Delen via


Wat zijn werkruimten in Azure API Management?

VAN TOEPASSING OP: Premium

In API Management brengen werkruimten een nieuw niveau van autonomie naar api-teams van een organisatie, zodat ze sneller, betrouwbaarder, veiliger en productiever API's kunnen maken, beheren en publiceren binnen een API Management-service. Door geïsoleerde beheerderstoegang en API-runtime te bieden, bieden werkruimten API-teams mogelijkheden, terwijl het API-platformteam toezicht kan houden. Dit omvat centrale bewaking, afdwinging van API-beleid en naleving en het publiceren van API's voor detectie via een geïntegreerde ontwikkelaarsportal.

Werkruimten werken als 'mappen' in een API Management-service:

  • Elke werkruimte bevat API's, producten, abonnementen, benoemde waarden en gerelateerde resources.
  • Toegang tot resources in een werkruimte wordt beheerd via op rollen gebaseerd toegangsbeheer (RBAC) van Azure met ingebouwde of aangepaste rollen die kunnen worden toegewezen aan Microsoft Entra-accounts.
  • Elke werkruimte is gekoppeld aan een werkruimtegateway voor het routeren van API-verkeer naar de back-endservices van API's in de werkruimte.

Conceptueel diagram van API Management-service met werkruimten.

Notitie

  • De nieuwste werkruimtefuncties worden ondersteund in API Management REST API versie 2023-09-01-preview of hoger.
  • Zie prijzen voor API Management voor prijsoverwegingen.

Federatief API-beheer met werkruimten

Werkruimten voegen eersteklas ondersteuning toe voor een federatief model voor het beheren van API's in API Management, naast al ondersteunde gecentraliseerde en silomodellen. Zie de volgende tabel voor een vergelijking van deze modellen.

Modelleren Beschrijving
Gecentraliseerde

Diagram van het gecentraliseerde model van Azure API Management.
Voordelen
• Gecentraliseerd API-beheer en waarneembaarheid
• Geïntegreerde ontwikkelaarsportal voor effectieve API-detectie en onboarding
• Kostenefficiëntie van de infrastructuur

Nadelen
• Geen scheiding van beheermachtigingen tussen teams
• API-gateway is een single point of failure
• Onvermogen om runtimeproblemen toe te schrijven aan specifieke teams
• Last van het platformteam om samenwerking te vergemakkelijken kan de GROEI van de API verminderen
Siloed

Diagram van het silomodel van Azure API Management.
Voordelen
• Scheiding van beheermachtigingen tussen teams verhoogt de productiviteit en beveiliging
• Scheiding van API-runtime tussen teams verhoogt de betrouwbaarheid, tolerantie en beveiliging van api's
• Runtimeproblemen zijn opgenomen en kunnen worden toegewezen aan specifieke teams

Nadelen
• Gebrek aan gecentraliseerd API-beheer en waarneembaarheid
• Gebrek aan geïntegreerde ontwikkelaarsportal
• Hogere kosten en harder platformbeheer
Federatief

Diagram van het federatieve model van Azure API Management.
Voordelen
• Gecentraliseerd API-beheer en waarneembaarheid
• Geïntegreerde ontwikkelaarsportal voor effectieve API-detectie en onboarding
• Scheiding van beheermachtigingen tussen teams verhoogt de productiviteit en beveiliging
• Scheiding van API-runtime tussen teams verhoogt de betrouwbaarheid, tolerantie en beveiliging van api's
• Runtimeproblemen zijn opgenomen en kunnen worden toegewezen aan specifieke teams

Nadelen
• Platformkosten en beheerproblemen groter dan in het gecentraliseerde model, maar lager dan in het silomodel

Overzicht van voorbeeldscenario's

Een organisatie die API's beheert met behulp van Azure API Management, kan meerdere ontwikkelteams hebben die verschillende sets API's ontwikkelen, definiëren, onderhouden en productiseren. Met werkruimten kunnen deze teams API Management gebruiken om hun API's afzonderlijk te beheren, te openen en te beveiligen, en onafhankelijk van het beheren van de service-infrastructuur.

Hier volgt een voorbeeldwerkstroom voor het maken en gebruiken van een werkruimte.

  1. Een centraal API-platformteam dat het API Management-exemplaar beheert, maakt een werkruimte en wijst machtigingen toe aan werkruimtemedewerkers met behulp van RBAC-rollen, bijvoorbeeld machtigingen voor het maken of lezen van resources in de werkruimte. Er wordt ook een toegewezen API-gateway gemaakt voor de werkruimte.

  2. Een centraal API-platformteam maakt gebruik van DevOps-hulpprogramma's om een DevOps-pijplijn voor API's in die werkruimte te maken.

