A Front Door Standard/Premium konfigurálása az Azure API Management előtt

  • Cikk

A KÖVETKEZŐRE VONATKOZIK: Minden API Management-szint

Az Azure Front Door egy modern alkalmazáskézbesítési hálózati platform, amely biztonságos, méretezhető tartalomkézbesítési hálózatot (CDN), dinamikus helygyorsítást és globális HTTP-terheléselosztást biztosít a globális webalkalmazások számára. Ha az API Management előtt használják, a Front Door többek között TLS-kiszervezést, végpontok közötti TLS-t, terheléselosztást, GET-kérések válasz-gyorsítótárazását és webalkalmazási tűzfalat is képes biztosítani. A támogatott funkciók teljes listáját a Mi az Azure Front Door?

Feljegyzés

Webes számítási feladatok esetén javasoljuk az Azure DDoS-védelem és a webalkalmazási tűzfal használatát a felmerülő DDoS-támadások elleni védelem érdekében. Egy másik lehetőség az Azure Front Door használata webalkalmazási tűzfallal együtt. Az Azure Front Door platformszintű védelmet nyújt a hálózati szintű DDoS-támadások ellen. További információ: Az Azure-szolgáltatások biztonsági alapkonfigurációja.

Ez a cikk a következő lépéseket ismerteti:

  • Állítson be egy Azure Front Door Standard/Premium profilt egy nyilvánosan elérhető Azure API Management-példány előtt: vagy nem hálózatba, vagy külső módban egy virtuális hálózatba injektálva.
  • Korlátozza az API Managementet, hogy csak az Azure Front Doorból fogadjon API-forgalmat.

Előfeltételek

  • EGY API Management-példány.
    • Ha hálózati injektált példányt használ, azt külső virtuális hálózaton kell üzembe helyezni. (A virtuális hálózat injektálása a fejlesztői és prémium szolgáltatási szinteken támogatott.)
  • Importáljon egy vagy több API-t az API Management-példányba, hogy megerősítse az útválasztást a Front Dooron keresztül.

Az Azure Front Door konfigurálása

Profil létrehozása

Az Azure Front Door Standard/Premium profil létrehozásának lépéseit a következő rövid útmutatóban találja : Azure Front Door-profil létrehozása – Azure Portal. Ebben a cikkben választhat egy Front Door Standard profilt. A Front Door Standard és a Front Door Premium összehasonlítása a Réteg összehasonlítása című témakörben olvasható.

Konfigurálja az alábbi Front Door-beállításokat, amelyek az API Management-példány átjáróvégpontjának Front Door-forrásként való használatára vonatkoznak. Az egyéb beállítások magyarázatát a Front Door rövid útmutatója ismerteti.

Beállítás Érték
Forrás típusa Az API Management kiválasztása
Forrás gazdaneve Válassza ki az API Management-példány gazdagépnevét, például myapim.azure-api.net
Gyorsítótár Válassza a Front Door gyorsítótárazásának engedélyezése a statikus tartalom gyorsítótárazásához
Lekérdezési sztring gyorsítótárazási viselkedése Válassza a Lekérdezési sztring használata lehetőséget

Képernyőkép Front Door-profil létrehozásáról a portálon.

Alapértelmezett forráscsoport frissítése

A profil létrehozása után frissítse az alapértelmezett forráscsoportot, hogy belefoglaljon egy API Management-állapotmintát.

  1. A portálon nyissa meg a Front Door-profilját.

  2. A bal oldali menü Gépház alatt válassza az Origin groups>default-origin-group lehetőséget.

  3. A Forráscsoport frissítése ablakban konfigurálja a következő állapotadat-mintavételi beállításokat, és válassza a Frissítés lehetőséget:

    Beállítás Érték
    Állapot Válassza az Állapotadat-mintavételek engedélyezése lehetőséget
    Elérési út Írja be a következő szöveget: /status-0123456789abcdef
    Protokoll HTTPS kiválasztása
    Módszer Válassza a GET lehetőséget
    Intervallum (másodpercben) Adja meg a 30-at

    Képernyőkép az alapértelmezett forráscsoport frissítéséről a portálon.

Alapértelmezett útvonal frissítése

Javasoljuk, hogy frissítse az API Management forráscsoporthoz társított alapértelmezett útvonalat, hogy a HTTPS protokollt használja továbbítási protokollként.

  1. A portálon nyissa meg a Front Door-profilját.
  2. A bal oldali menüben Gépház válassza ki az Origin-csoportokat.
  3. Bontsa ki az alapértelmezett forráscsoportot.
  4. Az alapértelmezett útvonal helyi menüjében (...) válassza az Útvonal konfigurálása lehetőséget.
  5. Az Elfogadott protokollok beállítása HTTP-re és HTTPS-ra.
  6. Engedélyezze az összes forgalom átirányítását a HTTPS használatához.
  7. A Továbbítási protokollt csak HTTPS-ra állítsa, majd válassza a Frissítés lehetőséget.

A konfiguráció tesztelése

Tesztelje a Front Door-profil konfigurációját az API Management által üzemeltetett API meghívásával. Először hívja meg az API-t közvetlenül az API Management-átjárón keresztül, hogy az API elérhető legyen. Ezután hívja meg az API-t a Front Dooron keresztül. A teszteléshez használhat parancssori ügyfelet, például curl a hívásokat, vagy egy olyan eszközt, mint a Postman.

