislostí služeb pro Azure API Management.
Další informace najdete v tématu Vložení instance Premium v2 do virtuální sítě.
Integrace virtuální sítě (vrstvy v2)
Úrovně Standard v2 a Premium v2 podporují integraci odchozích virtuálních sítí, aby mohla vaše instance služby API Management dosáhnout back-endů rozhraní API izolovaných v jedné připojené virtuální síti. Brána služby API Management, rovina správy a portál pro vývojáře zůstávají veřejně přístupné z internetu.
Odchozí integrace umožňuje instanci služby API Management oslovit jak veřejné, tak i síťové izolované back-endové služby.
Další informace najdete v tématu Integrace instance služby Azure API Management s privátní virtuální sítí pro odchozí připojení.
Příchozí privátní koncový bod
Služba API Management podporuje privátní koncové body pro zabezpečená příchozí klientská připojení k vaší instanci služby API Management. Každé zabezpečené připojení používá privátní IP adresu z vaší virtuální sítě a Azure Private Linku.
S privátním koncovým bodem a službou Private Link můžete:
Vytvořit více připojení Private Link k instanci služby API Management.
Používat privátní koncový bod k odesílání příchozích přenosů v zabezpečeném připojení.
Pomocí zásad odlišovat přenosy, které pochází z privátního koncového bodu.
Omezit příchozí přenosy pouze na privátní koncové body, abyste zabránili exfiltraci dat.
Zkombinujte příchozí privátní koncové body s instancemi Standard v2 s integrací odchozí virtuální sítě, abyste zajistili kompletní izolaci sítě klientů služby API Management a back-endových služeb.
Důležité
- Připojení privátního koncového bodu můžete nakonfigurovat jenom pro příchozí provoz do instance služby API Management.
Další informace najdete v tématu Privátní připojení ke službě API Management pomocí příchozího privátního koncového bodu.
Pokročilé konfigurace sítí
Zabezpečení koncových bodů služby API Management pomocí firewallu webových aplikací
Můžete mít scénáře, kdy potřebujete zabezpečený externí i interní přístup k instanci služby API Management a flexibilitu pro přístup k privátním i místním back-endům. V těchto scénářích se můžete rozhodnout spravovat externí přístup ke koncovým bodům instance služby API Management pomocí firewallu webových aplikací (WAF).
Jedním z příkladů je nasazení instance služby API Management v interní virtuální síti a směrování veřejného přístupu k ní pomocí internetové brány Aplikace Azure lication Gateway:
Další informace najdete v tématu Nasazení služby API Management v interní virtuální síti se službou Application Gateway.
Související obsah
Další informace o konfiguraci virtuální sítě pomocí služby API Management:
- Nasaďte instanci služby Azure API Management do virtuální sítě – externí režim.
- Nasaďte instanci služby Azure API Management do virtuální sítě – interní režim.
- Privátní připojení ke službě API Management pomocí privátního koncového bodu
- Vložení instance Premium v2 do virtuální sítě
- Integrace instance služby Azure API Management s privátní virtuální sítí pro odchozí připojení
- Obrana instance služby Azure API Management před útoky DDoS
Další informace o virtuálních sítích Azure najdete v přehledu služby Azure Virtual Network.