Navigation überspringen

APIs mit Private Link-Unterstützung für Azure API Management schützen

Veröffentlicht am 16 März, 2022

Sr. Program Manager, Azure API Management

Azure API Management ist ein vollständig verwalteter Dienst, mit dem Kunden APIs veröffentlichen, absichern, transformieren, verwalten und überwachen können. Mit wenigen Klicks im Azure-Portal können Sie eine API-Fassade erstellen, die als „Eingangstür“ für externe und interne Anwendungen fungiert. Diese können so auf Daten oder Geschäftslogik zugreifen, die von Ihren in Azure ausgeführten (z. B. Azure App Service oder Azure Kubernetes Service) oder außerhalb von Azure in einem privaten Rechenzentrum oder lokalen benutzerdefinierten Back-End-Diensten implementiert werden. Azure API Management übernimmt alle Vermittlungsaufgaben für API-Aufrufe, einschließlich der Authentifizierung und Autorisierung von Anforderungen, der Durchsetzung von Ratenbegrenzungen und Kontingenten, der Umwandlung von Anforderungen und Antworten, der Protokollierung und Nachverfolgung und der API-Versionsverwaltung.

Vorteile von Azure API Management:

  • Nutzung von Legacyressourcen: APIs werden dazu verwendet, Legacy-Back-Ends zu abstrahieren und zu modernisieren, damit sie für neue Clouddienste und moderne Anwendungen zugänglich werden. APIs ermöglichen Innovationen ohne das Risiko, die Kosten und Verzögerungen einer Migration.
  • API-fokussierte App-Integration: APIs sind einfach verwendbare, standardbasierte und selbstbeschreibende Mechanismen zum Verfügbarmachen von und Zugreifen auf Daten, Anwendungen und Prozessen. Sie vereinfachen die App-Integration und senken die Kosten.
  • Multi-Channel-Nutzung: APIs werden häufig eingesetzt, um die Nutzung von mobilen Anwendungen, Webanwendungen, Wearable-Anwendungen oder IoT-Anwendungen zu ermöglichen. Sie können APIs auch wiederverwenden, um die Entwicklung und die Erzielung der Rendite zu beschleunigen.
  • B2B-Integration: APIs, die für Partner und Kunden verfügbar gemacht werden, reduzieren die Barriere für die Integration von Geschäftsprozessen und den Datenaustausch zwischen Geschäftsentitäten. Durch APIs entfällt der Aufwand einer Point-to-Point-Integration. Insbesondere durch Self-Service-Ermittlung und -Onboarding sind APIs das meistverwendete Mittel für die Skalierung der B2B-Integration.

Wir freuen uns, die Vorschauversion der Azure Private Link-Unterstützung für den Azure API Management-Dienst ankündigen zu dürfen. Mit der Bereitstellung des Azure API Management-Diensts erhalten Sie die folgenden drei Hauptkomponenten: das Azure-Portal, das Azure-Gateway und die Azure-Verwaltungsebene. Mit Azure Private Link können wir einen privaten Endpunkt für die Gatewaykomponente erstellen, der über eine private IP-Adresse in Ihrem virtuellen Netzwerk verfügbar gemacht wird. Dadurch kann eingehender Datenverkehr an die private IP-Adresse zum Azure API Management-Gateway gelangen.

Azure Private Link

Mit Azure Private Link wird die Kommunikation zwischen Ihrem virtuellen Netzwerk und dem Azure API Management-Gateway privat und sicher über das Microsoft-Backbonenetzwerk übertragen, sodass der Dienst nicht im öffentlichen Internet verfügbar gemacht werden muss. Weitere Informationen zur Azure Private Link-Technologie und den PaaS-Diensten (Platform-as-a-Service), die diese unterstützen, finden Sie in unserer Azure Private Link-Dokumentation.

