Menggunakan jaringan virtual untuk mengamankan lalu lintas masuk atau keluar untuk Azure API Management
BERLAKU UNTUK: Pengembang | Dasar | Dasar v2 | Standar | Standar v2 | Premium | Premium v2
Secara default instans API Management Anda diakses dari internet di titik akhir publik, dan bertindak sebagai gateway ke backend publik. API Management menyediakan beberapa opsi untuk menggunakan jaringan virtual Azure untuk mengamankan akses ke instans API Management Anda dan ke API backend. Opsi yang tersedia bergantung pada tingkat layanan instans API Management Anda. Pilih kemampuan jaringan untuk memenuhi kebutuhan organisasi Anda.
Tabel berikut membandingkan opsi jejaring virtual. Untuk informasi selengkapnya, lihat bagian selanjutnya dari artikel ini dan tautan ke panduan terperinci.
| Model jaringan | Tingkatan yang didukung | Komponen yang didukung | Lalu lintas yang didukung | Skenario penggunaan |
|---|---|---|---|---|
| Injeksi jaringan virtual (tingkat klasik) - eksternal | Pengembang, Premium | Portal pengembang, gateway, bidang manajemen, dan repositori Git | Lalu lintas masuk dan keluar dapat diizinkan ke internet, jaringan virtual yang di-peering, ExpressRoute, dan koneksi VPN S2S. | Akses eksternal ke backend privat dan lokal |
| Injeksi jaringan virtual (tingkat klasik) - internal | Pengembang, Premium | Portal pengembang, gateway, bidang manajemen, dan repositori Git | Lalu lintas masuk dan keluar dapat diizinkan untuk melakukan peering jaringan virtual, ExpressRoute, dan koneksi VPN S2S. | Akses internal ke backend privat dan lokal |
| Injeksi jaringan virtual (tingkat v2) | Premium v2 | Gateway saja | Lalu lintas masuk dan keluar dapat diizinkan ke subnet yang didelegasikan dari jaringan virtual, jaringan virtual yang di-peering, ExpressRoute, dan koneksi VPN S2S. | Akses internal ke backend privat dan lokal |
| Integrasi jaringan virtual (tingkat v2) | Standar v2, Premium v2 | Gateway saja | Lalu lintas permintaan keluar dapat menjangkau API yang dihosting dalam subnet yang didelegasikan dari satu jaringan virtual yang terhubung. | Akses eksternal ke backend privat dan lokal |
| Titik akhir privat masuk | Pengembang, Dasar, Standar, Standar v2 (pratinjau), Premium | Gateway saja (gateway terkelola didukung, gateway yang dihost sendiri tidak didukung) | Hanya lalu lintas masuk yang dapat diizinkan dari internet, jaringan virtual yang di-peering, ExpressRoute, dan koneksi VPN S2S. | Mengamankan koneksi klien ke gateway API Management |
Injeksi jaringan virtual (tingkat klasik)
Di tingkat Pengembang dan Premium klasik API Management, sebarkan ("inject") instans API Management Anda di subnet di jaringan yang tidak dapat dirutekan internet tempat Anda mengontrol akses. Di jaringan virtual, instans API Management Anda dapat mengakses sumber daya Azure jaringan lain dengan aman dan juga terhubung ke jaringan lokal menggunakan berbagai teknologi VPN.
Anda dapat menggunakan portal Azure, Azure CLI, templat Azure Resource Manager, atau alat lainnya untuk konfigurasi. Anda mengontrol lalu lintas masuk dan keluar ke subnet tempat API Management disebarkan menggunakan grup keamanan jaringan.
Untuk detail langkah penyebaran dan konfigurasi jaringan, lihat:
- Sebarkan instans API Management Anda ke jaringan virtual - mode eksternal.
- Sebarkan instans API Management Anda ke jaringan virtual - mode internal.
- Persyaratan sumber daya jaringan untuk injeksi API Management ke jaringan virtual.
Opsi Akses
Dengan menggunakan jaringan virtual, Anda dapat mengonfigurasi portal pengembang, gateway API, dan titik akhir API Management lainnya agar dapat diakses baik dari internet (mode eksternal) atau hanya dalam jaringan virtual (mode internal).
Eksternal - Titik akhir API Management dapat diakses dari internet publik melalui penyeimbang beban eksternal. Gateway dapat mengakses sumber daya dalam jaringan virtual.
Gunakan API Management dalam mode eksternal untuk mengakses layanan backend yang disebarkan di jaringan virtual.
Internal - Titik akhir API Management hanya dapat diakses dari dalam jaringan virtual melalui load balancer internal. Gateway dapat mengakses sumber daya dalam jaringan virtual.
