Konfigurace služby Front Door Standard/Premium před službou Azure API Management
PLATÍ PRO: Všechny úrovně služby API Management
Azure Front Door je moderní platforma pro doručování aplikací, která poskytuje zabezpečenou, škálovatelnou síť pro doručování obsahu (CDN), akceleraci dynamického webu a globální vyrovnávání zatížení HTTP pro vaše globální webové aplikace. Při použití před službou API Management může služba Front Door mimo jiné poskytovat přesměrování zpracování PROTOKOLU TLS, kompletní tls, vyrovnávání zatížení, ukládání odpovědí do mezipaměti požadavků GET a firewall webových aplikací. Úplný seznam podporovaných funkcí najdete v tématu Co je Azure Front Door?
Poznámka:
U webových úloh důrazně doporučujeme využívat ochranu Před útoky DDoS Azure a bránu firewall webových aplikací k ochraně před vznikajícími útoky DDoS. Další možností je použít Službu Azure Front Door spolu s firewallem webových aplikací. Azure Front Door nabízí ochranu na úrovni platformy před útoky DDoS na úrovni sítě. Další informace najdete v tématu Standardní hodnoty zabezpečení pro služby Azure.
V tomto článku se dozvíte, jak:
- Nastavte profil služby Azure Front Door Standard/Premium před veřejně přístupnou instanci služby Azure API Management: buď nesítě, nebo vložte do virtuální sítě v externím režimu.
- Omezte službu API Management tak, aby přijímala provoz rozhraní API pouze ze služby Azure Front Door.
Požadavky
- Instance služby API Management.
- Pokud se rozhodnete použít instanci vloženou do sítě, musí být nasazená v externí virtuální síti. (Injektáž virtuální sítě se podporuje na úrovních služby Developer a Premium.)
- Naimportujte jedno nebo více rozhraní API do vaší instance služby API Management, abyste potvrdili směrování prostřednictvím služby Front Door.
Konfigurace služby Azure Front Door
Vytvoření profilu
Postup vytvoření profilu Služby Azure Front Door Standard/Premium najdete v tématu Rychlý start: Vytvoření profilu služby Azure Front Door – Azure Portal. Pro účely tohoto článku můžete zvolit profil služby Front Door Standard. Porovnání služby Front Door Standard a Front Door Premium najdete v porovnání vrstev.
Nakonfigurujte následující nastavení služby Front Door, která jsou specifická pro použití koncového bodu brány vaší instance služby API Management jako zdroje služby Front Door. Vysvětlení dalších nastavení najdete v rychlém startu služby Front Door.
| Nastavení | Hodnota |
|---|---|
| Typ zdroje | Výběr služby API Management |
| Název počátečního hostitele | Vyberte název hostitele vaší instance služby API Management, například myapim.azure-api.net |
| Ukládání do mezipaměti | Výběr možnosti Povolit ukládání do mezipaměti pro službu Front Door pro ukládání statického obsahu do mezipaměti |
| Chování při ukládání řetězců dotazů do mezipaměti | Výběr možnosti Použít řetězec dotazu |
Aktualizace výchozí skupiny původu
Po vytvoření profilu aktualizujte výchozí skupinu původu tak, aby zahrnovala sondu stavu služby API Management.
V nabídce vlevo v části Nastavení vyberte skupiny Origin default-origin-group>.
V okně Aktualizovat skupinu zdrojů nakonfigurujte následující nastavení sondy stavu a vyberte Aktualizovat:
Nastavení Hodnota Stav Výběr možnosti Povolit sondy stavu Cesta Zadejte /status-0123456789abcdefProtokol Vyberte HTTPS. Metoda Výběr možnosti GET Interval (v sekundách) Zadejte 30 
Aktualizace výchozí trasy
Doporučujeme aktualizovat výchozí trasu přidruženou ke skupině původu služby API Management tak, aby jako předávací protokol používal protokol HTTPS.
- Na portálu přejděte na svůj profil služby Front Door.
- V nabídce vlevo v části Nastavení vyberte Skupiny původu.
- Rozbalte výchozí skupinu původu.
- V místní nabídce (...) výchozí trasy vyberte Konfigurovat trasu.
- Nastavte akceptované protokoly na HTTP a HTTPS.
- Povolte přesměrování veškerého provozu pro použití PROTOKOLU HTTPS.
- Nastavte protokol předávání jenom na HTTPS a pak vyberte Aktualizovat.
Otestujte konfiguraci.
Otestujte konfiguraci profilu služby Front Door voláním rozhraní API hostovaného službou API Management. Nejprve zavolejte rozhraní API přímo přes bránu služby API Management, abyste zajistili, že je rozhraní API dostupné. Pak rozhraní API volejte prostřednictvím služby Front Door. K otestování můžete použít klienta příkazového řádku, například curl pro volání, nebo nástroj, jako je Postman.
