Gerenciamento de API federada com espaços de trabalho

APLICA-SE A: Premium | Premium v2

Este artigo fornece uma visão geral dos espaços de trabalho de Gerenciamento de API e como eles capacitam as equipes de desenvolvimento de API descentralizadas para gerenciar e produzir suas APIs em uma infraestrutura de serviço comum.

Por que as organizações devem federar o gerenciamento de API?

Hoje, as organizações enfrentam cada vez mais desafios no gerenciamento de uma proliferação de APIs. À medida que o número de APIs e equipes de desenvolvimento de API cresce, cresce também a complexidade de gerenciá-las. Essa complexidade pode levar ao aumento da sobrecarga operacional, aos riscos de segurança e à redução da agilidade. Por um lado, as organizações querem estabelecer uma infraestrutura de API centralizada para garantir a governança, a segurança e a conformidade da API. Por outro lado, eles querem que suas equipes de API inovem e respondam rapidamente às necessidades de negócios, sem a sobrecarga de gerenciar uma plataforma de API.

Um modelo federado de gerenciamento de API atende a essas necessidades. O gerenciamento de API federada permite o gerenciamento descentralizado de API por equipes de desenvolvimento com isolamento apropriado de planos de controle e dados, mantendo a governança, o monitoramento e a descoberta de API centralizados gerenciados por uma equipe de plataforma de API. Esse modelo supera as limitações de abordagens alternativas, como o gerenciamento de API totalmente centralizado pela equipe da plataforma ou o gerenciamento de API em silos por cada equipe de desenvolvimento.

O gerenciamento de API federada fornece:

• Governança e observabilidade centralizadas de API
• Um portal unificado do desenvolvedor para descoberta e integração de API eficazes
• Permissões administrativas segregadas entre equipes de API, aumentando a produtividade e a segurança
• Tempo de execução de API segregado entre equipes de API, melhorando a confiabilidade, resiliência e segurança

Como os espaços de trabalho permitem o gerenciamento de API federada

No Gerenciamento de API do Azure, use espaços de trabalho para implementar o gerenciamento de API federada. Os espaços de trabalho funcionam como "pastas" dentro de um serviço de Gerenciamento de API:

• Cada espaço de trabalho contém APIs, produtos, assinaturas, valores nomeados e recursos relacionados. Consulte a referência da API REST de Gerenciamento de API para obter a lista completa dos recursos e operações disponibilizados nos espaços de trabalho.
• O acesso das equipes aos recursos em um espaço de trabalho é gerenciado por meio do RBAC (controle de acesso baseado em função) do Azure, com funções internas ou personalizadas atribuíveis a contas do Microsoft Entra e com escopo para um espaço de trabalho.
• Cada espaço de trabalho está associado a um ou mais gateways de espaço de trabalho para rotear o tráfego de API para os serviços de back-end das APIs no espaço de trabalho.
• A equipe da plataforma pode aplicar políticas que abrangem APIs e produtos em espaços de trabalho para controlar o tempo de execução da API em toda a organização. Uma definição interna de Política do Azure (API Management policies should inherit parent scope policies using <base/>) permite auditar ou impor que essas políticas sejam aplicadas em todos os recursos do espaço de trabalho.
• A equipe da plataforma pode implementar uma experiência de descoberta de API centralizada com um portal do desenvolvedor.
• Cada equipa de área de trabalho pode reunir e analisar logs de recursos de gateway para monitorizar as suas próprias APIs de área de trabalho, enquanto a equipa de plataforma tem acesso federativo a logs em todas as áreas de trabalho no serviço de Gestão de API, proporcionando supervisão, segurança e conformidade em todo o ecossistema de API.

Embora os espaços de trabalho sejam gerenciados independentemente do serviço de Gerenciamento de API e de outros espaços de trabalho, por design, eles podem fazer referência a recursos de nível de serviço selecionados. Consulte Espaços de trabalho e outros recursos de gerenciamento de API, mais adiante neste artigo.

Descrição geral de cenário de exemplo

Uma organização que gerencia APIs usando o Gerenciamento de API do Azure pode ter várias equipes de desenvolvimento que desenvolvem, definem, mantêm e produzem diferentes conjuntos de APIs. Os espaços de trabalho permitem que essas equipes usem o Gerenciamento de API para gerenciar, acessar e proteger suas APIs separadamente e independentemente do gerenciamento da infraestrutura de serviço.

A seguir está um fluxo de trabalho de exemplo para criar e usar um espaço de trabalho.

1. Uma equipe central da plataforma de API que gerencia a instância de Gerenciamento de API cria um espaço de trabalho e atribui permissões aos colaboradores do espaço de trabalho usando funções RBAC - por exemplo, permissões para criar ou ler recursos no espaço de trabalho. Um gateway de API com âmbito de espaço de trabalho também é criado para o espaço de trabalho.

2. Uma equipe central de plataforma de API usa ferramentas de DevOps para criar um pipeline de DevOps para APIs nesse espaço de trabalho.

