O que são workspaces no Gerenciamento de API do Azure?
APLICA-SE A: Premium
No Gerenciamento de API, os workspaces trazem um novo nível de autonomia para as equipes de API de uma organização, permitindo que eles criem, gerenciem e publiquem APIs de maneira mais rápida, confiável, segura e produtiva dentro de um serviço de Gerenciamento de API. Ao fornecer acesso administrativo isolado e runtime de API, os workspaces capacitam as equipes de API, permitindo que a equipe da plataforma de API mantenha a supervisão. Isso inclui o monitoramento central, a imposição de políticas de API e conformidade e a publicação de APIs para descoberta por meio de um portal de desenvolvedor unificado.
Os workspaces funcionam como "pastas" em um serviço de Gerenciamento de API:
- Cada workspace contém APIs, produtos, assinaturas, valores nomeados e recursos relacionados.
- O acesso aos recursos em um workspace é gerenciado por meio do RBAC (controle de acesso baseado em função) do Azure com funções internas ou personalizadas atribuíveis às contas do Microsoft Entra.
- Cada workspace é associado a um gateway de workspace para rotear o tráfego de API para os serviços de back-end de APIs no workspace.
Observação
- Os recursos mais recentes do workspace são compatíveis com a API REST de Gerenciamento de API versão 2023-09-01-preview ou posterior.
- Para obter considerações de preço, veja Preço do Gerenciamento de API.
Gerenciamento de API federado com workspaces
Os workspaces adicionam suporte de primeira classe a um modelo federado de gerenciamento de APIs no Gerenciamento de API, além de modelos centralizados e compartimentalizados já compatíveis. Consulte a tabela a seguir para obter uma comparação desses modelos.
| Modelo | Descrição |
|---|---|
Centralizado
|
Prós • Governança e observabilidade de API centralizadas • Portal do desenvolvedor unificado para descoberta e integração eficazes de API • Eficiência de custo da infraestrutura Contras • Nenhuma segregação de permissões administrativas entre as equipes • O gateway de API é um ponto único de falha • Incapacidade de atribuir problemas de runtime a equipes específicas • A sobrecarga na equipe de plataforma para facilitar a colaboração pode reduzir o crescimento da API |
Compartimentalizado
|
Prós • A segregação de permissões administrativas entre equipes aumenta a produtividade e a segurança • A segregação do runtime de API entre as equipes aumenta a confiabilidade, a resiliência e a segurança da API • Problemas de runtime são contidos e atribuíveis a equipes específicas Contras • Falta de governança e observabilidade de API centralizadas • Falta de portal de desenvolvedor unificado • Aumento do custo e gerenciamento de plataforma mais difícil |
Federado
|
Prós • Governança e observabilidade de API centralizadas • Portal do desenvolvedor unificado para descoberta e integração eficazes de API • A segregação de permissões administrativas entre equipes aumenta a produtividade e a segurança • A segregação do runtime de API entre as equipes aumenta a confiabilidade, a resiliência e a segurança da API • Problemas de runtime são contidos e atribuíveis a equipes específicas Contras • Dificuldade de gerenciamento e custo de plataforma maior do que no modelo centralizado, mas menor do que no modelo compartimentalizado |
Visão geral do cenário de exemplo
Uma organização que gerencia APIs usando o Gerenciamento de API do Azure pode ter várias equipes de desenvolvimento que desenvolvem, definem, mantêm e produzem diferentes conjuntos de APIs. Os workspaces permitem que essas equipes usem Gerenciamento de API para gerenciar, acessar e proteger as APIs delas separadamente e independentemente do gerenciamento da infraestrutura de serviço.
Veja a seguir um fluxo de trabalho de amostra para criar e usar um workspace.
Uma equipe central de plataforma de API que gerencia a instância de Gerenciamento de API cria um espaço de trabalho e atribui permissões aos colaboradores do espaço de trabalho usando funções do RBAC, por exemplo, permissões para criar ou ler recursos no espaço de trabalho. Um gateway de API dedicado também é criado para o workspace.
