在内部模式下使用 Azure API 管理连接到虚拟网络

借助 Azure 虚拟网络 (VNet),Azure API 管理可以使用多种 VPN 技术来管理无法访问 Internet 的 API,以建立连接。 有关 VNet 连接选项、要求和注意事项,请参阅将虚拟网络与 Azure API 管理配合使用

本文介绍如何在内部模式下为 API 管理实例设置 VNet 连接。 在这种模式下,只能在由你控制的 VNet 内访问下列 API 管理终结点。

  • API 网关
  • 开发人员门户
  • 直接管理
  • Git

注意

这些 API 管理终结点均未在公共 DNS 上注册。 在为 VNET 配置 DNS 之前,终结点将保持不可访问状态。

在内部模式中使用 API 管理可以:

  • 通过使用 Azure VPN 连接或 Azure ExpressRoute,使专用数据中心内托管的 API 可由其外部的第三方安全地访问。
  • 通过公共网关公开基于云的 API 和本地 API,以便启用混合云方案。
  • 使用单一网关终结点管理托管在多个地理位置的 API。

连接到内部 VNet

对于特定于外部模式的配置,可以从公共 Internet 访问 API 管理终结点,而后端服务位于网络中,请参阅使用 Azure API 管理连接到虚拟网络

注意

若要与 Azure 交互,建议使用 Azure Az PowerShell 模块。 请参阅安装 Azure PowerShell 以开始使用。 若要了解如何迁移到 Az PowerShell 模块,请参阅 将 Azure PowerShell 从 AzureRM 迁移到 Az

可用性

重要

此功能在 API 管理的“高级”和“开发人员”层中可用。

先决条件

  • 虚拟网络和子网位于 API 管理实例所在的区域和订阅中。

    子网必须专用于 API 管理实例。 若尝试将 Azure API 管理实例部署到包含其他资源的资源管理器 VNET 子网,则部署将失败。

启用 VNet 连接

使用 Azure 门户启用 VNet 连接

  1. 转到 Azure 门户,查找 API 管理实例。 搜索并选择“API 管理服务”。

  2. 选择你的 API 管理实例。

  3. 选择“网络”>“虚拟网络”。

  4. 选择“内部”访问类型。

  5. 在预配了 API 管理服务的位置(区域)列表中:

    1. 选择“位置” 。
    2. 选择“虚拟网络”和“子网”。
      • 系统将在 VNet 列表中填充你所配置区域内设置的 Azure 订阅中的可用资源管理器 VNet。
  6. 选择“应用”。 API 管理实例的“虚拟网络”页将使用新的 VNet 和子网选项进行更新。 在 Azure 门户中设置内部 VNet

  7. 继续为 API 管理实例的其余位置配置 VNet 设置。

  8. 在顶部导航栏中,选择“保存”,然后选择“应用网络配置”。

    更新 API 管理实例可能需要 15 到 45 分钟。 开发人员层级在此过程中有故障时间。 基本 SKU 和更高级别的 SKU 在此过程中没有停机时间。

成功部署后,你应该能在“概述”边栏选项卡中查看你 API 管理服务的专用虚拟 IP 地址和公共虚拟 IP 地址。 有关 IP 地址的详细信息,请参阅本文中的路由

Azure 门户中的公共和专用 IP 地址

注意

由于网关 URL 未在公共 DNS 上注册,Azure 门户上提供的测试控制台不适用于内部 VNet 部署的服务。 应改用开发人员门户上提供的测试控制台。

使用资源管理器模板启用连接

使用 Azure PowerShell cmdlet 启用连接

在 VNet 中创建更新 API 管理实例。

配置 NSG 规则

在 API 管理子网中配置自定义网络规则,以筛选进出 API 管理实例的流量。 建议使用以下最低 NSG 规则,以确保正确操作和访问实例。

  • 在大多数情况下,请使用指示的服务标记(而不是服务 IP 地址)来指定网络源和目标。
  • 将这些规则的优先级设置为高于默认规则的优先级。
  • 根据监视和其他功能的使用情况,可能需要配置其他规则。 有关详细设置,请参阅虚拟网络配置参考
源/目标端口 方向 传输协议 服务标记
源/目标
用途 VNet 类型
* / [80], 443 入站 TCP Internet / VirtualNetwork 客户端与 API 管理的通信 仅外部
* / 3443 入站 TCP ApiManagement / VirtualNetwork Azure 门户和 PowerShell 的管理终结点 外部和内部
* / * 入站 TCP AzureLoadBalancer / VirtualNetwork Azure 基础结构负载均衡器(高级服务层级所需) 外部 & 内部
* / 443 出站 TCP VirtualNetwork / Storage 与 Azure 存储的依赖关系 外部 & 内部
* / 1433 出站 TCP VirtualNetwork / SQL 访问 Azure SQL 终结点 外部 & 内部

