Zabezpieczanie ruchu przychodzącego lub wychodzącego dla usługi Azure API Management za pomocą sieci wirtualnej
DOTYCZY: Developer | Podstawowa | Podstawowa wersja 2 | Standardowa | Standardowa, wersja 2 | Premium | Premium, wersja 2
Domyślnie wystąpienie usługi API Management jest dostępne z Internetu w publicznym punkcie końcowym i działa jako brama do publicznych zapleczy. Usługa API Management oferuje kilka opcji użycia sieci wirtualnej platformy Azure w celu zabezpieczenia dostępu do wystąpienia usługi API Management i interfejsów API zaplecza. Dostępne opcje zależą od warstwy usług wystąpienia usługi API Management. Wybierz możliwości sieciowe, aby spełnić potrzeby organizacji.
W poniższej tabeli porównaliśmy opcje sieci wirtualnej. Aby uzyskać więcej informacji, zobacz kolejne sekcje tego artykułu i linki do szczegółowych wskazówek.
| Model sieci | Obsługiwane warstwy | Obsługiwane składniki | Obsługiwany ruch | Scenariusz użycia |
|---|---|---|---|---|
| Wstrzykiwanie sieci wirtualnej (warstwy klasyczne) — zewnętrzne | Deweloper, Premium | Portal deweloperów, brama, płaszczyzna zarządzania i repozytorium Git | Ruch przychodzący i wychodzący może być dozwolony do Internetu, równorzędnych sieci wirtualnych, usługi ExpressRoute i połączeń sieci VPN typu lokacja-lokacja. | Zewnętrzny dostęp do prywatnych i lokalnych zapleczy |
| Wstrzykiwanie sieci wirtualnej (warstwy klasyczne) — wewnętrzne | Deweloper, Premium | Portal deweloperów, brama, płaszczyzna zarządzania i repozytorium Git | Ruch przychodzący i wychodzący może być dozwolony dla równorzędnych sieci wirtualnych, usługi ExpressRoute i połączeń sieci VPN typu lokacja-lokacja. | Wewnętrzny dostęp do prywatnych i lokalnych zapleczy |
| Iniekcja sieci wirtualnej (warstwy w wersji 2) | Premium v2 | Tylko brama | Ruch przychodzący i wychodzący może być dozwolony do delegowanej podsieci sieci wirtualnej, równorzędnych sieci wirtualnych, usługi ExpressRoute i połączeń sieci VPN typu lokacja-lokacja. | Wewnętrzny dostęp do prywatnych i lokalnych zapleczy |
| Integracja z siecią wirtualną (warstwy w wersji 2) | Standardowa v2, Premium v2 | Tylko brama | Ruch żądań wychodzących może docierać do interfejsów API hostowanych w delegowanej podsieci pojedynczej połączonej sieci wirtualnej. | Zewnętrzny dostęp do prywatnych i lokalnych zapleczy |
| Przychodzący prywatny punkt końcowy | Developer, Basic, Standard, Premium | Tylko brama (obsługiwana brama zarządzana, brama self-hosted nie jest obsługiwana) | Tylko ruch przychodzący może być dozwolony z Internetu, równorzędnych sieci wirtualnych, usługi ExpressRoute i połączeń sieci VPN typu lokacja-lokacja. | Zabezpieczanie połączenia klienta z bramą usługi API Management |
Wstrzykiwanie sieci wirtualnej (warstwy klasyczne)
W klasycznych warstwach Developer i Premium usługi API Management wdróż wystąpienie usługi API Management w podsieci w sieci nieinternetowej, do której kontrolujesz dostęp. W sieci wirtualnej wystąpienie usługi API Management może bezpiecznie uzyskiwać dostęp do innych sieciowych zasobów platformy Azure, a także łączyć się z sieciami lokalnymi przy użyciu różnych technologii sieci VPN.
Do konfiguracji można użyć witryny Azure Portal, interfejsu wiersza polecenia platformy Azure, szablonów usługi Azure Resource Manager lub innych narzędzi. Kontrolujesz ruch przychodzący i wychodzący do podsieci, w której usługa API Management jest wdrażana przy użyciu sieciowych grup zabezpieczeń.
Aby uzyskać szczegółowe instrukcje wdrażania i konfigurację sieci, zobacz:
- Wdróż wystąpienie usługi API Management w sieci wirtualnej — tryb zewnętrzny.
- Wdróż wystąpienie usługi API Management w sieci wirtualnej — tryb wewnętrzny.
- Wymagania dotyczące zasobów sieciowych dotyczące wstrzykiwania usługi API Management do sieci wirtualnej.
Opcje dostępu
Za pomocą sieci wirtualnej można skonfigurować portal dla deweloperów, bramę interfejsu API i inne punkty końcowe usługi API Management, aby były dostępne z Internetu (tryb zewnętrzny) lub tylko w sieci wirtualnej (tryb wewnętrzny).
Zewnętrzne — punkty końcowe usługi API Management są dostępne z publicznego Internetu za pośrednictwem zewnętrznego modułu równoważenia obciążenia. Brama może uzyskiwać dostęp do zasobów w sieci wirtualnej.
Użyj usługi API Management w trybie zewnętrznym, aby uzyskać dostęp do usług zaplecza wdrożonych w sieci wirtualnej.
Wewnętrzne — punkty końcowe usługi API Management są dostępne tylko z poziomu sieci wirtualnej za pośrednictwem wewnętrznego modułu równoważenia obciążenia. Brama może uzyskiwać dostęp do zasobów w sieci wirtualnej.
Użyj usługi API Management w trybie wewnętrznym, aby:
- Bezpieczne udostępnianie interfejsów API w prywatnym centrum danych przez inne firmy przy użyciu połączeń sieci VPN platformy Azure lub usługi Azure ExpressRoute.
