Freigeben über


IP-Adressen von Azure API Management

GILT FÜR: Alle API Management-Ebenen

In diesem Artikel erfahren Sie, wie Sie die IP-Adressen des Azure API Management-Diensts abrufen. IP-Adressen können öffentlich oder privat sein, wenn sich der Dienst in einem virtuellen Netzwerk befindet. Mithilfe von IP-Adressen können Sie Firewallregeln erstellen, den eingehenden Datenverkehr für die Back-End-Dienste filtern oder den ausgehenden Datenverkehr einschränken.

Öffentliche IP-Adressen

Jede API Management-Dienstinstanz im Developer-, Basic-, Standard-oder Premium-Tarif hat öffentliche IP-Adressen, die ausschließlich für diese Dienstinstanz gelten (sie werden nicht mit anderen Ressourcen gemeinsam genutzt).

Sie können die IP-Adressen aus dem Übersichtsdashboard ihrer Ressource im Azure-Portal abrufen.

IP-Adresse von API Management

Sie können sie auch programmgesteuert abrufen. Verwenden Sie dazu den folgenden API-Aufruf:

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

Die öffentlichen IP-Adressen sind in der Antwort enthalten:

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "172.31.0.1"
    ],
    ...
  }
  ...
}

Bei Bereitstellungen in mehreren Regionen verfügt jede regionale Bereitstellung über eine einzelne öffentliche IP-Adresse.

IP-Adressen des API Management-Diensts in einem VNet

Wenn sich Ihr API Management-Dienst innerhalb eines virtuellen Netzwerks befindet, besitzt er zwei Arten von IP-Adressen: öffentliche und private.

  • Öffentliche IP-Adressen werden für die interne Kommunikation über den Port 3443 verwendet, um die Konfiguration zu verwalten (beispielsweise über Azure Resource Manager). In der externen VNet-Konfiguration werden sie auch für API-Runtime-Datenverkehr verwendet. In der internen VNet-Konfiguration werden öffentliche IP-Adressen nur für interne Azure-Verwaltungsvorgänge verwendet und machen Ihre Instanz nicht im Internet verfügbar.

  • Private virtuelle IP-Adressen (VIPs), die nur im Modus „internes VNet“ verfügbar sind, werden verwendet, um innerhalb des Netzwerks eine Verbindung mit API Management-Endpunkten (Gateways, das Entwicklerportal und die Verwaltungsebene für direkten API-Zugriff) herzustellen. Sie können verwendet werden, um DNS-Einträge im Netzwerk einzurichten.

Im Azure-Portal und in der Antwort des API-Aufrufs werden Adressen beider Arten angezeigt:

IP-Adresse von API Management in einem VNet

GET https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ApiManagement/service/<service-name>?api-version=<api-version>

{
  ...
  "properties": {
    ...
    "publicIPAddresses": [
      "172.31.0.1"
    ],
    "privateIPAddresses": [
      "192.168.1.5"
    ],
    ...
  },
  ...
}

Wichtig

Die privaten IP-Adressen des internen Lastenausgleichs und der API Management-Einheiten werden dynamisch zugewiesen. Daher ist es unmöglich, die private IP-Adresse der API Management-Instanz vor der Bereitstellung vorherzusehen. Außerdem kann das Ändern in ein anderes Subnetz und die anschließende Rückgabe zu einer Änderung der privaten IP-Adresse führen.

IP-Adressen für ausgehenden Datenverkehr

API Management verwendet eine öffentliche IP-Adresse für Verbindungen außerhalb des VNets oder eines Peer-VNets sowie eine private IP-Adresse für Verbindungen im VNet oder einem Peer-VNet.

  • Wenn API Management in einem internen oder externen virtuellen Netzwerk bereitgestellt wird und API Management eine Verbindung mit privaten Back-Ends (mit Intranetzugriff) herstellt, werden interne IP-Adressen (dynamische IP- oder DIP-Adressen) aus dem Subnetz für den API-Datenverkehr zur Laufzeit verwendet. Wenn eine Anforderung von API Management an ein privates Back-End gesendet wird, wird eine private IP-Adresse als Ursprung der Anforderung angezeigt.