DNS 配置

在内部 VNet 模式下,必须管理自己的 DNS,才能对 API 管理终结点进行入站访问。

我们建议:

  1. 配置 Azure DNS 专用区域
  2. 将 Azure DNS 专用区域链接到已部署 API 管理服务的 VNet。

了解如何在 Azure DNS 中设置专用区域

注意

API 管理服务不会侦听其 IP 地址上的请求。 它只响应到发往其终结点上配置的主机名的请求。 这些终结点包括:

  • API 网关
  • Azure 门户
  • 开发人员门户
  • 直接管理终结点
  • Git

基于默认主机名的访问权限

当你创建 API 管理服务(例如,contosointernalvnet)时,将默认配置以下终结点:

端点 终结点配置
API Gateway contosointernalvnet.azure-api.cn
开发人员门户 contosointernalvnet.portal.azure-api.cn
新的开发人员门户 contosointernalvnet.developer.azure-api.cn
直接管理终结点 contosointernalvnet.management.azure-api.cn
Git contosointernalvnet.scm.azure-api.cn

若要访问这些 API 管理终结点,你可以在连接到 VNet(其中部署了 API 管理)的子网中创建虚拟机。 假设服务的专用虚拟 IP 地址为 10.1.0.5,可按下面所示映射 hosts 文件。 主机映射文件位于 %SystemDrive%\drivers\etc\hosts (Windows) 或 /etc/hosts(Linux、macOS)。

内部虚拟 IP 地址 终结点配置
10.1.0.5 contosointernalvnet.azure-api.cn
10.1.0.5 contosointernalvnet.portal.azure-api.cn
10.1.0.5 contosointernalvnet.developer.azure-api.cn
10.1.0.5 contosointernalvnet.management.azure-api.cn
10.1.0.5 contosointernalvnet.scm.azure-api.cn

然后即可从创建的虚拟机访问所有 API 管理终结点。

基于自定义域名的访问权限

如果你不想通过默认主机名访问 API 管理服务:

  1. 为你的所有终结点设置自定义域名,如下图所示:

    设置自定义域名

  2. 在你的 DNS 服务器中创建记录,以访问可从 VNet 中访问的终结点。 将终结点记录映射到服务的专用虚拟 IP 地址

路由

为内部虚拟网络中的 API 管理实例配置以下虚拟 IP 地址。

虚拟 IP 地址 说明
专用虚拟 IP 地址 来自 API 管理实例子网范围内部的负载均衡 IP 地址 (DIP),通过该地址可以访问 API 网关、开发人员门户、管理和 Git 终结点。

用 VNet 使用的 DNS 服务器注册此地址。
公共虚拟 IP 地址 仅用于通过端口 3443 传输到管理终结点的控制平面流量。 可以锁定到 ApiManagement 服务标记。

负载均衡的公共和专用 IP 地址可以在 Azure 门户的“概述”边栏选项卡上找到。

有关详细信息和注意事项,请参阅 Azure API 管理的 IP 地址

VIP 和 DIP 地址

动态 IP (DIP) 地址将分配给服务中每个基础虚拟机,用于访问 VNet 和对等 VNet 中的终结点和资源。 API 管理服务的公共虚拟 IP (VIP) 地址将用于访问面向公共的资源。

如果使用 IP 限制列表保护 VNet 或对等 VNet 内的资源,那么建议指定部署 API 管理服务的整个子网范围,以授予或限制该服务的访问权限。

详细了解建议的子网大小

示例

如果在高级层上的内部 VNet 中部署 1 个容量单位的 API 管理,则会使用 3 个 IP 地址:1 个地址用于专用 VIP,另外两个地址用于两个 VM 的 DIP。 如果横向扩展到 4 个单位,则会将子网中的其他 IP 用于附加的 DIP。

如果目标终结点上只有固定的一组 DIP 加入了允许列表,则将来添加新单位会导致连接失败。 出于此原因,并且由于子网完全由你控制,我们建议将后端中的整个子网加入允许列表。

使用 ExpressRoute 或网络虚拟设备,强制通过隧道将流量传输到本地防火墙

借助强制隧道,可将来自子网的全部 Internet 绑定流量重定向或“强制”返回到本地位置,以进行检查和审核。 通常可以通过配置及定义自己的默认路由 (0.0.0.0/0),以使来自 API 管理子网的所有流量强制穿过本地防火墙或流入网络虚拟设备。 此流量流会中断与 API 管理的连接,因为出站流量会在本地遭到阻止,或者已经过 NAT 处理,变为一组无法再与各种 Azure 终结点配合工作的无法识别的地址。 可通以下方法解决此问题:

  • 在部署以下服务的 API 管理所在的子网上启用服务终结点

    • Azure SQL(仅在 API 管理服务部署到多个区域的情况下主要区域才需要使用)
    • Azure 存储
    • Azure 事件中心
    • Azure 密钥保管库(在 stv2 平台上部署 API 管理时需要)

    通过直接从 API 管理子网为这些服务启用终结点,可以使用 Azure 主干网络为服务流量提供最佳路由。 如果使用带有强制隧道的 API 管理服务终结点,前面的 Azure 服务的流量就不会强制通过隧道传输。 其他 API 管理服务依赖项流量将依然强制通过隧道传输。 确保防火墙或虚拟设备不会阻止此流量,否则 API 管理服务可能无法正常工作。

  • 所有从 Internet 传输至 API 管理服务之管理终结点的控制平面流量均通过由 API 管理托管的一组特定入站 IP 进行路由。 当强制通过隧道传输流量时,响应不会对称地映射回这些入站源 IP,并且与管理终结点的连接也会丢失。 若要克服此限制,请为这些入站 IP 配置用户定义的路由 (UDR),并将下一跃点类型设置为“Internet”,以将流量引导回 Azure。 配置 ApiManagement 服务标记,或者找到控制平面 IP 地址中记录的控制平面流量的入站 IP 集。

    重要

    请仅在某些网络方案需要控制平面 IP 地址时,才为网络访问规则和路由配置这些 IP 地址。 建议使用 ApiManagement 服务标记而不要使用控制平面 IP 地址,以防止在基础结构的改进需要对 IP 地址进行更改时出现停机。

    注意

    允许“API 管理”的管理流量绕过本地防火墙或网络虚拟应用程序不视为重大安全风险。 API 管理子网的推荐配置只允许来自 ApiManagement 服务标记所包含的 Azure IP 地址集的端口 3443 入站管理流量。 建议的 UDR 配置仅适用于此 Azure 流量的返回路径。

  • (外部 VNet 模式)尝试从 Internet 访问API 管理网关和开发人员门户的客户端数据平面流量也将默认删除,因为强制隧道引入了非对称路由。 对于需要访问权限的每个客户端,请配置下一跃点类型为“Internet”的显式 UDR,以绕过防火墙或虚拟网络设备。

  • 对于强制通过隧道传输流量的其他 API 管理服务依赖项,应解析主机名并访问相应终结点。 其中包括:

    • 指标和运行状况监视
    • Azure 门户诊断
    • SMTP 中继
    • 开发人员门户验证码
    • Azure KMS 服务器

有关更多信息,请参阅虚拟网络配置参考

常见网络配置问题

本部分已移到其他位置。 请参阅虚拟网络配置参考

疑难解答

  • 在子网中初次部署 API 管理服务失败
    • 将虚拟机部署到相同子网。
    • 连接到虚拟机,并验证与 Azure 订阅中以下其中一项资源的连接:
      • Azure 存储 Blob
      • Azure SQL 数据库
      • Azure 存储表
      • Azure Key Vault

重要

验证连接性后,先删除子网中的所有资源,然后再将 API 管理部署到子网。

  • 验证网络连接状态

    • 在将 API 管理部署到子网后,应使用门户来检查实例与依赖项(如 Azure 存储)之间的连接性。
    • 在门户的左侧菜单中的“部署和基础结构”下,选择“网络连接状态” 。

    在门户中验证网络连接状态

    筛选器 说明
    必需 选择“必需”,以查看 API 管理与必需 Azure 服务之间的连接性。 如果失败,则表示该实例无法执行核心操作来管理 API。
    可选 选择“可选”,以查看 API 管理与可选服务之间的连接性。 如果连接失败,仅表示特定功能(如 SMTP)将无法正常工作。 连接失败可能会导致使用和监视 API 管理实例以及提供所承诺 SLA 的能力下降。

    若要解决连接问题,请查看网络配置设置并修复所需的网络设置。

  • 增量更新
    更改网络时,请参阅 NetworkStatus API,以验证 API 服务是否仍具有关键资源的访问权限。 连接状态应每 15 分钟更新一次。

    若要使用门户来应用对 API 管理实例的网络配置更改,请执行以下操作:

    1. 在实例的左侧菜单中的“部署和基础结构”下,选择“虚拟网络”。
    2. 选择“应用网络配置”。
  • 资源导航链接
    托管在计算平台上的 APIM 实例在部署到某个资源管理器 VNET 子网后,将通过创建资源导航链接来保留该子网。 如果子网已包含来自其他提供程序的资源,则部署将失败。 同样,当删除 API 管理服务或将其移至其他子网时,资源导航链接也将会删除。

后续步骤

了解有关以下方面的详细信息: