Megosztás a következőn keresztül:

A Front Door Standard/Premium konfigurálása az Azure API Management előtt

  • Cikk

A KÖVETKEZŐRE VONATKOZIK: Minden API Management-szint

Az Azure Front Door egy modern alkalmazáskézbesítési hálózati platform, amely biztonságos, méretezhető tartalomkézbesítési hálózatot (CDN), dinamikus helygyorsítást és globális HTTP-terheléselosztást biztosít a globális webalkalmazások számára. Ha az API Management előtt használják, a Front Door többek között TLS-kiszervezést, végpontok közötti TLS-t, terheléselosztást, GET-kérések válasz-gyorsítótárazását és webalkalmazási tűzfalat is képes biztosítani. A támogatott funkciók teljes listáját a Mi az Azure Front Door?

Feljegyzés

Webes számítási feladatok esetén javasoljuk az Azure DDoS-védelem és a webalkalmazási tűzfal használatát a felmerülő DDoS-támadások elleni védelem érdekében. Egy másik lehetőség az Azure Front Door használata webalkalmazási tűzfallal együtt. Az Azure Front Door platformszintű védelmet nyújt a hálózati szintű DDoS-támadások ellen. További információ: Az Azure-szolgáltatások biztonsági alapkonfigurációja.

Ez a cikk a következő lépéseket ismerteti:

  • Állítson be egy Azure Front Door Standard/Premium-profilt egy nyilvánosan elérhető Azure API Management-példány előtt: vagy nem hálózatos, vagy egy külső módban virtuális hálózatba injektált fejlesztői vagy prémium szintű példányt.
  • Korlátozza az API Managementet, hogy csak az Azure Front Doorból fogadjon API-forgalmat.

Tipp.

Az Azure Front Door Premiumot úgy is konfigurálhatja, hogy a forgalmat egy API Management-átjáróhoz irányíthassa egy privát végpont használatával.

Előfeltételek

  • EGY API Management-példány.
    • Ha hálózati injektált példányt használ, azt külső virtuális hálózaton kell üzembe helyezni. (A virtuális hálózat injektálása a fejlesztői és prémium szolgáltatási szinteken támogatott.)
  • Importáljon egy vagy több API-t az API Management-példányba, hogy megerősítse az útválasztást a Front Dooron keresztül.

Az Azure Front Door konfigurálása

Profil létrehozása

Az Azure Front Door Standard/Premium profil létrehozásának lépéseit a következő rövid útmutatóban találja : Azure Front Door-profil létrehozása – Azure Portal. Ebben a cikkben választhat egy Front Door Standard profilt. A Front Door Standard és a Front Door Premium összehasonlítása a Réteg összehasonlítása című témakörben olvasható.

Konfigurálja az alábbi Front Door-beállításokat, amelyek az API Management-példány átjáróvégpontjának Front Door-forrásként való használatára vonatkoznak. Az egyéb beállítások magyarázatát a Front Door rövid útmutatója ismerteti.

Beállítás Érték
Forrás típusa Az API Management kiválasztása
Forrás gazdaneve Válassza ki az API Management-példány gazdagépnevét, például myapim.azure-api.net
Gyorsítótárazás Válassza a Front Door gyorsítótárazásának engedélyezése a statikus tartalom gyorsítótárazásához
Lekérdezési sztring gyorsítótárazási viselkedése Válassza a Lekérdezési sztring használata lehetőséget

Képernyőkép Front Door-profil létrehozásáról a portálon.

Alapértelmezett forráscsoport frissítése

A profil létrehozása után frissítse az alapértelmezett forráscsoportot, hogy belefoglaljon egy API Management-állapotmintát.

  1. A portálon nyissa meg a Front Door-profilját.

  2. A bal oldali menü Beállítások csoportjában válassza az Origin groups>default-origin-group lehetőséget.

  3. A Forráscsoport frissítése ablakban konfigurálja a következő állapotadat-mintavételi beállításokat, és válassza a Frissítés lehetőséget:

    Beállítás Érték
    Állapot Válassza az Állapotadat-mintavételek engedélyezése lehetőséget
    Elérési út Írja be a következő szöveget: /status-0123456789abcdef
    Protokoll HTTPS kiválasztása
    Módszer Válassza a GET lehetőséget
    Intervallum (másodpercben) Adja meg a 30-at

    Képernyőkép az alapértelmezett forráscsoport frissítéséről a portálon.

Alapértelmezett útvonal frissítése

Javasoljuk, hogy frissítse az API Management forráscsoporthoz társított alapértelmezett útvonalat, hogy a HTTPS protokollt használja továbbítási protokollként.

  1. A portálon nyissa meg a Front Door-profilját.
  2. A bal oldali menü Beállítások csoportjában válassza az Origin groups (Forráscsoportok) elemet.
  3. Bontsa ki az alapértelmezett forráscsoportot.
  4. Az alapértelmezett útvonal helyi menüjében (...) válassza az Útvonal konfigurálása lehetőséget.
  5. Az Elfogadott protokollok beállítása HTTP-re és HTTPS-ra.
  6. Engedélyezze az összes forgalom átirányítását a HTTPS használatához.
  7. A Továbbítási protokollt csak HTTPS-ra állítsa, majd válassza a Frissítés lehetőséget.

