Se connecter en privé à Gestion des API à l’aide d’un point de terminaison privé entrant
S’APPLIQUE À : Développeur | De base | Standard | Standard v2 | Premium
Vous pouvez configurer un point de terminaison privé entrant pour votre instance Gestion des API afin de permettre aux clients de votre réseau privé d’accéder en toute sécurité à l’instance via le Azure Private Link.
Remarque
La prise en charge des points de terminaison privés dans le niveau Standard v2 est actuellement en préversion limitée. Pour vous inscrire, remplissez ce formulaire.
Le point de terminaison privé utilise une adresse IP d’un réseau virtuel Azure dans lequel il est hébergé.
Le trafic entre un client de votre réseau privé et Gestion des API traverse le réseau virtuel et une liaison privée sur le réseau principal de Microsoft, ce qui élimine son exposition à l’Internet public.
Configurez des paramètres DNS personnalisés ou une zone privée Azure DNS pour mapper le nom d’hôte de Gestion des API à l’adresse IP privée du point de terminaison.
Grâce à un point de terminaison privé et Private Link, vous pouvez :
Créer plusieurs connexions Private Link à une instance de Gestion des API.
Utiliser le point de terminaison privé pour envoyer le trafic entrant sur une connexion sécurisée.
Utiliser une stratégie pour distinguer le trafic qui provient du point de terminaison privé.
Limiter le trafic entrant uniquement aux points de terminaison privés, afin d’éviter l’exfiltration de données.
Pour fournir une isolation réseau de bout en bout de vos clients de gestion d’API et de vos services principaux, combinez des points de terminaison privés entrants vers des instances Standard v2 avec intégration de réseaux virtuels sortants.
Important
- Vous pouvez uniquement configurer une connexion de point de terminaison privé pour le trafic entrant vers l’instance Gestion des API.
Limites
- Seul le point de terminaison de la passerelle de l’instance Gestion des API prend en charge les connexions Private Link entrantes.
- Chaque instance Gestion des API prend en charge au maximum 100 connexions Private Link.
- Les connexions ne sont pas prises en charge sur la passerelle auto-hébergée ou sur une passerelle d’espace de travail.
- Dans les niveaux Gestion des API classiques, les points de terminaison privés ne sont pas pris en charge dans les instances injectées dans un réseau virtuel interne ou externe.
Prérequis
- Disposer d’une instance d’API Management. Si vous ne l’avez pas déjà fait, créez-en un.
- Un réseau virtuel contenant un sous-réseau pour héberger le point de terminaison privé. Le sous-réseau peut contenir d’autres ressources Azure.
- (Recommandé) Une machine virtuelle dans le même sous-réseau ou dans un sous-réseau différent dans le réseau virtuel, pour tester le point de terminaison privé.
Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations, consultez Démarrage rapide pour Bash dans Azure Cloud Shell.
Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.
Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour connaître les autres options de connexion, consultez Se connecter avec Azure CLI.
Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des extensions avec Azure CLI.
Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.
Méthode d’approbation pour le point de terminaison privé
En règle générale, un administrateur réseau crée un point de terminaison privé. Selon vos autorisations de contrôle d’accès en fonction du rôle (RBAC) Azure, un point de terminaison privé que vous créez est soit automatiquement approuvé pour envoyer du trafic à l’instance Gestion des API, soit nécessite que le propriétaire de la ressource approuve manuellement la connexion.
Méthode d’approbation | Autorisations RBAC minimales |
---|---|
Automatique | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read Microsoft.ApiManagement/service/** Microsoft.ApiManagement/service/privateEndpointConnections/** |
Manuel | Microsoft.Network/virtualNetworks/** Microsoft.Network/virtualNetworks/subnets/** Microsoft.Network/privateEndpoints/** Microsoft.Network/networkinterfaces/** Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Étapes à suivre pour configurer un point de terminaison privé
- Obtenir les types de points de terminaison privés disponibles dans l’abonnement
- Désactiver les stratégies réseau dans le sous-réseau
- Créer un point de terminaison privé (portail)
Obtenir les types de points de terminaison privés disponibles dans l’abonnement
Vérifiez que le type de point de terminaison privé de Gestion des API est disponible dans votre abonnement et votre emplacement. Dans le portail, recherchez ces informations en accédant au Centre Private Link. Sélectionnez Ressources prises en charge.