Volání rozhraní API přímo prostřednictvím služby API Management
V následujícím příkladu se operace v rozhraní API ukázkové konference hostované instancí služby API Management volá přímo pomocí nástroje Postman. V tomto příkladu je název hostitele instance ve výchozí azure-api.net doméně a platný klíč předplatného se předává pomocí hlavičky požadavku. Úspěšná odpověď zobrazí 200 OK a vrátí očekávaná data:
Volání rozhraní API přímo prostřednictvím služby Front Door
V následujícím příkladu se stejná operace v rozhraní API ukázkové konference volá pomocí koncového bodu služby Front Door nakonfigurovaného pro vaši instanci. Název hostitele koncového bodu v azurefd.net doméně se zobrazuje na portálu na stránce Přehled vašeho profilu služby Front Door. Úspěšná odpověď zobrazí 200 OK a vrátí stejná data jako v předchozím příkladu:
Omezení příchozího provozu do instance služby API Management
Pomocí zásad služby API Management se ujistěte, že vaše instance služby API Management přijímá provoz pouze ze služby Azure Front Door. Toto omezení můžete provést pomocí jedné nebo obou následujících metod:
- Omezení příchozích IP adres na instance služby API Management
- Omezení provozu na základě hodnoty hlavičky
X-Azure-FDID
Omezení příchozích IP adres
Ve službě API Management můžete nakonfigurovat zásady příchozího filtru IP adres tak, aby umožňovaly pouze provoz související se službou Front Door, který zahrnuje:
Back-endový adresní prostor IP adres služby Front Door – Povolí IP adresy odpovídající oddílu AzureFrontDoor.Back-end v rozsahech IP adres a značkách služeb Azure.
Poznámka:
Pokud je vaše instance služby API Management nasazená v externí virtuální síti, proveďte stejné omezení přidáním příchozího pravidla skupiny zabezpečení sítě do podsítě používané pro vaši instanci služby API Management. Nakonfigurujte pravidlo tak, aby umožňovalo provoz HTTPS ze zdrojové služby značek AzureFrontDoor.Backend na portu 443.
Služby infrastruktury Azure – Povolí IP adresy 168.63.129.16 a 169.254.169.254.
Kontrola záhlaví služby Front Door
Požadavky směrované přes Front Door zahrnují hlavičky specifické pro konfiguraci služby Front Door. Zásady hlavičky kontroly můžete nakonfigurovat tak, aby filtrovali příchozí požadavky na základě jedinečné hodnoty X-Azure-FDID hlavičky požadavku HTTP, která se odesílá do služby API Management. Tato hodnota záhlaví je ID služby Front Door, které se zobrazuje na portálu na stránce Přehled profilu služby Front Door.
V následujícím příkladu zásad je ID služby Front Door zadáno pomocí pojmenované hodnoty .FrontDoorId
<check-header name="X-Azure-FDID" failed-check-httpcode="403" failed-check-error-message="Invalid request." ignore-case="false">
<value>{{FrontDoorId}}</value>
</check-header>
Požadavky, které nejsou doprovázeny platnou X-Azure-FDID hlavičkou 403 Forbidden , vrátí odpověď.
(Volitelné) Konfigurace služby Front Door pro portál pro vývojáře
Volitelně můžete portál pro vývojáře instance SLUŽBY API Management nakonfigurovat jako koncový bod v profilu služby Front Door. I když spravovaný vývojářský portál už frontuje síť CDN spravovanou v Azure, můžete chtít využít výhod funkcí služby Front Door, jako je WAF.
Níže jsou uvedené základní kroky pro přidání koncového bodu pro portál pro vývojáře do vašeho profilu:
Pokud chcete přidat koncový bod a nakonfigurovat trasu, přečtěte si téma Konfigurace a koncový bod pomocí správce služby Front Door.
Při přidávání trasy přidejte skupinu původu a nastavení původu, která představují portál pro vývojáře:
- Typ zdroje – Výběr vlastního
- Název hostitele – zadejte název hostitele portálu pro vývojáře, například myapim.developer.azure-api.net
Další informace a podrobnosti o nastavení najdete v tématu Postup konfigurace zdroje pro Azure Front Door.
Poznámka:
Pokud jste nakonfigurovali ID Microsoft Entra nebo zprostředkovatele identity Azure AD B2C pro portál pro vývojáře, musíte odpovídající registraci aplikace aktualizovat další adresou URL pro přesměrování na službu Front Door. V registraci aplikace přidejte adresu URL koncového bodu portálu pro vývojáře nakonfigurovaného ve vašem profilu služby Front Door.
Další kroky
Pokud chcete automatizovat nasazení služby Front Door pomocí služby API Management, podívejte se na šablonu Front Door Standard/Premium s původem služby API Management.
Zjistěte, jak nasadit firewall webových aplikací (WAF) ve službě Azure Front Door za účelem ochrany instance služby API Management před škodlivými útoky.