我正在努力解决如何将AzureAPI管理与应用服务环境v1(又名ASEv1(一起使用,即如何通过Azure门户设置内容。
我有一个应用服务的 ASE(目标是其中的几个(,并且我有指向服务的公共主机名的 APIM 网关。
若要使 ASE VNet 中的应用服务只能通过 APIM 网关访问,以隐藏后端服务,我必须执行哪些操作?
我需要能够从 Azure 门户管理 APIM,并能够通过 FTPS 直接访问服务以进行部署、收集日志等。
--
我为 APIM 创建了一个新子网,并将其放在 ASE VNet 中,其中已经有 ASE 子网。现在我可能必须制定一些 NSG 规则,但我不确定如何以及是否这是我应该做的。
我不确定的第二件事是如何更改 APIM API 设置。它现在指向服务的公共 URL - 我不知道在 NSG 更改后它是否可用。
有几个选项,具体取决于您真正想要的内容。如果后端服务可以由外部可见但不可调用,则可以在 APIM 和后端服务之间采用任何身份验证方式:
- 共享密钥 - 标头/查询参数
- 客户端证书身份验证
- 后端服务端的 IP 过滤
如果要真正从外部隐藏后端服务,则必须将 APIM 和 ASE 放入同一 VNET 中。
以下似乎有效,尽管可能需要一些微调。
简而言之,每个层都放入具有自己的网络安全组 (NSG( 的单独外部 VNet,使用调用方的公共 IP 地址来管理对 VNet 的访问:
- ASEv1 VNet "vnet-ase" 中的后端服务 Web 应用,以及关联的 NSG"nsg-ase">
- 将 APIM 网关放入单独的 VNET"vnet-apim",以及关联的 NSG"nsg-apim">
- 在 nsg-ase 中允许从 APIM GW 的公共 IP 访问到 vnet-ase
- nsg-apim 将用于管理与 APIM 网关的连接