Gunakan API Management dalam mode internal untuk:
- Membuat API yang dihosting di pusat data privat Anda dapat diakses dengan aman oleh pihak ketiga menggunakan koneksi VPN Azure atau Azure ExpressRoute.
- Aktifkan skenario cloud hibrid dengan mengekspos API berbasis cloud dan API lokal Anda melalui gateway umum.
- Kelola API Anda yang dihosting di beberapa lokasi geografis dengan menggunakan titik akhir gateway tunggal.
Injeksi jaringan virtual (tingkat v2)
Di tingkat API Management Premium v2, masukkan instans Anda ke subnet yang didelegasikan dari jaringan virtual untuk mengamankan lalu lintas masuk dan keluar gateway. Saat ini, Anda dapat mengonfigurasi pengaturan untuk injeksi jaringan virtual pada saat Anda membuat instans.
Dalam konfigurasi ini:
- Titik akhir gateway API Management dapat diakses melalui jaringan virtual di alamat IP privat.
- API Management dapat membuat permintaan keluar ke backend API yang terisolasi dalam jaringan.
Konfigurasi ini direkomendasikan untuk skenario di mana Anda ingin mengisolasi instans API Management dan API backend. Injeksi jaringan virtual di tingkat Premium v2 secara otomatis mengelola konektivitas jaringan ke sebagian besar dependensi layanan untuk Azure API Management.
Untuk informasi selengkapnya, lihat Menyuntikkan instans Premium v2 ke jaringan virtual.
Integrasi jaringan virtual (tingkat v2)
Tingkat Standar v2 dan Premium v2 mendukung integrasi jaringan virtual keluar untuk memungkinkan instans API Management Anda menjangkau backend API yang diisolasi dalam satu jaringan virtual yang terhubung. Gateway API Management, bidang manajemen, dan portal pengembang tetap dapat diakses secara publik dari internet.
Integrasi keluar memungkinkan instans API Management menjangkau layanan backend publik dan terisolasi jaringan.
Untuk informasi selengkapnya, lihat Mengintegrasikan instans Azure API Management dengan jaringan virtual privat untuk koneksi keluar.
Titik akhir privat masuk
API Management mendukung titik akhir privat untuk koneksi klien masuk yang aman ke instans API Management Anda. Setiap koneksi aman menggunakan alamat IP privat dari jaringan virtual Anda dan Azure Private Link.
Dengan titik akhir pribadi dan Private Link, Anda dapat:
Membuat beberapa koneksi Private Link ke instans API Management.
Menggunakan titik akhir pribadi untuk mengirim lalu lintas masuk pada koneksi aman.
Menggunakan kebijakan untuk membedakan lalu lintas yang berasal dari titik akhir pribadi.
Membatasi lalu lintas masuk hanya ke titik akhir pribadi, mencegah penyelundupan data.
Gabungkan titik akhir privat masuk ke instans Standard v2 dengan integrasi jaringan virtual keluar untuk menyediakan isolasi jaringan end-to-end klien API Management dan layanan backend Anda.
Penting
- Anda hanya dapat mengonfigurasi koneksi titik akhir privat untuk lalu lintas masuk ke instans API Management.
Untuk informasi selengkapnya, lihat Menyambungkan secara privat ke API Management menggunakan titik akhir privat masuk.
Konfigurasi jaringan tingkat lanjut
Mengamankan titik akhir API Management dengan firewall aplikasi web
Anda mungkin memiliki skenario di mana Anda memerlukan akses eksternal dan internal yang aman ke instans API Management Anda, dan fleksibilitas untuk menjangkau backend privat dan lokal. Untuk skenario ini, Anda dapat memilih untuk mengelola akses eksternal ke titik akhir instans API Management dengan firewall aplikasi web (WAF).
Salah satu contohnya adalah menyebarkan instans API Management di jaringan virtual internal, dan merutekan akses publik ke instans tersebut menggunakan Azure Application Gateway yang terhubung ke internet:
Untuk informasi selengkapnya, lihat Menyebarkan API Management di jaringan virtual internal dengan Application Gateway.
Konten terkait
Pelajari selengkapnya tentang konfigurasi jaringan virtual dengan API Management:
- Sebarkan instans Azure API Management Anda ke jaringan virtual - mode eksternal.
- Sebarkan instans Azure API Management Anda ke jaringan virtual - mode internal.
- Sambungkan secara privat ke API Management menggunakan titik akhir privat
- Menyuntikkan instans Premium v2 ke jaringan virtual
- Mengintegrasikan instans Azure API Management dengan jaringan virtual privat untuk koneksi keluar
- Pertahankan instans Azure API Management Anda terhadap serangan DDoS
Untuk mempelajari selengkapnya tentang jaringan virtual Azure, mulailah dengan informasi di Gambaran Umum Azure Virtual Network.