3. Os membros do espaço de trabalho desenvolvem, publicam, produzem e mantêm APIs no espaço de trabalho.

4. A equipe central da plataforma de API gerencia a infraestrutura do serviço, como monitoramento, resiliência e aplicação de todas as políticas de APIs.

Portal de espaço de trabalho

Cada área de trabalho é configurada com um ou mais gateways de área de trabalho para permitir a execução em tempo real das APIs geridas na área de trabalho. Um gateway de espaço de trabalho é um recurso autônomo do Azure (gateway de espaço de trabalho premium) com a mesma funcionalidade principal do gateway integrado ao seu serviço de Gerenciamento de API.

Os gateways de espaço de trabalho são gerenciados independentemente do serviço de Gerenciamento de API e uns dos outros. Eles permitem o isolamento do tempo de execução entre espaços de trabalho ou casos de uso, aumentando a confiabilidade, resiliência e segurança da API e permitindo a atribuição de problemas de tempo de execução aos espaços de trabalho.

• Para obter informações sobre o custo dos gateways de espaço de trabalho, consulte Preços de Gestão de API.
• Para obter uma comparação detalhada dos gateways de gerenciamento de API, consulte Visão geral dos gateways de gerenciamento de API.

Associar espaços de trabalho a um gateway

Dependendo das necessidades da sua organização, você pode associar um ou vários espaços de trabalho a um gateway de espaço de trabalho.

• Um gateway de espaço de trabalho tem determinada configuração (como rede virtual, escala, nome do host) e recursos de computação alocados (CPU, memória, recursos de rede).
• Os recursos de configuração e computação são compartilhados por todos os espaços de trabalho implantados em um gateway.
• Bugs em uma API ou tráfego anômalo podem causar o esgotamento desses recursos, afetando todos os espaços de trabalho nesse gateway. Em outras palavras, quanto mais espaços de trabalho forem implantados em um gateway, maior será o risco de que uma API de um espaço de trabalho tenha problemas de confiabilidade causados por uma API de outro espaço de trabalho.
• Monitore o desempenho do gateway usando métricas internas para utilização da CPU e da memória.

Considere a confiabilidade, a segurança e o custo ao escolher um modelo de implantação para espaços de trabalho.

• Use gateways dedicados para cargas de trabalho de missão crítica - Para maximizar a confiabilidade e a segurança da API, atribua cada espaço de trabalho de missão crítica ao seu próprio gateway, evitando o uso compartilhado com outros espaços de trabalho.
• Equilibre confiabilidade, segurança e custo - Associe vários espaços de trabalho a um gateway para equilibrar confiabilidade, segurança e custo para cargas de trabalho não críticas. Distribuir espaços de trabalho em pelo menos dois gateways ajuda a evitar que problemas, como esgotamento de recursos ou erros de configuração, afetem todas as APIs dentro da organização.
• Usar gateways distintos para diferentes casos de uso - Agrupe espaços de trabalho em um gateway com base em um caso de uso ou requisitos de rede. Por exemplo, você pode distinguir entre APIS internas e externas atribuindo-as a gateways separados, cada um com sua própria configuração de rede.
• Prepare-se para colocar em quarentena espaços de trabalho problemáticos - Use um proxy, como o Gateway de Aplicativo do Azure ou o Azure Front Door, na frente de gateways de espaço de trabalho compartilhado para simplificar a movimentação de um espaço de trabalho que está causando esgotamento de recursos para um gateway diferente, evitando impacto em outros espaços de trabalho que compartilham o gateway.

Hostname do gateway

Cada gateway de espaço de trabalho fornece um nome de host exclusivo para APIs gerenciadas em um espaço de trabalho associado. Os nomes de host padrão seguem o padrão <gateway-name>-<hash>.gateway.<region>.azure-api.net. Use o nome do host do gateway para rotear solicitações de API para as APIs do seu espaço de trabalho.

Atualmente, nomes de host personalizados não são suportados para gateways de ambientes de trabalho. Você pode configurar o Azure Application Gateway ou o Azure Front Door com um nome de host personalizado para um gateway do espaço de trabalho.

Isolamento de rede

Um gateway de espaço de trabalho pode, opcionalmente, ser configurado em uma rede virtual privada para isolar o tráfego de entrada e/ou saída. Caso configurado, o gateway do espaço de trabalho deve utilizar uma sub-rede dedicada na rede virtual.

Para obter requisitos detalhados, consulte Requisitos de recursos de rede para gateways de espaço de trabalho.

Capacidade de escala

Gerencie a capacidade do gateway adicionando ou removendo unidades de escala, semelhantes às unidades que podem ser adicionadas à instância de Gerenciamento de API em determinadas camadas de serviço. Os custos de um gateway de espaço de trabalho são calculados com base no número de unidades que selecionar.

Disponibilidade regional

Para obter uma lista atual de regiões onde gateways de espaço de trabalho estão disponíveis, consulte Disponibilidade de camadas v2 e de gateways de espaço de trabalho.