Hauptvorteile von Azure Private Link

Durch diese Funktionalität bieten wir die gleiche Konsistenz wie bei anderen PaaS-Diensten mit privaten Endpunkten:

  • Privater Zugriff über Azure Virtual Network-Ressourcen, Peeringnetzwerke und lokale Netzwerke
  • Integrierter Schutz vor Datenexfiltration für Azure-Ressourcen
  • Vorhersagbare private IP-Adressen für PaaS-Ressourcen
  • Konsistenz und Einheitlichkeit für PaaS-Dienste

Private und öffentliche Endpunkte

Architekturdiagramm für die sichere und private Konnektivität mit dem Azure API Management-Gateway bei Verwendung von Azure Private Link

Abbildung 1: Architekturdiagramm für die sichere und private Konnektivität mit dem Azure API Management-Gateway bei Verwendung von Azure Private Link

Azure Private Link stellt private Endpunkte über private IP-Adressen bereit. Im oben gezeigten Fall weist das Gateway „contoso.azure-api.net“ die private IP-Adresse 10.0.0.6 auf, die nur für Ressourcen in contoso-apim-eastus-vnet verfügbar ist. So können die Ressourcen in diesem virtuellen Netzwerk sicher kommunizieren. Andere Ressourcen können auf Ressourcen innerhalb des virtuellen Netzwerks beschränkt werden.

Gleichzeitig kann der öffentliche Endpunkt für das Gateway „contoso.azure-api.net“ für das Entwicklungsteam weiterhin öffentlich bleiben. Ab diesem Release unterstützt Azure Private Link die Deaktivierung des öffentlichen Endpunkts, sodass der Zugriff auf private Endpunkte beschränkt wird, die in Private Link konfiguriert sind.

Wie entscheide ich, welches Netzwerkmodell ich mit Azure API Management verwenden soll?

Azure API Management unterstützt auch die VNet-Injektion, sodass alle Komponenten in einem virtuellen Netzwerk bereitgestellt werden können. Durch die zusätzlichen privaten Endpunkte gibt es die folgenden Integrationsoptionen für benutzerdefinierte virtuelle Azure-Netzwerke:

 

Netzwerkmodell

Unterstützte Tarife

Unterstützte Komponenten

Unterstützter Datenverkehr

Virtuelles Netzwerk (extern)

Developer und Premium

Azure-Portal, Gateway, Verwaltungsebene und Git-Repository

Eingehender und ausgehender Datenverkehr kann für das Internet, virtuelle Netzwerke mit Peering, ExpressRoute und Site-to-Site-Verbindungen per VPN zugelassen werden.

Virtuelles Netzwerk (intern)

Developer und Premium

Entwicklerportal, Gateway, Verwaltungsebene und Git-Repository

Eingehender und ausgehender Datenverkehr kann für virtuelle Netzwerke mit Peering, ExpressRoute und Site-to-Site-Verbindungen per VPN zugelassen werden.

Private Endpunktverbindung (Vorschauversion)

Developer, Basic, Standard und Premium

Nur Gateway (verwaltete Gateways werden unterstützt, selbstgehostete Gateways nicht)

Nur eingehender Datenverkehr kann für das Internet, virtuelle Netzwerke mit Peering, ExpressRoute und Site-to-Site-Verbindungen per VPN zugelassen werden.

Derzeit schließen sich diese drei Optionen gegenseitig aus. Sie können keine Integrationsoption für virtuelle Netzwerke (extern oder intern) in Kombination mit privaten Endpunktverbindungen auswählen. Beachten Sie außerdem, dass nur unsere verwalteten Gateways Verbindungen mit privaten Endpunkten unterstützen. Selbstgehostete Gateways unterstützen keine privaten Endpunkte in Azure.

Einschränkungen der Vorschauversion

Während der Vorschauphase werden nur eingehender Datenverkehr an das Gateway, Instanzen mit Verwendung der STV2-Computeplattform und alle Tarife außer „Consumption“ unterstützt. Azure Private Link ist auf Instanzen beschränkt, die keine VNet-Injektion (intern oder extern) verwenden. Das Feature geht in die allgemeine Verfügbarkeit über, nachdem wir das Feedback ausgewertet haben.

Dank der Vorschauversion von Azure Private Link für Azure API Management können Sie Ihre API Management-Instanzen jetzt auf die gleiche Weise wie in anderen Azure-PaaS-Diensten in ein virtuelles Netzwerk integrieren. Sie können private Endpunkte für das Gateway Ihrer Azure API Management-Instanz verwalten. In Zukunft werden weitere Updates und Informationen veröffentlicht. Wir halten Sie über Neuigkeiten zur allgemeinen Verfügbarkeit dieses Features auf dem Laufenden.

Weitere Informationen