    Wenn die IP-Einschränkung sichere Ressourcen im VNet oder einem gepeerten VNet auflistet, wird daher empfohlen, den gesamten API Management-Subnetzbereich mit einer IP-Regel zu verwenden, und (im internen Modus) nicht nur die private IP-Adresse, die der API Management-Ressource zugeordnet ist.

  • Wenn eine Anforderung von API Management an ein öffentliches Back-End (mit Internetzugriff) gesendet wird, wird als Ursprung der Anforderung immer eine öffentliche IP-Adresse angezeigt.

IP-Adressen des API Management-Diensts der Tarife Consumption, Basic v2, Standard v2 und Premium v2

Wenn Ihre API Management-Instanz in einer Dienstebene erstellt wird, die in einer freigegebenen Infrastruktur ausgeführt wird, verfügt sie nicht über eine dedizierte IP-Adresse. Derzeit werden Instanzen in den folgenden Tarife auf einer freigegebenen Infrastruktur und ohne deterministische IP-Adresse ausgeführt: Consumption, Basic v2, Standard v2, Premium v2.

Wenn Sie die von Ihrer Instanz der Ebene Consumption, Basic v2, Standard v2 oder Premium v2 verwendeten ausgehenden IP-Adressen einer Positivliste hinzufügen müssen, können Sie das Rechenzentrum (die Azure-Region) der Instanz einer Positivliste hinzufügen. Sie können eine JSON-Datei herunterladen, die IP-Adressen für alle Azure-Rechenzentren auflistet. Suchen Sie dann das JSON-Fragment, das für die Region gilt, in der Ihre Instanz ausgeführt wird.

Beispielsweise könnte die Positivliste für Westeuropa etwa folgendem JSON-Fragment ähneln:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

Informationen dazu, wann diese Datei aktualisiert wird und wann die IP-Adresse geändert wird, finden Sie im Abschnitt Details auf der Download Center-Seite.

Änderungen an den IP-Adressen

Im Developer-, Basic-, Standard- und Premium-Tarif von API Management sind die öffentliche(n) IP-Adresse(n) (VIP) und privaten VIP-Adressen (sofern im internen VNET-Modus konfiguriert) für die Lebensdauer eines Diensts statisch, mit den folgenden Ausnahmen:

  • Der API Management-Dienst wird gelöscht und anschließend neu erstellt.

  • Das Dienstabonnement wird deaktiviert, oder es wird eine diesbezügliche Warnung ausgegeben (z.B. aufgrund von nicht geleisteten Zahlungen), und anschließend wird es reaktiviert. Weitere Informationen zum Abonnementstatus

  • (Developer- und Premium-Tarife) Azure Virtual Network wird dem Dienst hinzugefügt oder daraus entfernt.

  • (Developer- und Premium-Tarife) Der API Management-Dienst wird zwischen dem externen und internen VNet-Bereitstellungsmodus umgeschaltet.

  • (Dienstebenen Developer und Premium) Der API Management-Dienst wird in ein anderes Subnetz verschoben, von stv1 zur Computeplattformstv2 migriert oder mit einer anderen öffentlichen IP-Adressressource konfiguriert.

  • (Premium-Tarif) Verfügbarkeitszonen werden aktiviert, hinzugefügt oder entfernt.

  • (Premium-Tarif) Bei Bereitstellungen in mehreren Regionen ändert sich die regionale IP-Adresse, wenn eine Region verlassen und anschließend reaktiviert wird.

    Wichtig

    Wenn Sie von einem internen zu einem externen virtuellen Netzwerk wechseln, eine API-Verwaltungsinstanz in einem VNet aktualisieren, indem Sie von der stv1- zur stv2-Plattform migrieren oder Subnetze im Netzwerk ändern, können Sie eine andere öffentliche IP-Adresse konfigurieren. Wenn Sie keines angeben, wird automatisch eine von Azure verwaltete öffentliche IP-Adresse konfiguriert.