Konfigurace vlastního názvu domény pro instanci API Management Azure

  • Článek
  • 6 min ke čtení

Když vytvoříte instanci služby Azure API Management, Azure mu přiřadí azure-api.net subdoménu (například apim-service-name.azure-api.net ). Své koncové body můžete API Management pomocí vlastního názvu domény, například contoso.com . V tomto kurzu se ukáže, jak namapovat existující vlastní název DNS na koncové body vystavené instancí API Management serveru.

Důležité

API Management přijímá pouze požadavky s odpovídajícími hodnotami hlavičky hostitele:

  • Výchozí název domény
  • Libovolný z nakonfigurovaných vlastních názvů domén

Upozornění

Pokud chcete zlepšit zabezpečení aplikací připnutím certifikátu, musíte použít vlastní název domény a certifikát, který spravujete, nikoli výchozí certifikát. Připnutí výchozího certifikátu je pevné na vlastnostech certifikátu, který nespravujete, což nedoporučujeme.

Požadavky

  • Musíte mít aktivní předplatné Azure. Pokud ještě nemáte předplatné Azure,vytvořte si bezplatný účet před tím, než začnete.
  • Instance API Management. Další informace najdete v tématu Vytvoření instance API Management Azure.
  • Vlastní název domény, který vlastníte vy nebo vaše organizace. Toto téma neposkytuje pokyny k tomu, jak si poř zajistit vlastní název domény.
  • Záznam CNAME hostovaný na serveru DNS, který mapuje název vlastní domény na výchozí název domény vaší API Management instance. Toto téma neposkytuje pokyny k hostování záznamu CNAME.
  • Platný certifikát s veřejným a privátním klíčem (. PFX). Alternativní název subjektu nebo subjektu (SAN) se musí shodovat s názvem domény (to umožňuje, aby API Management instance bezpečně vystavovat adresy URL přes protokol TLS).

Použití Azure Portal k nastavení vlastního názvu domény

  1. V části API Management přejděte ke své instanci Azure Portal.

  2. Vyberte Vlastní domény.

    Existuje několik koncových bodů, ke kterým můžete přiřadit vlastní název domény. V současné době jsou k dispozici následující koncové body:

    Koncový bod Výchozí
    brána Výchozí hodnota je: <apim-service-name>.azure-api.net . Brána je jediný koncový bod dostupný pro konfiguraci na úrovni Consumption.
    Portál pro vývojáře (starší verze) Výchozí hodnota je: <apim-service-name>.portal.azure-api.net
    Portál pro vývojáře Výchozí hodnota je: <apim-service-name>.developer.azure-api.net
    správy Výchozí hodnota je: <apim-service-name>.management.azure-api.net
    SCM Výchozí hodnota je: <apim-service-name>.scm.azure-api.net

    Poznámka

    Můžete aktualizovat kterýkoli z koncových bodů. Zákazníci obvykle aktualizují bránu (tato adresa URL se používá k volání rozhraní API zveřejněné prostřednictvím API Management) a portálu (adresa URL portálu pro vývojáře).

    Koncové API Management správy a SCM mohou interně používat jenom vlastníci instancí. Těmto koncovým bodům je méně často přiřazen vlastní název domény.

    Úrovně Premium a Developer podporují nastavení více názvů hostitelů pro koncový bod brány.

  3. Vyberte + Přidat nebo vyberte existující koncový bod, který chcete aktualizovat.

  4. V okně na pravé straně vyberte Typ koncového bodu pro vlastní doménu.

  5. Do pole Název hostitele zadejte název, který chcete použít. Například, api.contoso.com.

  6. V části Certifikát vyberte buď Key Vault, nebo Vlastní.

    • Key Vault
      • Klikněte na Vybrat.
      • V rozevíracím seznamu vyberte Předplatné.
      • V rozevíracím seznamu vyberte Trezor klíčů.
      • Po načtení certifikátů vyberte v rozevíracím seznamu Certifikát.
      • Klikněte na Vybrat.
    • Vlastní
      • Vyberte pole Soubor certifikátu a vyberte a nahrajte certifikát.
      • Upload platnou hodnotu . Soubor PFX a zadejte jeho heslo, pokud je certifikát chráněný heslem.

  7. Při konfiguraci koncového bodu brány podle potřeby vyberte nebo zrušte výběr dalších možností,například Vyjednat klientský certifikát nebo Výchozí vazby SSL.

  8. Vyberte Aktualizovat.

    Poznámka

    Názvy domén se zástupnými znaky, jako je , jsou podporované ve *.contoso.com všech úrovních s výjimkou úrovně Consumption.

    Tip

    Ke správě certifikátů Azure Key Vault jejich nastavení doporučujeme použít nástroje autorenew .

    Pokud ke Azure Key Vault certifikátu TLS/SSL vlastní domény používáte nástroj , ujistěte se, že je certifikát vložený do Key Vault jako certifikát,ne jako tajný klíč.

    Pokud chcete načíst certifikát TLS/SSL, API Management mít seznam a oprávnění k získání tajných kódů na Azure Key Vault obsahující certifikát.

