category
默认情况下,您的API管理在公共端点从互联网访问,并充当公共后端的网关。API管理提供了多个选项,用于使用Azure虚拟网络安全访问API管理实例和后端API。可用选项取决于API管理实例的服务层。
- 将API管理实例注入虚拟网络中的子网,使网关【gateway 】能够访问网络中的资源。
- 您可以选择两种注射模式之一:外部或内部。它们的不同之处在于,是否允许从互联网或仅从虚拟网络内连接到网关和其他API管理端点的入站连接。
- 将API管理实例与虚拟网络中的子网集成,以便API管理网关可以向网络中隔离的API后端发出出站请求。
- 使用专用终结点启用到API管理网关的安全和专用入站连接。
下表比较了虚拟网络选项。有关更多信息,请参阅本文后面的部分和详细指导的链接。
网络模型支持的层支持的组件支持的流量使用场景
| Networking model | Supported tiers | Supported components | Supported traffic | Usage scenario |
|---|---|---|---|---|
| Virtual network injection - external | Developer, Premium | Developer portal, gateway, management plane, and Git repository | Inbound and outbound traffic can be allowed to internet, peered virtual networks, Express Route, and S2S VPN connections. | External access to private and on-premises backends |
| Virtual network injection - internal | Developer, Premium | Developer portal, gateway, management plane, and Git repository | Inbound and outbound traffic can be allowed to peered virtual networks, Express Route, and S2S VPN connections. | Internal access to private and on-premises backends |
| Outbound integration | Standard v2 | Gateway only | Outbound request traffic can reach APIs hosted in a delegated subnet of a virtual network. | External access to private and on-premises backends |
| Inbound private endpoint | Developer, Basic, Standard, Premium | Gateway only (managed gateway supported, self-hosted gateway not supported) | Only inbound traffic can be allowed from internet, peered virtual networks, Express Route, and S2S VPN connections. | Secure client connection to API Management gateway |
虚拟网络注入
使用VNet注入,将API管理实例部署(“注入”)到控制访问的非互联网输出网络的子网中。在虚拟网络中,您的API管理实例可以安全地访问其他联网Azure资源,还可以使用各种VPN技术连接到本地网络。要了解有关Azure Ids的更多信息,请从Azure虚拟网络概述中的信息开始。
您可以使用Azure门户、Azure CLI、Azure资源管理器模板或其他工具进行配置。您可以使用网络安全组来控制进入部署API管理的子网的入站和出站流量。
有关详细的部署步骤和网络配置,请参阅:
- 将API管理实例部署到虚拟网络外部模式。
- 将API管理实例部署到虚拟网络内部模式。
- API管理注入虚拟网络的网络资源要求。
- Deploy your API Management instance to a virtual network - external mode.
- Deploy your API Management instance to a virtual network - internal mode.
- Network resource requirements for API Management injection into a virtual network.
访问选项
使用虚拟网络,您可以将开发人员门户、API网关和其他API管理端点配置为可以从互联网(外部模式)或仅在VNet(内部模式)内访问。
- 外部-API管理端点可通过外部负载平衡器从公共互联网访问。网关可以访问ExpressRoute中的资源。
在外部模式下使用API管理访问部署在虚拟网络中的后端服务。
- 内部-API管理端点只能通过内部负载平衡器从VNet内部访问。网关可以访问ExpressRoute中的资源。
在内部模式下使用API管理可以:
- 通过使用Azure VPN连接或Azure ExpressRoute,使托管在您的私有数据中心的API可由第三方安全访问。
- 通过公共网关公开基于云的API和本地API,实现混合云场景。
- 使用单个网关端点管理托管在多个地理位置的API。
出站集成
标准v2层支持VNet集成,以允许API管理实例访问在单个连接的VNet中隔离的API后端。API管理网关、管理平面和开发人员门户仍然可以从互联网上公开访问。
出站集成使API管理实例能够访问公共和网络隔离的后端服务。
有关更多信息,请参阅将Azure API管理实例与用于出站连接的私有VNet集成。
入站专用端点
API管理支持专用端点,以便安全地将入站客户端连接到API管理实例。每个安全连接都使用来自虚拟网络和Azure专用链接的专用IP地址。
使用专用端点和专用链接,您可以:
- 创建多个到API管理实例的专用链接连接。
- 使用专用终结点在安全连接上发送入站流量。
- 使用策略区分来自专用端点的流量。
- 将传入流量限制在专用端点,防止数据泄露。
重要的
- 您只能为API管理实例的入站流量配置专用端点连接。目前不支持出站流量。
- 您可以使用外部或内部虚拟网络模型从API管理实例建立到专用端点的出站连接。
若要启用入站专用终结点,无法将API管理实例注入外部或内部虚拟网络。
有关更多信息,请参阅使用入站专用终结点将专用连接到API管理。
高级网络配置
使用web应用程序防火墙保护API管理端点的安全
在某些情况下,您可能需要对API管理实例进行安全的外部和内部访问,并灵活地访问私有和内部后端。对于这些场景,您可以选择使用web应用程序防火墙(WAF)管理对API管理实例端点的外部访问。
一个示例是在内部虚拟网络中部署API管理实例,并使用面向互联网的Azure应用网关将公共访问路由到该实例:
有关更多信息,请参阅使用应用程序网关在内部虚拟网络中部署API管理。
下一步
了解更多关于:
使用API管理的虚拟网络配置:
- Deploy your Azure API Management instance to a virtual network - external mode.
- Deploy your Azure API Management instance to a virtual network - internal mode.
- Connect privately to API Management using a private endpoint
- Integrate an Azure API Management instance with a private VNet for outbound connections
- Defend your Azure API Management instance against DDoS attacks
相关文章:
- 登录 发表评论
- 1次浏览
Tags
最新内容
- 2 days 12 hours ago
- 2 days 12 hours ago
- 2 days 13 hours ago
- 2 days 13 hours ago
- 2 days 13 hours ago
- 2 days 13 hours ago
- 2 days 14 hours ago
- 2 days 14 hours ago
- 4 days 2 hours ago
- 4 days 2 hours ago