在 Azure API 管理中创建和管理工作区

适用于：高级

设置工作区，使 API 团队能够管理和产品化其自己的 API，同时为 API 平台团队提供观察、治理和维护 API 管理平台的工具。 创建工作区并分配权限后，工作区协作者可以创建和管理自己的 API、产品、订阅和相关资源。

按照本文中的步骤执行以下操作：

• 使用 Azure 门户创建 API 管理工作区并关联工作区网关
• （可选）在 Azure 虚拟网络中隔离工作区网关
• 向工作区分配权限

先决条件

• API 管理实例。 如果需要，请在受支持的层级中创建一个。
• 部署 API 管理实例的资源组上的“所有者”或“参与者”角色，或在资源组中创建资源的等效权限。
• （可选）新的或现有的 Azure 虚拟网络中的子网，用于隔离工作区网关的入站和出站流量。 有关配置选项和要求，请参阅工作区网关的网络资源要求。

创建工作区 - 门户

1. 登录到 Azure 门户，并导航到 API Management 实例。

2. 在左侧菜单中的“API”下，选择“工作区”>“+ 添加”。

3. 在“基本信息”选项卡上，输入工作区的描述性“显示名称”、资源“名称”和可选“说明”。 选择下一步。

4. 在“ 网关 ”选项卡上，配置工作区网关的设置。

   

   • 选择“ 新建 ”以创建新的工作区网关，或选择“ 使用现有 ”将工作区与部署了其他工作区的现有网关相关联。

   • 如果选择创建新的网关：

     • 在 网关详细信息中，输入新的网关名称并选择规模单元的数量。 网关成本取决于设备数量。 有关详细信息，请参阅 API 管理定价。

     • 在“网络”中，为工作区网关选择“网络配置”。

       重要

       请仔细规划工作区的网络配置。 创建工作区后，无法更改网络配置。

     • 如果选择包含专用入站或专用出站网络访问的网络配置，请选择“虚拟网络”和“子网”来隔离工作区网关，或创建一个新的。 有关网络要求，请参阅工作区网关的网络资源要求。

5. 选择下一步。 验证完成后，选择“创建”。

   注意

   如果选择创建新的工作区网关，则可能需要花费几个小时才能完成。 若要在 Azure 门户中跟踪部署进度，请转到网关的资源组。 在左侧菜单的“设置”下选择“部署”。

在部署完成后，新工作区将显示在“工作区”页上的列表中。 选择工作区以管理其设置和资源。

将用户分配到工作区 - 门户

创建工作区后，请向用户分配管理工作区资源的权限。 必须为每个工作区用户分配服务范围的工作区 RBAC 角色和工作区范围的 RBAC 角色，或使用自定义角色授予等效权限。

为了管理工作区网关，我们还建议为工作区用户分配 Azure 提供的、范围限定于工作区网关的 RBAC 角色。

• 有关内置工作区角色的列表，请参阅如何在 API 管理中使用基于角色的访问控制。
• 有关分配角色的步骤，请参阅使用门户分配 Azure 角色。

分配服务范围的角色

1. 登录到 Azure 门户，并导航到 API Management 实例。

2. 在左侧菜单中，选择“访问控制 (IAM)”>“+ 添加”。

3. 将以下服务范围角色之一分配给工作区的每个成员：

   • API Management 服务工作区 API 开发人员
   • API 管理服务工作区 API 产品经理

分配工作区范围的角色

1. 在 API 管理实例的菜单中的“API”下，选择“工作区” 创建的工作区的名称。>

2. 在“工作区”窗口中，选择“访问控制 (IAM)”>“+ 添加”。

3. 将以下工作区范围角色之一分配给工作区成员，使其能够管理工作区 API 和其他资源。

   • API 管理工作区读者
   • API 管理工作区参与者
   • API 管理工作区 API 开发人员
   • API 管理工作区 API 产品经理

分配网关范围的角色

1. 登录到 Azure 门户，并导航到 API Management 实例。

2. 在左侧菜单中的“API”下，选择“工作区”> 工作区的名称。

3. 在工作区的左侧菜单中，选择“网关”，然后选择工作区网关。

4. 在左侧菜单中，选择“访问控制 (IAM)”>“+ 添加”。

5. 将以下角色之一分配给工作区的每个成员。 我们建议至少分配“读取者”角色来查看网关的设置。 “所有者”和“参与者”可以管理网关的设置，包括缩放网关。

   • 所有者
   • 参与者
   • 读取者

启用用于监视工作区 API 的诊断设置

配置设置以收集工作区的 Azure Monitor 日志并将其发送到 Log Analytics 工作区，以便工作区团队可以监视自己的 API，而 API 平台团队可以访问 API 管理实例的集中式日志。 参阅下图：

若要收集工作区的 Azure Monitor 日志，服务级别和工作区级别都需要诊断设置：

1. 首先，如果尚未启用设置，请在 服务级别 为收集 API 管理网关日志启用诊断设置。 建议将日志发送到 Log Analytics 工作区。 有关详细信息，请参阅 配置 API 管理的诊断设置。

2. 然后，在 工作区级别 启用诊断设置，以将 API 管理网关日志发送到同一 Log Analytics 工作区。 此设置收集与工作区关联的所有工作区网关的日志。

   重要

   服务级别的诊断设置配置跨 API 管理实例的日志记录，包括启用了工作区级诊断设置的工作区。 如果未启用工作区级诊断设置，则不会将工作区的网关日志收集或聚合到 Log Analytics 中。

   注意

   默认情况下，分配了内置工作区 RBAC 角色的工作区团队成员无权编辑工作区中的诊断设置。 API 平台团队具有这些权限。

若要为工作区级网关日志的收集配置工作区诊断设置，请执行以下步骤：

1. 登录到 Azure 门户，并导航到 API Management 实例。

2. 在左侧菜单中的“API”下，选择“工作区”> 工作区的名称。

3. 在工作区的左侧菜单中，在“ 监视”下，选择“ 诊断设置>+ 添加诊断设置”。

4. 在“诊断设置”页面上，输入或选择设置的详细信息：

   1. 诊断设置名称：输入一个描述性名称。
   2. 类别组：（可选）根据方案进行选择。
   3. 在 “类别”下：选择 与 ApiManagement Gateway 相关的日志 ，以收集此工作区中 API 的网关日志。
   4. 在 “目标详细信息”下，选择将日志发送到在服务级别诊断设置和其他工作区级别诊断设置中指定的同一 Azure Log Analytics 工作区。
   5. 选择“保存”。

工作区入门

根据其在工作区中的角色，用户可能有权创建 API、产品、订阅和其他资源，也可能对部分或全部资源具有只读访问权限。

若要开始在工作区中管理、保护和发布 API，请参阅以下指南。

相关内容

• 详细了解 Azure API 管理中的工作区。
• 使用虚拟网络保护 Azure API 管理的入站或出站流量