共用方式為


使用虛擬網路來保護 Azure APIM 的輸入和輸出流量 (機器翻譯)

適用於:開發人員 |基本 |基本 v2 |標準 |標準 v2 |Premium |進階 v2

根據預設,您的 API 管理 實例會從公用端點的因特網存取,並做為公用後端的閘道。 API 管理 提供數個選項,以使用 Azure 虛擬網路來保護對 API 管理 實例和後端 API 的存取。 可用選項取決於您 APIM 執行個體的服務層級。 選擇符合組織需求的網路功能。

下表比較虛擬網路選項。 如需詳細資訊,請參閱本文稍後的各節,以及詳細指導的連結。

網路模型 所支援的服務層 支援的元件 支援的流量 使用方式情節
虛擬網路插入 (傳統層) - 外部 開發人員、進階 開發人員入口網站、網路閘道、管理平面和 Git 存放庫 輸入和輸出流量可以允許因特網、對等互連虛擬網路、ExpressRoute 和 S2S VPN 連線。 對私人和內部部署後端的外部存取
虛擬網路插入 (傳統層) - 內部 開發人員、進階 開發人員入口網站、網路閘道、管理平面和 Git 存放庫 輸入和輸出流量可以允許對等互連的虛擬網路、ExpressRoute 和 S2S VPN 連線。 內部存取私人和內部部署後端
虛擬網路插入 (v2 層) 進階 v2 僅限閘道 輸入和輸出流量可以允許虛擬網路、對等互連虛擬網路、ExpressRoute 和 S2S VPN 連線的委派子網。 內部存取私人和內部部署後端
虛擬網路整合 (v2 層) 標準 v2、進階 v2 僅限閘道 輸出要求流量可以連線到裝載在單一聯機虛擬網路之委派子網中的 API。 對私人和內部部署後端的外部存取
輸入私人端點 開發人員, 基本, 標準, 標準 v2 (預覽), 進階 僅限網關(不支援受控閘道、自我裝載閘道) 只能允許來自因特網、對等互連虛擬網路、ExpressRoute 和 S2S VPN 連線的輸入流量。 保護 APIM 網路閘道的用戶端連線

虛擬網路插入 (傳統層)

在 API 管理 傳統開發人員和進階層中,將 API 管理 實例部署在您控制存取的非因特網路子網中。 在虛擬網路中,APIM 執行個體可以安全存取其他網路 Azure 資源,也可以使用各種 VPN 技術連線到內部部署網路。

您可以使用 Azure 入口網站、Azure CLI、Azure Resource Manager 範本或其他工具來進行設定。 針對部署 APIM 的子網路,使用網路安全性群組來控制其輸入和輸出流量。

如需詳細的部署步驟和網路設定,請參閱:

存取選項

使用虛擬網路,您可以設定開發人員入口網站、API 閘道和其他 API 管理 端點,以便從因特網(外部模式)或只能在虛擬網路中存取(內部模式)。

  • 外部 - 可透過外部負載平衡器,從公用網際網路存取 APIM 端點。 閘道可以存取虛擬網路內的資源。

    顯示外部虛擬網路連線的圖表。

    在外部模式中使用 APIM 來存取在虛擬網路中部署的後端服務。

  • 內部 - API 管理 端點只能透過內部負載平衡器從虛擬網路記憶體取。 閘道可以存取虛擬網路內的資源。

    顯示與內部虛擬網路連線的圖表。

    以內部模式使用 APIM,以:

    • 使用 Azure VPN 連線或 Azure ExpressRoute,讓裝載於私人資料中心的 API 可供第三方安全地存取。
    • 透過通用閘道器公開雲端式 API 和內部部署 API,以實現混合式雲端情節。
    • 使用單一閘道器端點來管理多個地理位置中所裝載的 API。

虛擬網路插入 (v2 層)

在 API 管理 Premium v2 層中,將您的實例插入虛擬網路的委派子網,以保護網關的輸入和輸出流量。 目前,您可以在建立實例時設定虛擬網路插入的設定。

在這裡設定中:

  • API 管理 閘道端點可透過私人IP位址的虛擬網路來存取。
  • API 管理 可以對網路中隔離的 API 後端提出輸出要求。

針對您想要隔離 API 管理 實例和後端 API 的案例,建議使用此組態。 進階 v2 層中的虛擬網路插入會自動管理對 Azure API 管理 大部分服務相依性的網路連線。

在虛擬網路中插入 API 管理 實例以隔離輸入和輸出流量的圖表。

如需詳細資訊,請參閱 將進階 v2 實例插入虛擬網路

虛擬網路整合 (v2 層)

標準 v2 和進階 v2 層支援輸出虛擬網路整合,讓您的 API 管理 實例能夠連線到在單一連線虛擬網路中隔離的 API 後端。 還是可以從網際網路公開存取 APIM 閘道、管理平面和開發人員入口網站。

輸出整合可讓 API 管理 實例同時連線到公用和網路隔離的後端服務。

整合 API 管理 實例與委派子網的圖表。

如需詳細資訊,請參閱整合 Azure API 管理 實例與輸出連線的私人虛擬網路。

輸入私人端點

APIM 支援私人端點,以保護您的 APIM 執行個體的輸入用戶端連線。 每個安全連線都會使用來自虛擬網路和 Azure Private Link 的私人 IP 位址。

此圖顯示使用私人端點 API 管理 的安全連線。

使用私人端點和 Private Link,您可以:

  • 建立多個與 APIM 執行個體的 Private Link 連線。

  • 使用私人端點,以在安全連線上傳送輸入流量。

  • 使用原則,以區分來自私人端點的流量。

  • 僅將傳入流量限制為私人端點,以防止資料外流。

  • 將輸入私人端點結合至標準 v2 實例與輸出虛擬網路整合,以提供 API 管理 用戶端和後端服務的端對端網路隔離。

    此圖顯示使用私人端點 API 管理 Standard v2 的安全輸入連線。

重要

  • 您只能為 APIM 執行個體的輸入流量設定私人端點連線。

如需詳細資訊,請參閱使用輸入私人端點私下連線至 APIM

進階網路設定

使用 Web 應用程式防火牆保護 APIM 端點

您可能會遇到需要安全外部和內部存取 APIM 執行個體,以及觸達私人和內部部署後端彈性的情節。 在這些情節中,您可以選擇使用 Web 應用程式防火牆 (WAF) 管理對 APIM 執行個體端點的外部存取。

其中一個範例是將 APIM 執行個體部署在內部虛擬網路中,並使用網際網路對向 Azure 應用程式閘道將公用存取路由至其中:

顯示 API 管理 實例前面 應用程式閘道 的圖表。

如需詳細資訊,請參閱使用應用程式閘道在內部虛擬網路中部署 APIM

深入瞭解使用 API 管理的虛擬網路組態:

若要深入瞭解 Azure 虛擬網路,請從 Azure 虛擬網絡 概觀中的資訊開始。