微软azure api管理服务(api management)提供azure私有连接(private link)功能预览,让用户简单地在azure portal创建可充当前门的api外观(facade),使得外部和内部应用程序,都可通过该api外观访问位于azure的后端服务。
azure api管理服务是一项全托管的服务,可供用户发布、保护、转换、维护和监控api,其使用场景包括现代化老旧系统,借由api来抽象老旧后端,使这些系统能够连接到新的云计算服务和应用程序,或是用在api开发模型中,满足以api为中心的应用程序集成需求,或是也可降低企业对企业的资料交换障碍,由于api消除点对点集成的多余成本,因此已成为b2b集成的重要工具。
而微软更新azure api管理服务,来提高该服务的安全性。在部署azure api管理服务时,用户将控制三个主要组件,分别是azure portal、网关和管理平面,利用私有连接,能够替网关组件创建一个专用的端点,该端点将通过虚拟网络中的私有ip公开,而这允许入站流量经由私有ip抵达azure api管理网关。
简单来说,azure私有连接让用户可以通过虚拟网络中的私有端点,来访问像是azure storage以及sql数据库等azure paas服务,甚至是azure所托管的用户或其金沙app下载大厅的合作伙伴的服务。azure私有连接让用户的虚拟网络和azure api管理网关之间的通信,能够在私密且安全的情况下,通过微软骨干网络传输,而不需要将服务对外公开至互联网上,因此也减少了来自互联网的安全风险。
azure私有连接能够提供与具有私有端点的paas服务相同的使用体验,其具体优点,包括能够私密访问来自azure virtual network的资源、同侪网络和企业本地部署网络。另外,azure私有连接也能受到azure资源内置的资料泄露保护机制保护,拥有paas资源的可预测私有ip地址,同时还能跨paas服务获得一致的体验。
由于azure api管理服务还支持虚拟网络注入(virtual network injection),使用户可以在虚拟网络中部署所有组件,因此加上新功能发布,目前微软提供三种在azure虚拟网络中集成组件的选项,除了私有端点连接外,还有用来集成虚拟网络外部和内部组件的网络模型,官方表示,这三个是互斥选项,用户无法在虚拟网络集成中,同时使用私有端点连接。
在azure私有连接功能预览阶段,微软仅支持进入网关的入站流量,以及使用stv2运算平台的执行实例,同时当前azure私有连接,也仅限于不使用虚拟网络注入的执行实例,但该功能将会在微软评估初步预览反馈后开放。