Çalışma alanlarıyla federasyon API yönetimi
ŞUNLAR IÇIN GEÇERLIDIR: Premium
Bu makalede API Management çalışma alanlarına genel bir bakış ve merkezi olmayan API geliştirme ekiplerini api'lerini ortak bir hizmet altyapısında yönetme ve ürünleştirme konusunda nasıl güçlendirdikleri açıklanır.
Kuruluşlar API yönetimini neden federasyona eklemelidir?
Günümüzde kuruluşlar, API'lerin çoğalmasını yönetme konusunda giderek daha fazla zorlukla karşı karşıya kalmaktadır. API'lerin ve API geliştirme ekiplerinin sayısı arttıkça, bunları yönetmenin karmaşıklığı da artar. Bu karmaşıklık operasyonel ek yükün artmasına, güvenlik risklerine ve daha az çevikliğe yol açabilir. Kuruluşlar bir yandan API idaresi, güvenliği ve uyumluluğu sağlamak için merkezi bir API altyapısı oluşturmak istiyor. Öte yandan API ekiplerinin, API platformunu yönetme ek yükü olmadan iş gereksinimlerine hızlı bir şekilde yenilik ve yanıt vermesini istiyor.
Api yönetiminin federasyon modeli bu gereksinimleri karşılar. Federasyon API yönetimi, bir API platformu ekibi tarafından yönetilen merkezi idare, izleme ve API bulmayı korurken, denetim ve veri düzlemleri için uygun yalıtıma sahip geliştirme ekipleri tarafından merkezi olmayan API yönetimine olanak tanır. Bu model, platform ekibi tarafından tamamen merkezi API yönetimi veya her geliştirme ekibinin silolu API yönetimi gibi alternatif yaklaşımların sınırlamalarını aşıyor.
Federasyon API yönetimi şunları sağlar:
- Merkezi API idaresi ve gözlemlenebilirliği
- Etkili API bulma ve ekleme için birleşik bir geliştirici portalı
- API ekipleri arasında ayrılmış yönetim izinleri, üretkenliği ve güvenliği artırma
- API ekipleri arasında ayrılmış API çalışma zamanı, güvenilirliği, dayanıklılığı ve güvenliği artırır
Çalışma alanları federasyon API yönetimini nasıl etkinleştirir?
Azure API Management'ta, federasyon API yönetimi uygulamak için çalışma alanlarını kullanın. Çalışma alanları, BIR API Management hizmeti içindeki "klasörler" gibi çalışır:
- Her çalışma alanı API'leri, ürünleri, abonelikleri, adlandırılmış değerleri ve ilgili kaynakları içerir. Çalışma alanlarında desteklenen kaynakların ve işlemlerin tam listesi için API Management REST API başvurusuna bakın.
- Teams'in çalışma alanı içindeki kaynaklara erişimi, Azure'ın rol tabanlı erişim denetimi (RBAC) aracılığıyla yönetilir ve bunun kapsamı Microsoft Entra hesaplarına atanabilir ve kapsamı bir çalışma alanı olarak belirlenmiş yerleşik veya özel rollerdir.
- Her çalışma alanı, API trafiğini çalışma alanında API'lerin arka uç hizmetlerine yönlendirmek için bir veya daha fazla çalışma alanı ağ geçidiyle ilişkilendirilir.
- Platform ekibi çalışma alanlarındaKI API'leri kapsayan API ilkelerini uygulayabilir, tüm çalışma alanlarının günlüklerini görüntüleyerek platformu izleyebilir ve geliştirici portalıyla merkezi bir API bulma deneyimi uygulayabilir.
Not
- En son çalışma alanı özellikleri API Management REST API sürüm 2023-09-01-preview veya sonraki sürümlerde desteklenir.
- Fiyatlandırma konusunda dikkat edilmesi gerekenler için bkz . API Management fiyatlandırması.
Çalışma alanları API Management hizmetinden ve diğer çalışma alanlarından bağımsız olarak yönetilirken, tasarım gereği seçilen hizmet düzeyi kaynaklara başvurabilir. Bu makalenin devamında yer alan Çalışma alanları ve diğer API Management özelliklerine bakın.
Örnek senaryoya genel bakış
Azure API Management kullanarak API'leri yöneten bir kuruluşun, farklı API kümelerini geliştiren, tanımlayan, koruyan ve ürünleştiren birden çok geliştirme ekibi olabilir. Çalışma alanları, bu ekiplerin API'lerini ayrı olarak ve hizmet altyapısını yönetmeden bağımsız olarak yönetmek, bunlara erişmek ve bunların güvenliğini sağlamak için API Management kullanmasına olanak tanır.
Aşağıda, çalışma alanı oluşturmak ve kullanmak için örnek bir iş akışı verilmiştir.
API Management örneğini yöneten merkezi bir API platformu ekibi bir çalışma alanı oluşturur ve RBAC rollerini kullanarak çalışma alanı ortak çalışanlarına izinler atar ( örneğin, çalışma alanında kaynak oluşturma veya okuma izinleri). Çalışma alanı için çalışma alanı kapsamlı bir API ağ geçidi de oluşturulur.