- Włącz scenariusze chmury hybrydowej, uwidaczniając interfejsy API oparte na chmurze i lokalne interfejsy API za pośrednictwem wspólnej bramy.
- Zarządzaj interfejsami API hostowanymi w wielu lokalizacjach geograficznych przy użyciu pojedynczego punktu końcowego bramy.
Iniekcja sieci wirtualnej (warstwy w wersji 2)
W warstwie API Management w wersji 2 wprowadź wystąpienie do delegowanej podsieci sieci wirtualnej, aby zabezpieczyć ruch przychodzący i wychodzący bramy. Obecnie można skonfigurować ustawienia iniekcji sieci wirtualnej podczas tworzenia wystąpienia.
W tej konfiguracji:
- Punkt końcowy bramy usługi API Management jest dostępny za pośrednictwem sieci wirtualnej pod prywatnym adresem IP.
- Usługa API Management może wysyłać żądania wychodzące do zapleczy interfejsu API, które są izolowane w sieci.
Ta konfiguracja jest zalecana w scenariuszach, w których chcesz odizolować zarówno wystąpienie usługi API Management, jak i interfejsy API zaplecza. Iniekcja sieci wirtualnej w warstwie Premium v2 automatycznie zarządza łącznością sieciową z większością zależności usług dla usługi Azure API Management.
Aby uzyskać więcej informacji, zobacz Wstrzykiwanie wystąpienia Premium w wersji 2 do sieci wirtualnej.
Integracja z siecią wirtualną (warstwy w wersji 2)
Warstwy Standardowa w wersji 2 i Premium w wersji 2 obsługują integrację wychodzącej sieci wirtualnej, aby umożliwić wystąpieniu usługi API Management dotarcie do zapleczy interfejsu API, które są izolowane w jednej połączonej sieci wirtualnej. Brama usługi API Management, płaszczyzna zarządzania i portal deweloperów pozostają publicznie dostępne z Internetu.
Integracja ruchu wychodzącego umożliwia wystąpieniu usługi API Management dotarcie zarówno do usług zaplecza publicznych, jak i i izolowanych przez sieć.
Aby uzyskać więcej informacji, zobacz Integrowanie wystąpienia usługi Azure API Management z prywatną siecią wirtualną dla połączeń wychodzących.
Przychodzący prywatny punkt końcowy
Usługa API Management obsługuje prywatne punkty końcowe na potrzeby bezpiecznych połączeń przychodzących klientów z wystąpieniem usługi API Management. Każde bezpieczne połączenie używa prywatnego adresu IP z sieci wirtualnej i usługi Azure Private Link.
Za pomocą prywatnego punktu końcowego i usługi Private Link można wykonywać następujące czynności:
Tworzyć wiele połączeń Private Link z wystąpieniem usługi API Management.
Używać prywatnego punktu końcowego do wysyłania ruchu przychodzącego na bezpiecznym połączeniu.
Używać zasad, aby odróżnić ruch pochodzący z prywatnego punktu końcowego.
Ograniczać ruch przychodzący tylko do prywatnych punktów końcowych, uniemożliwiając eksfiltrację danych.
Ważne
Połączenie prywatnego punktu końcowego można skonfigurować tylko dla ruchu przychodzącego do wystąpienia usługi API Management. Obecnie ruch wychodzący nie jest obsługiwany.
Za pomocą zewnętrznego lub wewnętrznego modelu sieci wirtualnej można ustanowić łączność wychodzącą z prywatnymi punktami końcowymi z wystąpienia usługi API Management.
Aby włączyć przychodzące prywatne punkty końcowe, wystąpienie usługi API Management nie może być wstrzykiwane do zewnętrznej lub wewnętrznej sieci wirtualnej.
Aby uzyskać więcej informacji, zobacz Łączenie prywatnie z usługą API Management przy użyciu przychodzącego prywatnego punktu końcowego.
Zaawansowane konfiguracje sieci
Zabezpieczanie punktów końcowych usługi API Management za pomocą zapory aplikacji internetowej
Mogą istnieć scenariusze, w których potrzebujesz zarówno bezpiecznego dostępu zewnętrznego, jak i wewnętrznego do wystąpienia usługi API Management oraz elastyczności w zakresie uzyskiwania dostępu do prywatnych i lokalnych zapleczy. W tych scenariuszach można wybrać zarządzanie dostępem zewnętrznym do punktów końcowych wystąpienia usługi API Management przy użyciu zapory aplikacji internetowej (WAF).
Jednym z przykładów jest wdrożenie wystąpienia usługi API Management w wewnętrznej sieci wirtualnej i kierowanie do niego publicznego dostępu przy użyciu bramy aplikacja systemu Azure dostępnej z Internetu:
Aby uzyskać więcej informacji, zobacz Wdrażanie usługi API Management w wewnętrznej sieci wirtualnej za pomocą usługi Application Gateway.
Powiązana zawartość
Dowiedz się więcej o konfiguracji sieci wirtualnej za pomocą usługi API Management:
- Wdróż wystąpienie usługi Azure API Management w sieci wirtualnej — tryb zewnętrzny.
- Wdróż wystąpienie usługi Azure API Management w sieci wirtualnej — tryb wewnętrzny.
- Prywatne łączenie z usługą API Management przy użyciu prywatnego punktu końcowego
- Wstrzykiwanie wystąpienia Premium v2 do sieci wirtualnej
- Integrowanie wystąpienia usługi Azure API Management z prywatną siecią wirtualną na potrzeby połączeń wychodzących
- Obrona wystąpienia usługi Azure API Management przed atakami DDoS
Aby dowiedzieć się więcej o sieciach wirtualnych platformy Azure, zacznij od informacji w temacie Omówienie usługi Azure Virtual Network.