Endereços IP do Gerenciamento de API do Azure
APLICA-SE A: Todas as camadas de gerenciamento de API
Neste artigo, descrevemos como recuperar os endereços IP do serviço de Gerenciamento de API do Azure. Os endereços IP podem ser públicos ou privados se o serviço estiver em uma rede virtual. Você pode usar endereços IP para criar regras de firewall, filtrar o tráfego de entrada para os serviços de back-end ou restringir o tráfego de saída.
Endereços IP públicos
Cada instância de serviço de Gerenciamento de API na camada Developer, Basic, Standard ou Premium tem endereços IP públicos, que são exclusivos apenas para essa instância de serviço (eles não são compartilhados com outros recursos).
Você pode recuperar os endereços IP no painel de visão geral do seu recurso no portal do Azure.
Você também pode buscá-los programaticamente com a seguinte chamada de API:
GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>
Os endereços IP públicos farão parte da resposta:
{
...
"properties": {
...
"publicIPAddresses": [
"172.31.0.1"
],
...
}
...
}
Em implantações multirregionais, cada implantação regional tem um endereço IP público.
Endereços IP do serviço de Gestão de API na VNet
Se o seu serviço de Gerenciamento de API estiver dentro de uma rede virtual, ele terá dois tipos de endereços IP: público e privado.
Os endereços IP públicos são usados para comunicação interna na porta
3443
- para gerenciar a configuração (por exemplo, por meio do Gerenciador de Recursos do Azure). Na configuração de VNet externa, eles também são usados para tráfego de API de tempo de execução. Na configuração de rede virtual interna, os endereços IP públicos são usados apenas para operações de gerenciamento interno do Azure e não expõem sua instância à Internet.Os endereços IP virtuais privados (VIP), disponíveis apenas no modo VNet interno, são usados para se conectar de dentro da rede aos pontos de extremidade de Gerenciamento de API - gateways, o portal do desenvolvedor e o plano de gerenciamento para acesso direto à API. Você pode usá-los para configurar registros DNS na rede.
Você verá endereços de ambos os tipos no portal do Azure e na resposta da chamada de API:
GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>
{
...
"properties": {
...
"publicIPAddresses": [
"172.31.0.1"
],
"privateIPAddresses": [
"192.168.1.5"
],
...
},
...
}
Importante
Os endereços IP privados do balanceador de carga interno e das unidades de gerenciamento de API são atribuídos dinamicamente. Portanto, é impossível antecipar o IP privado da instância de Gerenciamento de API antes de sua implantação. Além disso, alterar para uma sub-rede diferente e, em seguida, retornar pode causar uma alteração no endereço IP privado.
Endereços IP para tráfego de saída
O Gerenciamento de API usa um endereço IP público para uma conexão fora da VNet ou uma VNet emparelhada e usa um endereço IP privado para uma conexão na VNet ou uma VNet emparelhada.
Quando o Gerenciamento de API é implantado em uma rede virtual externa ou interna e o Gerenciamento de API se conecta a back-ends privados (voltados para intranet), os endereços IP internos (IP dinâmico ou endereços DIP) da sub-rede são usados para o tráfego da API de tempo de execução. Quando uma solicitação é enviada do Gerenciamento de API para um back-end privado, um endereço IP privado será visível como a origem da solicitação.
Portanto, se a restrição de IP listar recursos seguros dentro da VNet ou de uma VNet emparelhada, é recomendável usar todo o intervalo de sub-redes do Gerenciamento de API com uma regra de IP - e (no modo interno) não apenas o endereço IP privado associado ao recurso de Gerenciamento de API.
Quando uma solicitação é enviada do Gerenciamento de API para um back-end público (voltado para a Internet), um endereço IP público sempre estará visível como a origem da solicitação.
Endereços IP do serviço de Gerenciamento de API de Consumo, Basic v2, Standard v2 e Premium v2
Se sua instância de Gerenciamento de API for criada em uma camada de serviço executada em uma infraestrutura compartilhada, ela não terá um endereço IP dedicado. Atualmente, as instâncias nas seguintes camadas de serviço são executadas em uma infraestrutura compartilhada e sem um endereço IP determinístico: Consumption, Basic v2, Standard v2, Premium v2.
Se você precisar adicionar os endereços IP de saída usados pela sua instância de camada Consumption, Basic v2, Standard v2 ou Premium v2 a uma lista de permissões, poderá adicionar o data center da instância (região do Azure) a uma lista de permissões. Pode transferir um ficheiro JSON que lista endereços IP para todos os datacenters do Azure. Em seguida, localize o fragmento JSON que se aplica à região em que sua instância é executada.
Por exemplo, o fragmento JSON a seguir é como a lista de permissões para a Europa Ocidental pode parecer:
{
"name": "AzureCloud.westeurope",
"id": "AzureCloud.westeurope",
"properties": {
"changeNumber": 9,
"region": "westeurope",
"platform": "Azure",
"systemService": "",
"addressPrefixes": [
"13.69.0.0/17",
"13.73.128.0/18",
... Some IP addresses not shown here
"213.199.180.192/27",
"213.199.183.0/24"
]
}
}
Para obter informações sobre quando esse arquivo é atualizado e quando os endereços IP são alterados, expanda a seção Detalhes da página Centro de Download.
Alterações aos endereços IP
Nas camadas Developer, Basic, Standard e Premium do Gerenciamento de API, o endereço ou endereços IP públicos (VIP) e os endereços VIP privados (se configurados no modo VNet interno) são estáticos durante o tempo de vida de um serviço, com as seguintes exceções:
O serviço de Gerenciamento de API é excluído e, em seguida, recriado.
A subscrição do serviço é desativada ou avisada (por exemplo, por falta de pagamento) e, em seguida, restabelecida. Saiba mais sobre os estados da subscrição
(Níveis Developer e Premium) A Rede Virtual do Azure é adicionada ou removida do serviço.
(Níveis Developer e Premium) O serviço de Gerenciamento de API é alternado entre o modo de implantação de VNet externo e interno.
(Níveis Developer e Premium) O serviço de Gerenciamento de API é movido para uma sub-rede diferente, migrado da plataforma de computação para a
stv1
stv2
plataforma de computação ou configurado com um recurso de endereço IP público diferente.(Nível Premium) As zonas de disponibilidade são ativadas, adicionadas ou removidas.
(Nível Premium) Em implantações multirregionais, o endereço IP regional muda se uma região for desocupada e, em seguida, restabelecida.
Importante
Ao mudar de uma rede virtual interna para externa, atualizar uma instância de Gerenciamento de API em uma VNet migrando da
stv1
plataforma parastv2
ou alterar sub-redes na rede, você pode configurar um endereço IP público diferente. Se você não fornecer um, um endereço IP público gerenciado pelo Azure será configurado automaticamente.