Sdílet prostřednictvím


Konfigurace služby Front Door Standard/Premium před službou Azure API Management

PLATÍ PRO: Všechny úrovně služby API Management

Azure Front Door je moderní platforma pro doručování aplikací, která poskytuje zabezpečenou, škálovatelnou síť pro doručování obsahu (CDN), akceleraci dynamického webu a globální vyrovnávání zatížení HTTP pro vaše globální webové aplikace. Při použití před službou API Management může služba Front Door mimo jiné poskytovat přesměrování zpracování PROTOKOLU TLS, kompletní tls, vyrovnávání zatížení, ukládání odpovědí do mezipaměti požadavků GET a firewall webových aplikací. Úplný seznam podporovaných funkcí najdete v tématu Co je Azure Front Door?

Poznámka:

U webových úloh důrazně doporučujeme využívat ochranu Před útoky DDoS Azure a bránu firewall webových aplikací k ochraně před vznikajícími útoky DDoS. Další možností je použít Službu Azure Front Door spolu s firewallem webových aplikací. Azure Front Door nabízí ochranu na úrovni platformy před útoky DDoS na úrovni sítě. Další informace najdete v tématu Standardní hodnoty zabezpečení pro služby Azure.

V tomto článku se dozvíte, jak:

  • Nastavte profil služby Azure Front Door Standard/Premium před veřejně přístupnou instanci služby Azure API Management: buď nesítě, nebo instanci developera nebo premium vloženou do virtuální sítě v externím režimu.
  • Omezte službu API Management tak, aby přijímala provoz rozhraní API pouze ze služby Azure Front Door.

Tip

Službu Azure Front Door Premium můžete také nakonfigurovat tak, aby směrovat provoz do brány služby API Management pomocí privátního koncového bodu.

Požadavky

  • Instance služby API Management.
    • Pokud se rozhodnete použít instanci vloženou do sítě, musí být nasazená v externí virtuální síti. (Injektáž virtuální sítě se podporuje na úrovních služby Developer a Premium.)
  • Naimportujte jedno nebo více rozhraní API do vaší instance služby API Management, abyste potvrdili směrování prostřednictvím služby Front Door.

Konfigurace služby Azure Front Door

Vytvoření profilu

Postup vytvoření profilu Služby Azure Front Door Standard/Premium najdete v tématu Rychlý start: Vytvoření profilu služby Azure Front Door – Azure Portal. Pro účely tohoto článku můžete zvolit profil služby Front Door Standard. Porovnání služby Front Door Standard a Front Door Premium najdete v porovnání vrstev.

Nakonfigurujte následující nastavení služby Front Door, která jsou specifická pro použití koncového bodu brány vaší instance služby API Management jako zdroje služby Front Door. Vysvětlení dalších nastavení najdete v rychlém startu služby Front Door.

Nastavení Hodnota
Typ zdroje Výběr služby API Management
Název počátečního hostitele Vyberte název hostitele vaší instance služby API Management, například myapim.azure-api.net
Ukládání do mezipaměti Výběr možnosti Povolit ukládání do mezipaměti pro službu Front Door pro ukládání statického obsahu do mezipaměti
Chování při ukládání řetězců dotazů do mezipaměti Výběr možnosti Použít řetězec dotazu

Snímek obrazovky s vytvořením profilu služby Front Door na portálu

Aktualizace výchozí skupiny původu

Po vytvoření profilu aktualizujte výchozí skupinu původu tak, aby zahrnovala sondu stavu služby API Management.

  1. Na portálu přejděte na svůj profil služby Front Door.

  2. V nabídce vlevo v části Nastavení vyberte Skupiny původu>default-origin-group.

  3. V okně Aktualizovat skupinu zdrojů nakonfigurujte následující nastavení sondy stavu a vyberte Aktualizovat:

    Nastavení Hodnota
    Stav Výběr možnosti Povolit sondy stavu
    Cesta Zadejte /status-0123456789abcdef
    Protokol Vyberte HTTPS.
    Metoda Výběr možnosti GET
    Interval (v sekundách) Zadejte 30

    Snímek obrazovky s aktualizací výchozí skupiny původu na portálu

Aktualizace výchozí trasy

Doporučujeme aktualizovat výchozí trasu přidruženou ke skupině původu služby API Management tak, aby jako předávací protokol používal protokol HTTPS.

  1. Na portálu přejděte na svůj profil služby Front Door.
  2. V nabídce vlevo v části Nastavení vyberte Skupiny původu.
  3. Rozbalte výchozí skupinu původu.
  4. V místní nabídce (...) výchozí trasy vyberte Konfigurovat trasu.
  5. Nastavte akceptované protokoly na HTTP a HTTPS.
  6. Povolte přesměrování veškerého provozu pro použití PROTOKOLU HTTPS.
  7. Nastavte protokol předávání jenom na HTTPS a pak vyberte Aktualizovat.

Otestujte konfiguraci.