Uma equipe central da plataforma de API usa ferramentas de DevOps para criar um pipeline de DevOps para APIs nesse workspace.
Os membros do workspace desenvolvem, publicam, produzem e mantêm APIs no workspace.
A equipe central da plataforma de API gerencia a infraestrutura do serviço, como monitoramento, resiliência e imposição de políticas de todas as APIs.
Gerenciamento de API em um workspace
As equipes gerenciam suas APIs, produtos, assinaturas, back-ends, políticas, agentes e outros recursos dentro de workspaces. Confira a referência da API REST de Gerenciamento de API para obter uma lista completa de recursos e operações compatíveis com workspaces.
Embora os workspaces sejam gerenciados independentemente do serviço de Gerenciamento de API e de outros workspaces, por design, eles podem referenciar recursos selecionados no nível do serviço. Consulte Workspaces e outros recursos de Gerenciamento de API, posteriormente neste artigo.
Gateway de workspace
Cada workspace pode ser associado a gateways de workspace para habilitar o runtime de APIs gerenciadas dentro do workspace. O gateway de workspace é um recurso autônomo do Azure com a mesma funcionalidade principal do gateway integrado ao serviço de Gerenciamento de API.
Os gateways de workspace são gerenciados independentemente do serviço de Gerenciamento de API e uns dos outros. Eles garantem o isolamento do runtime entre workspaces, aumentando a confiabilidade da API, a resiliência e a segurança e habilitando a atribuição de problemas de runtime para workspaces.
- Para obter informações sobre o custo dos gateways de workspace, consulte os preços do Gerenciamento de API.
- Para obter uma comparação detalhada dos gateways de Gerenciamento de API, consulte a Visão geral dos gateways de Gerenciamento de API.
Observação
Estamos introduzindo a capacidade de associar vários workspaces a um gateway de workspace, ajudando as organizações a gerenciar APIs com workspaces a um custo menor. Esse recurso será implementado a partir de dezembro de 2024 e talvez não esteja disponível para todos os serviços qualificados antes de janeiro. Saiba mais
Nome do host do gateway
Cada associação de um workspace a um gateway de workspace cria um nome de host exclusivo para APIs gerenciadas nesse workspace. Os nomes de host padrão seguem o padrão <workspace-name>-<hash>.gateway.<region>.azure-api.net. Atualmente, não há suporte para nomes de host personalizados para gateways de workspace.
Isolamento da rede
Opcionalmente, um gateway de workspace pode ser configurado em uma rede virtual privada para isolar o tráfego de entrada e/ou de saída. Se configurado, o gateway de workspace precisa usar uma sub-rede dedicada na rede virtual.
Para obter requisitos detalhados, confira os Requisitos de recursos de rede para gateways de workspace.
Observação
- A configuração de rede de um gateway do workspace é independente da configuração de rede da instância do Gerenciamento de API.
- Atualmente, um gateway de workspace só pode ser configurado em uma rede virtual quando o gateway é criado. Você não pode alterar a configuração ou as definições de rede do gateway posteriormente.
Dimensionar a capacidade
Gerencie a capacidade do gateway adicionando ou removendo manualmente unidades de escala, semelhantes às unidades que podem ser adicionadas à instância de Gerenciamento de API em determinadas camadas de serviço. Os custos de um gateway de workspace são baseados no número de unidades selecionadas.
Disponibilidade regional
Para obter uma lista atual de regiões em que os gateways do workspace estão disponíveis, consulte Disponibilidade de camadas v2 e gateways de workspace.
Restrições de gateway
As seguintes restrições atualmente se aplicam a gateways de workspace:
- Um gateway de workspace precisa estar na mesma região que a região primária do Azure da instância de Gerenciamento de API e na mesma assinatura.
