Configurar o Front Door Standard/Premium na frente do Gerenciamento de API do Azure

  • Artigo

APLICA-SE A: Todas as camadas de gerenciamento de API

O Azure Front Door é uma plataforma moderna de rede de entrega de aplicativos que fornece uma CDN (rede de entrega de conteúdo) segura e escalável, aceleração dinâmica de sites e balanceamento de carga HTTP(s) global para seus aplicativos Web globais. Quando usado na frente do Gerenciamento de API, o Front Door pode fornecer descarregamento de TLS, TLS de ponta a ponta, balanceamento de carga, cache de resposta de solicitações GET e um firewall de aplicativo da Web, entre outros recursos. Para obter uma lista completa dos recursos suportados, consulte O que é o Azure Front Door?

Nota

Para cargas de trabalho da Web, é altamente recomendável utilizar a proteção contra DDoS do Azure e um firewall de aplicativo Web para se proteger contra ataques DDoS emergentes. Outra opção é empregar o Azure Front Door junto com um firewall de aplicativo Web. O Azure Front Door oferece proteção no nível da plataforma contra ataques DDoS no nível da rede. Para obter mais informações, consulte Linha de base de segurança para serviços do Azure.

Este artigo mostra como:

  • Configure um perfil Standard/Premium do Azure Front Door na frente de uma instância de Gerenciamento de API do Azure acessível publicamente: não conectado em rede ou injetado em uma rede virtual no modo externo.
  • Restrinja o Gerenciamento de API para aceitar tráfego de API somente da Porta da Frente do Azure.

Pré-requisitos

  • Uma instância de gerenciamento de API.
    • Se você optar por usar uma instância injetada pela rede, ela deverá ser implantada em uma rede virtual externa. (A injeção de rede virtual é suportada nas camadas de serviço Developer e Premium.)
  • Importe uma ou mais APIs para sua instância de Gerenciamento de API para confirmar o roteamento pelo Front Door.

Configurar o Azure Front Door

Criar perfil

Para conhecer as etapas para criar um perfil do Azure Front Door Standard/Premium, consulte Guia de início rápido: criar um perfil do Azure Front Door - portal do Azure. Para este artigo, você pode escolher um perfil padrão de porta da frente. Para uma comparação entre Front Door Standard e Front Door Premium, consulte Comparação de camadas.

Configure as seguintes configurações de Front Door que são específicas para usar o ponto de extremidade de gateway de sua instância de Gerenciamento de API como uma origem de Front Door. Para obter uma explicação de outras configurações, consulte o Guia de início rápido da porta frontal.

Definição Value
Tipo de origem Selecionar Gerenciamento de API
Nome de anfitrião da origem Selecione o nome do host da sua instância de Gerenciamento de API, por exemplo, myapim.azure-api.net
Armazenamento em cache Selecione Ativar cache para o Front Door para armazenar conteúdo estático em cache
Comportamento de cache de cadeia de caracteres de consulta Selecione Usar cadeia de caracteres de consulta

Captura de ecrã da criação de um perfil Front Door no portal.

Atualizar grupo de origem padrão

Depois que o perfil for criado, atualize o grupo de origem padrão para incluir uma investigação de integridade do Gerenciamento de API.

  1. No portal, vá para o seu perfil Front Door.

  2. No menu à esquerda, em Configurações, selecione Grupos>de origem default-origin-group.

  3. Na janela Atualizar grupo de origem, defina as seguintes configurações de teste de integridade e selecione Atualizar:

    Definição Value
    Status Selecione Ativar testes de integridade
    Caminho Introduzir /status-0123456789abcdef
    Protocolo Selecione HTTPS
    Método Selecione GET
    Intervalo (em segundos) Digite 30

    Captura de tela da atualização do grupo de origem padrão no portal.

Atualizar rota padrão

Recomendamos atualizar a rota padrão associada ao grupo de origem do Gerenciamento de API para usar HTTPS como o protocolo de encaminhamento.

  1. No portal, vá para o seu perfil Front Door.
  2. No menu à esquerda, em Configurações , selecione Grupos de origem.
  3. Expanda default-origin-group.
  4. No menu de contexto (...) da rota padrão, selecione Configurar rota.
  5. Defina os protocolos aceitos como HTTP e HTTPS.
  6. Habilite Redirecionar todo o tráfego para usar HTTPS.
  7. Defina o protocolo de encaminhamento apenas para HTTPS e selecione Atualizar.

Teste a configuração.

Teste a configuração do perfil Front Door chamando uma API hospedada pelo API Management. Primeiro, chame a API diretamente por meio do gateway de Gerenciamento de API para garantir que a API esteja acessível. Em seguida, chame a API pela Front Door. Para testar, você pode usar um cliente de linha de comando, como curl para as chamadas, ou uma ferramenta, como Postman.

