Connettersi privatamente a API Management usando un endpoint privato in ingresso
SI APPLICA A: Sviluppatore | Basic | Standard | Premium
È possibile configurare un endpoint privato in ingresso per l'istanza di API Management per consentire ai client nella rete privata di accedere in modo sicuro all'istanza tramite Collegamento privato di Azure.
L'endpoint privato usa un indirizzo IP da una rete virtuale di Azure in cui è ospitato.
Il traffico di rete tra un client nella rete privata e Gestione API attraversa la VNet e un collegamento privato sulla rete backbone Microsoft, eliminando l'esposizione dalla rete Internet pubblica.
Configurare impostazioni DNS personalizzate o una zona privata di DNS di Azure per eseguire il mapping del nome host di Gestione API all'indirizzo IP privato dell'endpoint.
Con un endpoint privato e collegamento privato è possibile:
Creare più connessioni del collegamento privato a un'istanza di Gestione API.
Usare l'endpoint privato per inviare il traffico in ingresso su una connessione sicura.
Usare criteri per distinguere il traffico proveniente dall'endpoint privato.
Limitare il traffico in ingresso solo agli endpoint privati, impedendo l'esfiltrazione di dati.
Importante
È possibile configurare solo una connessione di endpoint privato per traffico in ingresso all'istanza di API Management. Attualmente, il traffico in uscita non è supportato.
È possibile usare il modello di rete virtuale esterna o interna per stabilire la connettività in uscita agli endpoint privati dall'istanza di API Management.
Per abilitare gli endpoint privati in ingresso, l'istanza di API Management non può essere inserita in una rete virtuale esterna o interna.
Limiti
- Solo l'endpoint gateway dell'istanza di API Management supporta le connessioni al collegamento privato in ingresso.
- Ogni istanza di API Management supporta al massimo 100 connessioni al collegamento privato.
- Le connessioni non sono supportate nel gateway self-hosted o in un gateway dell'area di lavoro.
Prerequisiti
- Un'istanza di API Management esistente. Crearne una se non è già stato fatto.
- L'istanza di API Management deve essere ospitata nella
stv2piattaforma di calcolo. - Non distribuire (inserire) l'istanza in una rete virtuale esterna o interna.
- L'istanza di API Management deve essere ospitata nella
- Una rete virtuale e una subnet per ospitare l'endpoint privato. La subnet può contenere altre risorse di Azure.
- (Scelta consigliata) Una macchina virtuale nella stessa subnet o in una subnet diversa nella rete virtuale, per testare l'endpoint privato.
Usare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Avvio rapido su Bash in Azure Cloud Shell.
Se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker.
Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Accedere tramite l'interfaccia della riga di comando di Azure.
Quando richiesto, al primo utilizzo installare l'estensione dell'interfaccia della riga di comando di Azure. Per altre informazioni sulle estensioni, vedere Usare le estensioni con l'interfaccia della riga di comando di Azure.
Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.
Metodo di approvazione per l'endpoint privato
In genere, un amministratore di rete crea un endpoint privato. A seconda delle autorizzazioni di controllo degli accessi in base al ruolo (RBAC) di Azure, un endpoint privato creato viene approvato automaticamente per inviare traffico all'istanza di API Management oppure richiede al proprietario della risorsa di approvare manualmente la connessione.
| Metodo di approvazione | Autorizzazioni di controllo degli accessi in base al ruolo minime |
|---|---|
| Automatico | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/readMicrosoft.ApiManagement/service/**Microsoft.ApiManagement/service/privateEndpointConnections/** |
| Manuale | Microsoft.Network/virtualNetworks/**Microsoft.Network/virtualNetworks/subnets/**Microsoft.Network/privateEndpoints/**Microsoft.Network/networkinterfaces/**Microsoft.Network/locations/availablePrivateEndpointTypes/read |
Passaggi per configurare l'endpoint privato
- Ottenere i tipi di endpoint privati disponibili nella sottoscrizione
- Disabilitare i criteri di rete nella subnet
- Creare un endpoint privato - portale
- Elencare le connessioni di endpoint privati all'istanza
- Approvare le connessioni di endpoint privati in sospeso
- Facoltativamente, disabilitare l'accesso alla rete pubblica
Ottenere i tipi di endpoint privati disponibili nella sottoscrizione
Verificare che il tipo di endpoint privato di API Management sia disponibile nella sottoscrizione e nel percorso. Nel portale trovare queste informazioni passando al Centro collegamento privato. Selezionare Risorse supportate.