API meghívása közvetlenül az API Managementen keresztül

Az alábbi példában az API Management-példány által üzemeltetett Demo Conference API egy műveletét közvetlenül a Postman használatával hívjuk meg. Ebben a példában a példány állomásneve az alapértelmezett azure-api.net tartományban van, és a rendszer egy érvényes előfizetési kulcsot ad át egy kérelemfejléc használatával. A sikeres válasz megjeleníti 200 OK és visszaadja a várt adatokat:

Képernyőkép az API Management-végpont közvetlenül a Postman használatával történő hívását bemutató képernyőképről.

API meghívása közvetlenül a Front Dooron keresztül

Az alábbi példában ugyanazt a műveletet hívjuk meg a Demo Conference API-ban a példányhoz konfigurált Front Door-végpont használatával. A végpont tartománybeli azurefd.net állomásneve megjelenik a Portálon a Front Door-profil Áttekintés lapján. A sikeres válasz ugyanazokat az adatokat jeleníti meg 200 OK és adja vissza, mint az előző példában:

Képernyőkép a Front Door-végpont Postman használatával történő hívásával.

Az API Management-példány bejövő forgalmának korlátozása

API Management-szabályzatokkal biztosíthatja, hogy az API Management-példány csak az Azure Front Doorból fogadja a forgalmat. Ezt a korlátozást az alábbi módszerek egyikével vagy mindkettővel hajthatja végre:

  1. Bejövő IP-címek korlátozása az API Management-példányokra
  2. Forgalom korlátozása a fejléc értéke X-Azure-FDID alapján

Bejövő IP-címek korlátozása

Az API Managementben konfigurálhat egy bejövő IP-szűrőházirendet , hogy csak a Front Doorhoz kapcsolódó forgalmat engedélyezze, amely a következőket foglalja magában:

  • A Front Door háttérbeli IP-címtere – Az Azure IP-tartományok és szolgáltatáscímkék AzureFrontDoor.Backend szakaszának megfelelő IP-címek engedélyezése.

    Feljegyzés

    Ha az API Management-példány egy külső virtuális hálózaton van üzembe helyezve, ugyanezt a korlátozást úgy érheti el, hogy hozzáad egy bejövő hálózati biztonsági csoportszabályt az API Management-példányhoz használt alhálózathoz. Konfigurálja úgy a szabályt, hogy engedélyezze a HTTPS-forgalmat az AzureFrontDoor.Backend forrásszolgáltatás-címkéről a 443-as porton.

  • Azure-infrastruktúra-szolgáltatások – A 168.63.129.16 és a 169.254.169.254 IP-címek engedélyezése.

A Front Door fejlécének ellenőrzése

A Front Dooron keresztül irányított kérések a Front Door konfigurációjához tartozó fejléceket is tartalmazzák. Az ellenőrzőfej-szabályzat konfigurálható a bejövő kérések szűrésére az X-Azure-FDID API Managementnek küldött HTTP-kérés fejlécének egyedi értéke alapján. Ez a fejlécérték a Front Door-azonosító, amely a Portálon, a Front Door profil Áttekintés lapján jelenik meg.

Az alábbi házirend-példában a Front Door-azonosító egy nevesített FrontDoorIdérték használatával van megadva.

<check-header name="X-Azure-FDID" failed-check-httpcode="403" failed-check-error-message="Invalid request." ignore-case="false">
        <value>{{FrontDoorId}}</value>
</check-header>

Azok a kérések, amelyekhez nem tartozik érvényes X-Azure-FDID fejléc, választ ad 403 Forbidden vissza.

(Nem kötelező) A Front Door konfigurálása fejlesztői portálhoz

Igény szerint konfigurálja az API Management-példány fejlesztői portálját végpontként a Front Door-profilban. Bár a felügyelt fejlesztői portált már egy Azure által felügyelt CDN kezeli, érdemes lehet kihasználni a Front Door funkcióit, például a WAF-et.

Az alábbiakban magas szintű lépéseket követve adhat hozzá egy végpontot a fejlesztői portálhoz a profiljához:

  • Végpont hozzáadásához és útvonal konfigurálásához lásd : Konfigurálás és végpont a Front Door Managerrel.

  • Az útvonal hozzáadásakor adjon hozzá egy forráscsoport- és forrásbeállításokat a fejlesztői portál megjelenítéséhez:

    • Forrás típusa – Egyéni kiválasztása
    • Gazdagép neve – Adja meg a fejlesztői portál állomásnevét, például myapim.developer.azure-api.net

A beállításokkal kapcsolatos további információkért és részletekért tekintse meg az Azure Front Door forrásának konfigurálását ismertető cikket.

Feljegyzés

Ha Microsoft Entra-azonosítót vagy Azure AD B2C-identitásszolgáltatót konfigurált a fejlesztői portálhoz, frissítenie kell a megfelelő alkalmazásregisztrációt egy további átirányítási URL-címmel a Front Doorra. Az alkalmazásregisztrációban adja hozzá a Front Door-profilban konfigurált fejlesztői portálvégpont URL-címét.

Következő lépések

  • A Front Door api Managementtel való üzembe helyezésének automatizálásához tekintse meg a Front Door Standard/Premium sablont API Management-forrással

  • Megtudhatja, hogyan helyezhet üzembe webalkalmazási tűzfalat (WAF) az Azure Front Dooron, hogy megvédje az API Management-példányt a rosszindulatú támadásoktól.