Verwenden eines virtuellen Netzwerks zum Sichern von eingehendem oder ausgehendem Datenverkehr für Azure API Management
GILT FÜR: Developer | Basic | Basic v2 | Standard | Standard v2 | Premium | Premium v2
Standardmäßig wird auf Ihre API Management-Instanz an einem öffentlichen Endpunkt über das Internet zugegriffen, der als Gateway zu öffentlichen Back-Ends dient. API Management bietet mehrere Optionen zum Verwenden eines virtuellen Azure-Netzwerks, um den Zugriff auf Ihre API Management-Instanz und Back-End-APIs über ein virtuelles Azure-Netzwerk zu schützen. Verfügbare Optionen hängen von der Dienstebene Ihrer API Management-Instanz ab. Wählen Sie Netzwerkfunktionen aus, um die Anforderungen Ihrer Organisation zu erfüllen.
In der folgenden Tabelle werden die virtuellen Netzwerkoptionen verglichen. Weitere Informationen findest Du in den späteren Abschnitten dieses Artikels und unter den Links zu ausführlichen Leitfäden.
| Netzwerkmodell | Unterstützte Ebenen | Unterstützte Komponenten | Unterstützter Datenverkehr | Verwendungsszenario |
|---|---|---|---|---|
| Einschleusung in virtuelle Netzwerke (klassische Tarife) – extern | Entwickler, Premium | Entwicklerportal, Gateway, Verwaltungsebene und Git-Repository | Eingehender und ausgehender Datenverkehr kann zum Internet, zu virtuellen Netzwerken mit Peer-Rechten, ExpressRoute und S2S VPN-Verbindungen zugelassen werden. | Externer Zugriff auf private und lokale Back-Ends |
| Einschleusung in virtuelle Netzwerke (klassische Tarife) – intern | Entwickler, Premium | Entwicklerportal, Gateway, Verwaltungsebene und Git-Repository | Eingehender und ausgehender Datenverkehr kann für überwachte virtuelle Netzwerke, ExpressRoute und S2S VPN-Verbindungen zugelassen werden. | Interner Zugriff auf private und lokale Back-Ends |
| Einschleusung in virtuelle Netzwerke (v2-Tarife) | Premium v2 | Nur Gateway | Eingehender und ausgehender Datenverkehr kann für ein delegiertes Subnetz eines virtuellen Netzwerks, überwachte virtuelle Netzwerke, ExpressRoute und S2S VPN-Verbindungen zugelassen werden. | Interner Zugriff auf private und lokale Back-Ends |
| Integration virtueller Netzwerke (v2-Tarife) | Standard v2, Premium v2 | Nur Gateway | Ausgehender Anforderungsdatenverkehr kann APIs erreichen, die in einem delegierten Subnetz eines einzelnen verbundenen virtuellen Netzwerks gehostet werden. | Externer Zugriff auf private und lokale Back-Ends |
| Eingehender privater Endpunkt | Developer, Basic, Standard, Standard v2 (preview), Premium | Nur Gateway (verwaltete Gateways werden unterstützt, selbstgehostete Gateways werden nicht unterstützt). | Es kann nur eingehender Datenverkehr aus dem Internet, aus virtuellen Netzwerken mit Peer-Rechten, ExpressRoute und S2S VPN-Verbindungen zugelassen werden. | Sichere Clientverbindung zum API Management Gateway |
Einschleusung in virtuelle Netzwerke (klassische Tarife)
In den klassischen API Management-Tarifen „Developer“ und „Premium“, stellen Sie Ihre API Management-Instanz in einem Subnetz bereit („einschleusen“), das sich in einem nicht über das Internet routingfähigen Netzwerk befindet, und Sie kontrollieren den Zugriff auf dieses Netzwerk. In dem virtuellen Netzwerk kann Ihre API Management-Instanz sicher auf andere vernetzte Azure-Ressourcen zugreifen und mithilfe verschiedener VPN-Technologien zudem eine Verbindung mit lokalen Netzwerken herstellen.
Sie können das Azure-Portal, die Azure CLI, Azure Resource Manager-Vorlagen oder andere Tools zur Konfiguration verwenden. Sie kontrollieren den ein- und ausgehenden Datenverkehr in das Subnetz, in dem API Management bereitgestellt wird, indem Sie Netzwerksicherheitsgruppen verwenden.
Detaillierte Schritte zur Bereitstellung und Netzwerkkonfiguration finden Sie unter:
- Bereitstellen Ihrer API Management-Instanz für ein virtuelles Netzwerk: externer Modus.
- Bereitstellen Ihrer API Management-Instanz für ein virtuelles Netzwerk: interner Modus.
- Anforderungen an virtuelle Netzwerkressourcen für die API Management-Injektion in ein virtuelles Netzwerk.
Zugriffsoptionen
Mithilfe eines virtuellen Netzwerks können Sie das Entwicklerportal, den API-Gateway und andere API Management-Endpunkte so konfigurieren, dass sie entweder über das Internet (externer Modus) oder nur innerhalb des virtuellen Netzwerks (interner Modus) zugänglich sind.
Extern - Die Endpunkte der API Management sind vom öffentlichen Internet aus über einen externen Load Balancer zugänglich. Das Gateway kann auf Ressourcen innerhalb des öffentlichen Netzwerks zugreifen.
Verwenden Sie die API Management im externen Modus, um auf Backend-Dienste zuzugreifen, die im virtuellen Netzwerk bereitgestellt werden.
Intern: Die API Management-Endpunkte sind nur von innerhalb des virtuellen Netzwerks über einen internen Load Balancer zugänglich. Das Gateway kann auf Ressourcen innerhalb des öffentlichen Netzwerks zugreifen.
