Front Door Standard/Premium configureren voor Azure API Management

Artikel
08/08/2024

VAN TOEPASSING OP: Alle API Management-lagen

Azure Front Door is een modern netwerkplatform voor toepassingslevering dat een veilig, schaalbaar netwerk voor contentlevering (CDN), dynamische siteversnelling en globale HTTP(s) taakverdeling biedt voor uw wereldwijde webtoepassingen. Wanneer Front Door wordt gebruikt voor API Management, kan TLS-offloading, end-to-end TLS, taakverdeling, reactiecaching van GET-aanvragen en een webtoepassingsfirewall bieden, onder andere mogelijkheden. Zie Wat is Azure Front Door voor een volledige lijst met ondersteunde functies ?

Notitie

Voor webworkloads raden we u ten zeerste aan azure DDoS-beveiliging en een webtoepassingsfirewall te gebruiken om te beschermen tegen opkomende DDoS-aanvallen. Een andere optie is om Azure Front Door samen met een webtoepassingsfirewall te gebruiken. Azure Front Door biedt beveiliging op platformniveau tegen DDoS-aanvallen op netwerkniveau. Zie de beveiligingsbasislijn voor Azure-services voor meer informatie.

In dit artikel wordt uitgelegd hoe u het volgende kunt doen:

Stel een Azure Front Door Standard-/Premium-profiel in voor een openbaar toegankelijk Azure API Management-exemplaar: niet-netwerk of geïnjecteerd in een virtueel netwerk in de externe modus.
Beperk API Management om alleen API-verkeer van Azure Front Door te accepteren.

Vereisten

Een API Management-exemplaar.
- Als u ervoor kiest een door het netwerk geïnjecteerde instantie te gebruiken, moet deze worden geïmplementeerd in een extern VNet. (Virtuele netwerkinjectie wordt ondersteund in de servicelagen Developer en Premium.)
Importeer een of meer API's in uw API Management-exemplaar om routering via Front Door te bevestigen.

Azure Front Door configureren

Profiel maken

Zie de quickstart: Een Azure Front Door-profiel maken - Azure Portal voor stappen voor het maken van een Azure Front Door Standard-/Premium-profiel. Voor dit artikel kunt u een Front Door Standard-profiel kiezen. Zie Laagvergelijking voor een vergelijking van Front Door Standard en Front Door Premium.

Configureer de volgende Front Door-instellingen die specifiek zijn voor het gebruik van het gateway-eindpunt van uw API Management-exemplaar als een Front Door-oorsprong. Zie de quickstart voor Front Door voor een uitleg van andere instellingen.

Instelling	Weergegeven als
Oorsprongtype	API Management selecteren
Hostnaam van oorsprong	Selecteer de hostnaam van uw API Management-exemplaar, bijvoorbeeld myapim.azure-api.net
Caching	Cache inschakelen voor Front Door selecteren om statische inhoud in de cache op te cachen
Cachegedrag van queryreeks	Queryreeks gebruiken selecteren

Standaard oorspronkelijke groep bijwerken

Nadat het profiel is gemaakt, werkt u de standaard oorspronkelijke groep bij om een API Management-statustest op te nemen.

Ga in de portal naar uw Front Door-profiel.
Selecteer in het linkermenu onder Instellingen de optie Origin groups>default-origin-group.

Configureer in het venster Origin-groep bijwerken de volgende statustestinstellingen en selecteer Bijwerken:

Instelling	Weergegeven als
-Status	Statustests inschakelen selecteren
Pad	`/status-0123456789abcdef` invoeren
Protocol	HTTPS selecteren
Methode	GET selecteren
Interval (in seconden)	Voer 30 in

Schermopname van het bijwerken van de standaard oorspronkelijke groep in de portal.

Standaardroute bijwerken

U wordt aangeraden de standaardroute die is gekoppeld aan de API Management-origingroep bij te werken om HTTPS te gebruiken als het doorstuurprotocol.

Ga in de portal naar uw Front Door-profiel.
Selecteer Origin-groepen in het linkermenu onder Instellingen.
Vouw de standaardgroep origin-group uit.
Selecteer Route configureren in het contextmenu (...) van de standaardroute.
Stel geaccepteerde protocollen in op HTTP en HTTPS.
Schakel Alle verkeer omleiden in om HTTPS te gebruiken.
Stel het doorstuurprotocol alleen in op HTTPS en selecteer vervolgens Bijwerken.