Vous pouvez également trouver ces informations en utilisant l’API REST Types de points de terminaison privés disponibles – Liste.
GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01
La sortie doit inclure le type de point de terminaison Microsoft.ApiManagement.service
:
[...]
"name": "Microsoft.ApiManagement.service",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Network/AvailablePrivateEndpointTypes/Microsoft.ApiManagement.service",
"type": "Microsoft.Network/AvailablePrivateEndpointTypes",
"resourceName": "Microsoft.ApiManagement/service",
"displayName": "Microsoft.ApiManagement/service",
"apiVersion": "2021-04-01-preview"
}
[...]
Désactiver les stratégies réseau dans le sous-réseau
Les stratégies réseau telles que les groupes de sécurité réseau doivent être désactivées dans le sous-réseau utilisé pour le point de terminaison privé.
Si vous utilisez des outils tels qu’Azure PowerShell, Azure CLI ou l’API REST pour configurer des points de terminaison privés, mettez à jour la configuration du sous-réseau manuellement. Pour obtenir des exemples, consultez Gérer les stratégies réseau pour les points de terminaison privés.
Lorsque vous utilisez le portail Azure pour créer un point de terminaison privé, comme indiqué dans la section suivante, les stratégies réseau sont désactivées automatiquement dans le cadre du processus de création.
Créer un point de terminaison privé (portail)
Vous pouvez créer un point de terminaison privé pour votre instance Gestion des API dans le portail Azure.
Dans les niveaux Gestion des API classiques, vous pouvez créer un point de terminaison privé lorsque vous créez l’instance. Dans une instance existante, utilisez le panneau Réseaude l’instance dans le portail Azure.
Accédez au service Gestion des API dans le portail Azure.
Dans le menu de gauche, sous Déploiement +d’infrastructure, sélectionnez Réseau.
Sélectionnez Connexions de point de terminaison privé entrantes>+ Ajouter un point de terminaison.
Sous l’onglet Général de Créer un point de terminaison privé, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur Détails du projet Abonnement Sélectionnez votre abonnement. Groupe de ressources Sélectionnez un groupe de ressources existant ou créez-en un. Il doit se trouver dans la même région que votre réseau virtuel. Détails de l’instance Nom Entrez un nom pour le point de terminaison, comme myPrivateEndpoint. Nom de l'interface réseau Entrez un nom pour l’interface réseau, par exemple myInterface Région Sélectionnez un emplacement pour le point de terminaison privé. Il doit se trouver dans la même région que votre réseau virtuel. Il peut être différent de la région où votre instance Gestion des API est hébergée. Sélectionnez le bouton Suivant : Ressource en bas de l’écran. Les informations suivantes concernant votre instance Gestion des API sont déjà renseignées :
- Abonnement
- Type de ressource
- Nom de la ressource
Dans Ressource, dans Sous-ressource cible, sélectionnez Passerelle.
Important
Seule la sous-ressource de Passerelle est prise en charge dans gestion des API. Les autres sous-ressources ne sont pas prises en charge.
Sélectionnez le bouton Suivant : Réseau virtuel au bas de l’écran.
Dans Réseau virtuel, entrez ou sélectionnez cette information :
Paramètre Valeur Réseau virtuel Sélectionnez votre réseau virtuel. Subnet Sélectionnez votre sous-réseau. Configuration d’adresse IP privée Dans la plupart des cas, sélectionnez Allouer dynamiquement l’adresse IP. Groupe de sécurité d’application Sélectionnez éventuellement un groupe de sécurité d’application. Sélectionnez le bouton Suivant : DNS en bas de l’écran.
Dans Intégration à un DNS privé, entrez ou sélectionnez ces informations :
Paramètre Valeur Intégrer à une zone DNS privée Conservez la valeur par défaut Oui. Abonnement Sélectionnez votre abonnement. Groupe de ressources Sélectionnez votre groupe de ressources. Zones DNS privées La valeur par défaut s’affiche : (nouveau) privatelink.azure-api.net. Sélectionnez le bouton Suivant : Onglets en bas de l’écran. Si vous le souhaitez, entrez des étiquettes pour organiser vos ressources Azure.
