مشاركة عبر

تكوين Front Door Standard/Premium أمام Azure API Management

  • مقالة

ينطبق على: جميع مستويات إدارة واجهة برمجة التطبيقات

Azure Front Door هو نظام أساسي حديث لشبكة تسليم التطبيقات يوفر شبكة تسليم محتوى آمنة وقابلة للتطوير (CDN) وتسريع الموقع الديناميكي وموازنة تحميل HTTP (العناوين) العمومية لتطبيقات الويب العالمية الخاصة بك. عند استخدامه أمام APIM، يمكن أن يوفر Front Door تفريغ TLS، وTLS من طرف إلى طرف، وموازنة التحميل، والتخزين المؤقت للاستجابة لطلبات GET، وجدار حماية تطبيق الويب، من بين قدرات أخرى. للحصول على قائمة كاملة بالميزات المدعومة، راجع ما هو Azure Front Door؟

إشعار

بالنسبة لأحمال عمل الويب، نوصي بشدة باستخدام حماية Azure DDoS وجدار حماية تطبيق الويب للحماية من هجمات DDoS الناشئة. خيار آخر هو استخدام Azure Front Door جنبا إلى جنب مع جدار حماية تطبيق الويب. يوفر Azure Front Door حماية على مستوى النظام الأساسي ضد هجمات DDoS على مستوى الشبكة. لمزيد من المعلومات، راجع أساس الأمان لخدمات Azure.

يوضح هذا المقال طريقة القيام بما يلي:

  • إعداد ملف تعريف Azure Front Door Standard/Premium أمام مثيل Azure API Management يمكن الوصول إليه بشكل عام: إما غير شبكة اتصال أو مثيل مطور أو Premium تم إدخاله في شبكة ظاهرية في الوضع الخارجي.
  • تقييد إدارة واجهة برمجة التطبيقات لقبول حركة مرور واجهة برمجة التطبيقات فقط من Azure Front Door.

تلميح

يمكنك أيضا تكوين Azure Front Door Premium لتوجيه نسبة استخدام الشبكة إلى بوابة APIM باستخدام نقطة نهاية خاصة.

المتطلبات الأساسية

  • مثيل API Management.
    • إذا اخترت استخدام مثيل تم حقنه بالشبكة، فيجب نشره في شبكة ظاهرية خارجية. (يتم دعم إدخال الشبكة الظاهرية في مستويات الخدمة المطور والمتميزة.)
  • استيراد واحد أو أكثر من واجهات برمجة التطبيقات إلى مثيل APIM لتأكيد التوجيه من خلال Front Door.

تكوين Azure Front Door

إنشاء ملف تعريف

للحصول على خطوات لإنشاء ملف تعريف Azure Front Door Standard/Premium، راجع التشغيل السريع: إنشاء ملف تعريف Azure Front Door - مدخل Azure. بالنسبة لهذه المقالة، يمكنك اختيار ملف تعريف Front Door Standard. للمقارنة بين Front Door Standard و Front Door Premium، راجع مقارنة المستويات.

قم بتكوين إعدادات Front Door التالية الخاصة باستخدام نقطة نهاية البوابة لمثيل APIM الخاص بك كأصل Front Door. للحصول على شرح للإعدادات الأخرى، راجع التشغيل السريع ل Front Door.

الإعداد القيمة‬
نوع الأصل حدد API Management
اسم مضيف الأصل حدد اسم مضيف مثيل APIM، على سبيل المثال، myapim.azure-api.net
التخزين المؤقت حدد تمكين التخزين المؤقت ل Front Door لتخزين المحتوى الثابت مؤقتا
سلوك التخزين المؤقت لسلسلة الاستعلام حدد استخدام سلسلة الاستعلام

لقطة شاشة لإنشاء ملف تعريف Front Door في المدخل.

تحديث مجموعة الأصل الافتراضية

بعد إنشاء ملف التعريف، قم بتحديث مجموعة الأصل الافتراضية لتضمين فحص سلامة APIM.

  1. في المدخل، انتقل إلى ملف تعريف Front Door.

  2. في القائمة اليسرى، ضمن Settings حدد Origin groups>default-origin-group.

  3. في نافذة مجموعة Update origin، قم بتكوين إعدادات فحص الصحة التالية وحدد Update:

    الإعداد القيمة‬
    الحالة حدد Enable health probes
    مسار أدخل /status-0123456789abcdef
    البروتوكول حدد HTTPS
    الطريقة حدد GET
    الفاصل الزمني (بالثوان) أدخل 30

    لقطة شاشة لتحديث مجموعة الأصل الافتراضية في المدخل.

تحديث المسار الافتراضي

نوصي بتحديث المسار الافتراضي المقترن بمجموعة أصل APIM لاستخدام HTTPS كبروتوكول إعادة التوجيه.

  1. في المدخل، انتقل إلى ملف تعريف Front Door.
  2. في القائمة اليسرى، ضمن Settings حدد Origin groups.
  3. قم بتوسيع default-origin-group.
  4. في قائمة السياق (...) للمسار الافتراضي، حدد تكوين المسار.
  5. تعيين البروتوكولات المقبولة إلى HTTP وHTTPS.
  6. تمكين إعادة توجيه كافة نسبة استخدام الشبكة لاستخدام HTTPS.
  7. قم بتعيين بروتوكول إعادة التوجيه إلى HTTPS فقط ثم حدد تحديث.