Chame uma API diretamente por meio do Gerenciamento de API

No exemplo a seguir, uma operação na API de conferência de demonstração hospedada pela instância de gerenciamento de API é chamada diretamente usando o Postman. Neste exemplo, o nome de host da instância está no domínio padrão azure-api.net e uma chave de assinatura válida é passada usando um cabeçalho de solicitação. Uma resposta bem-sucedida mostra 200 OK e retorna os dados esperados:

Captura de tela mostrando o ponto de extremidade de Gerenciamento de API chamando diretamente usando o Postman.

Chame uma API diretamente pela Front Door

No exemplo a seguir, a mesma operação na API de conferência de demonstração é chamada usando o ponto de extremidade Front Door configurado para sua instância. O nome de host do azurefd.net ponto de extremidade no domínio é mostrado no portal na página Visão geral do seu perfil Front Door. Uma resposta bem-sucedida mostra 200 OK e retorna os mesmos dados do exemplo anterior:

Captura de tela mostrando o ponto de extremidade da porta da frente chamando usando o Postman.

Restringir o tráfego de entrada à instância de Gerenciamento de API

Use as políticas de Gerenciamento de API para garantir que sua instância de Gerenciamento de API aceite tráfego somente da Porta da Frente do Azure. Você pode realizar essa restrição usando um ou ambos os seguintes métodos:

  1. Restrinja os endereços IP de entrada às suas instâncias de Gerenciamento de API
  2. Restringir o tráfego com base no valor do X-Azure-FDID cabeçalho

Restringir endereços IP de entrada

Você pode configurar uma política de filtro de IP de entrada no Gerenciamento de API para permitir apenas o tráfego relacionado à Front Door, que inclui:

  • Espaço de endereço IP de back-end do Front Door - Permite endereços IP correspondentes à seção AzureFrontDoor.Backend em Intervalos de IP e Tags de Serviço do Azure.

    Nota

    Se sua instância de Gerenciamento de API for implantada em uma rede virtual externa, realize a mesma restrição adicionando uma regra de grupo de segurança de rede de entrada na sub-rede usada para sua instância de Gerenciamento de API. Configure a regra para permitir o tráfego HTTPS da marca de serviço de origem AzureFrontDoor.Backend na porta 443.

  • Serviços de infraestrutura do Azure - Permitir endereços IP 168.63.129.16 e 169.254.169.254.

Verifique o cabeçalho da porta da frente

Os pedidos encaminhados através da Front Door incluem cabeçalhos específicos para a configuração da sua Front Door. Você pode configurar a política de cabeçalho de verificação para filtrar solicitações de entrada com base no valor exclusivo do cabeçalho de solicitação HTTP enviado ao Gerenciamento de X-Azure-FDID API. Esse valor de cabeçalho é o ID da porta da frente, que é mostrado no portal na página Visão geral do perfil da porta da frente.

No exemplo de política a seguir, o ID da porta frontal é especificado usando um valor nomeado chamado FrontDoorId.

<check-header name="X-Azure-FDID" failed-check-httpcode="403" failed-check-error-message="Invalid request." ignore-case="false">
        <value>{{FrontDoorId}}</value>
</check-header>

As solicitações que não são acompanhadas por um cabeçalho válido X-Azure-FDID retornam uma 403 Forbidden resposta.

(Opcional) Configurar o Front Door para o portal do desenvolvedor

Opcionalmente, configure o portal do desenvolvedor da instância de Gerenciamento de API como um ponto de extremidade no perfil Front Door. Embora o portal do desenvolvedor gerenciado já esteja coberto por uma CDN gerenciada pelo Azure, convém aproveitar os recursos do Front Door, como um WAF.

A seguir estão as etapas de alto nível para adicionar um ponto de extremidade para o portal do desenvolvedor ao seu perfil:

  • Para adicionar um ponto de extremidade e configurar uma rota, consulte Configurar e ponto de extremidade com o Front Door Manager.

  • Ao adicionar a rota, adicione um grupo de origem e configurações de origem para representar o portal do desenvolvedor:

    • Tipo de origem - Selecione Personalizado
    • Nome do host - Digite o nome do host do portal do desenvolvedor, por exemplo, myapim.developer.azure-api.net

Para obter mais informações e detalhes sobre configurações, consulte Como configurar uma origem para o Azure Front Door.

Nota

Se você configurou uma ID do Microsoft Entra ou um provedor de identidade do Azure AD B2C para o portal do desenvolvedor, precisará atualizar o registro do aplicativo correspondente com uma URL de redirecionamento adicional para o Front Door. No registro do aplicativo, adicione a URL para o ponto de extremidade do portal do desenvolvedor configurado em seu perfil Front Door.

Próximos passos