Adresses IP du service Gestion des API Azure
S’APPLIQUE À : Tous les niveaux de Gestion des API
Cet article explique comment récupérer les adresses IP d'un service Gestion des API Azure. Les adresses IP peuvent être publiques ou privées si le service se trouve dans un réseau virtuel. Vous pouvez utiliser des adresses IP pour créer des règles de pare-feu, filtrer le trafic entrant à destination des services principaux, ou limiter le trafic sortant.
Adresses IP publiques
Chaque instance du service Gestion des API dans les niveaux Développeur, De base, Standard ou Premium a des adresses IP publiques propres cette instance de service (elles ne sont pas partagées avec d’autres ressources).
Vous pouvez récupérer les adresses IP à partir du tableau de bord de vue d’ensemble de votre ressource dans le portail Azure.
Vous pouvez également les récupérer par programmation à l'aide de l'appel d'API suivant :
GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>
Les adresses IP publiques seront contenues dans la réponse :
{
...
"properties": {
...
"publicIPAddresses": [
"172.31.0.1"
],
...
}
...
}
Dans les déploiements multirégionaux, chaque déploiement régional possède une adresse IP publique.
Adresses IP du service Gestion des API dans un réseau virtuel
Si votre service Gestion des API se trouve dans un réseau virtuel, il dispose de deux types d’adresses IP : publiques et privées.
Les adresses IP publiques sont utilisées pour les communications internes sur le port
3443
- afin de gérer la configuration (par exemple, via Azure Resource Manager). Dans la configuration du réseau virtuel externe, ils sont également utilisés pour le trafic API d’exécution. Dans la configuration du réseau virtuel interne, les adresses IP publiques sont utilisées uniquement pour les opérations de gestion interne Azure et n'exposent pas votre instance à Internet.Les adresses IP virtuelles privées, disponibles uniquement dans le mode réseau virtuel interne, sont utilisées pour se connecter aux points de terminaison (passerelles, portail des développeurs et plan de gestion pour un accès direct à l’API) du service Gestion des API depuis le réseau. Vous pouvez les utiliser pour configurer des enregistrements DNS au sein du réseau.
Vous verrez des adresses des deux types sur le portail Azure et dans la réponse de l'appel d'API :
GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>
{
...
"properties": {
...
"publicIPAddresses": [
"172.31.0.1"
],
"privateIPAddresses": [
"192.168.1.5"
],
...
},
...
}
Important
Les adresses IP privées de l’équilibreur de charge interne et des unités Gestion des API sont attribuées dynamiquement. Par conséquent, il est impossible d’anticiper l’adresse IP privée de l’instance Gestion des API avant son déploiement. En outre, le changement vers un autre sous-réseau, puis le retour peuvent entraîner une modification de l’adresse IP privée.
Adresses IP pour le trafic sortant
La gestion des API utilise une adresse IP publique pour une connexion extérieure au réseau virtuel à un réseau virtuel appairé, ainsi qu’une adresse IP privée pour une connexion au sein du réseau virtuel ou d’un réseau appairé.
Lorsque Gestion des API est déployée dans un réseau virtuel externe ou interne et qu’elle se connecte à des back-ends privés (sur l’intranet), les adresses IP internes (adresses IP dynamiques ou DIP) du sous-réseau sont utilisées pour le trafic de l’API du runtime. Quand une demande est envoyée par la gestion des API à un back-end privé, une adresse IP publique est montrée comme origine de la demande.
Par conséquent, si la restriction d’IP liste des ressources sécurisées au sein du réseau virtuel ou d’un réseau virtuel appairé, il est recommandé d’utiliser l’intégralité de la plage de sous-réseau de la gestion des API avec une règle d’adresse IP et (en mode interne) pas seulement l’adresse IP privée associée à la ressource de gestion des API.
Lorsqu’une demande est envoyée par la gestion des API à un back-end public (sur Internet), une adresse IP publique est toujours montrée comme origine de la demande.
Adresses IP du service de Gestion des API de niveau Consommation, Essentiel v2, Standard v2 et Premium v2
Si votre instance Gestion des API est créée dans un niveau de service qui s’exécute sur une infrastructure partagée, elle ne dispose pas d’une adresse IP dédiée. Actuellement, les instances dans les niveaux de service suivant s’exécutent sur une infrastructure partagée et sans aucune adresse IP déterministe : Consommation, Essentiel v2, Standard v2 et Premium v2.
Si vous devez ajouter les adresses IP sortantes utilisées par votre instance de niveau Consommation, Essentiel v2, Standard v2 ou Premium v2 à une liste d’autorisation, vous pouvez ajouter le centre de données de l’instance (région Azure) à une liste d’autorisation. Vous pouvez télécharger un fichier JSON qui liste les adresses IP de tous les centres de données Azure. Recherchez ensuite le fragment JSON qui s’applique à la région dans laquelle s’exécute votre instance.
Par exemple, le fragment JSON suivant est ce à quoi pourrait ressembler la liste d’autorisation pour la région Europe Ouest :
{
"name": "AzureCloud.westeurope",
"id": "AzureCloud.westeurope",
"properties": {
"changeNumber": 9,
"region": "westeurope",
"platform": "Azure",
"systemService": "",
"addressPrefixes": [
"13.69.0.0/17",
"13.73.128.0/18",
... Some IP addresses not shown here
"213.199.180.192/27",
"213.199.183.0/24"
]
}
}
Pour savoir quand ce fichier est mis à jour et quand les adresses IP changent, développez la section Détails de la page du Centre de téléchargement.
Modification des adresses IP
Aux niveaux Développeur, De base, Standard et Premium d’un service Gestion des API, les adresses IP publiques (VIP) et les adresses VIP privées (si celles-ci sont configurées en mode VNet interne) sont statiques pendant toute la durée de vie du service, avec les exceptions suivantes :
Le service Gestion des API est supprimé, puis recréé.
La souscription au service est désactivé ou averti (par exemple, pour non-paiement), puis rétabli. En savoir plus sur les états d'abonnement
(Niveaux Développeur et Premium) Le Réseau virtuel Azure est ajouté au service ou supprimé de celui-ci.
(Niveaux Développeur et Premium) Le service Gestion des API bascule entre les modes de déploiement de réseau virtuel externe et interne.
(Niveaux Développeur et Premium) Le service Gestion des API est déplacé vers un autre sous-réseau, migré de
stv1
vers la plate-forme de calculstv2
ou configuré avec une ressource d’adresse IP publique différente.(Niveau Premium) Les zones de disponibilité sont activées, ajoutées ou supprimées.
(Niveau Premium) Dans les déploiements multirégionaux, l'adresse IP régionale change si une région est libérée, puis rétablie.
Important
Lorsque vous passez d’un réseau virtuel interne à un réseau virtuel externe, mettez à jour une instance Gestion des API dans un réseau virtuel en migrant de la plateforme
stv1
vers la plateformestv2
ou modifiez des sous-réseaux dans le réseau, vous pouvez configurer une adresse IP publique différente. Si vous n’en fournissez pas, une adresse IP publique gérée par Azure est automatiquement configurée.