Delen via


Privé verbinding maken met API Management met behulp van een binnenkomend privé-eindpunt

VAN TOEPASSING OP: Ontwikkelaar | Basic | Standaard | Premie

U kunt een binnenkomend privé-eindpunt configureren voor uw API Management-exemplaar, zodat clients in uw privénetwerk veilig toegang hebben tot het exemplaar via Azure Private Link.

  • Het privé-eindpunt maakt gebruik van een IP-adres van een Azure-VNet waarin het wordt gehost.

  • Netwerkverkeer tussen een client op uw privénetwerk en API Management loopt via het VNet en een Private Link in het backbone-netwerk van Microsoft, waardoor blootstelling vanaf het openbare internet wordt voorkomen.

  • Configureer aangepaste DNS-instellingen of een Azure DNS-privézone om de API Management-hostnaam toe te wijzen aan het privé-IP-adres van het eindpunt.

Diagram met een beveiligde binnenkomende verbinding met API Management met behulp van een privé-eindpunt.

Met een privé-eindpunt en Private Link kunt u het volgende doen:

  • Maak meerdere Private Link-verbindingen met een API Management-exemplaar.

  • Gebruik het privé-eindpunt om binnenkomend verkeer te verzenden via een beveiligde verbinding.

  • Gebruik beleid om onderscheid te maken tussen verkeer dat afkomstig is van het privé-eindpunt.

  • Beperk binnenkomend verkeer alleen tot privé-eindpunten, waardoor exfiltratie van gegevens wordt voorkomen.

Belangrijk

  • U kunt alleen een privé-eindpuntverbinding configureren voor inkomend verkeer naar het API Management-exemplaar. Op dit moment wordt uitgaand verkeer niet ondersteund.

    U kunt het externe of interne virtuele netwerkmodel gebruiken om uitgaande connectiviteit met privé-eindpunten tot stand te brengen vanuit uw API Management-exemplaar.

  • Als u binnenkomende privé-eindpunten wilt inschakelen, kan het API Management-exemplaar niet worden opgenomen in een extern of intern virtueel netwerk.

Beperkingen

  • Alleen het gateway-eindpunt van het API Management-exemplaar ondersteunt binnenkomende Private Link-verbindingen.
  • Elk API Management-exemplaar ondersteunt maximaal 100 Private Link-verbindingen.
  • Verbindingen worden niet ondersteund op de zelf-hostende gateway of op een werkruimtegateway.

Vereisten

  • Een bestaand API Management-exemplaar. Maak er een als u dat nog niet hebt gedaan.
    • Het API Management-exemplaar moet worden gehost op het stv2 rekenplatform.
    • Implementeer het exemplaar niet (injecteer) in een extern of intern virtueel netwerk.
  • Een virtueel netwerk en subnet voor het hosten van het privé-eindpunt. Het subnet kan andere Azure-resources bevatten.
  • (Aanbevolen) Een virtuele machine in hetzelfde of een ander subnet in het virtuele netwerk om het privé-eindpunt te testen.

Goedkeuringsmethode voor privé-eindpunt

Normaal gesproken maakt een netwerkbeheerder een privé-eindpunt. Afhankelijk van uw RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) van Azure, wordt een privé-eindpunt dat u maakt, automatisch goedgekeurd voor het verzenden van verkeer naar het API Management-exemplaar of moet de resource-eigenaar de verbinding handmatig goedkeuren .

Goedkeuringsmethode Minimale RBAC-machtigingen
Automatisch Microsoft.Network/virtualNetworks/**
Microsoft.Network/virtualNetworks/subnets/**
Microsoft.Network/privateEndpoints/**
Microsoft.Network/networkinterfaces/**
Microsoft.Network/locations/availablePrivateEndpointTypes/read
Microsoft.ApiManagement/service/**
Microsoft.ApiManagement/service/privateEndpointConnections/**
Handmatig Microsoft.Network/virtualNetworks/**
Microsoft.Network/virtualNetworks/subnets/**
Microsoft.Network/privateEndpoints/**
Microsoft.Network/networkinterfaces/**
Microsoft.Network/locations/availablePrivateEndpointTypes/read

Stappen voor het configureren van een privé-eindpunt

  1. Beschikbare typen privé-eindpunten in abonnement ophalen
  2. Netwerkbeleid uitschakelen in subnet
  3. Privé-eindpunt maken - portal
  4. Privé-eindpuntverbindingen met het exemplaar weergeven
  5. In behandeling zijnde privé-eindpuntverbindingen goedkeuren
  6. Optioneel openbare netwerktoegang uitschakelen

Beschikbare typen privé-eindpunten in abonnement ophalen

Controleer of het type privé-eindpunt van API Management beschikbaar is in uw abonnement en locatie. Zoek deze informatie in de portal door naar het Private Link Center te gaan. Selecteer Ondersteunde resources.

