Vad är arbetsytor i Azure API Management?
GÄLLER FÖR: Premium
I API Management ger arbetsytor en ny nivå av autonomi till en organisations API-team, vilket gör det möjligt för dem att skapa, hantera och publicera API:er snabbare, mer tillförlitligt, säkert och produktivt i en API Management-tjänst. Genom att tillhandahålla isolerad administrativ åtkomst och API-körning kan arbetsytor ge API-team samtidigt som API-plattformsteamet kan behålla tillsynen. Detta omfattar central övervakning, tillämpning av API-principer och efterlevnad samt publicering av API:er för identifiering via en enhetlig utvecklarportal.
Arbetsytor fungerar som "mappar" i en API Management-tjänst:
- Varje arbetsyta innehåller API:er, produkter, prenumerationer, namngivna värden och relaterade resurser.
- Åtkomst till resurser på en arbetsyta hanteras via Azures rollbaserade åtkomstkontroll (RBAC) med inbyggda eller anpassade roller som kan tilldelas Till Microsoft Entra-konton.
- Varje arbetsyta är associerad med en arbetsytegateway för att dirigera API-trafik till serverdelstjänsterna för API:er på arbetsytan.
Kommentar
- De senaste funktionerna för arbetsytor stöds i API Management REST API version 2023-09-01-preview eller senare.
- Prisöverväganden finns i PRISSÄTTNING FÖR API Management.
Federerad API-hantering med arbetsytor
Arbetsytor lägger till förstklassigt stöd för en federerad modell för hantering av API:er i API Management, förutom centraliserade modeller som redan stöds. Se följande tabell för en jämförelse av dessa modeller.
Exempelscenarioöversikt
En organisation som hanterar API:er med Hjälp av Azure API Management kan ha flera utvecklingsteam som utvecklar, definierar, underhåller och produktiserar olika uppsättningar API:er. Med arbetsytor kan dessa team använda API Management för att hantera, komma åt och skydda sina API:er separat och oberoende av att hantera tjänstinfrastrukturen.
Följande är ett exempelarbetsflöde för att skapa och använda en arbetsyta.
Ett centralt API-plattformsteam som hanterar API Management-instansen skapar en arbetsyta och tilldelar behörigheter till arbetsytemedarbetare med hjälp av RBAC-roller – till exempel behörighet att skapa eller läsa resurser på arbetsytan. En dedikerad API-gateway skapas också för arbetsytan.
Ett centralt API-plattformsteam använder DevOps-verktyg för att skapa en DevOps-pipeline för API:er på den arbetsytan.
Medlemmar i arbetsytan utvecklar, publicerar, produktiserar och underhåller API:er på arbetsytan.
Det centrala API-plattformsteamet hanterar tjänstens infrastruktur, till exempel övervakning, återhämtning och tillämpning av principer för alla API:er.
API-hantering på en arbetsyta
Teams hanterar sina egna API:er, produkter, prenumerationer, serverdelar, principer, loggare och andra resurser på arbetsytor. Se API Management REST API-referensen för en fullständig lista över resurser och åtgärder som stöds i arbetsytor.
Arbetsytor hanteras oberoende av API Management-tjänsten och andra arbetsytor, men de kan avsiktligt referera till valda resurser på tjänstnivå. Se Arbetsytor och andra API Management-funktioner senare i den här artikeln.
Arbetsytegateway
Varje arbetsyta kan associeras med arbetsytegatewayer för att aktivera körning av API:er som hanteras på arbetsytan. Arbetsytegatewayen är en fristående Azure-resurs med samma kärnfunktioner som gatewayen som är inbyggd i DIN API Management-tjänst.
Arbetsytegatewayer hanteras oberoende av API Management-tjänsten och från varandra. De säkerställer isolering av körning mellan arbetsytor, ökad API-tillförlitlighet, återhämtning och säkerhet och möjliggör tilldelning av körningsproblem till arbetsytor.
- Information om kostnaden för arbetsytegatewayer finns i PRISSÄTTNING för API Management.
- En detaljerad jämförelse av API Management-gatewayer finns i Översikt över API Management-gatewayer.
Kommentar
Vi introducerar möjligheten att associera flera arbetsytor med en arbetsytegateway, vilket hjälper organisationer att hantera API:er med arbetsytor till en lägre kostnad. Den här funktionen lanseras från och med december 2024 och den kanske inte är tillgänglig för alla berättigade tjänster före januari. Läs mer
Gateway-värdnamn
Varje association av en arbetsyta till en arbetsytegateway skapar ett unikt värdnamn för API:er som hanteras på den arbetsytan. Standardvärdnamn följer mönstret <workspace-name>-<hash>.gateway.<region>.azure-api.net
. För närvarande stöds inte anpassade värdnamn för arbetsytegatewayer.
Nätverksisolering
En arbetsytegateway kan eventuellt konfigureras i ett privat virtuellt nätverk för att isolera inkommande och/eller utgående trafik. Om den är konfigurerad måste arbetsytegatewayen använda ett dedikerat undernät i det virtuella nätverket.
Detaljerade krav finns i Nätverksresurskrav för arbetsytegatewayer.
Kommentar
Skala kapacitet
Hantera gatewaykapacitet genom att manuellt lägga till eller ta bort skalningsenheter, ungefär som de enheter som kan läggas till i API Management-instansen på vissa tjänstnivåer. Kostnaderna för en arbetsytegateway baseras på antalet enheter som du väljer.
Regional tillgänglighet
En aktuell lista över regioner där arbetsytegatewayer är tillgängliga finns i Tillgänglighet för v2-nivåer och arbetsytegatewayer.
Gatewaybegränsningar
Följande begränsningar gäller för närvarande för arbetsytegatewayer:
- En arbetsytegateway måste finnas i samma region som API Management-instansens primära Azure-region och i samma prenumeration.
- En arbetsyta kan inte associeras med en gateway med egen värd
- Arbetsytegatewayer stöder inte inkommande privata slutpunkter
- API:er i arbetsytegatewayer kan inte tilldelas anpassade värdnamn
- API:er i arbetsytor omfattas inte av Defender för API:er
- Arbetsytegatewayer stöder inte API Management-tjänstens autentiseringshanterare
- Arbetsytegatewayer stöder endast intern cache. extern cache stöds inte
- Arbetsytegatewayer stöder inte syntetiska GraphQL-API:er och WebSocket-API:er
- Arbetsytegatewayer har inte stöd för att skapa API:er direkt från Azure-resurser som Azure OpenAI Service, App Service, Funktionsappar och så vidare
- Det går inte att dela upp mått för begäranden efter arbetsyta i Azure Monitor. alla mått för arbetsytor aggregeras på tjänstnivå
- Azure Monitor-loggar aggregeras på tjänstnivå. loggar på arbetsytenivå är inte tillgängliga
- Arbetsytegatewayer stöder inte CA-certifikat
- Arbetsytegatewayer stöder inte automatisk skalning
- Arbetsytegatewayer stöder inte hanterade identiteter, inklusive relaterade funktioner som att lagra hemligheter i Azure Key Vault och använda
authentication-managed-identity
principen
RBAC-roller för arbetsytor
Azure RBAC används för att konfigurera arbetsytemedarbetares behörighet att läsa och redigera entiteter på arbetsytan. En lista över roller finns i Använda rollbaserad åtkomstkontroll i API Management.
Om du vill hantera API:er och andra resurser på arbetsytan måste arbetsytemedlemmar tilldelas roller (eller motsvarande behörigheter med anpassade roller) som är begränsade till API Management-tjänsten, arbetsytan och arbetsytegatewayen. Med den tjänstomfattande rollen kan du referera till vissa resurser på tjänstnivå från resurser på arbetsytans nivå. Du kan till exempel organisera en användare i en grupp på arbetsytenivå för att styra API:et och produktsynligheten.
Kommentar
För enklare hantering konfigurerar du Microsoft Entra-grupper för att tilldela arbetsytebehörigheter till flera användare.
Arbetsytor och andra API Management-funktioner
Arbetsytor är utformade för att vara fristående för att maximera uppdelningen av administrativ åtkomst och API-körning. Det finns flera undantag för att säkerställa högre produktivitet och möjliggöra plattformsomfattande styrning, observerbarhet, återanvändning och API-identifiering.
Resursreferenser – Resurser på en arbetsyta kan referera till andra resurser på arbetsytan och valda resurser från tjänstnivå, till exempel användare, auktoriseringsservrar eller inbyggda användargrupper. De kan inte referera till resurser från en annan arbetsyta.
Av säkerhetsskäl går det inte att referera till resurser på tjänstnivå från principer på arbetsytenivå (till exempel namngivna värden) eller efter resursnamn, till exempel
backend-id
i principen set-backend-service .Viktigt!
Alla resurser i en API Management-tjänst (till exempel API:er, produkter, taggar eller prenumerationer) måste ha unika namn, även om de finns på olika arbetsytor. Det kan inte finnas några resurser av samma typ och med samma Azure-resursnamn på samma arbetsyta, på andra arbetsytor eller på tjänstnivå.
Utvecklarportal – Arbetsytor är ett administrativt begrepp och visas inte som sådana för användare av utvecklarportalen, bland annat via utvecklarportalens användargränssnitt och det underliggande API:et. API:er och produkter på en arbetsyta kan publiceras på utvecklarportalen, precis som API:er och produkter på tjänstnivå.
Kommentar
API Management stöder tilldelning av auktoriseringsservrar som definierats på tjänstnivå till API:er på arbetsytor.
Migrera från förhandsgranskningsarbetsytor
Om du har skapat förhandsgranskningsarbetsytor i Azure API Management och vill fortsätta använda dem migrerar du dina arbetsytor till den allmänt tillgängliga versionen genom att associera en arbetsytegateway med varje arbetsyta.
Mer information och information om andra ändringar som kan påverka dina förhandsgranskningsarbetsytor finns i Ändringar som bryter mot arbetsytor (mars 2025).
Ta bort en arbetsyta
Om du tar bort en arbetsyta tas alla underordnade resurser (API:er, produkter och så vidare) och dess associerade gateway bort om du tar bort arbetsytan med hjälp av Azure Portal-gränssnittet. Den tar inte bort API Management-instansen eller andra arbetsytor.