Virtuális hálózat használata az Azure API Management bejövő vagy kimenő forgalmának védelméhez
A KÖVETKEZŐKRE VONATKOZIK: Fejlesztő | Alapszintű | Alapszintű v2 | Standard | Standard v2 | Prémium | Prémium v2
Alapértelmezés szerint az API Management-példány nyilvános végponton érhető el az internetről, és átjáróként szolgál a nyilvános háttérrendszerekhez. Az API Management számos lehetőséget kínál egy Azure-beli virtuális hálózat használatára az API Management-példányhoz és a háttér API-khoz való hozzáférés biztonságossá tételéhez. Az elérhető lehetőségek az API Management-példány szolgáltatási szintjétől függenek. Válassza ki a szervezet igényeinek megfelelő hálózati képességeket.
Az alábbi táblázat a virtuális hálózatkezelési beállításokat hasonlítja össze. További információkért tekintse meg a cikk későbbi szakaszait, valamint a részletes útmutatásra mutató hivatkozásokat.
| Hálózatkezelési modell | Támogatott szintek | Támogatott összetevők | Támogatott forgalom | Használati forgatókönyv |
|---|---|---|---|---|
| Virtuális hálózat injektálása (klasszikus szintek) – külső | Fejlesztő, Prémium | Fejlesztői portál, átjáró, felügyeleti sík és Git-adattár | A bejövő és kimenő forgalom engedélyezhető az internet, a társhálózati virtuális hálózatok, az ExpressRoute és az S2S VPN-kapcsolatok számára. | Külső hozzáférés privát és helyszíni háttérrendszerekhez |
| Virtuális hálózat injektálása (klasszikus szintek) – belső | Fejlesztő, Prémium | Fejlesztői portál, átjáró, felügyeleti sík és Git-adattár | A bejövő és kimenő forgalom engedélyezhető a társhálózatok, az ExpressRoute és az S2S VPN-kapcsolatok számára. | Belső hozzáférés privát és helyszíni háttérrendszerekhez |
| Virtuális hálózati injektálás (v2-szintek) | Prémium v2 | Csak átjáró | A bejövő és kimenő forgalom engedélyezhető egy virtuális hálózat delegált alhálózatára, a társhálózati virtuális hálózatokra, az ExpressRoute-ra és az S2S VPN-kapcsolatokra. | Belső hozzáférés privát és helyszíni háttérrendszerekhez |
| Virtuális hálózati integráció (v2-szintek) | Standard v2, Prémium v2 | Csak átjáró | A kimenő kérésforgalom egyetlen csatlakoztatott virtuális hálózat delegált alhálózatán üzemeltetett API-kat érhet el. | Külső hozzáférés privát és helyszíni háttérrendszerekhez |
| Bejövő privát végpont | Developer, Basic, Standard, Standard v2 (előzetes verzió), Premium | Csak átjáró (a felügyelt átjáró támogatott, a saját üzemeltetésű átjáró nem támogatott) | Csak bejövő forgalom engedélyezett az internetről, a társhálózati virtuális hálózatokból, az ExpressRoute-ból és az S2S VPN-kapcsolatokból. | Biztonságos ügyfélkapcsolat az API Management-átjáróval |
Virtuális hálózat injektálása (klasszikus szintek)
Az API Management klasszikus fejlesztői és prémium szintjein helyezze üzembe ("injektálja") az API Management-példányt egy olyan alhálózatban, amely nem internet-routable hálózatban van, amelyhez ön szabályozza a hozzáférést. A virtuális hálózaton az API Management-példány biztonságosan hozzáférhet más hálózati Azure-erőforrásokhoz, és különböző VPN-technológiák használatával csatlakozhat a helyszíni hálózatokhoz.
A konfigurációhoz használhatja az Azure Portalt, az Azure CLI-t, az Azure Resource Manager-sablonokat vagy más eszközöket. A hálózati biztonsági csoportok használatával szabályozhatja a bejövő és kimenő forgalmat abba az alhálózatba, amelyben az API Management üzembe van helyezve.
Az üzembe helyezés részletes lépéseit és a hálózati konfigurációt a következő témakörben találja:
- Helyezze üzembe az API Management-példányt egy virtuális hálózaton – külső módban.
- Helyezze üzembe az API Management-példányt egy virtuális hálózaton – belső módban.
- Az API Management virtuális hálózatba történő injektálásának hálózati erőforrás-követelményei.
Hozzáférési beállítások
Virtuális hálózat használatával konfigurálhatja a fejlesztői portált, az API Gatewayt és más API Management-végpontokat úgy, hogy elérhetők legyenek az internetről (külső módból), vagy csak a virtuális hálózaton belül (belső mód).
Külső – Az API Management-végpontok külső terheléselosztón keresztül érhetők el a nyilvános internetről. Az átjáró hozzáférhet a virtuális hálózaton belüli erőforrásokhoz.
Az API Management használata külső módban a virtuális hálózaton üzembe helyezett háttérszolgáltatások eléréséhez.