Sélectionnez le bouton Suivant : Vérifier + créer en bas de l’écran. Sélectionnez Créer.
Répertorier les connexions de points de terminaison privés à l’instance
Une fois le point d'accès privé créé et le service mis à jour, il apparaît dans la liste de la page Connexions de point de terminaison privé entrant de l'instance Gestion des API dans le portail.
Notez l’état de la connexion du point de terminaison :
- Approuvé indique que la ressource Gestion des API a automatiquement approuvé la connexion.
- En attente indique que la connexion doit être approuvée manuellement par le propriétaire de la ressource.
Approuver les connexions de points de terminaison privés en attente
Si une connexion de point de terminaison privé est en attente, un propriétaire de l’instance Gestion des API doit l’approuver manuellement avant qu’elle puisse être utilisée.
Si vous disposez d’autorisations suffisantes, approuvez une connexion de point de terminaison privé sur la page Connexions de points de terminaison privés de l’instance Gestion des API dans le portail. Dans le menu contextuel de la connexion (...) , sélectionnez Approuver.
Vous pouvez également utiliser la gestion des API Connexion de point de terminaison privé – Créer ou mettre à jour API REST pour approuver les connexions de point de terminaison privé en attente.
Désactiver l’accès au réseau public (facultatif)
Pour limiter de manière facultative le trafic entrant vers l’instance Gestion des API uniquement aux points de terminaison privés, désactivez la propriété d’accès au réseau public.
Remarque
L’accès au réseau public ne peut être désactivé que dans les instances gestion des API configurées avec un point de terminaison privé, et non avec d’autres configurations réseau.
Pour désactiver la propriété d’accès au réseau public à l’aide d’Azure CLI, exécutez la commande az apim update, en remplaçant les noms de votre instance gestion des API et du groupe de ressources :
az apim update --name my-apim-service --resource-group my-resource-group --public-network-access false
Vous pouvez également utiliser l’API REST service gestion des API - Mettre à jour pour désactiver l’accès au réseau public, en définissant la propriété publicNetworkAccess
sur Disabled
.
Valider la connexion de point de terminaison privé
Une fois le point de terminaison privé créé, confirmez ses paramètres DNS dans le portail :
Accédez au service Gestion des API dans le portail Azure.
Dans le menu de gauche, sous Déploiement + infrastructure, sélectionnez réseau>Connexions point de terminaison privé entrant, puis sélectionnez le point de terminaison privé que vous avez créé.
Dans le volet de navigation de gauche, sous Paramètres, sélectionnez configuration DNS.
Passez en revue les enregistrements DNS et l’adresse IP du point de terminaison privé. L’adresse IP est une adresse privée dans l’espace d’adressage du sous-réseau où le point de terminaison privé est configuré.
Test dans le réseau virtuel
Connectez-vous à une machine virtuelle que vous avez configurée dans le réseau virtuel.
Exécutez un utilitaire tel que nslookup
ou dig
pour rechercher l’adresse IP de votre point de terminaison de passerelle par défaut via Private Link. Par exemple :
nslookup my-apim-service.privatelink.azure-api.net
La sortie doit inclure l’adresse IP privée associée au point de terminaison privé.
Les appels d’API initiés au sein du réseau virtuel vers le point de terminaison de passerelle par défaut devraient aboutir.
Test à partir d’Internet
En dehors du chemin d’accès au point de terminaison privé, essayez d’appeler le point de terminaison de passerelle par défaut de l’instance Gestion des API. Si l’accès public est désactivé, la sortie inclut une erreur avec le code d’état 403
et un message similaire à :
Request originated from client public IP address 192.0.2.12, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network.
Contenu connexe
- Utilisez des expressions de stratégie avec la variable
context.request
pour identifier le trafic provenant du point de terminaison privé. - En savoir plus sur les points de terminaison privés et les Private Link, y compris la tarification Private Link.
- Gérer les connexions de point de terminaison privé.
- Résoudre les problèmes de connectivité du point de terminaison Azure.
- Utilisez un modèle Resource Manager pour créer une instance Gestion des API classiques et un point de terminaison privé avec intégration DNS privée.
- Connecter Azure Front Door Premium à une instance Gestion des API Azure avec Private Link (préversion).