IP-Adressen von Azure API Management
GILT FÜR: Alle API Management-Ebenen
In diesem Artikel erfahren Sie, wie Sie die IP-Adressen des Azure API Management-Diensts abrufen. IP-Adressen können öffentlich oder privat sein, wenn sich der Dienst in einem virtuellen Netzwerk befindet. Mithilfe von IP-Adressen können Sie Firewallregeln erstellen, den eingehenden Datenverkehr für die Back-End-Dienste filtern oder den ausgehenden Datenverkehr einschränken.
Öffentliche IP-Adressen
Jede API Management-Dienstinstanz im Developer-, Basic-, Standard-oder Premium-Tarif hat öffentliche IP-Adressen, die ausschließlich für diese Dienstinstanz gelten (sie werden nicht mit anderen Ressourcen gemeinsam genutzt).
Sie können die IP-Adressen aus dem Übersichtsdashboard ihrer Ressource im Azure-Portal abrufen.
Sie können sie auch programmgesteuert abrufen. Verwenden Sie dazu den folgenden API-Aufruf:
GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>
Die öffentlichen IP-Adressen sind in der Antwort enthalten:
{
...
"properties": {
...
"publicIPAddresses": [
"172.31.0.1"
],
...
}
...
}
Bei Bereitstellungen in mehreren Regionen verfügt jede regionale Bereitstellung über eine einzelne öffentliche IP-Adresse.
IP-Adressen des API Management-Diensts in einem VNet
Wenn sich Ihr API Management-Dienst innerhalb eines virtuellen Netzwerks befindet, besitzt er zwei Arten von IP-Adressen: öffentliche und private.
Öffentliche IP-Adressen werden für die interne Kommunikation über den Port
3443
verwendet, um die Konfiguration zu verwalten (beispielsweise über Azure Resource Manager). In der externen VNet-Konfiguration werden sie auch für API-Runtime-Datenverkehr verwendet. In der internen VNet-Konfiguration werden öffentliche IP-Adressen nur für interne Azure-Verwaltungsvorgänge verwendet und machen Ihre Instanz nicht im Internet verfügbar.Private virtuelle IP-Adressen (VIPs), die nur im Modus „internes VNet“ verfügbar sind, werden verwendet, um innerhalb des Netzwerks eine Verbindung mit API Management-Endpunkten (Gateways, das Entwicklerportal und die Verwaltungsebene für direkten API-Zugriff) herzustellen. Sie können verwendet werden, um DNS-Einträge im Netzwerk einzurichten.
Im Azure-Portal und in der Antwort des API-Aufrufs werden Adressen beider Arten angezeigt:
GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>
{
...
"properties": {
...
"publicIPAddresses": [
"172.31.0.1"
],
"privateIPAddresses": [
"192.168.1.5"
],
...
},
...
}
Wichtig
Die privaten IP-Adressen des internen Lastenausgleichs und der API Management-Einheiten werden dynamisch zugewiesen. Daher ist es unmöglich, die private IP-Adresse der API Management-Instanz vor der Bereitstellung vorherzusehen. Außerdem kann das Ändern in ein anderes Subnetz und die anschließende Rückgabe zu einer Änderung der privaten IP-Adresse führen.
IP-Adressen für ausgehenden Datenverkehr
API Management verwendet eine öffentliche IP-Adresse für Verbindungen außerhalb des VNets oder eines Peer-VNets sowie eine private IP-Adresse für Verbindungen im VNet oder einem Peer-VNet.
Wenn API Management in einem internen oder externen virtuellen Netzwerk bereitgestellt wird und API Management eine Verbindung mit privaten Back-Ends (mit Intranetzugriff) herstellt, werden interne IP-Adressen (dynamische IP- oder DIP-Adressen) aus dem Subnetz für den API-Datenverkehr zur Laufzeit verwendet. Wenn eine Anforderung von API Management an ein privates Back-End gesendet wird, wird eine private IP-Adresse als Ursprung der Anforderung angezeigt.