اختبار التكوين

اختبر تكوين ملف تعريف Front Door عن طريق استدعاء واجهة برمجة التطبيقات التي تستضيفها APIM، على سبيل المثال، واجهة برمجة تطبيقات Swagger Petstore. أولا، استدع واجهة برمجة التطبيقات مباشرة من خلال بوابة إدارة واجهة برمجة التطبيقات للتأكد من إمكانية الوصول إلى واجهة برمجة التطبيقات. ثم استدع واجهة برمجة التطبيقات من خلال Front Door.

استدعاء واجهة برمجة التطبيقات مباشرة من خلال إدارة واجهة برمجة التطبيقات

لاستدعاء API مباشرة من خلال بوابة APIM، يمكنك استخدام عميل سطر أوامر مثل curl أو عميل HTTP آخر. ترجع الاستجابة الناجحة استجابة 200 OK HTTP والبيانات المتوقعة:

لقطة شاشة تعرض استدعاء نقطة نهاية APIM مباشرة باستخدام عميل HTTP.

استدعاء واجهة برمجة التطبيقات مباشرة من خلال Front Door

استدعاء نفس عملية واجهة برمجة التطبيقات باستخدام نقطة نهاية Front Door المكونة للمثيل الخاص بك. يظهر اسم مضيف نقطة النهاية في azurefd.net المجال في المدخل في صفحة نظرة عامة على ملف تعريف Front Door. تظهر 200 OK الاستجابة الناجحة نفس البيانات وتعيدها كما في المثال السابق.

تقييد نسبة استخدام الشبكة الواردة إلى مثيل APIM

استخدم نهج إدارة واجهة برمجة التطبيقات للتأكد من أن مثيل إدارة واجهة برمجة التطبيقات يقبل نسبة استخدام الشبكة فقط من Azure Front Door. يمكنك إنجاز هذا التقييد باستخدام إحدى الطريقتين التاليتين أو كليهما:

  1. تقييد عناوين IP الواردة إلى مثيلات APIM
  2. تقييد نسبة استخدام الشبكة استنادا إلى قيمة X-Azure-FDID العنوان

تقييد عناوين IP الواردة

يمكنك تكوين نهج عامل تصفية ip وارد في APIM للسماح بنسبة استخدام الشبكة المتعلقة بالواجهة الأمامية فقط، والتي تتضمن:

  • مساحة عنوان IP الخلفية ل Front Door - السماح بعناوين IP المطابقة لقسم AzureFrontDoor.Backend في نطاقات IP Azure وعلامات الخدمة.

    إشعار

    إذا تم نشر مثيل APIM الخاص بك في شبكة ظاهرية خارجية، فتحقق من نفس التقييد عن طريق إضافة قاعدة مجموعة أمان شبكة واردة في الشبكة الفرعية المستخدمة لمثيل APIM. تكوين القاعدة للسماح بحركة مرور HTTPS من علامة الخدمة المصدر AzureFrontDoor.Backend على المنفذ 443.

  • خدمات البنية الأساسية ل Azure - السماح بعناوين IP 168.63.129.16 و169.254.169.254.

تحقق من رأس Front Door

تتضمن الطلبات التي يتم توجيهها من خلال Front Door عناوين خاصة بتكوين Front Door الخاص بك. يمكنك تكوين نهج رأس الفحص لتصفية الطلبات الواردة استنادا إلى القيمة الفريدة لعنوان X-Azure-FDID طلب HTTP الذي يتم إرساله إلى APIM. قيمة العنوان هذه هي معرف Front Door، الذي يظهر في المدخل في صفحة نظرة عامة لملف تعريف Front Door.

في مثال النهج التالي، يتم تحديد معرف Front Door باستخدام قيمة مسماة تسمى FrontDoorId.

<check-header name="X-Azure-FDID" failed-check-httpcode="403" failed-check-error-message="Invalid request." ignore-case="false">
        <value>{{FrontDoorId}}</value>
</check-header>

الطلبات التي لا يصاحبها عنوان صالح X-Azure-FDID ترجع استجابة 403 Forbidden .

(اختياري) تكوين Front Door لمدخل المطور

اختياريا، قم بتكوين مدخل مطور مثيل APIM كنقطة نهاية في ملف تعريف Front Door. بينما يكون مدخل المطور المدار مقدما بالفعل بواسطة شبكة تسليم المحتوى المدارة من Azure، قد تحتاج إلى الاستفادة من ميزات Front Door مثل WAF.

فيما يلي خطوات عالية المستوى لإضافة نقطة نهاية لمدخل المطور إلى ملف التعريف الخاص بك:

  • لإضافة نقطة نهاية وتكوين مسار، راجع تكوين ونقطة النهاية باستخدام مدير Front Door.

  • عند إضافة المسار، أضف مجموعة أصل وإعدادات الأصل لتمثيل مدخل المطور:

    • نوع الأصل - حدد مخصص
    • اسم المضيف - أدخل اسم مضيف مدخل المطور، على سبيل المثال، myapim.developer.azure-api.net

لمزيد من المعلومات والتفاصيل حول الإعدادات، راجع كيفية تكوين أصل ل Azure Front Door.

إشعار

إذا قمت بتكوين معرف Microsoft Entra أو موفر هوية Azure AD B2C لمدخل المطور، فستحتاج إلى تحديث تسجيل التطبيق المقابل بعنوان URL إضافي لإعادة التوجيه إلى Front Door. في تسجيل التطبيق، أضف عنوان URL لنقطة نهاية مدخل المطور المكونة في ملف تعريف Front Door.

المحتوى ذو الصلة