Megosztás a következőn keresztül:


Összevont API-kezelés munkaterületekkel

A KÖVETKEZŐKRE VONATKOZIK: Prémium

Ez a cikk áttekintést nyújt az API Management-munkaterületekről, és arról, hogyan teszik lehetővé a decentralizált API-fejlesztői csapatok számára, hogy az API-kat egy közös szolgáltatási infrastruktúrában felügyeljék és termékeljék.

Miért kell a szervezeteknek összevonni az API-kezelést?

Napjainkban a szervezetek egyre nagyobb kihívásokkal szembesülnek az API-k elterjedésének kezelése terén. Ahogy nő az API-k és az API-fejlesztői csapatok száma, úgy a kezelésük összetettsége is. Ez az összetettség megnövelheti a működési terhelést, a biztonsági kockázatokat és csökkentheti a rugalmasságot. A szervezetek egyrészt egy központosított API-infrastruktúrát szeretnének létrehozni az API-szabályozás, a biztonság és a megfelelőség biztosítása érdekében. Másrészt azt szeretnék, hogy az API-csapatok gyorsan újítsanak és reagáljanak az üzleti igényekre anélkül, hogy az API-platform felügyeletének többlettere lenne.

Az API management összevont modellje kielégíti ezeket az igényeket. Az összevont API-felügyelet lehetővé teszi, hogy a fejlesztői csapatok decentralizált API-felügyeletet biztosítson a vezérlő- és adatsíkok megfelelő elkülönítésével, miközben fenntartja a központosított szabályozást, a monitorozást és az API-felderítést egy API-platform csapata által. Ez a modell leküzdi az alternatív megközelítések korlátait, például a platformcsapat által teljes mértékben központosított API-kezelést vagy az egyes fejlesztői csapatok által a silózott API-kezelést.

Az összevont API-felügyelet a következőket biztosítja:

  • Központosított API-szabályozás és megfigyelhetőség
  • Egységes fejlesztői portál a hatékony API-felderítéshez és előkészítéshez
  • Elkülönített rendszergazdai engedélyek az API-csapatok között, a hatékonyság és a biztonság növelése
  • Elkülönített API-futtatókörnyezet az API-csapatok között, javítva a megbízhatóságot, a rugalmasságot és a biztonságot

Hogyan teszik lehetővé a munkaterületek az összevont API-kezelést?

Az Azure API Managementben munkaterületek használatával valósíthat meg összevont API-kezelést. A munkaterületek az API Management szolgáltatásban a "mappákhoz" hasonló módon működnek:

  • Minden munkaterület API-kat, termékeket, előfizetéseket, elnevezett értékeket és kapcsolódó erőforrásokat tartalmaz. A munkaterületeken támogatott erőforrások és műveletek teljes listáját az API Management REST API-referenciájában találja.
  • A Teams egy munkaterületen belüli erőforrásokhoz való hozzáférését az Azure szerepköralapú hozzáférés-vezérlése (RBAC) kezeli, amely beépített vagy egyéni szerepkörökkel rendelkezik, amelyek hozzárendelhetők a Microsoft Entra-fiókokhoz, és hatókörük egy munkaterületre terjed ki.
  • Minden munkaterület egy vagy több munkaterület-átjáróval van társítva, amellyel az API-forgalmat a munkaterület API-k háttérszolgáltatásaihoz irányíthatja.
  • A platformcsapat api-szabályzatokat alkalmazhat a munkaterületeken az API-kra, figyelheti a platformot az összes munkaterület naplóinak megtekintésével, és központi API-felderítési élményt valósíthat meg egy fejlesztői portálon.

Az API Management szolgáltatás elméleti diagramja munkaterületekkel.

Feljegyzés

  • Az API Management REST API 2023-09-01-preview vagy újabb verziója támogatja a legújabb munkaterületi funkciókat.
  • A díjszabással kapcsolatos szempontokért tekintse meg az API Management díjszabását.

Bár a munkaterületek kezelése független az API Management szolgáltatástól és más munkaterületektől, tervezésük során a kiválasztott szolgáltatásszintű erőforrásokra hivatkozhatnak. Tekintse meg a munkaterületeket és az API Management egyéb funkcióit a cikk későbbi részében.

Példaforgatókönyv áttekintése

Az AZURE API Management használatával api-kat kezelő szervezetek több fejlesztői csapattal is rendelkezhetnek, amelyek különböző API-kat fejlesztenek, definiálnak, kezelnek és termékesítenek. A munkaterületek lehetővé teszik ezeknek a csapatoknak, hogy az API Management használatával külön és a szolgáltatásinfrastruktúra kezelésétől függetlenül kezeljék, érjék el és védjék API-ikat.

Az alábbiakban egy munkaterület létrehozására és használatára vonatkozó minta-munkafolyamatot követünk.

