Conecte-se de maneira privada ao Gerenciamento de API usando um ponto de extremidade privado de entrada.
APLICA-SE A: Desenvolvedor | Básico | Padrão | Standard v2 | Premium
Você pode configurar um ponto de extremidade privado de entrada para sua instância de Gerenciamento de API para permitir que os clientes em sua rede privada acessem com segurança a instância por meio do Link Privado do Azure.
Observação
O suporte ao ponto de extremidade privado na camada Standard v2 está atualmente em versão prévia limitada. Para se inscrever, preencha este formulário.
O ponto de extremidade privado usa um endereço IP de uma rede virtual do Azure na qual ele está hospedado.
O tráfego de rede entre um cliente em sua rede privada e o Gerenciamento de API atravessa a rede virtual e um Link Privado na rede de backbone da Microsoft, eliminando a exposição da Internet pública.
Defina configurações de DNS personalizadas ou uma zona privada de DNS do Azure para mapear o nome do host de Gerenciamento de API até o endereço IP privado do ponto de extremidade.
Com um ponto de extremidade privado e um Link Privado, você pode:
Criar várias conexões de Link Privado com uma instância de Gerenciamento de API.
Usar o ponto de extremidade privado para enviar tráfego de entrada em uma conexão segura.
Usar a política para distinguir o tráfego proveniente do ponto de extremidade privado.
Limitar o tráfego de entrada somente para pontos de extremidade privados, impedindo exfiltração de dados.
Combine pontos de extremidade privados de entrada com instâncias Standard v2 com integração de rede virtual de saída para fornecer isolamento de rede de ponta a ponta de seus clientes de Gerenciamento de API e serviços de back-end.
Importante
- Você só pode configurar uma conexão de ponto de extremidade privado para o tráfego de entrada para a instância de Gerenciamento de API.
Limitações
- Somente o ponto de extremidade de gateway da instância de Gerenciamento de API dá suporte a conexões de entrada de Link Privado.
- Cada instância de Gerenciamento de API dá suporte a no máximo 100 conexões de Link Privado.
- Não há suporte para conexões no gateway auto-hospedado nem em um gateway do espaço de trabalho.
- Nas camadas clássicas de Gerenciamento de API, não há suporte para pontos de extremidade privados em instâncias injetadas em uma rede virtual interna ou externa.
Pré-requisitos
- Uma instância de Gerenciamento de API existente. Crie uma, se ainda não tiver.
- Uma rede virtual que contém uma sub-rede para hospedar o ponto de extremidade privado. A sub-rede pode conter outros recursos do Azure.
- (Recomendável) Uma máquina virtual na mesma ou em uma sub-rede diferente na rede virtual, para testar o ponto de extremidade privado.
Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Bash no Azure Cloud Shell.
Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.
Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.
Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.
Método de aprovação para ponto de extremidade privado
Normalmente, um administrador de rede cria um ponto de extremidade privado. Dependendo de suas permissões de controle de acesso baseado em função (RBAC) do Azure, um ponto de extremidade privado que você cria é aprovado automaticamente para enviar tráfego para a instância de Gerenciamento de API ou exige que o proprietário do recurso aprove manualmente a conexão.
| Método de aprovação | Permissões de RBAC mínimas |
|---|---|
| Automático | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/readMicrosoft.ApiManagement/service/**Microsoft.ApiManagement/service/privateEndpointConnections/** |
| Manual | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Etapas de configuração de um ponto de extremidade privado
- Obter tipos de ponto de extremidade privados disponíveis na assinatura
- Desabilitar políticas de rede na sub-rede
- Criar um ponto de extremidade privado – Portal
Obter tipos de ponto de extremidade privados disponíveis na assinatura
Verifique se o tipo de ponto de extremidade privado de Gerenciamento de API está disponível em sua assinatura e local. No portal, encontre essas informações acessando o Centro de Link Privado. Selecione Recursos com suporte.
Você também pode encontrar essas informações usando a API REST Tipos de ponto de extremidade privados disponíveis - Lista.
GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01
A saída deve incluir o tipo de ponto de extremidade Microsoft.ApiManagement.service:
[...]
"name": "Microsoft.ApiManagement.service",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Network/AvailablePrivateEndpointTypes/Microsoft.ApiManagement.service",
"type": "Microsoft.Network/AvailablePrivateEndpointTypes",
"resourceName": "Microsoft.ApiManagement/service",
"displayName": "Microsoft.ApiManagement/service",
"apiVersion": "2021-04-01-preview"
}
[...]
Desabilitar políticas de rede na sub-rede
Políticas de rede, como grupos de segurança de rede devem ser desabilitadas na sub-rede usada para o ponto de extremidade privado.
Se você usar ferramentas como Azure PowerShell, a CLI do Azure ou a API REST para configurar pontos de extremidade privados, atualize a configuração de sub-rede manualmente. Por exemplo, consulte Gerenciar políticas de rede para pontos de extremidade privados.
Quando você usa o portal do Azure para criar um ponto de extremidade privado, conforme mostrado na próxima seção, as políticas de rede são desabilitadas automaticamente como parte do processo de criação.
Criar ponto de extremidade privado - Portal
Você pode criar um ponto de extremidade privado para sua instância de Gerenciamento de API no portal do Azure.
Nas camadas clássicas de Gerenciamento de API, você pode criar um ponto de extremidade privado ao criar a instância. Em uma instância existente, use a folha Rede da instância no portal do Azure.
Navegue até seu serviço de Gerenciamento de API no portal do Azure.
No menu à esquerda, em Implantação + Infraestrutura, selecione Rede.
Selecione Conexões de ponto de extremidade privadas de entrada>+ Adicionar ponto de extremidade.
Na guia Noções básicas de Criar um ponto de extremidade privado, digite ou selecione as seguintes informações:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione um grupo de recursos existente ou crie um. Ele deve estar na mesma região que a sua rede virtual. Detalhes da instância Nome Insira um nome para o ponto de extremidade privado, como myPrivateEndpoint. Nome da Interface de Rede Insira um nome para o adaptador de rede, como myInterface Região Insira um local para o ponto de extremidade privado. Ele deve estar na mesma região que a sua rede virtual. Ele pode ser diferente da região onde sua instância de Gerenciamento de API está hospedada. Selecione o botão Avançar: Recurso na parte inferior da página. As seguintes informações sobre sua instância de Gerenciamento de API já estão preenchidas:
- Assinatura
- Tipo de recurso
- Nome do recurso
Em Recurso, em Sub-recursos de destino, selecione Gateway.
Importante
Somente o sub-recurso Gateway tem suporte para o Gerenciamento de API. Não há suporte para outros sub-recursos.
Selecione o botão Avançar: Rede Virtual na parte inferior da página.
Em Rede Virtual, insira ou selecione estas informações:
Configuração Valor Rede virtual Selecione sua rede virtual. Sub-rede Selecione sua sub-rede. Configuração de IP privado Na maioria dos casos, selecione Alocar endereço IP dinamicamente. Grupo de segurança do aplicativo Opcionalmente, selecione um grupo de segurança do aplicativo. Selecione o botão Avançar: DNS na parte inferior da tela.
Em Integração de DNS privado, insira ou selecione estas informações:
Configuração Valor Integrar com a zona DNS privado Mantenha o padrão Sim. Subscription Selecione sua assinatura. Resource group Selecione o grupo de recursos. Zonas DNS privadas O valor padrão é exibido: (novo) privatelink.azure-api.net. Selecione o botão Avançar: Guias na parte inferior da tela. Se desejar, insira marcas para organizar seus recursos do Azure.
Selecione o botão Avançar: Revisar + criar na parte inferior da tela. Selecione Criar.
Listar conexões de ponto de extremidade privado com a instância
Depois que o ponto de extremidade privado é criado e o serviço é atualizado, ele aparece na lista da página Conexões de ponto de extremidade privado de entrada da instância de Gerenciamento de API no portal.