Restrições do gateway

Atualmente, as seguintes restrições se aplicam aos gateways de espaço de trabalho:

• Um espaço de trabalho não pode ser associado a um gateway auto-hospedado
• Os gateways de espaço de trabalho não suportam pontos de extremidade de entrada privados
• APIs em gateways de espaço de trabalho não podem receber nomes de host personalizados
• As APIs em espaços de trabalho não são cobertas pelo Defender for APIs
• Os gateways de espaço de trabalho não suportam o gerenciador de credenciais do serviço de Gerenciamento de API
• Os gateways de espaço de trabalho suportam apenas cache interno; cache externo não é suportado
• Os gateways de espaço de trabalho não suportam APIs sintéticas do GraphQL
• Os portais de espaço de trabalho não suportam a criação direta de APIs a partir dos recursos do Azure, tais como o Serviço OpenAI do Azure, o Serviço de Aplicações, os Aplicativos de Função, e assim por diante.
• Os gateways de espaço de trabalho não suportam servidores MCP
• As métricas de solicitação não podem ser divididas por espaço de trabalho no Azure Monitor; Todas as métricas do espaço de trabalho são agregadas no nível de serviço
• Os gateways de espaço de trabalho não suportam certificados de CA
• Os gateways de espaço de trabalho não dão suporte a identidades gerenciadas, incluindo recursos relacionados, como armazenar segredos no Cofre de Chaves do Azure e usar a authentication-managed-identity política
• Os gateways de espaço de trabalho só podem ser criados na região principal do Azure da instância de Gerenciamento de API

Funções RBAC para espaços de trabalho

O RBAC do Azure é usado para configurar as permissões dos colaboradores do espaço de trabalho para ler e editar entidades no espaço de trabalho. Para obter uma lista de funções, consulte Como usar o controle de acesso baseado em função no Gerenciamento de API.

Para gerir as APIs e outros recursos no espaço de trabalho, os membros do espaço de trabalho devem receber funções (ou permissões equivalentes usando funções personalizadas) abrangendo o serviço de Gestão de API, o espaço de trabalho e o gateway do espaço de trabalho. A função com escopo de serviço permite fazer referência a determinados recursos de nível de serviço a partir de recursos no nível do espaço de trabalho. Por exemplo, organize um usuário em um grupo no nível do espaço de trabalho para controlar a visibilidade da API e do produto.

Espaços de trabalho e outros recursos de gerenciamento de API

Os espaços de trabalho são projetados para serem independentes para maximizar a segregação do acesso administrativo e do tempo de execução da API. Há várias exceções para garantir maior produtividade e permitir a governança, a observabilidade, a reutilização e a descoberta de API em toda a plataforma.

• Referências de recursos - Os recursos em um espaço de trabalho podem fazer referência a outros recursos no espaço de trabalho e a recursos selecionados do nível de serviço, como usuários, servidores de autorização ou grupos de usuários internos. Eles não podem fazer referência a recursos de outro espaço de trabalho.

  Por motivos de segurança, não é possível fazer referência a recursos de nível de serviço a partir de políticas de nível de espaço de trabalho (por exemplo, valores nomeados) ou por nomes de recursos, como backend-id na política set-backend-service .

  Important

  Todos os recursos em um serviço de Gerenciamento de API (por exemplo, APIs, produtos, tags ou assinaturas) precisam ter nomes exclusivos, mesmo que estejam localizados em espaços de trabalho diferentes. Não pode haver recursos do mesmo tipo e com o mesmo nome de recurso do Azure no mesmo espaço de trabalho, em outros espaços de trabalho ou no nível de serviço.

• Portal do desenvolvedor - Os espaços de trabalho são um conceito administrativo e não são apresentados como tal aos consumidores do portal do desenvolvedor, inclusive por meio da interface do usuário do portal do desenvolvedor e da API subjacente. APIs e produtos em um espaço de trabalho podem ser publicados no portal do desenvolvedor, assim como APIs e produtos no nível de serviço.

  Note

  O Gerenciamento de API oferece suporte à atribuição de servidores de autorização definidos no nível de serviço a APIs em espaços de trabalho.

Migrar de espaços de trabalho de pré-visualização

Se você criou espaços de trabalho de visualização no Gerenciamento de API do Azure e deseja continuar a usá-los, migre seus espaços de trabalho para a versão disponível em geral associando um gateway de espaço de trabalho a cada espaço de trabalho.

Para obter detalhes e saber mais sobre outras alterações que podem afetar os espaços de trabalho de visualização, consulte Alterações significativas nos Workspaces (março de 2025).

Eliminar uma área de trabalho

Se estiver a eliminar o espaço de trabalho usando a interface do portal do Azure, a eliminação de um espaço de trabalho remove todos os seus recursos subordinados (APIs, produtos, etc.) e o seu gateway associado. Ele não exclui a instância de Gerenciamento de API ou outros espaços de trabalho.

Conteúdo relacionado

• Criar uma área de trabalho
• Alterações disruptivas nos espaços de trabalho - junho de 2024
• Alterações críticas nos Espaços de Trabalho - março de 2025
• Limites - espaços de trabalho de Gerenciamento de API