U kunt deze informatie ook vinden met behulp van de beschikbare typen privé-eindpunten - REST API vermelden.

GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01

Uitvoer moet het Microsoft.ApiManagement.service eindpunttype bevatten:

[...]

      "name": "Microsoft.ApiManagement.service",
      "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Network/AvailablePrivateEndpointTypes/Microsoft.ApiManagement.service",
      "type": "Microsoft.Network/AvailablePrivateEndpointTypes",
      "resourceName": "Microsoft.ApiManagement/service",
      "displayName": "Microsoft.ApiManagement/service",
      "apiVersion": "2021-04-01-preview"
    }
[...]

Netwerkbeleid uitschakelen in subnet

Netwerkbeleid zoals netwerkbeveiligingsgroepen moet worden uitgeschakeld in het subnet dat wordt gebruikt voor het privé-eindpunt.

Als u hulpprogramma's zoals Azure PowerShell, de Azure CLI of REST API gebruikt om privé-eindpunten te configureren, werkt u de subnetconfiguratie handmatig bij. Zie Netwerkbeleid voor privé-eindpunten beheren voor voorbeelden.

Wanneer u Azure Portal gebruikt om een privé-eindpunt te maken, zoals wordt weergegeven in de volgende sectie, worden netwerkbeleidsregels automatisch uitgeschakeld als onderdeel van het aanmaakproces

Privé-eindpunt maken - portal

  1. Navigeer naar uw API Management-service in Azure Portal.

  2. Selecteer Netwerk in het linkermenu onder Implementatie en infrastructuur.

  3. Selecteer Binnenkomende privé-eindpuntverbindingen>+ Eindpunt toevoegen.

    Schermopname die laat zien hoe u een privé-eindpunt toevoegt met behulp van Azure Portal.

  4. Voer op het tabblad Basisbeginselen van Een privé-eindpunt maken de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer een bestaande resourcegroep of maak een nieuwe groep. Deze moet zich in dezelfde regio bevinden als uw virtuele netwerk.
    Exemplaardetails
    Naam Voer een naam in voor het eindpunt, zoals myPrivateEndpoint.
    Netwerkinterfacenaam Voer een naam in voor de netwerkinterface, zoals myInterface
    Regio Selecteer een locatie voor het privé-eindpunt. Deze moet zich in dezelfde regio bevinden als uw virtuele netwerk. Het kan verschillen van de regio waar uw API Management-exemplaar wordt gehost.
  5. Selecteer de knop Volgende: Resource onderaan het scherm. De volgende informatie over uw API Management-exemplaar is al ingevuld:

    • Abonnement
    • Brontype
    • Resourcenaam
  6. Selecteer Gateway in Resource in de subresource Doel.

    Schermopname van instellingen voor het maken van een privé-eindpunt in Azure Portal.

  7. Selecteer de knop Volgende: Virtueel netwerk onderaan het scherm.

  8. Voer in Netwerken deze gegevens in of selecteer deze:

    Instelling Weergegeven als
    Virtueel netwerk Selecteer uw virtuele netwerk.
    Subnet Selecteer uw subnet.
    Privé-IP-configuratie In de meeste gevallen selecteert u Dynamisch IP-adres toewijzen.
    Toepassingsbeveiligingsgroep Selecteer desgewenst een toepassingsbeveiligingsgroep.
  9. Selecteer de knop Volgende: DNS onderaan het scherm.