A konfiguráció tesztelése

Tesztelje a Front Door-profil konfigurációját az API Management által üzemeltetett API meghívásával, például a Swagger Petstore API-val. Először hívja meg az API-t közvetlenül az API Management-átjárón keresztül, hogy az API elérhető legyen. Ezután hívja meg az API-t a Front Dooron keresztül.

API meghívása közvetlenül az API Managementen keresztül

Ha közvetlenül az API Management-átjárón keresztül szeretne meghívni egy API-t, használhat parancssori ügyfelet, például curl egy másik HTTP-ügyfelet. A sikeres válasz egy HTTP-választ és a várt adatokat adja vissza 200 OK :

Képernyőkép az API Management-végpont http-ügyfél használatával történő meghívásával.

API meghívása közvetlenül a Front Dooron keresztül

Hívja meg ugyanazt az API-műveletet a példányhoz konfigurált Front Door-végpont használatával. A végpont tartománybeli azurefd.net állomásneve megjelenik a Portálon a Front Door-profil Áttekintés lapján. A sikeres válasz ugyanazokat az adatokat jeleníti meg 200 OK és adja vissza, mint az előző példában.

Az API Management-példány bejövő forgalmának korlátozása

API Management-szabályzatokkal biztosíthatja, hogy az API Management-példány csak az Azure Front Doorból fogadja a forgalmat. Ezt a korlátozást az alábbi módszerek egyikével vagy mindkettővel hajthatja végre:

  1. Bejövő IP-címek korlátozása az API Management-példányokra
  2. Forgalom korlátozása a fejléc értéke X-Azure-FDID alapján

Bejövő IP-címek korlátozása

Az API Managementben konfigurálhat egy bejövő IP-szűrőházirendet , hogy csak a Front Doorhoz kapcsolódó forgalmat engedélyezze, amely a következőket foglalja magában:

  • A Front Door háttérbeli IP-címtere – Az Azure IP-tartományok és szolgáltatáscímkék AzureFrontDoor.Backend szakaszának megfelelő IP-címek engedélyezése.

    Feljegyzés

    Ha az API Management-példány egy külső virtuális hálózaton van üzembe helyezve, ugyanezt a korlátozást úgy érheti el, hogy hozzáad egy bejövő hálózati biztonsági csoportszabályt az API Management-példányhoz használt alhálózathoz. Konfigurálja úgy a szabályt, hogy engedélyezze a HTTPS-forgalmat az AzureFrontDoor.Backend forrásszolgáltatás-címkéről a 443-as porton.

  • Azure-infrastruktúra-szolgáltatások – A 168.63.129.16 és a 169.254.169.254 IP-címek engedélyezése.

A Front Door fejlécének ellenőrzése

A Front Dooron keresztül irányított kérések a Front Door konfigurációjához tartozó fejléceket is tartalmazzák. Az ellenőrzőfej-szabályzat konfigurálható a bejövő kérések szűrésére az X-Azure-FDID API Managementnek küldött HTTP-kérés fejlécének egyedi értéke alapján. Ez a fejlécérték a Front Door-azonosító, amely a Portálon, a Front Door profil Áttekintés lapján jelenik meg.

Az alábbi házirend-példában a Front Door-azonosító egy nevesített FrontDoorIdérték használatával van megadva.

<check-header name="X-Azure-FDID" failed-check-httpcode="403" failed-check-error-message="Invalid request." ignore-case="false">
        <value>{{FrontDoorId}}</value>
</check-header>

Azok a kérések, amelyekhez nem tartozik érvényes X-Azure-FDID fejléc, választ ad 403 Forbidden vissza.

(Nem kötelező) A Front Door konfigurálása fejlesztői portálhoz

Igény szerint konfigurálja az API Management-példány fejlesztői portálját végpontként a Front Door-profilban. Bár a felügyelt fejlesztői portált már egy Azure által felügyelt CDN kezeli, érdemes lehet kihasználni a Front Door funkcióit, például a WAF-et.

Az alábbiakban magas szintű lépéseket követve adhat hozzá egy végpontot a fejlesztői portálhoz a profiljához:

  • Végpont hozzáadásához és útvonal konfigurálásához lásd : Konfigurálás és végpont a Front Door Managerrel.

  • Az útvonal hozzáadásakor adjon hozzá egy forráscsoport- és forrásbeállításokat a fejlesztői portál megjelenítéséhez:

    • Forrás típusa – Egyéni kiválasztása
    • Gazdagép neve – Adja meg a fejlesztői portál állomásnevét, például myapim.developer.azure-api.net

A beállításokkal kapcsolatos további információkért és részletekért tekintse meg az Azure Front Door forrásának konfigurálását ismertető cikket.

Feljegyzés

Ha Microsoft Entra-azonosítót vagy Azure AD B2C-identitásszolgáltatót konfigurált a fejlesztői portálhoz, frissítenie kell a megfelelő alkalmazásregisztrációt egy további átirányítási URL-címmel a Front Doorra. Az alkalmazásregisztrációban adja hozzá a Front Door-profilban konfigurált fejlesztői portálvégpont URL-címét.

Kapcsolódó tartalom

  • A Front Door api Managementtel való üzembe helyezésének automatizálásához tekintse meg a Front Door Standard/Premium sablont API Management-forrással

  • Megtudhatja, hogyan helyezhet üzembe webalkalmazási tűzfalat (WAF) az Azure Front Dooron, hogy megvédje az API Management-példányt a rosszindulatú támadásoktól.