Använda ett virtuellt nätverk för att skydda inkommande eller utgående trafik för Azure API Management
GÄLLER FÖR: Utvecklare | Grundläggande | Basic v2 | Standard | Standard v2 | Premium | Premium v2
Som standard används DIN API Management-instans från Internet på en offentlig slutpunkt och fungerar som en gateway till offentliga serverdelar. API Management innehåller flera alternativ för att använda ett virtuellt Azure-nätverk för att skydda åtkomsten till din API Management-instans och till serverdels-API:er. Tillgängliga alternativ beror på tjänstnivån för din API Management-instans. Välj nätverksfunktioner för att uppfylla organisationens behov.
I följande tabell jämförs alternativ för virtuella nätverk. Mer information finns i senare avsnitt i den här artikeln och länkar till detaljerad vägledning.
| Nätverksmodell | Nivåer som stöds | Komponenter som stöds | Trafik som stöds | Användningsscenario |
|---|---|---|---|---|
| Virtuell nätverksinmatning (klassiska nivåer) – extern | Utvecklare, Premium | Utvecklarportal, gateway, hanteringsplan och Git-lagringsplats | Inkommande och utgående trafik kan tillåtas till Internet, peer-kopplade virtuella nätverk, ExpressRoute- och S2S VPN-anslutningar. | Extern åtkomst till privata och lokala serverdelar |
| Virtuell nätverksinmatning (klassiska nivåer) – intern | Utvecklare, Premium | Utvecklarportal, gateway, hanteringsplan och Git-lagringsplats | Inkommande och utgående trafik kan tillåtas till peerkopplade virtuella nätverk, ExpressRoute- och S2S VPN-anslutningar. | Intern åtkomst till privata och lokala serverdelar |
| Virtuell nätverksinmatning (v2-nivåer) | Premium v2 | Endast gateway | Inkommande och utgående trafik kan tillåtas till ett delegerat undernät för ett virtuellt nätverk, peer-kopplade virtuella nätverk, ExpressRoute- och S2S VPN-anslutningar. | Intern åtkomst till privata och lokala serverdelar |
| Integrering av virtuellt nätverk (v2-nivåer) | Standard v2, Premium v2 | Endast gateway | Utgående begärandetrafik kan nå API:er som finns i ett delegerat undernät i ett enda anslutet virtuellt nätverk. | Extern åtkomst till privata och lokala serverdelar |
| Inkommande privat slutpunkt | Utvecklare, Basic, Standard, Premium | Endast gateway (hanterad gateway stöds, gateway med egen värd stöds inte) | Endast inkommande trafik kan tillåtas från Internet, peer-kopplade virtuella nätverk, ExpressRoute- och S2S VPN-anslutningar. | Säker klientanslutning till API Management-gateway |
Virtuell nätverksinmatning (klassiska nivåer)
På den klassiska API Management-nivån Utvecklare och Premium distribuerar du ("mata in") din API Management-instans i ett undernät i ett icke-internetrouterbart nätverk som du styr åtkomsten till. I det virtuella nätverket kan din API Management-instans på ett säkert sätt komma åt andra nätverksanslutna Azure-resurser och även ansluta till lokala nätverk med hjälp av olika VPN-tekniker.
Du kan använda mallarna Azure Portal, Azure CLI, Azure Resource Manager eller andra verktyg för konfigurationen. Du styr inkommande och utgående trafik till undernätet där API Management distribueras med hjälp av nätverkssäkerhetsgrupper.
Detaljerade distributionssteg och nätverkskonfiguration finns i:
- Distribuera DIN API Management-instans till ett virtuellt nätverk – externt läge.
- Distribuera API Management-instansen till ett virtuellt nätverk – internt läge.
- Nätverksresurskrav för API Management-inmatning i ett virtuellt nätverk.
Åtkomstalternativ
Med hjälp av ett virtuellt nätverk kan du konfigurera utvecklarportalen, API-gatewayen och andra API Management-slutpunkter så att de är tillgängliga antingen från Internet (externt läge) eller endast i det virtuella nätverket (internt läge).
Extern – API Management-slutpunkterna är tillgängliga från det offentliga Internet via en extern lastbalanserare. Gatewayen kan komma åt resurser i det virtuella nätverket.
Använd API Management i externt läge för att komma åt serverdelstjänster som distribueras i det virtuella nätverket.
Internt – API Management-slutpunkterna är endast tillgängliga från det virtuella nätverket via en intern lastbalanserare. Gatewayen kan komma åt resurser i det virtuella nätverket.
