Azure API Management'ın IP adresleri
UYGULANANLAR: Tüm API Management katmanları
Bu makalede, Azure API Management hizmetinin IP adreslerinin nasıl alındığı açıklanmaktadır. Hizmet bir sanal ağdaysa IP adresleri genel veya özel olabilir. Ip adreslerini kullanarak güvenlik duvarı kuralları oluşturabilir, arka uç hizmetlerine gelen trafiği filtreleyebilir veya giden trafiği kısıtlayabilirsiniz.
Genel IP adresleri
Geliştirici, Temel, Standart veya Premium katmanındaki her API Management hizmet örneğinde yalnızca bu hizmet örneğine özel genel IP adresleri vardır (diğer kaynaklarla paylaşılmazlar).
IP adreslerini Azure portalındaki kaynağınızın genel bakış panosundan alabilirsiniz.
Bunları aşağıdaki API çağrısıyla program aracılığıyla da getirebilirsiniz:
GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>
Genel IP adresleri yanıtın bir parçası olacaktır:
{
...
"properties": {
...
"publicIPAddresses": [
"13.77.143.53"
],
...
}
...
}
Çok bölgeli dağıtımlarda, her bölgesel dağıtımın bir genel IP adresi vardır.
Sanal ağdaki API Management hizmetinin IP adresleri
API Management hizmetiniz bir sanal ağ içindeyse, iki tür IP adresi olur: genel ve özel.
Genel IP adresleri, yapılandırmayı yönetmek için (örneğin, Azure Resource Manager aracılığıyla) bağlantı noktasında
3443
iç iletişim için kullanılır. Dış sanal ağ yapılandırmasında, çalışma zamanı API'si trafiği için de kullanılır. İç sanal ağ yapılandırmasında genel IP adresleri yalnızca Azure iç yönetim işlemleri için kullanılır ve örneğinizi İnternet'te kullanıma sunmaz.Yalnızca iç sanal ağ modunda kullanılabilen özel sanal IP (VIP) adresleri ağ içinden API Management uç noktalarına (ağ geçitleri, geliştirici portalı ve doğrudan API erişimi için yönetim düzlemine) bağlanmak için kullanılır. Bunları ağ içinde DNS kayıtlarını ayarlamak için kullanabilirsiniz.
Her iki türün adreslerini Azure portalında ve API çağrısının yanıtında görürsünüz:
GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>
{
...
"properties": {
...
"publicIPAddresses": [
"13.85.20.170"
],
"privateIPAddresses": [
"192.168.1.5"
],
...
},
...
}
Önemli
İç yük dengeleyici ve API Management birimlerinin özel IP adresleri dinamik olarak atanır. Bu nedenle, API Management örneğinin özel IP'sini dağıtımından önce tahmin etmek mümkün değildir. Ayrıca, farklı bir alt ağa geçmek ve sonra geri dönmek özel IP adresinde bir değişikliğe neden olabilir.
Giden trafik için IP adresleri
API Management, sanal ağ veya eşlenmiş bir sanal ağ dışındaki bir bağlantı için genel IP adresi kullanır ve sanal ağdaki veya eşlenmiş bir VNet'teki bağlantı için özel bir IP adresi kullanır.
API Management bir dış veya iç sanal ağda dağıtıldığında ve API Management özel (intranet'e yönelik) arka uçlara bağlandığında, çalışma zamanı API trafiği için alt ağdan iç IP adresleri (dinamik IP veya DIP adresleri) kullanılır. API Management'tan özel bir arka uçtan istek gönderildiğinde, isteğin kaynağı olarak özel bir IP adresi görünür.
Bu nedenle, IP kısıtlaması sanal ağ veya eşlenmiş bir sanal ağ içindeki güvenli kaynakları listeliyorsa, API Management alt ağ aralığının tamamının yalnızca API Management kaynağıyla ilişkili özel IP adresiyle değil bir IP kuralıyla (iç modda) kullanılması önerilir.
API Management'tan genel (İnternet'e yönelik) bir arka uca istek gönderildiğinde, genel IP adresi her zaman isteğin kaynağı olarak görünür.
Tüketim, Temel v2 ve Standart v2 katmanı API Management hizmetinin IP adresleri
API Management örneğiniz paylaşılan bir altyapı üzerinde çalışan bir hizmet katmanında oluşturulduysa, ayrılmış bir IP adresine sahip değildir. Şu anda, aşağıdaki hizmet katmanlarındaki örnekler paylaşılan bir altyapıda ve belirlenimici bir IP adresi olmadan çalışır: Tüketim, Temel v2, Standart v2.
Tüketim, Temel v2 veya Standart v2 katman örneğiniz tarafından kullanılan giden IP adreslerini izin verilenler listesine eklemeniz gerekiyorsa, örneğin veri merkezini (Azure bölgesi) izin verilenler listesine ekleyebilirsiniz. Tüm Azure veri merkezleri için IP adreslerini listeleyen bir JSON dosyası indirebilirsiniz. Ardından örneğinizin çalıştığı bölgeye uygulanan JSON parçasını bulun.
Örneğin aşağıdaki JSON parçası, Batı Avrupa için izin verilenler listesinin nasıl görünebileceğidir:
{
"name": "AzureCloud.westeurope",
"id": "AzureCloud.westeurope",
"properties": {
"changeNumber": 9,
"region": "westeurope",
"platform": "Azure",
"systemService": "",
"addressPrefixes": [
"13.69.0.0/17",
"13.73.128.0/18",
... Some IP addresses not shown here
"213.199.180.192/27",
"213.199.183.0/24"
]
}
}
Bu dosyanın ne zaman güncelleştirileceği ve IP adreslerinin ne zaman değiştiği hakkında bilgi için İndirme Merkezi sayfasının Ayrıntılar bölümünü genişletin.
IP adreslerinde yapılan değişiklikler
API Management'ın Geliştirici, Temel, Standart ve Premium katmanlarında, genel IP adresi veya adresleri (VIP) ve özel VIP adresleri (iç sanal ağ modunda yapılandırıldıysa) hizmetin ömrü boyunca statiktir ve aşağıdaki özel durumlar geçerlidir:
API Management hizmeti silinir ve sonra yeniden oluşturulur.
Hizmet aboneliği devre dışı bırakılır veya uyarılır (örneğin, ödemesiz) ve sonra yeniden devreye alınır. Abonelik durumları hakkında daha fazla bilgi edinin
(Geliştirici ve Premium katmanları) Azure Sanal Ağ hizmetine eklenir veya hizmetten kaldırılır.
(Geliştirici ve Premium katmanları) API Management hizmeti, dış ve iç sanal ağ dağıtım modu arasında geçiş yapılır.
(Geliştirici ve Premium katmanları) API Management hizmeti farklı bir alt ağa taşınır, içinden işlem platformuna
stv2
geçirilirstv1
veya farklı bir genel IP adresi kaynağıyla yapılandırılır.(Premium katman) Kullanılabilirlik alanları etkinleştirilir, eklenir veya kaldırılır.
(Premium katman) Çok bölgeli dağıtımlarda, bölge boşaltılır ve sonra yeniden devreye sokulırsa bölgesel IP adresi değişir.
Önemli
Bir iç sanal ağdan dış sanal ağa geçiş yaparken, sanal ağdaki bir API Management örneğini platformdan
stv1
platformastv2
geçirerek veya ağdaki alt ağları değiştirerek güncelleştirirken, farklı bir genel IP adresi yapılandırabilirsiniz. Sağlamazsanız, Azure tarafından yönetilen bir genel IP adresi otomatik olarak yapılandırılır.