我正在建立一个Azure APIM架构。其中一个要求是能够处理内部和外部API。
为此,有一个很好的体系结构(以及大量文档),其中APIM位于VNET中,APPGW位于前端,用于路由或阻止外部/内部流量到APIM:
然而,这种设置只可能与保费APIM,又名相当昂贵的版本。为成本优化,我们宁愿使用标准版,如果可能的话。
所以我的问题是:在APIM不在vnet中的情况下,是否可以实现上述架构(APIM之前的APPGW)。这是为了满足保护APIM和暴露内部/外部API的要求。
我认为这是可能的,APPGW将在其后端池中有公共APIM IP来进行连接。但是,现在连接通过互联网进行,这是不安全的,或者Azure会为此做一些内部网络路由吗?
或者更一般地说:当APIM未集成VNET时,最佳实践体系结构是什么?
找不到涵盖此主题的任何详细文档。
谢谢
2条答案
按热度按时间pieyvz9o1#
你可以有一些network restriction,但你的APIM仍然会暴露在互联网上,azure不会采取额外的措施来保护你的应用网关,APIM和后端之间的流量。
一些服务可以通过Microsoft全球网络路由其流量,但不幸的是APIM不在其中。
请确保您在服务之间使用HTTPS,并设置一些白名单。
w41d8nur2#
在应用程序网关后面放置公共apim的唯一好处是第7层负载平衡(您可能并不需要),但您将无法从应用程序网关的任何安全功能中获益。在APIM端,你可以阻止任何不是来自流量管理器公共ip的流量使用ip-过滤器策略,但请求仍然到达您的apim服务,并在那里被阻止,而不是在应用网关端被阻止,应用网关端可以与WAF集成以添加额外的安全层。这里的想法是,您的APIM服务仍然可以从世界上的任何地方公开访问!