Otestujte konfiguraci profilu služby Front Door voláním rozhraní API hostovaného službou API Management, například rozhraní API Swagger Petstore. Nejprve zavolejte rozhraní API přímo přes bránu služby API Management, abyste zajistili, že je rozhraní API dostupné. Pak rozhraní API volejte prostřednictvím služby Front Door.

Volání rozhraní API přímo prostřednictvím služby API Management

Pokud chcete rozhraní API volat přímo prostřednictvím brány služby API Management, můžete použít klienta příkazového řádku, jako curl je nebo jiný klient HTTP. Úspěšná odpověď vrátí 200 OK odpověď HTTP a očekávaná data:

Snímek obrazovky znázorňující přímé volání koncového bodu služby API Management pomocí klienta HTTP

Volání rozhraní API přímo prostřednictvím služby Front Door

Volejte stejnou operaci rozhraní API pomocí koncového bodu služby Front Door nakonfigurovaného pro vaši instanci. Název hostitele koncového bodu v azurefd.net doméně se zobrazuje na portálu na stránce Přehled vašeho profilu služby Front Door. Úspěšná odpověď zobrazí 200 OK a vrátí stejná data jako v předchozím příkladu.

Omezení příchozího provozu do instance služby API Management

Pomocí zásad služby API Management se ujistěte, že vaše instance služby API Management přijímá provoz pouze ze služby Azure Front Door. Toto omezení můžete provést pomocí jedné nebo obou následujících metod:

  1. Omezení příchozích IP adres na instance služby API Management
  2. Omezení provozu na základě hodnoty hlavičky X-Azure-FDID

Omezení příchozích IP adres

Ve službě API Management můžete nakonfigurovat zásady příchozího filtru IP adres tak, aby umožňovaly pouze provoz související se službou Front Door, který zahrnuje:

  • Back-endový adresní prostor IP adres služby Front Door – Povolí IP adresy odpovídající oddílu AzureFrontDoor.Back-end v rozsahech IP adres a značkách služeb Azure.

    Poznámka:

    Pokud je vaše instance služby API Management nasazená v externí virtuální síti, proveďte stejné omezení přidáním příchozího pravidla skupiny zabezpečení sítě do podsítě používané pro vaši instanci služby API Management. Nakonfigurujte pravidlo tak, aby umožňovalo provoz HTTPS ze zdrojové služby značek AzureFrontDoor.Backend na portu 443.

  • Služby infrastruktury Azure – Povolí IP adresy 168.63.129.16 a 169.254.169.254.

Kontrola záhlaví služby Front Door

Požadavky směrované přes Front Door zahrnují hlavičky specifické pro konfiguraci služby Front Door. Zásady hlavičky kontroly můžete nakonfigurovat tak, aby filtrovali příchozí požadavky na základě jedinečné hodnoty X-Azure-FDID hlavičky požadavku HTTP, která se odesílá do služby API Management. Tato hodnota záhlaví je ID služby Front Door, které se zobrazuje na portálu na stránce Přehled profilu služby Front Door.

V následujícím příkladu zásad je ID služby Front Door zadáno pomocí pojmenované hodnoty .FrontDoorId

<check-header name="X-Azure-FDID" failed-check-httpcode="403" failed-check-error-message="Invalid request." ignore-case="false">
        <value>{{FrontDoorId}}</value>
</check-header>

Požadavky, které nejsou doprovázeny platnou X-Azure-FDID hlavičkou 403 Forbidden , vrátí odpověď.

(Volitelné) Konfigurace služby Front Door pro portál pro vývojáře

Volitelně můžete portál pro vývojáře instance SLUŽBY API Management nakonfigurovat jako koncový bod v profilu služby Front Door. I když spravovaný vývojářský portál už frontuje síť CDN spravovanou v Azure, můžete chtít využít výhod funkcí služby Front Door, jako je WAF.

Níže jsou uvedené základní kroky pro přidání koncového bodu pro portál pro vývojáře do vašeho profilu:

  • Pokud chcete přidat koncový bod a nakonfigurovat trasu, přečtěte si téma Konfigurace a koncový bod pomocí správce služby Front Door.

  • Při přidávání trasy přidejte skupinu původu a nastavení původu, která představují portál pro vývojáře:

    • Typ zdroje – Výběr vlastního
    • Název hostitele – zadejte název hostitele portálu pro vývojáře, například myapim.developer.azure-api.net

Další informace a podrobnosti o nastavení najdete v tématu Postup konfigurace zdroje pro Azure Front Door.

Poznámka:

Pokud jste nakonfigurovali ID Microsoft Entra nebo zprostředkovatele identity Azure AD B2C pro portál pro vývojáře, musíte odpovídající registraci aplikace aktualizovat další adresou URL pro přesměrování na službu Front Door. V registraci aplikace přidejte adresu URL koncového bodu portálu pro vývojáře nakonfigurovaného ve vašem profilu služby Front Door.