Azure API Management önünde Front Door Standard/Premium'ı yapılandırma

UYGULANANLAR: Tüm API Management katmanları

Azure Front Door, genel web uygulamalarınız için güvenli, ölçeklenebilir içerik teslim ağı (CDN), dinamik site hızlandırma ve genel HTTP(ler) yük dengelemesi sağlayan modern bir uygulama teslim ağı platformudur. Front Door, API Management'ın önünde kullanıldığında, diğer özelliklerin yanı sıra TLS boşaltma, uçtan uca TLS, yük dengeleme, GET isteklerinin yanıt önbelleğe alınmasını ve bir web uygulaması güvenlik duvarı sağlayabilir. Desteklenen özelliklerin tam listesi için bkz. Azure Front Door nedir?

Not

Web iş yükleri için, yeni ortaya çıkan DDoS saldırılarına karşı koruma sağlamak için Azure DDoS Koruması ve bir web uygulaması güvenlik duvarı kullanmanızı kesinlikle öneririz. Bir diğer seçenek de Azure Front Door'un yanı sıra bir web uygulaması güvenlik duvarı kullanmaktır. Azure Front Door, ağ düzeyinde DDoS saldırılarına karşı platform düzeyinde koruma sunar. Daha fazla bilgi için bkz . Azure hizmetleri için güvenlik temeli.

Bu makalede şunların nasıl yapıldığını gösterir:

• Azure Front Door Standart/Premium profilini, dış modda bir sanal ağa eklenmiş veya ağ dışı bir Geliştirici ya da Premium Azure API Management örneği ile genel erişime açık bir Azure API Management örneğinin önüne ayarlayın.
• API Management'ı yalnızca Azure Front Door GELEN API trafiğini kabul etmek üzere kısıtlayın.

İpucu

Azure Front Door Premium'u ayrıca bir özel uç nokta kullanarak trafiği API Management ağ geçidine yönlendirecek şekilde yapılandırabilirsiniz.

Önkoşullar

• Api Management örneği.
  • Ağ içinde eklenmiş bir örnek kullanmayı tercih ederseniz, bunun harici bir sanal ağa dağıtılması gerekir. (Sanal ağ ekleme, Geliştirici ve Premium hizmet katmanlarında desteklenir.)
• Front Door üzerinden yönlendirmeyi onaylamak için BIR veya daha fazla API'yi API Management örneğine aktarın.

Azure Front Door'u yapılandırın

Profil oluşturma

Azure Front Door Standart/Premium profili oluşturma adımları için bkz. Quickstart: Azure Front Door profili oluşturma - Azure portal. Bu makale için bir Front Door Standard profili seçebilirsiniz. Front Door Standard ve Front Door Premium karşılaştırması için bkz . Katman karşılaştırması.

API Management örneğinizin ağ geçidi uç noktasını Front Door kaynağı olarak kullanmaya özgü aşağıdaki Front Door ayarlarını yapılandırın. Diğer ayarların açıklaması için Front Door hızlı başlangıç kılavuzuna bakın.

Ayarlar	Değer
Kaynak türü	API Management'ı seçin
Kaynak host adı	API Management örneğinizin ana bilgisayar adını (örneğin, myapim.azure-api.net) seçin
Önbelleğe Alma	Front Door'un statik içeriği önbelleğe almasını sağlamak için Önbelleğe almayı etkinleştir'i seçin
Sorgu dizesi önbelleğe alma davranışı	Sorgu Dizesini Kullan'ı seçin

Varsayılan kaynak grubunu güncelleştirme

Profil oluşturulduktan sonra, varsayılan kaynak grubunu API Management sistem durumu yoklaması içerecek şekilde güncelleştirin.

1. Portalda Front Door profilinize gidin.

2. Soldaki menüde , Ayarlar'ın altında Kaynak grupları>default-origin-group öğesini seçin.

3. Çıkış noktası grubunu güncelleştir penceresinde aşağıdaki Sistem Durumu yoklaması ayarlarını yapılandırın ve Güncelleştir'i seçin:

   Ayarlar	Değer
   Statü	Sistem durumu yoklamalarını etkinleştir'i seçin
   Path	/status-0123456789abcdef'yi girin
   Protokol	HTTPS'yi seçin
   Yöntemi	GET'i seçin
   Aralık (saniye cinsinden)	30 girin

   

Varsayılan yolu güncelleştirme

İletme protokolü olarak HTTPS kullanmak için API Management kaynak grubuyla ilişkili varsayılan yolu güncelleştirmenizi öneririz.

1. Portalda Front Door profilinize gidin.
2. Soldaki menüde Ayarlar'ın altında Kaynak grupları'nı seçin.
3. default-origin-group öğesini genişletin.
4. Varsayılan yolun bağlam menüsünde (...) Yolu yapılandır'ı seçin.
5. Kabul edilen protokolleriHTTP ve HTTPS olarak ayarlayın.
6. Https kullanmak için tüm trafiği yeniden yönlendirme'yi etkinleştirin.
7. İletme protokolleriniyalnızca HTTPS olarak ayarlayın ve güncelleştir'i seçin.

