Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Minden API-kezelési szintre vonatkozik
Azure Front Door egy modern alkalmazáskézbesítési hálózati platform, amely biztonságos, méretezhető tartalomkézbesítési hálózatot (CDN), dinamikus helygyorsítást és globális HTTP-terheléselosztást biztosít a globális webalkalmazások számára. Ha az API Management előtt használják, a Front Door többek között TLS-kiszervezést, végpontok közötti TLS-t, terheléselosztást, GET-kérések válasz-gyorsítótárazását és webalkalmazási tűzfalat is képes biztosítani. A támogatott funkciók teljes listáját megtalálja a Mi az Azure Front Door? dokumentumban.
Megjegyzés
Webes számítási feladatok esetén javasoljuk, hogy az Azure DDoS Protection és egy webalkalmazási tűzfal használatával védje meg a felmerülő DDoS-támadásokat. Egy másik lehetőség az Azure Front Door használata webalkalmazási tűzfallal együtt. Az Azure Front Door platformszintű védelmet nyújt a hálózati szintű DDoS-támadások ellen. További információ: Az Azure-szolgáltatások biztonsági alapkonfigurációja.
Ez a cikk a következő lépéseket ismerteti:
- Állítson be egy Azure Front Door Standard/Premium profilt egy nyilvánosan elérhető Azure API Management-példány előtt: vagy nem hálózatos, vagy egy fejlesztői vagy prémium szintű példányt, amelyet egy virtuális hálózatba injektáltak externális módban.
- Korlátozza az API Managementet, hogy csak Azure Front Door API-forgalmat fogadjon el.
Tipp
Az Azure Front Door Premium-ot úgy is konfigurálhatja, hogy egy privát végpont használatával irányítsa a forgalmat az API Management rendszerhez.
Előfeltételek
- Egy API-kezelő példány.
- Ha hálózati injektált példányt használ, azt külső virtuális hálózaton kell üzembe helyezni. (A virtuális hálózat injektálása a fejlesztői és prémium szolgáltatási szinteken támogatott.)
- Importáljon egy vagy több API-t az API Management-példányba, hogy megerősítse az útválasztást a Front Dooron keresztül.
Azure Front Door konfigurálása
Profil létrehozása
A Azure Front Door Standard/Premium-profil létrehozásának lépéseit a Fellépési útmutató: Azure Front Door-profil létrehozása – Azure portál. Ebben a cikkben választhat egy Front Door Standard profilt. A Front Door Standard és a Front Door Premium összehasonlítása a Réteg összehasonlítása című témakörben olvasható.
Konfigurálja az alábbi Front Door-beállításokat, amelyek az API Management-példány átjáróvégpontjának Front Door-forrásként való használatára vonatkoznak. Az egyéb beállítások magyarázatát a Front Door rövid útmutatója ismerteti.
| Beállítás | Érték |
|---|---|
| Forrás típusa | Válassza az API Management lehetőséget |
| Forrás hosztnév | Válassza ki az API Management-példány gazdagépnevét, például myapim.azure-api.net |
| Caching | Válassza a Front Door gyorsítótárazásának engedélyezését, hogy statikus tartalmat gyorsítótárazzon |
| Lekérdezési sztring gyorsítótárazási viselkedése | Válassza a Lekérdezési sztring használata lehetőséget |
Alapértelmezett forráscsoport frissítése
A profil létrehozása után frissítse az alapértelmezett forráscsoportot úgy, hogy magában foglaljon egy API Management-állapotvizsgálatot.
A portálon nyissa meg a Front Door-profilját.
A bal oldali menü Beállítások csoportjában válassza az Origin groups>default-origin-group lehetőséget.
A Forráscsoport frissítése ablakban konfigurálja a következő állapotadat-mintavételi beállításokat, és válassza a Frissítés lehetőséget:
Beállítás Érték Status Válassza az Állapotadat-mintavételek engedélyezése lehetőséget Path Írja be a következő szöveget: /status-0123456789abcdefProtokoll Válaszd ki az HTTPS-t Módszer Válassza a GET lehetőséget Intervallum (másodpercben) Adja meg 30-at 
Alapértelmezett útvonal frissítése
Javasoljuk, hogy frissítse az API Management forráscsoporthoz társított alapértelmezett útvonalat, hogy a HTTPS protokollt használja továbbítási protokollként.
- A portálon nyissa meg a Front Door-profilját.
- A bal oldali menü Beállítások csoportjában válassza az Origin groups (Forráscsoportok) elemet.
- Bontsa ki az alapértelmezett forráscsoportot.
- Az alapértelmezett útvonal helyi menüjében (...) válassza az Útvonal konfigurálása lehetőséget.
- Az Elfogadott protokollok beállítása HTTP-re és HTTPS-ra.
- Engedélyezze az összes forgalom átirányítását a HTTPS használatához.
- A Továbbítási protokolltcsak HTTPS-ra állítsa, majd válassza a Frissítés lehetőséget.
A konfiguráció tesztelése
Tesztelje a Front Door-profil konfigurációját az API Management által üzemeltetett API meghívásával, például a Swagger Petstore API-val. Először hívja meg az API-t közvetlenül az API Management-átjárón keresztül, hogy az API elérhető legyen. Ezután hívja meg az API-t a Front Dooron keresztül.
