Uso de una red virtual para proteger el tráfico entrante y saliente para Azure API Management
SE APLICA A: Desarrollador | Básico | Básico v2 | Estándar | Estándar v2 | Premium | Premium v2
De manera predeterminada, se accede a la instancia de API Management desde Internet en un punto de conexión público y actúa como puerta de enlace a back-end públicos. API Management proporciona varias opciones para usar una red virtual de Azure para proteger el acceso a la instancia de API Management y a las API de back-end. Las opciones disponibles dependen del nivel de servicio de la instancia de API Management. Elija las funcionalidades de red para satisfacer las necesidades de su organización.
En la tabla siguiente se comparan las opciones de red virtual. Para más información, vea las secciones posteriores de este artículo y los vínculos a instrucciones detalladas.
| Modelo de redes | Niveles que se admiten | Componentes admitidos | Tráfico admitido | Escenario de uso |
|---|---|---|---|---|
| Inserción de red virtual (niveles clásicos): externo | Desarrollador, Premium | Portal para desarrolladores, puerta de enlace, plano de administración y repositorio de Git | Se puede permitir el tráfico entrante y saliente a Internet, redes virtuales emparejadas, ExpressRoute y conexiones VPN S2S. | Acceso externo a back-end privados y locales |
| Inserción de red virtual (niveles clásicos): externo | Desarrollador, Premium | Portal para desarrolladores, puerta de enlace, plano de administración y repositorio de Git | El tráfico entrante y saliente se puede permitir a las redes virtuales emparejadas, ExpressRoute y conexiones VPN S2S. | Acceso interno a back-end privados y locales |
| Inserción de red virtual (niveles v2) | Premium v2 | Solo puerta de enlace | El tráfico entrante y saliente se puede permitir a una subred delegada de una red virtual, redes virtuales emparejadas, ExpressRoute y conexiones VPN S2S. | Acceso interno a back-end privados y locales |
| Integración de red virtual (niveles v2) | Standard v2, Premium v2 | Solo puerta de enlace | El tráfico de solicitud saliente puede llegar a las API hospedadas en una subred delegada de una sola red virtual conectada. | Acceso externo a back-end privados y locales |
| Punto de conexión privado entrante | Desarrollador, Básico, Estándar, Estándar v2 (versión preliminar), Premium | Solo puerta de enlace (puerta de enlace administrada compatible, puerta de enlace autohospedada no compatible) | Solo se puede permitir el tráfico entrante desde Internet, redes virtuales emparejadas, Conexiones VPN de ExpressRoute y S2S. | Protección de la conexión de cliente a la puerta de enlace de API Management |
Inserción de red virtual (niveles clásicos)
En los niveles de Desarrollador y Premium clásicos de API Management, implemente ("inserte") la instancia de API Management en una subred de una red que no sea enrutable a internet a la que controle el acceso. En la red virtual, la instancia de API Management puede acceder de forma segura a otros recursos de Azure en red y también conectarse a las redes locales mediante diversas tecnologías VPN.
Puede usar Azure Portal, la CLI de Azure, plantillas de Azure Resource Manager u otras herramientas para la configuración. Puede controlar el tráfico entrante y saliente en la subred en la que se implementa API Management mediante grupos de seguridad de red.
Para conocer los pasos detallados de implementación y la configuración de red, consulte:
- Implementación de la instancia de API Management en una red virtual: modo externo.
- Implementación de la instancia de API Management en una red virtual: modo interno.
- Requisitos de recursos de red para la inserción de API Management en una red virtual.
Opciones de acceso
Con una red virtual, puede configurar el portal para desarrolladores, la puerta de enlace de API y otros puntos de conexión de API Management para que sean accesibles desde Internet (modo externo) o solo dentro de la red virtual (modo interno).
Externo: los puntos de conexión de API Management son accesibles públicamente desde Internet con un equilibrador de carga externo. La puerta de enlace puede acceder a recursos dentro de la red virtual.
Use API Management en modo externo para acceder a los servicios back-end implementados en la red virtual.
Interno: solo se puede acceder a los puntos de conexión de API Management desde dentro de la red virtual a través de un equilibrador de carga interno. La puerta de enlace puede acceder a recursos dentro de la red virtual.
