問(wèn)題描述
API Management service 設(shè)置禁止外網(wǎng)訪問(wèn)卡儒,請(qǐng)求通過(guò)外網(wǎng)(Internet)將無(wú)法解析到APIM的網(wǎng)關(guān)地址,只能通過(guò)APIM所集成的內(nèi)網(wǎng)(Virtual Network)來(lái)訪問(wèn)饥漫?
問(wèn)題解答
API Management Service有可以將整個(gè)APIM都保護(hù)中內(nèi)部網(wǎng)絡(luò)訪問(wèn)的功能稀拐,也可以針對(duì)某些敏感數(shù)據(jù)的API進(jìn)行特殊設(shè)定并闲,通過(guò)訪問(wèn)策略來(lái)實(shí)現(xiàn)特定IP地址的訪問(wèn)。
方式一:把APIM整個(gè)服務(wù)集成在內(nèi)部虛擬網(wǎng)絡(luò)中
可以將 API Management service 到 Azure 虛擬網(wǎng)絡(luò) (Vnet) 內(nèi)部萍摊,以便它可以訪問(wèn)該網(wǎng)絡(luò)中的后端服務(wù)倡勇。
- 外部:可以通過(guò)外部負(fù)載均衡器從公共 Internet 訪問(wèn) API 管理網(wǎng)關(guān)和開(kāi)發(fā)人員門(mén)戶(hù)。 網(wǎng)關(guān)可以訪問(wèn)虛擬網(wǎng)絡(luò)中的資源村生。
- 內(nèi)部:只能通過(guò)內(nèi)部負(fù)載均衡器從虛擬網(wǎng)絡(luò)內(nèi)部訪問(wèn) API 管理網(wǎng)關(guān)和開(kāi)發(fā)人員門(mén)戶(hù)惊暴。 網(wǎng)關(guān)可以訪問(wèn)虛擬網(wǎng)絡(luò)中的資源。
在門(mén)戶(hù)上配置根據(jù)頁(yè)面提示一步一步完成趁桃,非常容易上手辽话,只是這個(gè)過(guò)程耗時(shí)較長(zhǎng)(45分鐘左右)。
注意:要進(jìn)行驗(yàn)證是否配置成功卫病,需要在同一虛擬網(wǎng)絡(luò)(VNET)中創(chuàng)建虛擬機(jī)(VM)油啤,訪問(wèn)APIM的開(kāi)發(fā)者門(mén)戶(hù)或APIM中API的完整URL進(jìn)行驗(yàn)證。
方式二:設(shè)置APIM訪問(wèn)限制策略 -- ip-filter 限制調(diào)用方IP
ip-filter 策略篩選(允許/拒絕)來(lái)自特定 IP 地址和/或地址范圍的調(diào)用蟀苛。(官網(wǎng)介紹:https://docs.azure.cn/zh-cn/api-management/api-management-access-restriction-policies#restrict-caller-ips)
設(shè)置語(yǔ)句
<policies>
<inbound>
<base />
<ip-filter action="allow | forbid">
<address>address</address>
<address-range from="address" to="address" />
</ip-filter>
</inbound>
<backend>
<base />
</backend>
<outbound>
<base />
</outbound>
<on-error>
<base />
</on-error>
</policies>
在API的Design頁(yè)面益咬,也可以通過(guò)界面方式操作:
參考資料
在內(nèi)部模式下使用 Azure API 管理連接到虛擬網(wǎng)絡(luò):https://docs.azure.cn/zh-cn/api-management/api-management-using-with-internal-vnet?tabs=stv2
API 管理訪問(wèn)限制策略:https://docs.azure.cn/zh-cn/api-management/api-management-access-restriction-policies
- 檢查 HTTP 標(biāo)頭 - 強(qiáng)制必須存在和/或強(qiáng)制采用 HTTP 標(biāo)頭的值。
- 按訂閱限制調(diào)用速率 - 根據(jù)訂閱限制調(diào)用速率帜平,避免 API 使用量暴增幽告。
- 按密鑰限制調(diào)用速率 - 根據(jù)密鑰限制調(diào)用速率,避免 API 使用量暴增裆甩。
- 限制調(diào)用方 IP - 篩選(允許/拒絕)來(lái)自特定 IP 地址和/或地址范圍的調(diào)用冗锁。
- 按訂閱設(shè)置使用量配額 - 允許根據(jù)訂閱強(qiáng)制實(shí)施可續(xù)訂或有生存期的調(diào)用量和/或帶寬配額。
- 按密鑰設(shè)置使用量配額 - 允許根據(jù)密鑰強(qiáng)制消耗可續(xù)訂或有生存期的調(diào)用量和/或帶寬配額嗤栓。
- 驗(yàn)證 JWT - 強(qiáng)制從指定 HTTP 標(biāo)頭或指定查詢(xún)參數(shù)提取的 JWT 必須存在且有效冻河。
- 驗(yàn)證客戶(hù)端證書(shū) - 強(qiáng)制客戶(hù)端提供給 API 管理實(shí)例的證書(shū)與指定的驗(yàn)證規(guī)則和聲明相匹配。
[END]
當(dāng)在復(fù)雜的環(huán)境中面臨問(wèn)題茉帅,格物之道需:濁而靜之徐清叨叙,安以動(dòng)之徐生。 云中担敌,恰是如此!
分類(lèi): 【Azure API 管理】
標(biāo)簽: APIM服務(wù)集成在內(nèi)部虛擬網(wǎng)絡(luò), ip-filter 限制調(diào)用方IP, API Management service (APIM) 如何實(shí)現(xiàn)禁止外網(wǎng)訪問(wèn)