API meghívása közvetlenül az API Managementen keresztül
Ha közvetlenül az API Management-átjárón keresztül szeretne meghívni egy API-t, használhat parancssori ügyfelet, például curl egy másik HTTP-ügyfelet. A sikeres válasz egy HTTP-választ és a várt adatokat adja vissza 200 OK :
API meghívása közvetlenül a Front Dooron keresztül
Hívja meg ugyanazt az API-műveletet a példányhoz beállított Front Door-végpont használatával. A végpont tartománybeli azurefd.net állomásneve megjelenik a Portálon a Front Door-profil Áttekintés lapján. A sikeres válasz ugyanazokat az adatokat jeleníti meg 200 OK és adja vissza, mint az előző példában.
Az API Management-példány bejövő forgalmának korlátozása
API Management-szabályzatok használatával győződjön meg arról, hogy az API Management-példány csak a Azure Front Door érkező forgalmat fogadja el. Ezt a korlátozást az alábbi módszerek egyikével vagy mindkettővel hajthatja végre:
- Bejövő IP-címek korlátozása az API Management-példányokra
- Forgalom korlátozása a
X-Azure-FDIDfejléc értéke alapján
Bejövő IP-címek korlátozása
Az API Managementben konfigurálhat egy bejövő IP-szűrőházirendet , hogy csak a Front Doorhoz kapcsolódó forgalmat engedélyezze, amely a következőket foglalja magában:
Front Door háttérhálózati IP-címtartománya – Az AzureFrontDoor.Backend szakaszhoz tartozó IP-címek engedélyezése az Azure IP-tartományok és szolgáltatáscímkék dokumentumban szereplő útmutatás alapján.
Megjegyzés
Ha az API Management-példány egy külső virtuális hálózaton van üzembe helyezve, ugyanezt a korlátozást úgy érheti el, hogy hozzáad egy bejövő hálózati biztonsági csoportszabályt az API Management-példányhoz használt alhálózathoz. Konfigurálja úgy a szabályt, hogy engedélyezze a HTTPS-forgalmat az AzureFrontDoor.Backend forrásszolgáltatás-címkéről a 443-as porton.
Azure infrastruktúra-szolgáltatások – Engedélyezi a 168.63.129.16 és 169.254.169.254 IP-címeket.
A Front Door fejlécének ellenőrzése
A Front Dooron keresztül irányított kérések a Front Door konfigurációjához tartozó fejléceket is tartalmazzák. Konfigurálhatja a check-header házirendet a bejövő kérések szűrésére az API Managementnek küldött X-Azure-FDID HTTP-kérelemfejléc egyedi értéke alapján. Ez a fejlécérték a Front Door-azonosító, amely a Portálon, a Front Door profil Áttekintés lapján jelenik meg.
Az alábbi házirend-példában a Front Door ID egy nevesítettFrontDoorIdérték használatával van megadva.
<check-header name="X-Azure-FDID" failed-check-httpcode="403" failed-check-error-message="Invalid request." ignore-case="false">
<value>{{FrontDoorId}}</value>
</check-header>
Azok a kérések, amelyekhez nem tartozik érvényes X-Azure-FDID fejléc, 403 Forbidden választ adnak vissza.
(Nem kötelező) A Front Door konfigurálása fejlesztői portálhoz
Igény szerint konfigurálja az API Management-példány fejlesztői portálját végpontként a Front Door-profilban. Bár a felügyelt fejlesztői portált már egy Azure által felügyelt CDN kezeli, érdemes lehet kihasználni a Front Door funkcióit, például a WAF-et.
Az alábbiakban magas szintű lépéseket követve adhat hozzá egy végpontot a fejlesztői portálhoz a profiljához:
Végpont hozzáadásához és útvonal konfigurálásához lásd: Konfigurálás és végpont a Front Door Managerrel.
Az útvonal hozzáadásakor adjon hozzá egy forráscsoport- és forrásbeállításokat a fejlesztői portál megjelenítéséhez:
- Forrás típusa – Egyéni kiválasztása
- Hostnév – Adja meg a fejlesztői portál hostnevét, például myapim.developer.azure-api.net
A beállításokkal kapcsolatos további információkért és részletekért lásd:
Megjegyzés
Ha Microsoft Entra ID vagy Microsoft Entra External ID identitásszolgáltatót konfigurált a fejlesztői portálhoz, frissítenie kell a megfelelő alkalmazásregisztrációt egy további átirányítási URL-címmel a Front Doorra. Az alkalmazásregisztrációban adja hozzá a Front Door-profilban konfigurált fejlesztői portálvégpont URL-címét.
Kapcsolódó tartalom
A Front Door API Managementtel való üzembe helyezésének automatizálásához tekintse meg az API Management-forrással rendelkező Front Door Standard/Premium sablont.
Megtudhatja, hogyan helyezhet üzembe egy Web application firewall-t (WAF) az Azure Front Door-on, hogy megvédje az API-kezelési példányt a rosszindulatú támadásoktól.