Merkezi BIR API platformu ekibi, devOps araçlarını kullanarak bu çalışma alanında API'ler için bir DevOps işlem hattı oluşturur.
Çalışma alanı üyeleri, çalışma alanında API'leri geliştirir, yayımlar, ürünleştirir ve korur.
Merkezi API platformu ekibi, tüm API ilkelerini izleme, dayanıklılık ve uygulama gibi hizmetin altyapısını yönetir.
Çalışma alanı ağ geçidi
Her çalışma alanı, çalışma alanı içinde yönetilen API'lerin çalışma zamanını etkinleştirmek için bir veya daha fazla çalışma alanı ağ geçidiyle ilişkilendirilir. Çalışma alanı ağ geçidi, API Management hizmetinizde yerleşik olarak bulunan ağ geçidiyle aynı temel işlevselliğe sahip tek başına bir Azure kaynağıdır.
Çalışma alanı ağ geçitleri API Management hizmetinden ve birbirinden bağımsız olarak yönetilir. Çalışma alanları veya kullanım örnekleri arasında çalışma zamanının yalıtılmasını sağlayarak API güvenilirliğini, dayanıklılığını ve güvenliğini artırır ve çalışma zamanı sorunlarının çalışma alanlarına atf edilmesini sağlar.
- Çalışma alanı ağ geçitlerinin maliyeti hakkında bilgi için bkz . API Management fiyatlandırması.
- API Management ağ geçitlerinin ayrıntılı karşılaştırması için bkz . API Management ağ geçitlerine genel bakış.
Not
Kuruluşların çalışma alanlarıyla API'leri daha düşük maliyetle yönetmesine yardımcı olmak için birden çok çalışma alanını bir çalışma alanı ağ geçidiyle ilişkilendirme özelliği sunuyoruz. Bu özellik Aralık 2024'te kullanıma sunulacaktır ve Ocak ayından önce tüm uygun hizmetler tarafından kullanılamayabilir. Daha fazla bilgi edinin
Ağ geçidi ana bilgisayar adı
Bir çalışma alanının çalışma alanı ağ geçidiyle her ilişkisi, bu çalışma alanında yönetilen API'ler için benzersiz bir konak adı oluşturur. Varsayılan konak adları desenini <workspace-name>-<hash>.gateway.<region>.azure-api.netizler. Şu anda çalışma alanı ağ geçitleri için özel ana bilgisayar adları desteklenmemektedir.
Ağ yalıtımı
Çalışma alanı ağ geçidi isteğe bağlı olarak gelen ve/veya giden trafiği yalıtmak için özel bir sanal ağda yapılandırılabilir. Yapılandırıldıysa, çalışma alanı ağ geçidinin sanal ağda ayrılmış bir alt ağ kullanması gerekir.
Ayrıntılı gereksinimler için bkz . Çalışma alanı ağ geçitleri için ağ kaynağı gereksinimleri.
Not
- Çalışma alanı ağ geçidinin ağ yapılandırması, API Management örneğinin ağ yapılandırmasından bağımsızdır.
- Şu anda, bir çalışma alanı ağ geçidi yalnızca ağ geçidi oluşturulduğunda sanal ağda yapılandırılabilir. Ağ geçidinin ağ yapılandırmasını veya ayarlarını daha sonra değiştiremezsiniz.
Kapasite ölçeklendirme
Belirli hizmet katmanlarında API Management örneğine eklenebilen birimlere benzer şekilde ölçek birimlerini el ile ekleyerek veya kaldırarak ağ geçidi kapasitesini yönetin. Çalışma alanı ağ geçidinin maliyetleri, seçtiğiniz birim sayısına bağlıdır.
Bölgesel kullanılabilirlik
Çalışma alanı ağ geçitlerinin kullanılabilir olduğu bölgelerin geçerli listesi için bkz . v2 katmanlarının ve çalışma alanı ağ geçitlerinin kullanılabilirliği.
Ağ geçidi kısıtlamaları
Şu anda çalışma alanı ağ geçitleri için aşağıdaki kısıtlamalar geçerlidir:
- Çalışma alanı ağ geçidinin API Management örneğinin birincil Azure bölgesiyle aynı bölgede ve aynı abonelikte olması gerekir.
