AZ-305

Deep Dive

D4 · Infraestructura

APIs e Integración

API Management es la fachada de las APIs: autenticación, rate limiting, transformación y versionado, todo sin tocar los backends. El AZ-305 también espera que lo distingas de App Gateway y Front Door — y que sepas cuándo el problema se resuelve con Logic Apps.

Icon-web-42

API Management — rol y arquitectura

APIM tiene tres componentes: el gateway (el proxy por donde pasa todo request), el management plane (configurar APIs y políticas) y el developer portal (documentación auto-generada, self-service de suscripciones y pruebas para consumidores).

Qué resuelve

  • • Fachada única para N backends (Functions, AKS, App Service, on-prem)
  • • Autenticación centralizada: subscription keys, JWT/OAuth (validate-jwt), client certs
  • • Rate limiting y quotas por consumidor/producto
  • Versionado y revisiones sin romper clientes
  • • Transformación: REST↔SOAP, headers, URL rewriting
  • • Monetización con products y developer portal

Conceptos del modelo

  • Products: agrupan APIs con políticas y quotas (Starter: 100 calls/min; Premium: ilimitado)
  • Subscriptions: claves de acceso por consumidor/producto
  • • Backends + named values (config) + import de OpenAPI
  • Self-hosted gateway: el gateway en contenedor corriendo on-prem/otra nube, gestionado desde Azure
Icon-web-42

Políticas: el motor de APIM

PolíticaHaceSeñal en el examen
rate-limit / rate-limit-by-keyLimita llamadas por periodo (por suscripción o clave custom como IP)"Limitar a 100 llamadas por minuto por cliente"
quotaLímite de volumen a largo plazo (mes)"Máximo 10,000 llamadas al mes por plan"
validate-jwtValida tokens de Entra ID/OAuth antes de pasar al backend"Solo usuarios autenticados con Entra ID llaman la API"
cache-lookup / cache-storeCachea respuestas en el gateway"Reducir carga del backend para respuestas idénticas"
set-header / rewrite-uriTransforma requests/responses"Adaptar clientes legacy al backend nuevo"
ip-filterPermite/bloquea rangos de IP"Solo IPs del partner"
retry / circuit logicResiliencia hacia backends"Tolerar fallos transitorios del backend"

Las políticas se aplican en 4 fases (inbound → backend → outbound → on-error) y en 4 ámbitos (global → product → API → operación), heredándose hacia abajo.

Icon-web-42

Tiers y topologías de red

TierClave
ConsumptionServerless, pago por llamada, sin VNet — APIs ligeras y variables
Basic/Standard (+v2)Producción general; v2 con private endpoints/VNet integration
PremiumVNet injection (interno/externo), multi-región activo-activo, zonas, self-hosted gateway — la respuesta a "gateway EN la VNet" o "APIs en varias regiones"

Topología típica de examen

APIM Premium en modo internal (solo IP privada en la VNet) + Application Gateway con WAF delante como punto de entrada público. APIs internas quedan privadas; las públicas se exponen filtradas por el WAF.

Icon-web-42

APIM vs App Gateway vs Front Door

ServicioEsNO es
API ManagementGobierno de APIs: auth, quotas, versionado, portal, transformaciónUn balanceador de carga ni un WAF
Application GatewayLoad balancer L7 REGIONAL con WAF, TLS termination, path routingNo gestiona ciclo de vida de APIs ni cuotas por consumidor
Front DoorEntrada GLOBAL: anycast, CDN, WAF, failover multi-regiónNo reemplaza APIM (sin quotas/portal) ni balancea dentro de una VNet

Se COMBINAN: Front Door (global) → App Gateway/WAF (regional) → APIM (gobierno) → backends. La pregunta del examen suele pedir identificar qué capa aporta qué.

Logic Apps para integración

Cuándo Logic Apps

  • • Workflows de integración con 1400+ conectores (O365, SAP, Salesforce, SQL, FTP)
  • • Aprobaciones, orquestaciones B2B (EDI/AS2), procesos de negocio visuales
  • • Señal: "sin escribir código", "conectar sistemas SaaS", "flujo de aprobación"

Logic Apps vs Functions vs Durable Functions

  • Logic Apps: orquestación declarativa/visual, conectores
  • Functions: lógica en código, event-driven
  • Durable Functions: orquestación EN CÓDIGO (fan-out/fan-in, chaining, human interaction)
  • • Standard (single-tenant) corre en VNet; Consumption es multi-tenant

Tabla de decisión

RequisitoDiseño
Rate limiting distinto por plan de clienteAPIM products + rate-limit/quota
Validar tokens Entra ID antes del backendAPIM validate-jwt
Exponer SOAP legacy como REST modernaAPIM transformación
Portal de documentación self-service para partnersAPIM developer portal
Gateway de APIs corriendo on-premises, gestión centralAPIM self-hosted gateway
APIM accesible solo en la VNet + entrada pública con WAFAPIM Premium internal + App Gateway WAF
APIs activas en 3 regiones con un solo plano de gestiónAPIM Premium multi-región
Flujo: pedido → aprobación → SAP → email, sin códigoLogic Apps
Fan-out/fan-in de 1000 tareas en códigoDurable Functions

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

Una empresa expone 40 microservicios (AKS y Functions) a partners externos. Requisitos: (1) cada partner tiene límites de llamadas según su plan contratado, (2) los partners deben poder explorar la documentación y probar las APIs por sí mismos, (3) los tokens JWT de Entra ID deben validarse antes de llegar a los backends. ¿Qué servicio centraliza los tres requisitos?

Inicia sesión para llevar tu progreso.