Co jsou pracovní prostory ve službě Azure API Management?

PLATÍ PRO: Premium

Pracovní prostory ve službě API Management přinášejí nové úrovni samostatnosti týmům rozhraní API organizace, které jim umožňují rychleji vytvářet, spravovat a publikovat rozhraní API, spolehlivěji, bezpečněji a produktivněji v rámci služby API Management. Díky poskytování izolovaného přístupu pro správu a modulu runtime rozhraní API umožňují pracovní prostory týmům rozhraní API a zároveň umožňují týmu platformy API zachovat dohled. To zahrnuje centrální monitorování, vynucování zásad rozhraní API a dodržování předpisů a publikování rozhraní API pro zjišťování prostřednictvím jednotného portálu pro vývojáře.

Pracovní prostory fungují jako složky ve službě API Management:

  • Každý pracovní prostor obsahuje rozhraní API, produkty, předplatná, pojmenované hodnoty a související prostředky.
  • Přístup k prostředkům v rámci pracovního prostoru se spravuje prostřednictvím řízení přístupu na základě role v Azure (RBAC) s integrovanými nebo vlastními rolemi, které je možné přiřadit účtům Microsoft Entra.
  • Každý pracovní prostor je přidružený k bráně pracovního prostoru pro směrování provozu rozhraní API do back-endových služeb rozhraní API v pracovním prostoru.

Koncepční diagram služby API Management s pracovními prostory

Poznámka:

  • Nejnovější funkce pracovních prostorů jsou podporované v rozhraní API REST API služby API služby API verze 2023-09-01-preview nebo novější.
  • Důležité informace o cenách najdete v tématu s cenami služby API Management.

Správa federovaného rozhraní API s pracovními prostory

Pracovní prostory přidávají prvotřídní podporu pro federovaný model správy rozhraní API ve službě API Management, kromě již podporovaných centralizovaných a vysílaných modelů. Porovnání těchto modelů najdete v následující tabulce.

Model Popis
Soustředěný

Diagram centralizovaného modelu služby Azure API Management
Výhody
• Centralizované zásady správného řízení a pozorovatelnost rozhraní API
• Jednotný vývojářský portál pro efektivní zjišťování a onboarding rozhraní API
• Nákladová efektivita infrastruktury

Nevýhody
• Žádné oddělení oprávnění pro správu mezi týmy
• Brána rozhraní API je kritickým bodem selhání.
• Nemožnost přiřazovat problémy s modulem runtime konkrétním týmům
• Zatížení týmu platformy za účelem usnadnění spolupráce může snížit růst rozhraní API.
Siloed

Diagram modelu sila ve službě Azure API Management
Výhody
• Oddělení oprávnění pro správu mezi týmy zvyšuje produktivitu a zabezpečení
• Oddělení modulu runtime rozhraní API mezi týmy zvyšuje spolehlivost rozhraní API, odolnost a zabezpečení.
• Problémy s modulem runtime jsou obsaženy a přisouděné konkrétním týmům.

Nevýhody
• Nedostatek centralizovaných zásad správného řízení rozhraní API a pozorovatelnosti
• Nedostatek sjednoceného portálu pro vývojáře
• Vyšší náklady a obtížnější správa platforem
Federalizovaný

Diagram federovaného modelu služby Azure API Management
Výhody
• Centralizované zásady správného řízení a pozorovatelnost rozhraní API
• Jednotný vývojářský portál pro efektivní zjišťování a onboarding rozhraní API
• Oddělení oprávnění pro správu mezi týmy zvyšuje produktivitu a zabezpečení
• Oddělení modulu runtime rozhraní API mezi týmy zvyšuje spolehlivost rozhraní API, odolnost a zabezpečení.
• Problémy s modulem runtime jsou obsaženy a přisouděné konkrétním týmům.

Nevýhody
• Potíže s náklady na platformu a správou vyšší než v centralizovaného modelu, ale nižší než u vysílaného modelu

Přehled ukázkových scénářů

Organizace, která spravuje rozhraní API pomocí služby Azure API Management, může mít několik vývojových týmů, které vyvíjejí, definují, spravují a produktizují různé sady rozhraní API. Pracovní prostory umožňují těmto týmům používat službu API Management ke správě, přístupu a zabezpečení jejich rozhraní API samostatně a nezávisle na správě infrastruktury služeb.

Následuje ukázkový pracovní postup pro vytvoření a použití pracovního prostoru.

  1. Centrální tým platformy API, který spravuje instanci služby API Management, vytvoří pracovní prostor a přiřadí oprávnění spolupracovníkům pracovního prostoru pomocí rolí RBAC – například oprávnění k vytváření nebo čtení prostředků v pracovním prostoru. Pro pracovní prostor se vytvoří také vyhrazená brána rozhraní API.