- Çalışma alanı şirket içinde barındırılan bir ağ geçidiyle ilişkilendirilemiyor
- Çalışma alanı ağ geçitleri gelen özel uç noktaları desteklemez
- Çalışma alanı ağ geçitlerindeki API'lere özel konak adları atanamaz
- Çalışma alanlarındaki API'ler, API'ler için Defender kapsamında değildir
- Çalışma alanı ağ geçitleri API Management hizmetinin kimlik bilgisi yöneticisini desteklemiyor
- Çalışma alanı ağ geçitleri yalnızca iç önbelleği destekler; dış önbellek desteklenmiyor
- Çalışma alanı ağ geçitleri yapay GraphQL API'lerini ve WebSocket API'lerini desteklemez
- Çalışma alanı ağ geçitleri doğrudan Azure OpenAI Hizmeti, App Service, İşlev Uygulamaları gibi Azure kaynaklarından API oluşturmayı desteklemez
- İstek ölçümleri Azure İzleyici'deki çalışma alanına göre bölünemez; tüm çalışma alanı ölçümleri hizmet düzeyinde toplanır
- Azure İzleyici günlükleri hizmet düzeyinde toplanır; çalışma alanı düzeyinde günlükler kullanılamıyor
- Çalışma alanı ağ geçitleri CA sertifikalarını desteklemez
- Çalışma alanı ağ geçitleri otomatik ölçeklendirmeyi desteklemiyor
- Çalışma alanı ağ geçitleri, Azure Key Vault'ta gizli dizileri depolama ve ilkeyi kullanma gibi ilgili özellikler de dahil olmak üzere yönetilen kimlikleri
authentication-managed-identitydesteklemez
Çalışma alanları için RBAC rolleri
Azure RBAC, çalışma alanı ortak çalışanlarının çalışma alanında varlıkları okuma ve düzenleme izinlerini yapılandırmak için kullanılır. Rollerin listesi için bkz . API Management'ta rol tabanlı erişim denetimini kullanma.
Çalışma alanında API'leri ve diğer kaynakları yönetmek için, çalışma alanı üyelerine API Management hizmeti, çalışma alanı ve çalışma alanı ağ geçidi kapsamında roller (veya özel roller kullanan eşdeğer izinler) atanmalıdır. Hizmet kapsamlı rol, çalışma alanı düzeyindeki kaynaklardan belirli hizmet düzeyi kaynaklara başvuruda bulunmak için olanak sağlar. Örneğin, API'yi ve ürün görünürlüğünü denetlemek için kullanıcıyı çalışma alanı düzeyinde bir grup halinde düzenleyin.
Not
Daha kolay yönetim için Microsoft Entra gruplarını birden çok kullanıcıya çalışma alanı izinleri atayacak şekilde ayarlayın.
Çalışma alanları ve diğer API Management özellikleri
Çalışma alanları, yönetim erişimi ve API çalışma zamanı ayrımını en üst düzeye çıkarmak için kendi içinde olacak şekilde tasarlanmıştır. Daha yüksek üretkenlik sağlamak ve platform genelinde idare, gözlemlenebilirlik, yeniden kullanılabilirlik ve API bulmayı etkinleştirmek için çeşitli özel durumlar vardır.
Kaynak başvuruları - Çalışma alanı içindeki kaynaklar, çalışma alanı içindeki diğer kaynaklara ve kullanıcılar, yetkilendirme sunucuları veya yerleşik kullanıcı grupları gibi hizmet düzeyinden seçilen kaynaklara başvurabilir. Başka bir çalışma alanındaki kaynaklara başvuramaz.
Güvenlik nedeniyle, çalışma alanı düzeyindeki ilkelerden (örneğin, adlandırılmış değerler) veya kaynak adlarından (örneğin, set-backend-service ilkesindeki gibi
backend-id) hizmet düzeyi kaynaklara başvurmak mümkün değildir.Önemli
Api Management hizmetindeki tüm kaynakların (ÖRNEĞIN, API'ler, ürünler, etiketler veya abonelikler) farklı çalışma alanlarında bulunsalar bile benzersiz adlara sahip olması gerekir. Aynı çalışma alanında, diğer çalışma alanlarında veya hizmet düzeyinde aynı türde ve aynı Azure kaynak adına sahip hiçbir kaynak olamaz.
Geliştirici portalı - Çalışma alanları bir yönetim kavramıdır ve geliştirici portalı kullanıcı arabirimi ve temel alınan API dahil olmak üzere geliştirici portalı tüketicilerine uygulanmaz. Bir çalışma alanı içindeki API'ler ve ürünler, tıpkı hizmet düzeyindeki API'ler ve ürünler gibi geliştirici portalında yayımlanabilir.
Not
API Management, çalışma alanları içindeki API'lere hizmet düzeyinde tanımlanan yetkilendirme sunucuları atamayı destekler.
Önizleme çalışma alanlarından geçiş
Azure API Management'ta önizleme çalışma alanları oluşturduysanız ve bunları kullanmaya devam etmek istiyorsanız, her çalışma alanıyla bir çalışma alanı ağ geçidi ilişkilendirerek çalışma alanlarınızı genel kullanıma açık sürüme geçirin.
Ayrıntılar ve önizleme çalışma alanlarınızı etkileyebilecek diğer değişiklikler hakkında bilgi edinmek için bkz . Çalışma alanları hataya neden olan değişiklikler (Mart 2025).
Çalışma alanını silme
Çalışma alanının silinmesi, Azure portal arabirimini kullanarak çalışma alanını siliyorsanız tüm alt kaynaklarını (API'ler, ürünler vb.) ve ilişkili ağ geçidini siler. API Management örneğini veya diğer çalışma alanlarını silmez.