Använd API Management i internt läge för att:
- Gör API:er som finns i ditt privata datacenter säkert tillgängliga av tredje part med hjälp av Azure VPN-anslutningar eller Azure ExpressRoute.
- Aktivera hybridmolnscenarier genom att exponera dina molnbaserade API:er och lokala API:er via en gemensam gateway.
- Hantera dina API:er som finns på flera geografiska platser med hjälp av en enda gatewayslutpunkt.
Virtuell nätverksinmatning (v2-nivåer)
På API Management Premium v2-nivån matar du in din instans i ett delegerat undernät i ett virtuellt nätverk för att skydda gatewayens inkommande och utgående trafik. För närvarande kan du konfigurera inställningar för virtuell nätverksinmatning när du skapar instansen.
I den här konfigurationen:
- API Management-gatewayens slutpunkt är tillgänglig via det virtuella nätverket på en privat IP-adress.
- API Management kan göra utgående begäranden till API-serverdelar som är isolerade i nätverket.
Den här konfigurationen rekommenderas för scenarier där du vill isolera både API Management-instansen och serverdels-API:erna. Virtuell nätverksinmatning på Premium v2-nivån hanterar automatiskt nätverksanslutningen till de flesta tjänstberoenden för Azure API Management.
Mer information finns i Mata in en Premium v2-instans i ett virtuellt nätverk.
Integrering av virtuellt nätverk (v2-nivåer)
Nivåerna Standard v2 och Premium v2 stöder utgående integrering av virtuella nätverk så att API Management-instansen kan nå API-serverdelar som är isolerade i ett enda anslutet virtuellt nätverk. API Management-gatewayen, hanteringsplanet och utvecklarportalen förblir offentligt tillgängliga från Internet.
Med utgående integrering kan API Management-instansen nå både offentliga och nätverksisolerade serverdelstjänster.
Mer information finns i Integrera en Azure API Management-instans med ett privat virtuellt nätverk för utgående anslutningar.
Inkommande privat slutpunkt
API Management stöder privata slutpunkter för säkra inkommande klientanslutningar till din API Management-instans. Varje säker anslutning använder en privat IP-adress från ditt virtuella nätverk och Azure Private Link.
Med en privat slutpunkt och Private Link kan du:
Skapa flera Private Link-anslutningar till en API Management-instans.
Använda den privata slutpunkten för att skicka inkommande trafik via en säker anslutning.
Använda en princip för att särskilja trafik som kommer från den privata slutpunkten.
Begränsa endast inkommande trafik till privata slutpunkter, vilket förhindrar dataexfiltrering.
Viktigt!
Du kan bara konfigurera en privat slutpunktsanslutning för inkommande trafik till API Management-instansen. För närvarande stöds inte utgående trafik.
Du kan använda modellen för externt eller internt virtuellt nätverk för att upprätta utgående anslutning till privata slutpunkter från DIN API Management-instans.
Api Management-instansen kan inte matas in i ett externt eller internt virtuellt nätverk för att aktivera inkommande privata slutpunkter.
Mer information finns i Ansluta privat till API Management med en inkommande privat slutpunkt.
Avancerade nätverkskonfigurationer
Skydda API Management-slutpunkter med en brandvägg för webbprogram
Du kan ha scenarier där du behöver både säker extern och intern åtkomst till din API Management-instans och flexibilitet för att nå privata och lokala serverdelar. I dessa scenarier kan du välja att hantera extern åtkomst till slutpunkterna för en API Management-instans med en brandvägg för webbprogram (WAF).
Ett exempel är att distribuera en API Management-instans i ett internt virtuellt nätverk och dirigera offentlig åtkomst till den med hjälp av en Internetuppkopplad Azure Application Gateway:
Mer information finns i Distribuera API Management i ett internt virtuellt nätverk med Application Gateway.
Relaterat innehåll
Läs mer om konfiguration av virtuella nätverk med API Management:
- Distribuera din Azure API Management-instans till ett virtuellt nätverk – externt läge.
- Distribuera din Azure API Management-instans till ett virtuellt nätverk – internt läge.
- Ansluta privat till API Management med en privat slutpunkt
- Mata in en Premium v2-instans i ett virtuellt nätverk
- Integrera en Azure API Management-instans med ett privat virtuellt nätverk för utgående anslutningar
- Försvara din Azure API Management-instans mot DDoS-attacker
Om du vill veta mer om virtuella Azure-nätverk börjar du med informationen i översikten över Azure Virtual Network.