- Um workspace não pode ser associado a um gateway auto-hospedado
- Os gateways de workspace não dão suporte a pontos de extremidade privados de entrada
- Nomes de host personalizados não podem ser atribuídos a APIs em gateways de workspace
- APIs em workspaces não são cobertas pelo Defender para APIs
- Os gateways de workspace não dão suporte ao gerenciador de credenciais do serviço de Gerenciamento de API
- Os gateways de workspace dão suporte apenas ao cache interno; não há suporte para cache externo
- Os gateways de workspace não dão suporte a APIs sintéticas do GraphQL e APIs WebSocket
- Os gateways de workspace não dão suporte à criação de APIs diretamente com base em recursos do Azure, como o Serviço OpenAI do Azure, o Serviço de Aplicativo, os Aplicativos de Funções e assim por diante
- As métricas de solicitação não podem ser divididas por workspace no Azure Monitor; todas as métricas do workspace são agregadas no nível do serviço
- Os logs do Azure Monitor são agregados no nível do serviço; os logs no nível do workspace não estão disponíveis
- Os gateways de workspace não dão suporte a certificados de AC
- Os gateways de workspace não dão suporte ao dimensionamento automático
- Os gateways de workspace não dão suporte a identidades gerenciadas, incluindo recursos relacionados, como armazenar segredos no Azure Key Vault e usar a política
authentication-managed-identity
Funções RBAC para workspaces
O RBAC do Azure é usado para configurar as permissões dos colaboradores do workspace para ler e editar entidades no workspace. Para obter uma lista de funções, veja Como usar o controle de acesso baseado em função no Gerenciamento de API.
Para gerenciar APIs e outros recursos no workspace, os membros do workspace precisam ter funções atribuídas (ou permissões equivalentes usando funções personalizadas) com escopo para o serviço de Gerenciamento de API, o workspace e o gateway de workspace. A função de escopo de serviço habilita a referência de recursos do nível de serviço a partir dos recursos do nível de espaço de trabalho. Por exemplo, organize um usuário em um grupo no nível do espaço de trabalho para controlar a API e a visibilidade do produto.
Observação
Para facilitar o gerenciamento, configure grupos do Microsoft Entra para atribuir permissões de workspace a vários usuários.
Workspaces e outros recursos de Gerenciamento de API
Os workspaces foram projetados para serem independentes a fim de maximizar a segregação do acesso administrativo e do runtime da API. Há várias exceções para garantir maior produtividade e habilitar a governança, a observabilidade, a reutilização e a descoberta de API em toda a plataforma.
Referências de recurso – os recursos em um workspace podem referenciar outros recursos no workspace e recursos selecionados no nível do serviço, como usuários, servidores de autorização ou grupos de usuários internos. Eles não podem referenciar recursos de outro workspace.
Por motivos de segurança, não é possível referenciar recursos de nível de serviço de políticas no nível do workspace (por exemplo, valores nomeados) ou por nomes de recursos, como
backend-idna política set-backend-service.Importante
Todos os recursos em um serviço de Gerenciamento de API (por exemplo, APIs, produtos, marcas ou assinaturas) precisam ter nomes exclusivos, mesmo que estejam localizados em workspaces diferentes. Não pode haver nenhum recurso do mesmo tipo e com o mesmo nome de recurso do Azure no mesmo workspace, em outros workspaces ou no nível de serviço.
Portal do desenvolvedor – os workspaces são um conceito administrativo e não são exibidos como tal para os consumidores do portal do desenvolvedor, inclusive por meio da interface do usuário do portal do desenvolvedor e da API subjacente. APIs e produtos em um workspace podem ser publicados no portal do desenvolvedor, assim como APIs e produtos no nível do serviço.
Observação
O Gerenciamento de API dá suporte à atribuição de servidores de autorização definidos no nível do serviço a APIs em workspaces.
Migrar de workspaces em versão prévia
Se você criou workspaces em versão prévia no Gerenciamento de API do Azure e deseja continuar usando-os, migre seus workspaces para a versão em disponibilidade geral associando um gateway de workspace a cada workspace.
Para obter detalhes e saber mais sobre outras alterações que podem afetar seus workspaces em versão prévia, consulte Alterações interruptivas em workspaces (março de 2025).
Como excluir um workspace
A exclusão de um workspace usando a interface do portal do Azure exclui todos os respectivos recursos-filho (APIs, produtos e assim por diante) e o gateway associado. Isso não exclui a instância de Gerenciamento de API ou outros workspaces.