    • Při použití Azure Portal se všechny potřebné kroky konfigurace dokončí automaticky.
    • Při použití nástrojů příkazového řádku nebo rozhraní API pro správu musí být tato oprávnění udělena ručně ve dvou krocích:
      • Pomocí stránky Spravované identity ve vaší instanci API Management ujistěte se, že je povolená spravovaná identita, a poznamenejte si ID objektu zabezpečení na této stránce.
      • Udejte seznamu oprávnění a získejte oprávnění k tomuto ID objektu zabezpečení na Azure Key Vault obsahujícím certifikát.

    Pokud je certifikát nastavený na a vaše úroveň API Management má sla (tj. na všech úrovních s výjimkou úrovně Developer), API Management automaticky vybere nejnovější verzi bez výpadků autorenew služby.

  9. Klikněte na Použít.

    Poznámka

    Proces přiřazení certifikátu může v závislosti na velikosti nasazení trvat 15 minut nebo déle. Skladová úroveň pro vývojáře má výstoje, zatímco skladové hodnoty Basic a vyšší ne.

Jak API Management proxy server reaguje pomocí certifikátů SSL v protokolu TLS handshake

Klienti volající s Indikace názvu serveru hlavičkou (SNI)

Pokud máte jednu nebo více vlastních domén nakonfigurovaných pro proxy server (bránu), API Management reagovat na požadavky HTTPS z obou:

  • Vlastní doména (například contoso.com )
  • Výchozí doména (například apim-service-name.azure-api.net ).

Na základě informací v hlavičce SNI API Management odpovídajícím certifikátem serveru.

Klienti volající bez hlavičky SNI

Pokud používáte klienta, který neodesíleje hlavičku SNI, API Management odpovědi na základě následující logiky:

  • Pokud má služba pro proxy nakonfigurovanou jenom jednu vlastní doménu, výchozí certifikát je certifikát vystavený vlastní doméně proxy serveru.
  • Pokud má služba nakonfigurovaných více vlastních domén pro proxy server (podporováno ve vrstvě Developer a Premium), můžete výchozí certifikát určit nastavením vlastnosti defaultSslBinding na true ("defaultSslBinding":"true"). Pokud vlastnost nenastavíte, výchozím certifikátem je certifikát vydaný pro výchozí doménu proxy serveru hostovanou v *.azure-api.net .

Podpora požadavku PUT/POST s velkou datovou část

API Management proxy server podporuje požadavky s velkými objemy dat (> 40 kB) při použití certifikátů na straně klienta v protokolu HTTPS. Pokud chcete zabránit zamrznutí požadavku serveru, můžete nastavit vlastnost negotiateClientCertificate: "true" u názvu hostitele proxy serveru.

Pokud je vlastnost nastavená na hodnotu true, klientský certifikát se vyžádá v době připojení SSL/TLS před jakoukoli výměnou požadavků HTTP. Vzhledem k tomu, že nastavení platí na úrovni názvu hostitele proxy serveru, všechny žádosti o připojení budou žádat o klientský certifikát. Toto omezení můžete obejít a nakonfigurovat až 20 vlastních domén pro proxy server (podporováno pouze Premium úrovni).

Konfigurace DNS

Při konfiguraci DNS pro vlastní název domény můžete:

  • Nakonfigurujte záznam CNAME, který odkazuje na koncový bod nakonfigurovaného vlastního názvu domény, nebo
  • Nakonfigurujte záznam A, který odkazuje na vaši IP API Management brány.

I když záznamy CNAME (nebo záznamy aliasů) i záznamy A umožňují přidružit název domény ke konkrétnímu serveru nebo službě, fungují jinak.

Záznam CNAME nebo Alias

Záznam CNAME mapuje konkrétní doménu (například nebo www contoso.com . contoso.com) na název kanonické domény. Po vytvoření vytvoří záznam CNAME alias pro doménu. Položka CNAME se automaticky překládá na IP adresu vaší vlastní doménové služby, takže pokud se IP adresa změní, není možné provádět žádnou akci.

Poznámka

Někteří registrátoři domén vám umožňují mapovat subdomény pouze při použití záznamu CNAME, například www contoso.com, a ne kořenové názvy, jako je . contoso.com. Další informace o záznamech CNAME najdete v dokumentaci od vašeho registrátora, v položce Wikipedie v záznamu CNAMEnebo v dokumentu Názvy domén IETF – Implementace a specifikace.

Záznam A

Záznam A mapuje na IP adresu doménu, jako je nebo www contoso.com , nebo zástupnou doménu , jako contoso.com * je .contoso.com. . Vzhledem k tomu, že se záznam A mapuje na statickou IP adresu, nemůže automaticky překládá změny IP adresy. Doporučujeme místo záznamu A použít stabilnější záznam CNAME.

Poznámka

I když API Management IP adresa instance je statická, může se v několika scénářích změnit. Při volbě metody konfigurace DNS doporučujeme při konfiguraci vlastní domény použít záznam CNAME, protože je stabilnější než záznam A pro případ, že se IP adresa změní. Další informace najdete v článku Dokumentace k IP adresám a v nejčastějších dotazech API Management k IP adresám.

Další kroky

Upgrade a škálování služby