  1. Az API Management-példányt kezelő központi API-platform csapata létrehoz egy munkaterületet, és az RBAC-szerepkörök használatával engedélyeket rendel a munkaterület-közreműködőkhöz – például engedélyeket a munkaterületen lévő erőforrások létrehozásához vagy olvasásához. A munkaterülethez egy munkaterület-hatókörű API-átjáró is létrejön.

  2. Egy központi API-platform csapata DevOps-eszközökkel hoz létre egy DevOps-folyamatot az adott munkaterület API-khoz.

  3. A munkaterület tagjai API-kat fejlesztenek, tesznek közzé, fejlesztenek és kezelnek a munkaterületen.

  4. A központi API-platform csapata felügyeli a szolgáltatás infrastruktúráját, például a monitorozást, a rugalmasságot és a teljes API-szabályzatok kikényszerítését.

Munkaterület-átjáró

Minden munkaterület egy vagy több munkaterület-átjáróhoz van társítva, hogy engedélyezve legyen a munkaterületen felügyelt API-k futtatókörnyezete. A munkaterületi átjáró egy önálló Azure-erőforrás, amely ugyanazokkal az alapvető funkciókkal rendelkezik, mint az API Management szolgáltatásba beépített átjáró.

A munkaterület-átjárók kezelése független az API Management szolgáltatástól és egymástól. Lehetővé teszik a futtatókörnyezet elkülönítését a munkaterületek vagy használati esetek között, növelik az API megbízhatóságát, rugalmasságát és biztonságát, és lehetővé teszik a futtatókörnyezeti problémák munkaterületekhez való hozzárendelését.

Feljegyzés

Bevezetjük azt a lehetőséget, hogy több munkaterületet társítsunk egy munkaterület-átjáróhoz, így a szervezetek alacsonyabb költséggel kezelhetik az API-kat a munkaterületekkel. Ez a funkció 2024 decemberétől lesz elérhető, és lehet, hogy január előtt nem minden jogosult szolgáltatás számára érhető el. További információ

Átjáró gazdagépneve

A munkaterület munkaterület-átjáróhoz való társítása egyedi állomásnevet hoz létre az adott munkaterületen felügyelt API-k számára. Az alapértelmezett állomásnevek a mintát <workspace-name>-<hash>.gateway.<region>.azure-api.netkövetik. Az egyéni gazdagépnevek jelenleg nem támogatottak a munkaterület-átjárók esetében.

Hálózati elkülönítés

A munkaterület-átjárók igény szerint konfigurálhatók privát virtuális hálózaton a bejövő és/vagy kimenő forgalom elkülönítésére. Ha konfigurálva van, a munkaterület-átjárónak dedikált alhálózatot kell használnia a virtuális hálózaton.

A részletes követelményekért tekintse meg a munkaterület-átjárók hálózati erőforrás-követelményeit.

Feljegyzés

  • A munkaterület-átjáró hálózati konfigurációja független az API Management-példány hálózati konfigurációitól.
  • A munkaterületi átjárók jelenleg csak az átjáró létrehozásakor konfigurálhatók virtuális hálózaton. Az átjáró hálózati konfigurációját vagy beállításait később nem módosíthatja.

Kapacitás méretezése

Az átjárókapacitás kezelése skálázási egységek manuális hozzáadásával vagy eltávolításával, hasonlóan a bizonyos szolgáltatási szintek API Management-példányához hozzáadható egységekhez . A munkaterület-átjárók költségei a kiválasztott egységek számán alapulnak.

Regionális elérhetőség

Azoknak a régióknak az aktuális listáját, ahol a munkaterületi átjárók elérhetők, tekintse meg a v2-szintek és a munkaterületi átjárók rendelkezésre állását.

Átjárókorlátozások

A munkaterület-átjárókra jelenleg a következő korlátozások vonatkoznak:

  • A munkaterület-átjárónak ugyanabban a régióban kell lennie, mint az API Management-példány elsődleges Azure-régiója és ugyanabban az előfizetésben.
  • A munkaterület nem társítható saját üzemeltetésű átjáróhoz
  • A munkaterület-átjárók nem támogatják a bejövő privát végpontokat
  • A munkaterület-átjárók API-jai nem rendelhetők hozzá egyéni gazdagépnevekhez
  • A munkaterületek API-it nem fedik le az API-khoz készült Defender
  • A munkaterület-átjárók nem támogatják az API Management szolgáltatás hitelesítőadat-kezelőjét
  • A munkaterület-átjárók csak a belső gyorsítótárat támogatják; a külső gyorsítótár nem támogatott
  • A munkaterület-átjárók nem támogatják a szintetikus GraphQL API-kat és a WebSocket API-kat
  • A munkaterület-átjárók nem támogatják közvetlenül az API-k létrehozását olyan Azure-erőforrásokból, mint az Azure OpenAI Service, az App Service, a Function Apps stb.
  • A kérelemmetrikákat nem lehet munkaterületek szerint felosztani az Azure Monitorban; az összes munkaterületi metrikát a szolgáltatás szintjén összesíti a rendszer
  • Az Azure Monitor-naplók szolgáltatásszinten vannak összesítve; a munkaterületszintű naplók nem érhetők el
  • A munkaterület-átjárók nem támogatják a hitelesítésszolgáltatói tanúsítványokat
  • A munkaterület-átjárók nem támogatják az automatikus skálázást
  • A munkaterület-átjárók nem támogatják a felügyelt identitásokat, beleértve az olyan kapcsolódó funkciókat, mint a titkos kódok tárolása az Azure Key Vaultban és a authentication-managed-identity szabályzat használata