Wenn die IP-Einschränkung sichere Ressourcen im VNet oder einem gepeerten VNet auflistet, wird daher empfohlen, den gesamten API Management-Subnetzbereich mit einer IP-Regel zu verwenden, und (im internen Modus) nicht nur die private IP-Adresse, die der API Management-Ressource zugeordnet ist.
Wenn eine Anforderung von API Management an ein öffentliches Back-End (mit Internetzugriff) gesendet wird, wird als Ursprung der Anforderung immer eine öffentliche IP-Adresse angezeigt.
IP-Adressen des API Management-Diensts der Tarife Consumption, Basic v2, Standard v2 und Premium v2
Wenn Ihre API Management-Instanz in einer Dienstebene erstellt wird, die in einer freigegebenen Infrastruktur ausgeführt wird, verfügt sie nicht über eine dedizierte IP-Adresse. Derzeit werden Instanzen in den folgenden Tarife auf einer freigegebenen Infrastruktur und ohne deterministische IP-Adresse ausgeführt: Consumption, Basic v2, Standard v2, Premium v2.
Wenn Sie die von Ihrer Instanz der Ebene Consumption, Basic v2, Standard v2 oder Premium v2 verwendeten ausgehenden IP-Adressen einer Positivliste hinzufügen müssen, können Sie das Rechenzentrum (die Azure-Region) der Instanz einer Positivliste hinzufügen. Sie können eine JSON-Datei herunterladen, die IP-Adressen für alle Azure-Rechenzentren auflistet. Suchen Sie dann das JSON-Fragment, das für die Region gilt, in der Ihre Instanz ausgeführt wird.
Beispielsweise könnte die Positivliste für Westeuropa etwa folgendem JSON-Fragment ähneln:
{
"name": "AzureCloud.westeurope",
"id": "AzureCloud.westeurope",
"properties": {
"changeNumber": 9,
"region": "westeurope",
"platform": "Azure",
"systemService": "",
"addressPrefixes": [
"13.69.0.0/17",
"13.73.128.0/18",
... Some IP addresses not shown here
"213.199.180.192/27",
"213.199.183.0/24"
]
}
}
Informationen dazu, wann diese Datei aktualisiert wird und wann die IP-Adresse geändert wird, finden Sie im Abschnitt Details auf der Download Center-Seite.
Änderungen an den IP-Adressen
Im Developer-, Basic-, Standard- und Premium-Tarif von API Management sind die öffentliche(n) IP-Adresse(n) (VIP) und privaten VIP-Adressen (sofern im internen VNET-Modus konfiguriert) für die Lebensdauer eines Diensts statisch, mit den folgenden Ausnahmen:
Der API Management-Dienst wird gelöscht und anschließend neu erstellt.
Das Dienstabonnement wird deaktiviert, oder es wird eine diesbezügliche Warnung ausgegeben (z.B. aufgrund von nicht geleisteten Zahlungen), und anschließend wird es reaktiviert. Weitere Informationen zum Abonnementstatus
(Developer- und Premium-Tarife) Azure Virtual Network wird dem Dienst hinzugefügt oder daraus entfernt.
(Developer- und Premium-Tarife) Der API Management-Dienst wird zwischen dem externen und internen VNet-Bereitstellungsmodus umgeschaltet.
(Dienstebenen Developer und Premium) Der API Management-Dienst wird in ein anderes Subnetz verschoben, von
stv1
zur Computeplattformstv2
migriert oder mit einer anderen öffentlichen IP-Adressressource konfiguriert.(Premium-Tarif) Verfügbarkeitszonen werden aktiviert, hinzugefügt oder entfernt.
(Premium-Tarif) Bei Bereitstellungen in mehreren Regionen ändert sich die regionale IP-Adresse, wenn eine Region verlassen und anschließend reaktiviert wird.
Wichtig
Wenn Sie von einem internen zu einem externen virtuellen Netzwerk wechseln, eine API-Verwaltungsinstanz in einem VNet aktualisieren, indem Sie von der
stv1
- zurstv2
-Plattform migrieren oder Subnetze im Netzwerk ändern, können Sie eine andere öffentliche IP-Adresse konfigurieren. Wenn Sie keines angeben, wird automatisch eine von Azure verwaltete öffentliche IP-Adresse konfiguriert.