Belső – Az API Management-végpontok csak a virtuális hálózaton belülről érhetők el egy belső terheléselosztón keresztül. Az átjáró hozzáférhet a virtuális hálózaton belüli erőforrásokhoz.
Az API Management használata belső módban a következőkre:
- Az Azure VPN-kapcsolatok vagy az Azure ExpressRoute használatával biztonságosan elérhetővé teheti a privát adatközpontban üzemeltetett API-kat.
- A hibrid felhőbeli forgatókönyvek engedélyezéséhez tegye ki a felhőalapú API-kat és a helyszíni API-kat egy közös átjárón keresztül.
- Több földrajzi helyen üzemeltetett API-k kezelése egyetlen átjáróvégpont használatával.
Virtuális hálózati injektálás (v2-szintek)
Az API Management Premium v2 rétegben injektálja a példányt egy virtuális hálózat delegált alhálózatába az átjáró bejövő és kimenő forgalmának védelme érdekében. A virtuális hálózat injektálásának beállításait jelenleg a példány létrehozásakor konfigurálhatja.
Ebben a konfigurációban:
- Az API Management-átjáró végpontja a virtuális hálózaton keresztül érhető el egy privát IP-címen.
- Az API Management kimenő kéréseket tud küldeni a hálózaton elkülönített API-háttérrendszereknek.
Ez a konfiguráció olyan helyzetekben ajánlott, ahol el szeretné különíteni az API Management-példányt és a háttér API-kat. A Prémium v2 szintű virtuális hálózati injektálás automatikusan kezeli az Azure API Management legtöbb szolgáltatásfüggőségéhez való hálózati kapcsolatot.
További információ: Premium v2-példány injektálása virtuális hálózatba.
Virtuális hálózati integráció (v2-szintek)
A Standard v2 és Premium v2 szintek támogatják a kimenő virtuális hálózati integrációt, hogy az API Management-példány elérhesse az egyetlen csatlakoztatott virtuális hálózaton elkülönített API-háttérrendszereket. Az API Management-átjáró, a felügyeleti sík és a fejlesztői portál továbbra is nyilvánosan elérhető marad az internetről.
A kimenő integráció lehetővé teszi az API Management-példány számára a nyilvános és a hálózat által elkülönített háttérszolgáltatások elérését.
További információ: Azure API Management-példány integrálása privát virtuális hálózattal kimenő kapcsolatokhoz.
Bejövő privát végpont
Az API Management támogatja a privát végpontokat az API Management-példányhoz való biztonságos bejövő ügyfélkapcsolatokhoz. Minden biztonságos kapcsolat egy privát IP-címet használ a virtuális hálózatból és az Azure Private Linkből.
A következőket teheti a privát végpontokkal és a Private Linkkel:
Több Private Link-kapcsolat létrehozása API Management-példányhoz.
Bejövő forgalom küldése biztonságos kapcsolaton keresztül a privát végponttal.
A privát végpontból származó forgalom megkülönböztetésére szolgáló szabályzat használata.
A bejövő forgalom korlátozása csak a privát végpontokra, meggátolva az adatkiszivárgást.
A bejövő privát végpontok standard v2-példányokhoz való kombinálása kimenő virtuális hálózati integrációval az API Management-ügyfelek és a háttérszolgáltatások végpontok közötti hálózatelkülönítésének biztosítása érdekében.
Fontos
- Privát végpontkapcsolatot csak az API Management-példány felé irányuló bejövő forgalomhoz konfigurálhat.
További információ: Csatlakozás privát módon az API Managementhez bejövő privát végpont használatával.
Speciális hálózati konfigurációk
Api Management-végpontok biztonságossá tétele webalkalmazási tűzfallal
Lehetnek olyan forgatókönyvek, amelyekben biztonságos külső és belső hozzáférésre van szüksége az API Management-példányhoz, valamint rugalmasságot a privát és helyszíni háttérrendszerek eléréséhez. Ilyen esetekben dönthet úgy, hogy webalkalmazási tűzfallal (WAF) kezeli az API Management-példány végpontjaihoz való külső hozzáférést.
Ilyen például egy API Management-példány üzembe helyezése egy belső virtuális hálózaton, és a nyilvános hozzáférés átirányítása egy internetkapcsolattal rendelkező Azure-alkalmazás-átjáró használatával:
További információ: API Management üzembe helyezése belső virtuális hálózaton az Application Gateway használatával.
Kapcsolódó tartalom
További információ a virtuális hálózat API Managementtel való konfigurálásáról:
- Helyezze üzembe az Azure API Management-példányt egy virtuális hálózaton – külső módban.
- Helyezze üzembe az Azure API Management-példányt egy virtuális hálózaton – belső módban.
- Privát csatlakozás az API Managementhez privát végpont használatával
- Prémium v2-példány injektálása virtuális hálózatba
- Azure API Management-példány integrálása privát virtuális hálózattal kimenő kapcsolatokhoz
- Az Azure API Management-példány védelme DDoS-támadásokkal szemben
Ha többet szeretne megtudni az Azure-beli virtuális hálózatokról, kezdje az Azure Virtual Network áttekintésével.