Use API Management en modo interno para:
- Conseguir que las API hospedadas en el centro de datos privado sean accesibles para terceros de forma segura desde este centro mediante conexiones de VPN de Azure o Azure ExpressRoute.
- Puede permitir escenarios de nube híbrida exponiendo las API basadas en la nube y las API locales a través de una puerta de enlace común.
- Administrar las API hospedadas en diversas ubicaciones geográficas, mediante un único punto de conexión de puerta de enlace.
Inserción de red virtual (niveles v2)
En el nivel API Management Premium v2, inserte la instancia en una subred delegada de una red virtual para proteger el tráfico entrante y saliente de la puerta de enlace. Actualmente, puede configurar las opciones de inserción de red virtual en el momento en que se crea la instancia.
En esta configuración:
- El punto de conexión de la puerta de enlace de API Management es accesible a través de la red virtual en una dirección IP privada.
- API Management puede realizar solicitudes salientes a los back-end de API que estén aislados en la red.
Esta configuración se recomienda para escenarios en los que quiera aislar tanto la instancia de API Management como las API de back-end. La inserción de red virtual en el nivel Premium v2 administra automáticamente la conectividad de red a la mayoría de las dependencias de servicio para Azure API Management.
Para obtener más información, consulte Inserción de una instancia Premium v2 en una red virtual.
Integración de red virtual (niveles v2)
Los niveles Estándar v2 y Premium v2 admiten la integración de red virtual saliente para permitir que la instancia de API Management llegue a los back-end de API aislados en una sola red virtual conectada. La puerta de enlace de API Management, el plano de administración y el portal para desarrolladores siguen siendo accesibles públicamente desde Internet.
La integración saliente permite que la instancia de API Management llegue a los servicios back-end públicos y aislados de red.
Para más información, consulte Integración de una instancia de Azure API Management con una red virtual privada para conexiones salientes.
Punto de conexión privado entrante
API Management admite puntos de conexión privados para conexiones de cliente entrantes seguras a la instancia de API Management. Cada conexión segura usa una dirección IP privada de la red virtual y Azure Private Link.
Con un punto de conexión privado y Private Link, puede:
Crear varias conexiones de Private Link a una instancia de API Management.
Usar el punto de conexión privado para enviar tráfico de entrada a una conexión segura.
Usar la directiva para distinguir el tráfico que procede de un punto de conexión privado.
Limitar el tráfico de entrada solo a los puntos de conexión privados, lo que impide la filtración de datos.
Combine puntos de conexión privados entrantes a instancias de Standard v2 con integración de red virtual de salida para proporcionar aislamiento de red de un extremo a otro de los clientes y servicios back-end de API Management.
Importante
- Solo puede configurar una conexión de punto de conexión privado para el tráfico entrante a la instancia de API Management.
Para más información, vea Conexión privada a API Management con un punto de conexión privado entrante.
Configuraciones de red avanzadas
Protección de puntos de conexión de API Management con un firewall de aplicaciones web
Es posible que tenga escenarios en los que necesite acceso externo e interno seguro a la instancia de API Management y flexibilidad para acceder a back-ends privados y locales. En estos escenarios, puede optar por administrar el acceso externo a los puntos de conexión de una instancia de API Management con un firewall de aplicaciones web (WAF).
Un ejemplo consiste en implementar una instancia de API Management en una red virtual interna y enrutar el acceso público a ella mediante una instancia de Azure Application Gateway accesible desde Internet:
Para más información, consulte Implementación de API Management en una red virtual interna con Application Gateway.
Contenido relacionado
Obtenga más información acerca de la configuración de red virtual con API Management:
- Implementación de la instancia de Azure API Management en una red virtual: modo externo.
- Implementación de la instancia de Azure API Management en una red virtual: modo interno.
- Conexión privada a API Management con un punto de conexión privado
- Inserción de una instancia Premium v2 en una red virtual
- Integración de una instancia de Azure API Management con una red virtual privada para conexiones salientes
- Defensa de una instancia de Azure API Management contra ataques de denegación de servicio distribuido
Para más información sobre las redes virtuales de Azure, comience con la información de Información general de Azure Virtual Network.