Yapılandırmayı test edin

Api Management tarafından barındırılan bir API'yi (örneğin, Swagger Petstore API'sini) çağırarak Front Door profil yapılandırmasını test edin. İlk olarak, API'nin erişilebilir olduğundan emin olmak için API'yi doğrudan API Management ağ geçidi üzerinden çağırın. Ardından Front Door aracılığıyla API'yi çağırın.

API Management aracılığıyla doğrudan API çağırma

API'yi doğrudan API Management ağ geçidi üzerinden çağırmak için veya başka bir HTTP istemcisi gibi curl bir komut satırı istemcisi kullanabilirsiniz. Başarılı bir yanıt bir 200 OK HTTP yanıtı ve beklenen verileri döndürür:

Api'yi doğrudan Front Door üzerinden çağırma

Örneğiniz için yapılandırılan Front Door uç noktasını kullanarak aynı API işlemini çağırın. Uç noktanın azurefd.net etki alanındaki sunucu adı, portalda Front Door profilinizin Özet sayfasında gösterilir. Başarılı bir yanıt, önceki örnektekiyle aynı verileri gösterir 200 OK ve döndürür.

API Management örneğine gelen trafiği kısıtlama

API Management örneğinizin yalnızca Azure Front Door gelen trafiği kabul etmesini sağlamak için API Management ilkelerini kullanın. Aşağıdaki yöntemlerden birini veya her ikisini kullanarak bu kısıtlamayı gerçekleştirebilirsiniz:

1. Gelen IP adreslerini API Management örneklerinizle kısıtlama
2. trafiği X-Azure-FDID üst bilgisinin değerine göre kısıtlama

Gelen IP adreslerini kısıtlama

API Management'ta yalnızca Front Door ile ilgili trafiğe izin verecek bir gelen ip filtresi ilkesi yapılandırabilirsiniz. Bu ilke şunları içerir:

• Front Door'un arka uç IP adresi alanı - Azure IP Aralıkları ve Hizmet Etiketleri içindeki AzureFrontDoor.Backend bölümüne karşılık gelen IP adreslerine izin verin.

  Not

  API Management örneğiniz bir dış sanal ağda dağıtılıyorsa, API Management örneğiniz için kullanılan alt ağa bir gelen ağ güvenlik grubu kuralı ekleyerek aynı kısıtlamayı gerçekleştirin. Kuralı, 443 numaralı bağlantı noktasında AzureFrontDoor.Backend kaynak hizmet etiketinden HTTPS trafiğine izin verecek şekilde yapılandırın.

• Azure altyapı hizmetleri - 168.63.129.16 ve 169.254.169.254 IP adreslerine izin verin.

Front Door başlığını kontrol et

Front Door üzerinden yönlendirilen istekler, Front Door yapılandırmanıza özgü üst bilgileri içerir. check-header ilkesini, API Management'a gönderilen X-Azure-FDID HTTP istek üst bilgisinin benzersiz değerine göre filtrelemek için yapılandırabilirsiniz. Bu üstbilgi değeri, portalda Front Door profilinin Genel Bakış sayfasında gösterilen Front Door Kimliği'dir.

Aşağıdaki ilke örneğinde, adlandırılmış bir değer kullanılarak Front Door Kimliği belirtilir.

<check-header name="X-Azure-FDID" failed-check-httpcode="403" failed-check-error-message="Invalid request." ignore-case="false">
        <value>{{FrontDoorId}}</value>
</check-header>

Geçerli bir X-Azure-FDID üst bilgisi ile birlikte olmayan istekler bir 403 Forbidden yanıtı döndürür.

(İsteğe bağlı) Geliştirici portalı için Front Door'ı yapılandırma

İsteğe bağlı olarak, API Management örneğinin geliştirici portalını Front Door profilinde uç nokta olarak yapılandırın. Zaten Azure tarafından yönetilen bir CDN ile yönlendirilen yönetilen geliştirici portalı bulunsa da, Front Door’un WAF gibi özelliklerinden yararlanmak isteyebilirsiniz.

Profilinize geliştirici portalı için bir uç nokta eklemeye yönelik üst düzey adımlar aşağıdadır:

• Bir uç noktası eklemek ve bir yol yapılandırmak için, bkz. Front Door yöneticisi ile bir uç noktasını ve bir yolu yapılandırma.

• Yolu eklerken, geliştirici portalını temsil etmek için bir kaynak grubu ve kaynak ayarları ekleyin:

  • Kaynak türü - Özel Seç
  • Ana bilgisayar adı - Geliştirici portalının ana bilgisayar adını girin, örneğin, myapim.developer.azure-api.net

Ayarlar hakkında daha fazla bilgi ve ayrıntılar için bkz. Azure Front Door için kaynak yapılandırma.

Not

Geliştirici portalı için bir Microsoft Entra ID veya Microsoft Entra External ID kimlik sağlayıcısı yapılandırdıysanız, ilgili uygulama kaydını Front Door'a ek bir yeniden yönlendirme URL'si ile güncelleştirmeniz gerekir. Uygulama kaydında, Front Door profilinizde yapılandırılan geliştirici portalı uç noktasının URL'sini ekleyin.

İlgili içerik

• API Management ile Front Door dağıtımlarını otomatikleştirmek için bkz. API Management kaynağı ile Front Door Standard/Premium şablonu

• API Management örneğini kötü amaçlı saldırılara karşı korumak için Azure Front Door üzerinde Web Application Firewall (WAF) dağıtmayı öğrenin.