  10. Voer in Privé-DNS integratie deze gegevens in of selecteer deze:

    Instelling Weergegeven als
    Integreren met privé-DNS-zone Laat de standaardwaarde Ja staan.
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer uw resourcegroep.
    Persoonlijke DNS-zones De standaardwaarde wordt weergegeven: (nieuw) privatelink.azure-api.net.
  11. Selecteer de knop Volgende: Tabbladen onder aan het scherm. Voer desgewenst tags in om uw Azure-resources te organiseren.

    1. Selecteer de knop Volgende: Beoordelen en maken onderaan het scherm.
  12. Selecteer Maken.

Privé-eindpuntverbindingen met het exemplaar weergeven

Nadat het privé-eindpunt is gemaakt en de service is bijgewerkt, wordt het weergegeven in de lijst op de pagina Verbindingen voor binnenkomende privé-eindpunten van het API Management-exemplaar in de portal.

Let op de verbindingsstatus van het eindpunt:

  • Goedgekeurd geeft aan dat de API Management-resource de verbinding automatisch heeft goedgekeurd.
  • In behandeling geeft aan dat de verbinding handmatig moet worden goedgekeurd door de resource-eigenaar.

In behandeling zijnde privé-eindpuntverbindingen goedkeuren

Als een privé-eindpuntverbinding de status In behandeling heeft, moet een eigenaar van het API Management-exemplaar deze handmatig goedkeuren voordat deze kan worden gebruikt.

Als u over voldoende machtigingen beschikt, keurt u een privé-eindpuntverbinding goed op de pagina Privé-eindpuntverbindingen van het API Management-exemplaar in de portal. Selecteer Goedkeuren in het contextmenu (...) van de verbinding.

U kunt ook de VERBINDING met het privé-eindpunt van API Management gebruiken: REST API maken of bijwerken om in behandeling zijnde privé-eindpuntverbindingen goed te keuren.

Optioneel openbare netwerktoegang uitschakelen

Als u inkomend verkeer naar het API Management-exemplaar optioneel wilt beperken tot privé-eindpunten, schakelt u openbare netwerktoegang uit.

Notitie

Openbare netwerktoegang kan alleen worden uitgeschakeld in API Management-exemplaren die zijn geconfigureerd met een privé-eindpunt, niet met andere netwerkconfiguraties, zoals VNet-injectie.

Als u openbare netwerktoegang wilt uitschakelen met behulp van de Azure CLI, voert u de volgende opdracht az apim update uit, waarbij u de namen van uw API Management-exemplaar en resourcegroep vervangt:

az apim update --name my-apim-service --resource-group my-resource-group --public-network-access false

U kunt ook de API Management-service - REST API bijwerken om openbare netwerktoegang uit te schakelen door de publicNetworkAccess eigenschap in te stellen op Disabled.

Privé-eindpuntverbinding valideren

Nadat het privé-eindpunt is gemaakt, bevestigt u de DNS-instellingen in de portal:

  1. Navigeer naar uw API Management-service in Azure Portal.

  2. Selecteer >in het linkermenu onder Implementatie en infrastructuur de optie Binnenkomende privé-eindpuntverbindingen voor inkomend netwerk en selecteer het privé-eindpunt dat u hebt gemaakt.

  3. Selecteer in de linkernavigatie onder Instellingen de DNS-configuratie.

  4. Controleer de DNS-records en het IP-adres van het privé-eindpunt. Het IP-adres is een privéadres in de adresruimte van het subnet waar het privé-eindpunt is geconfigureerd.

Testen in virtueel netwerk

Maak verbinding met een virtuele machine die u hebt ingesteld in het virtuele netwerk.

Voer een hulpprogramma uit, zoals nslookup of dig zoek het IP-adres van uw standaardgateway-eindpunt op via Private Link. Voorbeeld:

nslookup my-apim-service.azure-api.net

De uitvoer moet het privé-IP-adres bevatten dat is gekoppeld aan het privé-eindpunt.

API-aanroepen die in het virtuele netwerk zijn geïnitieerd naar het standaardgateway-eindpunt, moeten slagen.

Testen vanaf internet

Probeer van buiten het privé-eindpuntpad het standaardgateway-eindpunt van het API Management-exemplaar aan te roepen. Als openbare toegang is uitgeschakeld, bevat de uitvoer een fout met statuscode 403 en een bericht dat vergelijkbaar is met:

Request originated from client public IP address xxx.xxx.xxx.xxx, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
       
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network.