È anche possibile trovare queste informazioni usando l'API REST Tipi di endpoint privati disponibili - Elenco.
GET https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Network/locations/{region}/availablePrivateEndpointTypes?api-version=2021-03-01
L'output deve includere il tipo di endpoint Microsoft.ApiManagement.service:
[...]
"name": "Microsoft.ApiManagement.service",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Network/AvailablePrivateEndpointTypes/Microsoft.ApiManagement.service",
"type": "Microsoft.Network/AvailablePrivateEndpointTypes",
"resourceName": "Microsoft.ApiManagement/service",
"displayName": "Microsoft.ApiManagement/service",
"apiVersion": "2021-04-01-preview"
}
[...]
Disabilitare i criteri di rete nella subnet
I criteri di rete, ad esempio i gruppi di sicurezza di rete, devono essere disabilitati nella subnet usata per l'endpoint privato.
Se si usano strumenti come Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST per configurare gli endpoint privati, aggiornare manualmente la configurazione della subnet. Per esempi, vedere Gestire i criteri di rete per gli endpoint privati.
Quando si usa il portale di Azure per creare un endpoint privato, come illustrato nella sezione successiva, i criteri di rete vengono disabilitati automaticamente come parte del processo di creazione
Creare un endpoint privato - portale
Accedere al servizio di API Management nel portale di Azure.
Nel menu a sinistra, in Distribuzione + infrastruttura, selezionare Rete.
Selezionare Connessioni endpoint privato in ingresso>+ Aggiungi endpoint.
Nella scheda Informazioni di base di Crea un endpoint privato immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare un gruppo di risorse esistente o crearne uno nuovo. Deve trovarsi nella stessa area della rete virtuale. Dettagli istanza Nome Immettere un nome per l'endpoint privato, ad esempio myPrivateEndpoint. Nome interfaccia di rete Immettere un nome per l'interfaccia di rete, ad esempio myInterface Area Selezionare un percorso per l'endpoint privato. Deve trovarsi nella stessa area della rete virtuale. Può differire dall'area in cui è ospitata l'istanza di API Management. Selezionare il pulsante Avanti: Risorsa nella parte inferiore della schermata. Le informazioni seguenti sull'istanza di API Management sono già popolate:
- Abbonamento
- Tipo di risorsa
- Nome risorsa
In Risorsa, Sotto-risorsa di destinazione selezionare Gateway.
Selezionare il pulsante Avanti: Rete virtuale nella parte inferiore della schermata.
In Networkingimmettere o selezionare queste informazioni:
Impostazione Valore Rete virtuale Selezionare la rete virtuale. Subnet Selezionare la subnet. Configurazione IP privato Nella maggior parte dei casi selezionare Alloca dinamicamente l'indirizzo IP. Gruppo di sicurezza delle applicazioni Facoltativamente, selezionare un gruppo di sicurezza delle applicazioni. Selezionare il pulsante Avanti: DNS nella parte inferiore della schermata.
In Integrazione DNS privato immettere o selezionare queste informazioni:
Impostazione Valore Integra con la zona DNS privato Lasciare l'impostazione predefinita Sì. Abbonamento Selezionare la propria sottoscrizione. Resource group Selezionare il gruppo di risorse. Zone DNS private Viene visualizzato il valore predefinito: (nuovo) privatelink.azure-api.net. Selezionare il pulsante Avanti: Schede nella parte inferiore della schermata. Se lo si desidera, immettere i tag per organizzare le risorse di Azure.
- Selezionare il pulsante blu Avanti: Rivedi + crea nella parte inferiore della schermata.
Seleziona Crea.