Observe o status de conexão do ponto de extremidade:
- Aprovado indica que o recurso de Gerenciamento de API aprovou automaticamente a conexão.
- Pendente indica que a conexão deve ser aprovada manualmente pelo proprietário do recurso.
Aprovar conexões de ponto de extremidade privado pendentes
Se uma conexão de ponto de extremidade privado estiver com status pendente, um proprietário da instância de Gerenciamento de API deverá aprová-la manualmente antes que ela possa ser usada.
Se você tiver permissões suficientes, aprove uma conexão de ponto de extremidade privado na página Conexões de ponto de extremidade privado da instância de Gerenciamento de API no portal. No menu contexto da conexão (...), selecione Aprovar.
Você também pode usar a API REST Conexão de Ponto de Extremidade Privado - Criar ou Atualizar do Gerenciamento de API para aprovar conexões de ponto de extremidade privado pendentes.
Desabilitar opcionalmente o acesso à rede pública
Opcionalmente, para limitar o tráfego de entrada para a instância de Gerenciamento de API apenas para pontos de extremidade privados, desabilite a propriedade de acesso à rede pública.
Observação
O acesso à rede pública só pode ser desabilitado em instâncias de Gerenciamento de API configuradas com um ponto de extremidade privado, não com outras configurações de rede.
Para desabilitar a propriedade de acesso à rede pública usando a CLI do Azure, execute o seguinte comando az apim update, substituindo os nomes da instância de Gerenciamento de API e do grupo de recursos:
az apim update --name my-apim-service --resource-group my-resource-group --public-network-access false
Você também pode usar a API REST Serviço de Gerenciamento de API – Atualizar para desabilitar o acesso à rede pública, definindo a propriedade publicNetworkAccess como Disabled.
Validar conexão de ponto de extremidade privado
Depois que o ponto de extremidade privado for criado, confirme suas configurações de DNS no portal:
Navegue até seu serviço de Gerenciamento de API no portal do Azure.
No menu à esquerda, em Implantação + infraestrutura, selecione Rede>Conexões de ponto de extremidade privado de entrada e selecione o ponto de extremidade privado que você criou.
Na barra de navegação à esquerda, em Configurações, selecione Configuração DNS.
Revise os registros DNS e o endereço IP do ponto de extremidade privado. O endereço IP é um endereço privado no espaço de endereço da sub-rede no qual o ponto de extremidade privado é configurado.
Testar na rede virtual
Conexão de uma máquina virtual configurada na rede virtual.
Execute um utilitário como nslookup ou dig para pesquisar o endereço IP do seu ponto de extremidade do gateway padrão no Link Privado. Por exemplo:
nslookup my-apim-service.privatelink.azure-api.net
A saída deve incluir o endereço IP privado associado ao ponto de extremidade privado.
As chamadas da API iniciadas na rede virtual até o ponto de extremidade do gateway padrão devem ser bem-sucedidas.
Teste a partir da Internet
De fora do caminho do ponto de extremidade privado, tente chamar o ponto de extremidade do gateway padrão da instância do Gerenciamento de API. Se o acesso público estiver desabilitado, a saída incluirá um erro com o código de status 403 e uma mensagem semelhante a:
Request originated from client public IP address 192.0.2.12, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network.
Conteúdo relacionado
- Use expressões de política com a variável
context.requestpara identificar o tráfego do ponto de extremidade privado. - Saiba mais sobre pontos de extremidade privados e Link Privado, incluindo preços de Link Privado.
- Gerenciar conexões de ponto de extremidade privado.
- Solucionar problemas de conectividade do ponto de extremidade privado do Azure.
- Use um modelo do Resource Manager para criar uma instância clássica de Gerenciamento de API e um ponto de extremidade privado com integração de DNS privado.
- Conecte o Azure Front Door Premium a um Gerenciamento de API do Azure com Link Privado (Versão Prévia).