RBAC-szerepkörök munkaterületekhez

Az Azure RBAC használatával konfigurálhatók a munkaterület közreműködőinek a munkaterületen lévő entitások olvasására és szerkesztésére vonatkozó engedélyei. A szerepkörök listájáért lásd : Szerepköralapú hozzáférés-vezérlés használata az API Managementben.

A munkaterület API-jainak és egyéb erőforrásainak kezeléséhez a munkaterülettagokat az API Management szolgáltatáshoz, a munkaterülethez és a munkaterületi átjáróhoz tartozó szerepkörökhöz (vagy az egyéni szerepköröket használó egyenértékű engedélyekhez) kell hozzárendelni. A szolgáltatás hatókörébe tartozó szerepkör lehetővé teszi bizonyos szolgáltatási szintű erőforrások munkaterületszintű erőforrásokra való hivatkozását. Például egy felhasználót egy munkaterületszintű csoportba rendezve szabályozhatja az API-t és a termékek láthatóságát.

Feljegyzés

A könnyebb kezelés érdekében állítsa be a Microsoft Entra-csoportokat, hogy több felhasználóhoz rendeljen munkaterületi engedélyeket.

Munkaterületek és egyéb API Management-funkciók

A munkaterületek úgy vannak kialakítva, hogy önállóak legyenek a rendszergazdai hozzáférés és az API-futtatókörnyezet elkülönítésének maximalizálása érdekében. Számos kivétel van a nagyobb hatékonyság biztosítása és a platformszintű szabályozás, a megfigyelhetőség, az újrahasználhatóság és az API-felderítés engedélyezéséhez.

  • Erőforráshivatkozások – A munkaterület erőforrásai hivatkozhatnak a munkaterület más erőforrásaira, valamint a szolgáltatási szintről kiválasztott erőforrásokra, például felhasználókra, engedélyezési kiszolgálókra vagy beépített felhasználói csoportokra. Nem hivatkozhatnak más munkaterületről származó erőforrásokra.

    Biztonsági okokból nem lehet szolgáltatásszintű erőforrásokra hivatkozni munkaterületszintű szabályzatokból (például elnevezett értékekből) vagy erőforrásnevekből, például backend-id a set-backend-service szabályzatból.

    Fontos

    Az API Management szolgáltatás összes erőforrásának (például API-knak, termékeknek, címkéknek vagy előfizetéseknek) egyedi névvel kell rendelkeznie, még akkor is, ha különböző munkaterületeken találhatók. Nem lehet azonos típusú és azonos Azure-erőforrásnévvel rendelkező erőforrás ugyanabban a munkaterületen, más munkaterületeken vagy szolgáltatásszinten.

  • Fejlesztői portál – A munkaterületek felügyeleti fogalmak, és nem jelennek meg ilyen módon a fejlesztői portál felhasználói számára, például a fejlesztői portál felhasználói felületén és az alapul szolgáló API-on keresztül. A munkaterületen belüli API-k és termékek közzétehetők a fejlesztői portálon, ugyanúgy, mint az API-k és a szolgáltatási szintű termékek.

    Feljegyzés

    Az API Management támogatja a szolgáltatásszinten definiált engedélyezési kiszolgálók hozzárendelését a munkaterületeken belüli API-khoz.

Migrálás előzetes verziójú munkaterületekről

Ha előzetes verziójú munkaterületeket hozott létre az Azure API Managementben, és továbbra is használni szeretné őket, migrálja a munkaterületeket az általánosan elérhető verzióra egy munkaterület-átjáró társításával az egyes munkaterületekkel.

A részletekért és az előzetes verziójú munkaterületeket érintő egyéb módosításokért lásd : Munkaterületek kompatibilitástörő változásai (2025. március).

Munkatér törlése

A munkaterület törlése törli az összes gyermekerőforrást (API-kat, termékeket stb.) és a hozzá tartozó átjárót, ha az Azure Portal felületével törli a munkaterületet. Nem törli az API Management-példányt vagy más munkaterületeket.