Управление API Azure с ASE v1 - PullRequest
Новая
       11

Управление API Azure с ASE v1

0 голосов
/ 24 октября 2018

Я борюсь с тем, как использовать Управление API Azure вместе с App Service Environment v1 (он же ASEv1), т. Е. Как настроить вещи через портал Azure.

У меня есть ASEс одной службой приложения (цель - несколько из них), и у меня есть шлюз APIM, указывающий на имя общедоступного хоста службы.

Что мне нужно сделать, чтобы сделать службы приложений в ASE VNet доступными только черезшлюз APIM, чтобы скрыть фоновые сервисы?

Мне нужно иметь возможность управлять APIM с портала Azure и иметь доступ к службам напрямую через FTPS для развертывания, сбора журналов и т. Д.

-

Я создал новую подсеть для APIM и поместил ее в ASE VNet, где уже была подсеть ASE.Теперь мне, вероятно, нужно установить некоторые правила NSG , но я не уверен, как и если это все, что я должен делать.

Во-вторых, я не уверен, какна изменить настройки API APIM .Теперь он указывает на публичный URL-адрес сервиса - я не знаю, будет ли он доступен после изменений NSG.

Ответы [ 2 ]

0 голосов
/ 30 октября 2018

Кажется, что работает следующее, хотя может потребоваться некоторая тонкая настройка.

Короче говоря, каждый уровень помещается в отдельную внешнюю виртуальную сеть с собственной группой сетевой безопасности (NSG), используя открытый IP-адрес вызывающего абонента для управления доступом кVNet:

  • веб-приложение фоновой службы в ASEv1 VNet "vnet-ase" со связанным NSG "nsg-ase"
  • APIM-шлюзом, помещенным в отдельный VNET "vnet-apim ", со связанным NSG" nsg-apim "
  • в nsg-ase разрешить доступ с публичного IP-адреса APIM GW, к vnet-ase
  • nsg-apim будет использоваться для управления подключениями кшлюз APIM
0 голосов
/ 25 октября 2018

Есть несколько вариантов, в зависимости от того, что вы действительно хотите.Если у вас все в порядке, когда ваши бэкэнд-сервисы видны извне, но не могут вызываться, вы можете использовать любые средства аутентификации между APIM и бэкэнд-сервисами:

  • Общий секрет - параметр заголовка / запроса
  • Проверка подлинности сертификата клиента
  • IP-фильтрация на стороне серверных служб

Если вы действительно хотите скрыть серверные службы извне, вам придется поместить APIM и ASE в одну и ту же VNET.

...