  2. Centrální tým platformy API používá nástroje DevOps k vytvoření kanálu DevOps pro rozhraní API v daném pracovním prostoru.

  3. Členové pracovního prostoru vyvíjejí, publikují, produktizují a spravují rozhraní API v pracovním prostoru.

  4. Centrální tým platformy API spravuje infrastrukturu služby, jako je monitorování, odolnost a vynucování zásad all-API.

API Management v pracovním prostoru

Týmy spravují vlastní rozhraní API, produkty, předplatná, back-endy, zásady, protokolovací nástroje a další prostředky v rámci pracovních prostorů. Úplný seznam prostředků a operací podporovaných v pracovních prostorech najdete v referenčních informacích k rozhraní REST API služby API Management.

Zatímco pracovní prostory se spravují nezávisle na službě API Management a dalších pracovních prostorech, můžou odkazovat na vybrané prostředky na úrovni služeb. Viz pracovní prostory a další funkce služby API Management, dále v tomto článku.

Brána pracovního prostoru

Každý pracovní prostor může být přidružený k bránám pracovního prostoru, aby bylo možné povolit modul runtime rozhraní API spravovaných v rámci pracovního prostoru. Brána pracovního prostoru je samostatný prostředek Azure se stejnými základními funkcemi jako brána integrovaná do vaší služby API Management.

Brány pracovních prostorů se spravují nezávisle na službě API Management a navzájem. Zajišťují izolaci modulu runtime mezi pracovními prostory, zvýšení spolehlivosti rozhraní API, odolnost a zabezpečení a povolení přisuzování problémů modulu runtime do pracovních prostorů.

  • Informace o nákladech na brány pracovních prostorů najdete v tématu Ceny služby API Management.
  • Podrobné porovnání bran služby API Management najdete v přehledu bran služby API Management.

Název hostitele brány

Každé přidružení pracovního prostoru k bráně pracovního prostoru vytvoří jedinečný název hostitele pro rozhraní API spravovaná v daném pracovním prostoru. Výchozí názvy hostitelů se řídí vzorem <workspace-name>-<hash>.gateway.<region>.azure-api.net. V současné době se pro brány pracovních prostorů nepodporují vlastní názvy hostitelů.

Poznámka:

Do října 2024 je možné k rozhraním API v pracovních prostorech přistupovat za běhu pomocí názvu hostitele vaší instance služby API Management kromě názvu hostitele brány pracovního prostoru.

Izolace sítě

Bránu pracovního prostoru je možné volitelně nakonfigurovat v privátní virtuální síti tak, aby izolovala příchozí nebo odchozí provoz. Pokud je nakonfigurovaná, musí brána pracovního prostoru používat vyhrazenou podsíť ve virtuální síti.

Podrobné požadavky najdete v tématu Požadavky na síťové prostředky pro brány pracovních prostorů.

Poznámka:

  • Síťová konfigurace brány pracovního prostoru je nezávislá na síťové konfiguraci instance služby API Management.
  • V současné době je možné bránu pracovního prostoru nakonfigurovat pouze ve virtuální síti při vytvoření brány. Konfiguraci nebo nastavení sítě brány nemůžete později změnit.

Škálování kapacity

Kapacitu brány můžete spravovat ručním přidáním nebo odebráním jednotek škálování, podobně jako jednotky , které je možné přidat do instance služby API Management v určitých úrovních služby. Náklady na bránu pracovního prostoru jsou založené na počtu vybraných jednotek.

Regionální dostupnost

Brány pracovních prostorů jsou aktuálně dostupné v následujících oblastech:

Poznámka:

Tyto oblasti jsou podmnožinou oblastí, ve kterých je služba API Management dostupná.

  • USA – západ
  • Severní střed USA
  • USA – východ 2
  • Velká Británie – jih
  • Francie – střed
  • Německo – středozápad
  • Severní Evropa
  • Východní Asie
  • Southeast Asia
  • Austrálie – východ
  • Japonsko – východ

Omezení brány

Pro brány pracovních prostorů se aktuálně vztahují následující omezení:

  • Brána pracovního prostoru musí být ve stejné oblasti jako primární oblast Azure instance služby API Management a ve stejném předplatném.
  • Bránu je možné přidružit jenom k jednomu pracovnímu prostoru.
  • Pracovní prostor nejde přidružit k bráně v místním prostředí
  • Brány pracovních prostorů nepodporují příchozí privátní koncové body
  • Rozhraní API v branách pracovního prostoru nemůžou být přiřazena vlastním názvům hostitelů.
  • Rozhraní API v pracovních prostorech nejsou pokrytá defenderem pro rozhraní API.
  • Brány pracovních prostorů nepodporují správce přihlašovacích údajů služby API Management.
  • Brány pracovních prostorů podporují pouze interní mezipaměť; Externí mezipaměť není podporována.
  • Brány pracovních prostorů nepodporují syntetická rozhraní GraphQL API a rozhraní API protokolu WebSocket.
  • Brány pracovních prostorů nepodporují vytváření rozhraní API přímo z prostředků Azure, jako jsou Azure OpenAI Service, App Service, Function Apps atd.
  • Metriky požadavků nejde rozdělit podle pracovního prostoru ve službě Azure Monitor; Všechny metriky pracovního prostoru se agregují na úrovni služby.
  • Protokoly služby Azure Monitor se agregují na úrovni služby; Protokoly na úrovni pracovního prostoru nejsou k dispozici.
  • Brány pracovních prostorů nepodporují certifikáty certifikační autority
  • Brány pracovních prostorů nepodporují automatické škálování
  • Brány pracovních prostorů nepodporují spravované identity, včetně souvisejících funkcí, jako je ukládání tajných kódů ve službě authentication-managed-identity Azure Key Vault a používání zásad.

Role RBAC pro pracovní prostory

Azure RBAC slouží ke konfiguraci oprávnění spolupracovníků pracovního prostoru ke čtení a úpravě entit v pracovním prostoru. Seznam rolí najdete v tématu Použití řízení přístupu na základě role ve službě API Management.

Aby bylo možné spravovat rozhraní API a další prostředky v pracovním prostoru, musí být členům pracovního prostoru přiřazeny role (nebo ekvivalentní oprávnění pomocí vlastních rolí) vymezené službě API Management, pracovnímu prostoru a bráně pracovního prostoru. Role vymezená službou umožňuje odkazovat na určité prostředky na úrovni služby z prostředků na úrovni pracovního prostoru. Uspořádejte například uživatele do skupiny na úrovni pracovního prostoru, abyste mohli řídit viditelnost rozhraní API a produktů.

Poznámka:

Pro snadnější správu nastavte skupiny Microsoft Entra tak, aby přiřadily oprávnění pracovního prostoru více uživatelům.

Pracovní prostory a další funkce služby API Management

Pracovní prostory jsou navržené tak, aby byly samostatně obsažené, aby maximalizovaly oddělení přístupu pro správu a modulu runtime rozhraní API. Existuje několik výjimek, které zajišťují vyšší produktivitu a umožňují zásady správného řízení pro celou platformu, pozorovatelnost, opakované použití a zjišťování rozhraní API.

  • Odkazy na prostředky – Prostředky v pracovním prostoru můžou odkazovat na jiné prostředky v pracovním prostoru a vybrané prostředky z úrovně služby, jako jsou uživatelé, autorizační servery nebo předdefinované skupiny uživatelů. Nemůžou odkazovat na prostředky z jiného pracovního prostoru.

    Z bezpečnostních důvodů není možné odkazovat na prostředky na úrovni služby ze zásad na úrovni pracovního prostoru (například pojmenované hodnoty) nebo podle názvů prostředků, například backend-id v zásadách set-back-end-service .

    Důležité

    Všechny prostředky ve službě API Management (například rozhraní API, produkty, značky nebo předplatná) musí mít jedinečné názvy, i když jsou umístěné v různých pracovních prostorech. Ve stejném pracovním prostoru, v jiných pracovních prostorech ani na úrovni služby nemůže existovat žádné prostředky stejného typu a se stejným názvem prostředku Azure.

  • Portál pro vývojáře – Pracovní prostory jsou konceptem správy a nezobrazují se jako uživatelé portálu pro vývojáře, včetně uživatelského rozhraní portálu pro vývojáře a základního rozhraní API. Rozhraní API a produkty v rámci pracovního prostoru je možné publikovat na portálu pro vývojáře, stejně jako rozhraní API a produkty na úrovni služby.

    Poznámka:

    API Management podporuje přiřazování autorizačních serverů definovaných na úrovni služby rozhraním API v rámci pracovních prostorů.

Migrace z pracovních prostorů preview

Pokud jste ve službě Azure API Management vytvořili pracovní prostory ve verzi Preview a chcete je dál používat, migrujte pracovní prostory do obecně dostupné verze tím, že přidružíte bránu pracovního prostoru k jednotlivým pracovním prostorům.

Podrobnosti a informace o dalších změnách, které by mohly mít vliv na pracovní prostory ve verzi Preview, najdete v tématu Změny způsobující chyby pracovních prostorů (březen 2025).

Odstranění pracovního prostoru

Odstraněním pracovního prostoru odstraníte všechny jeho podřízené prostředky (rozhraní API, produkty atd.) a přidruženou bránu, pokud pracovní prostor odstraníte pomocí rozhraní webu Azure Portal. Neodstraní instanci služby API Management ani jiné pracovní prostory.