Verwenden Sie API Management im internen Modus für folgende Aufgaben:
- Machen Sie APIs, die in Ihrem privaten Rechenzentrum gehostet werden, für Dritte sicher zugänglich, indem Sie Azure VPN-Verbindungen oder Azure ExpressRoute verwenden.
- Das Verfügbarmachen von cloudbasierten und lokalen APIs über ein gemeinsames Gateway ermöglicht Hybrid Cloud-Szenarien.
- Verwalten von APIs, die in mehreren geografischen Standorten gehostet werden, über einen einzelnen Gatewayendpunkt.
Einschleusung in virtuelle Netzwerke (v2-Tarife)
Schleusen Sie ihre Instanz im API Management Premium v2-Tarif in ein delegiertes Subnetz eines virtuellen Netzwerks ein, um den eingehenden und ausgehenden Datenverkehr des Gateways zu sichern. Derzeit können Sie Einstellungen für die Einschleusung des virtuellen Netzwerks zum Zeitpunkt der Erstellung der Instanz konfigurieren.
In dieser Konfiguration:
- Auf den Endpunkt des API Management-Gateways kann über das virtuelle Netzwerk an einer privaten IP-Adresse zugegriffen werden.
- API Management kann ausgehende Anforderungen an API-Back-Ends vornehmen, die im Netzwerk isoliert sind.
Diese Konfiguration wird für Szenarien empfohlen, in denen Sie sowohl die API Management-Instanz als auch die Back-End-APIs isolieren möchten. Einschleusung in virtuelle Netzwerke im Premium v2-Tarif verwaltet automatisch die Netzwerkkonnektivität mit den meisten Dienstabhängigkeiten für Azure API Management.
Weitere Informationen finden Sie unter Einschleusen einer Premium v2-Instanz in ein virtuelles Netzwerk.
Integration virtueller Netzwerke (v2-Tarife)
Die Standard v2- und Premium v2-Tarife unterstützen die Integration ausgehender virtueller Netzwerke, damit Ihre API Management-Instanz API-Back-Ends erreichen kann, die in einem einzigen verbundenen virtuellen Netzwerk isoliert sind. Das API Management-Gateway, die Verwaltungsebene und das Entwicklerportal bleiben öffentlich über das Internet zugänglich.
Mit der ausgehenden Integration kann die API Management-Instanz sowohl öffentliche als auch netzwerkisolierte Back-End-Dienste erreichen.
Weitere Informationen finden Sie unter Integrieren einer Azure API Management-Instanz in ein privates virtuelles Netzwerk für ausgehende Verbindungen.
Eingehender privater Endpunkt
API Management unterstützt private Endpunkte für sichere eingehende Client-Verbindungen mit Ihrer API Management-Instanz. Jede sichere Verbindung verwendet eine private IP-Adresse aus Ihrem virtuellen Netzwerk und Azure Private Link.
Ein privater Endpunkt und Private Link ermöglichen Ihnen Folgendes:
Erstellen mehrerer Private Link-Verbindungen mit einer API Management-Instanz
Verwenden des privaten Endpunkts, um eingehenden Datenverkehr über eine sichere Verbindung zu senden
Verwenden einer Richtlinie, um Datenverkehr vom privaten Endpunkt zu erkennen
Beschränken des eingehenden Datenverkehrs auf private Endpunkte, um eine Datenexfiltration zu verhindern
Kombinieren Sie eingehende private Endpunkte mit Standard v2-Instanzen mit ausgehender integration virtueller Netzwerke, um die End-to-End-Netzwerkisolation Ihrer API-Verwaltungsclients und Back-End-Dienste bereitzustellen.
Wichtig
- Sie können nur eine private Endpunktverbindung für eingehenden Datenverkehr zur API Management-Instanz konfigurieren.
Weitere Informationen finden Sie unter Private Verbindung mit API Management über einen eingehenden privaten Endpunkt.
Erweiterte Netzwerkkonfigurationen
Sichere API Management-Endpunkte mit einer Web Application Firewall
Möglicherweise hast Du Szenarien, in denen Du sowohl externen als auch internen Zugriff auf Deinen API Management-Instanz benötigst, und Flexibilität, um private und lokale Back-Ends zu erreichen. Für diese Szenarien kannst Du den externen Zugriff auf die Endpunkte einer API Management-Instanz mit einer Web Application Firewall (WAF) verwalten.
Ein Beispiel ist die Bereitstellung einer API Management-Instanz in einem internen virtuellen Netzwerk und die Weiterleitung des öffentlichen Zugriffs auf diese Instanz über ein Azure Application Gateway mit Internetanschluss:
Weitere Informationen finden Sie unter Bereitstellen von API Management in einem internen virtuellen Netzwerk mit Application Gateway.
Zugehöriger Inhalt
Weitere Informationen zur Konfiguration des virtuellen Netzwerks mit API Mehr:
- Bereitstellen Ihrer Azure API Management-Instanz für ein virtuelles Netzwerk: externer Modus.
- Bereitstellen Ihrer Azure API Management-Instanz für ein virtuelles Netzwerk: interner Modus.
- Herstellen einer privaten Verbindung mit API Management mithilfe eines privaten Endpunkts
- Einschleusen einer Premium v2-Instanz in ein virtuelles Netzwerk
- Integrieren einer Azure API Management-Instanz in ein privates virtuelles Netzwerk für ausgehende Verbindungen
- Schützen Ihrer Azure API Management-Instanz vor DDoS-Angriffen
Um mehr über Azure Virtual Networks zu erfahren, beginnen Sie mit den Informationen unter Übersicht über Azure Virtual Network.