  3. Werkruimteleden ontwikkelen, publiceren, productiseren en onderhouden API's in de werkruimte.

  4. Het centrale API-platformteam beheert de infrastructuur van de service, zoals bewaking, tolerantie en afdwinging van beleid voor alle API's.

API-beheer in een werkruimte

Teams beheren hun eigen API's, producten, abonnementen, back-ends, beleid, loggers en andere resources binnen werkruimten. Zie de API Management REST API-referentie voor een volledige lijst met resources en bewerkingen die worden ondersteund in werkruimten.

Terwijl werkruimten onafhankelijk van de API Management-service en andere werkruimten worden beheerd, kunnen ze standaard verwijzen naar geselecteerde resources op serviceniveau. Zie werkruimten en andere API Management-functies verderop in dit artikel.

Werkruimtegateway

Elke werkruimte kan worden gekoppeld aan werkruimtegateways om runtime van API's in de werkruimte in te schakelen. De werkruimtegateway is een zelfstandige Azure-resource met dezelfde kernfunctionaliteit als de gateway die is ingebouwd in uw API Management-service.

Werkruimtegateways worden onafhankelijk van de API Management-service en van elkaar beheerd. Ze zorgen voor isolatie van runtime tussen werkruimten, het verhogen van de betrouwbaarheid, tolerantie en beveiliging van DE API en het inschakelen van het toewijzen van runtimeproblemen aan werkruimten.

  • Zie prijzen voor API Management voor informatie over de kosten van werkruimtegateways.
  • Zie het overzicht van API Management-gateways voor een gedetailleerde vergelijking van API Management-gateways.

Notitie

We introduceren de mogelijkheid om meerdere werkruimten te koppelen aan een werkruimtegateway, zodat organisaties API's met werkruimten tegen lagere kosten kunnen beheren. Deze functie wordt vanaf december 2024 geïmplementeerd en is mogelijk niet beschikbaar voor alle in aanmerking komende services vóór januari. Meer informatie

Hostnaam van gateway

Elke koppeling van een werkruimte naar een werkruimtegateway maakt een unieke hostnaam voor API's die in die werkruimte worden beheerd. Standaardhostnamen volgen het patroon <workspace-name>-<hash>.gateway.<region>.azure-api.net. Op dit moment worden aangepaste hostnamen niet ondersteund voor werkruimtegateways.

Netwerkisolatie

Een werkruimtegateway kan eventueel worden geconfigureerd in een particulier virtueel netwerk om inkomend en/of uitgaand verkeer te isoleren. Als deze is geconfigureerd, moet de werkruimtegateway een toegewezen subnet in het virtuele netwerk gebruiken.

Zie Netwerkresourcevereisten voor werkruimtegateways voor gedetailleerde vereisten.

Notitie

  • De netwerkconfiguratie van een werkruimtegateway is onafhankelijk van de netwerkconfiguratie van het API Management-exemplaar.
  • Op dit moment kan een werkruimtegateway alleen worden geconfigureerd in een virtueel netwerk wanneer de gateway wordt gemaakt. U kunt de netwerkconfiguratie of -instellingen van de gateway later niet wijzigen.

Schaal van capaciteit aanpassen

Beheer gatewaycapaciteit door schaaleenheden handmatig toe te voegen of te verwijderen, vergelijkbaar met de eenheden die kunnen worden toegevoegd aan het API Management-exemplaar in bepaalde servicelagen. De kosten van een werkruimtegateway zijn gebaseerd op het aantal eenheden dat u selecteert.

Regionale beschikbaarheid

Zie Beschikbaarheid van v2-lagen en werkruimtegateways voor een huidige lijst met regio's waar werkruimtegateways beschikbaar zijn.

Gatewaybeperkingen

De volgende beperkingen zijn momenteel van toepassing op werkruimtegateways:

  • Een werkruimtegateway moet zich in dezelfde regio bevinden als de primaire Azure-regio van het API Management-exemplaar en in hetzelfde abonnement.
  • Een werkruimte kan niet worden gekoppeld aan een zelf-hostende gateway
  • Werkruimtegateways bieden geen ondersteuning voor binnenkomende privé-eindpunten
  • API's in werkruimtegateways kunnen niet worden toegewezen aan aangepaste hostnamen
  • API's in werkruimten vallen niet onder Defender for API's
  • Werkruimtegateways bieden geen ondersteuning voor referentiebeheer van de API Management-service
  • Werkruimtegateways ondersteunen alleen interne cache; externe cache wordt niet ondersteund
  • Werkruimtegateways bieden geen ondersteuning voor synthetische GraphQL-API's en WebSocket-API's
  • Werkruimtegateways bieden geen ondersteuning voor het rechtstreeks maken van API's vanuit Azure-resources, zoals Azure OpenAI Service, App Service, Functie-apps, enzovoort
  • Metrische gegevens van aanvragen kunnen niet worden gesplitst per werkruimte in Azure Monitor; alle metrische gegevens van de werkruimte worden geaggregeerd op serviceniveau
  • Azure Monitor-logboeken worden geaggregeerd op serviceniveau; Logboeken op werkruimteniveau zijn niet beschikbaar
  • Werkruimtegateways bieden geen ondersteuning voor CA-certificaten
  • Werkruimtegateways bieden geen ondersteuning voor automatisch schalen
  • Werkruimtegateways bieden geen ondersteuning voor beheerde identiteiten, waaronder gerelateerde functies zoals het opslaan van geheimen in Azure Key Vault en het gebruik van het authentication-managed-identity beleid

RBAC-rollen voor werkruimten

Azure RBAC wordt gebruikt om de machtigingen van medewerkers voor werkruimten te configureren voor het lezen en bewerken van entiteiten in de werkruimte. Zie Op rollen gebaseerd toegangsbeheer gebruiken in API Management voor een lijst met rollen.

Als u API's en andere resources in de werkruimte wilt beheren, moeten werkruimteleden toegewezen rollen (of gelijkwaardige machtigingen met behulp van aangepaste rollen) zijn toegewezen aan de API Management-service, de werkruimte en de werkruimtegateway. Met de rol met servicebereik kunt u verwijzen naar bepaalde resources op serviceniveau van resources op werkruimteniveau. Organiseer bijvoorbeeld een gebruiker in een groep op werkruimteniveau om de API en de zichtbaarheid van producten te beheren.

Notitie

Voor eenvoudiger beheer stelt u Microsoft Entra-groepen in om werkruimtemachtigingen toe te wijzen aan meerdere gebruikers.

Werkruimten en andere API Management-functies

Werkruimten zijn ontworpen om zelfstandig te zijn om de scheiding van beheerderstoegang en API-runtime te maximaliseren. Er zijn verschillende uitzonderingen om een hogere productiviteit te garanderen en platformbrede governance, waarneembaarheid, herbruikbaarheid en API-detectie mogelijk te maken.

  • Resourceverwijzingen : resources in een werkruimte kunnen verwijzen naar andere resources in de werkruimte en geselecteerde resources op serviceniveau, zoals gebruikers, autorisatieservers of ingebouwde gebruikersgroepen. Ze kunnen niet verwijzen naar resources uit een andere werkruimte.

    Om veiligheidsredenen is het niet mogelijk om te verwijzen naar resources op serviceniveau van beleid op werkruimteniveau (bijvoorbeeld benoemde waarden) of op resourcenamen, zoals backend-id in het beleid voor de set-back-endservice .

    Belangrijk

    Alle resources in een API Management-service (bijvoorbeeld API's, producten, tags of abonnementen) moeten unieke namen hebben, zelfs als ze zich in verschillende werkruimten bevinden. Er kunnen geen resources van hetzelfde type zijn en met dezelfde Azure-resourcenaam in dezelfde werkruimte, in andere werkruimten of op serviceniveau.

  • Ontwikkelaarsportal : werkruimten zijn een beheerconcept en worden niet als zodanig weergegeven voor gebruikers van de ontwikkelaarsportal, zoals via de gebruikersinterface van de ontwikkelaarsportal en de onderliggende API. API's en producten binnen een werkruimte kunnen worden gepubliceerd naar de ontwikkelaarsportal, net als API's en producten op serviceniveau.

    Notitie

    API Management biedt ondersteuning voor het toewijzen van autorisatieservers die zijn gedefinieerd op serviceniveau aan API's binnen werkruimten.

Migreren vanuit preview-werkruimten

Als u preview-werkruimten hebt gemaakt in Azure API Management en deze wilt blijven gebruiken, migreert u uw werkruimten naar de algemeen beschikbare versie door een werkruimtegateway te koppelen aan elke werkruimte.

Zie wijzigingen die fouten veroorzaken in werkruimten (maart 2025) voor meer informatie en meer informatie over andere wijzigingen die van invloed kunnen zijn op uw preview-werkruimten.

Een werkruimte verwijderen

Als u een werkruimte verwijdert, worden alle onderliggende resources (API's, producten enzovoort) en de bijbehorende gateway verwijderd, als u de werkruimte verwijdert met behulp van de Interface van Azure Portal. Het API Management-exemplaar of andere werkruimten worden niet verwijderd.