Elencare le connessioni di endpoint privati all'istanza
Una volta creato l'endpoint privato e aggiornato il servizio viene visualizzato nell'elenco della pagina Connessioni di endpoint privati in ingresso dell'istanza di API Management nel portale.
Si noti lo stato Connessione dell'endpoint:
- Approvato indica che la risorsa API Management ha approvato automaticamente la connessione.
- In sospeso indica che la connessione deve essere approvata manualmente dal proprietario della risorsa.
Approvare le connessioni di endpoint privati in sospeso
Se una connessione di endpoint privato è in sospeso, un proprietario dell'istanza di API Management deve approvarlo manualmente prima di poterla usare.
Se si dispone di autorizzazioni sufficienti, approvare una connessione di endpoint privato nella pagina Connessioni di endpoint privati dell'istanza di API Management nel portale. Nel menu di scelta rapida della connessione (...) selezionare Approva.
È anche possibile usare la Connessione dell'endpoint privato di Gestione API - Creare o aggiornare l'API REST per approvare le connessioni all'endpoint privato in sospeso.
Facoltativamente, disabilitare l'accesso alla rete pubblica
Per limitare facoltativamente il traffico in ingresso all'istanza di API Management solo agli endpoint privati, disabilitare l'accesso alla rete pubblica.
Nota
È possibile disabilitare l'accesso pubblico solo nelle istanze di API Management configurate con un endpoint privato, non con altre configurazioni di networking, ad esempio l'inserimento della rete virtuale.
Per disabilitare l'accesso alla rete pubblica usando l'interfaccia della riga di comando di Azure, eseguire il comando az apim update seguente, sostituendo i nomi dell'istanza di Gestione API e del gruppo di risorse:
az apim update --name my-apim-service --resource-group my-resource-group --public-network-access false
È anche possibile usare il Servizio Gestione API - Aggiornare l'API REST per disabilitare l'accesso alla rete pubblica impostando la proprietà publicNetworkAccess su Disabled.
Convalida connessione di endpoint privato
Dopo aver creato un endpoint privato, verificare le impostazioni DNS nel portale:
Accedere al servizio di API Management nel portale di Azure.
Nel menu a sinistra, in Distribuzione + Infrastruttura selezionare Rete>Connessioni di endpoint privati in ingresso quindi selezionare l'endpoint privato creato.
Nel riquadro di spostamento a sinistra, in Impostazioni selezionare Configurazione DNS.
Esaminare i record DNS e l'indirizzo IP dell'endpoint privato. L'indirizzo IP è un indirizzo privato nello spazio indirizzi della subnet in cui l'endpoint privato è configurato.
Test nella rete virtuale
Connettersi a una macchina virtuale configurata nella rete virtuale.
Eseguire un'utilità, ad esempio nslookup o dig, per cercare l'indirizzo IP dell'endpoint gateway predefinito sul collegamento privato. Ad esempio:
nslookup my-apim-service.azure-api.net
L'output deve includere l'indirizzo IP privato associato all'endpoint privato.
Le chiamate API avviate all'interno della rete virtuale all'endpoint gateway predefinito devono avere esito positivo.
Test da Internet
Dall'esterno del percorso dell'endpoint privato, provare a chiamare l'endpoint gateway predefinito dell'istanza di Gestione API. Se l'accesso pubblico è disabilitato, l'output include un errore con il codice di stato 403 e un messaggio simile al seguente:
Request originated from client public IP address xxx.xxx.xxx.xxx, public network access on this 'Microsoft.ApiManagement/service/my-apim-service' is disabled.
To connect to 'Microsoft.ApiManagement/service/my-apim-service', please use the Private Endpoint from inside your virtual network.
Contenuto correlato
- Usare espressioni di criteri con la variabile
context.requestper identificare il traffico dall'endpoint privato. - Altre informazioni su endpoint privati e Collegamento privato, tra cui i prezzi del collegamento privato.
- Gestire le connessioni a endpoint privati.
- Risolvere i problemi di connettività all'endpoint privato di Azure.
- Usare un modello di Resource Manager per creare un'istanza di API Management e un endpoint privato con integrazione DNS privata.