De configuratie testen

Test de configuratie van het Front Door-profiel door een API aan te roepen die wordt gehost door API Management, bijvoorbeeld de Demo Conference-API. Roep eerst de API rechtstreeks aan via de API Management-gateway om ervoor te zorgen dat de API bereikbaar is. Roep vervolgens de API aan via Front Door.

Een API rechtstreeks aanroepen via API Management

Als u een API rechtstreeks via de API Management-gateway wilt aanroepen, kunt u een opdrachtregelclient zoals curl of een andere HTTP-client gebruiken. Een geslaagd antwoord retourneert een 200 OK HTTP-antwoord en de verwachte gegevens:

Schermopname van het rechtstreeks aanroepen van API Management-eindpunten met behulp van een HTTP-client.

Een API rechtstreeks aanroepen via Front Door

Roep dezelfde API-bewerking aan met behulp van het Front Door-eindpunt dat is geconfigureerd voor uw exemplaar. De hostnaam van het eindpunt in het domein wordt weergegeven in de azurefd.net portal op de pagina Overzicht van uw Front Door-profiel. Een geslaagd antwoord toont 200 OK en retourneert dezelfde gegevens als in het vorige voorbeeld.

Binnenkomend verkeer beperken tot API Management-exemplaar

Gebruik API Management-beleid om ervoor te zorgen dat uw API Management-exemplaar alleen verkeer van Azure Front Door accepteert. U kunt deze beperking uitvoeren met behulp van een of beide van de volgende methoden:

Binnenkomende IP-adressen beperken tot uw API Management-exemplaren
Verkeer beperken op basis van de waarde van de X-Azure-FDID header

Binnenkomende IP-adressen beperken

U kunt een binnenkomend IP-filterbeleid configureren in API Management om alleen verkeer met betrekking tot Front Door toe te staan, waaronder:

Back-end-IP-adresruimte van Front Door: IP-adressen toestaan die overeenkomen met de sectie AzureFrontDoor.Backend in Azure IP-bereiken en servicetags.

Notitie

Als uw API Management-exemplaar is geïmplementeerd in een extern virtueel netwerk, moet u dezelfde beperking instellen door een regel voor binnenkomende netwerkbeveiligingsgroepen toe te voegen in het subnet dat wordt gebruikt voor uw API Management-exemplaar. Configureer de regel om HTTPS-verkeer van bronservicetag AzureFrontDoor.Backend toe te staan op poort 443.
Azure-infrastructuurservices : IP-adressen 168.63.129.16 en 169.254.169.254 toestaan.

Front Door-koptekst controleren

Aanvragen die via Front Door worden doorgestuurd, bevatten headers die specifiek zijn voor uw Front Door-configuratie. U kunt het beleid check-header configureren om binnenkomende aanvragen te filteren op basis van de unieke waarde van de X-Azure-FDID HTTP-aanvraagheader die naar API Management wordt verzonden. Deze headerwaarde is de Front Door-id, die wordt weergegeven in de portal op de pagina Overzicht van het Front Door-profiel.

In het volgende beleidsvoorbeeld wordt de Front Door-id opgegeven met behulp van een benoemde waarde met de naam FrontDoorId.

<check-header name="X-Azure-FDID" failed-check-httpcode="403" failed-check-error-message="Invalid request." ignore-case="false">
        <value>{{FrontDoorId}}</value>
</check-header>

Aanvragen die niet vergezeld gaan van een geldige X-Azure-FDID header retourneren een 403 Forbidden antwoord.

(Optioneel) Front Door configureren voor ontwikkelaarsportal

Configureer eventueel de ontwikkelaarsportal van het API Management-exemplaar als een eindpunt in het Front Door-profiel. Hoewel de beheerde ontwikkelaarsportal al wordt uitgevoerd door een door Azure beheerd CDN, kunt u gebruikmaken van Front Door-functies zoals een WAF.

Hieronder volgen de stappen op hoog niveau voor het toevoegen van een eindpunt voor de ontwikkelaarsportal aan uw profiel:

Als u een eindpunt wilt toevoegen en een route wilt configureren, raadpleegt u Configureren en eindpunten met Front Door-manager.
Wanneer u de route toevoegt, voegt u een origin-groep en origin-instellingen toe die de ontwikkelaarsportal vertegenwoordigen:
- Oorsprongstype - Aangepast selecteren
- Hostnaam: voer de hostnaam van de ontwikkelaarsportal in, bijvoorbeeld myapim.developer.azure-api.net

Zie Een origin configureren voor Azure Front Door voor meer informatie en details over instellingen.