Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
GILT FÜR: Alle API Management-Ebenen
Azure Front Door ist eine moderne Plattform für die Anwendungsbereitstellung, die ein sicheres, skalierbares CdN (Content Delivery Network), dynamische Standortbeschleunigung und globalen HTTP-Lastenausgleich für Ihre globalen Webanwendungen bereitstellt. Wenn der Front Door-Dienst API Management vorgeschaltet wird, kann er u. a. TLS-Abladung, End-to-End-TLS (Transport Layer Security), Lastenausgleich, Zwischenspeicherung der Antworten von GET-Anforderungen und eine Webanwendungsfirewall bereitstellen. Eine vollständige Liste der unterstützten Features finden Sie unter What is Azure Front Door?
Hinweis
Für Webworkloads wird dringend empfohlen, Azure DDoS-Schutz und eine webanwendungsfirewall zum Schutz vor neuen DDoS-Angriffen zu verwenden. Eine weitere Möglichkeit besteht darin, Azure Front Door zusammen mit einer Webanwendungsfirewall zu verwenden. Azure Front Door bietet platform-Level-Schutz gegen DDoS-Angriffe auf Netzwerkebene. Weitere Informationen finden Sie unter security baseline for Azure services.
In diesem Artikel wird gezeigt, wie man:
- Richten Sie ein Azure Front Door Standard/Premium-Profil vor einer öffentlich zugänglichen Azure API Management Instanz ein: entweder ohne Netzwerk oder eine Developer- oder Premium-Instanz, die in ein virtuelles Netzwerk im external mode integriert ist.
- Beschränken Sie die API-Verwaltung so, dass api-Datenverkehr nur von Azure Front Door akzeptiert wird.
Tipp
Sie können auch Azure Front Door Premium konfigurieren, um den Datenverkehr mithilfe eines private-Endpunkts an ein API-Verwaltungsgateway weiterzuleiten.
Voraussetzungen
- Eine API Management-Instanz.
- Wenn Sie eine in ein Netzwerk eingebundene Instanz verwenden möchten, muss diese in einem externen virtuellen Netzwerk (VNet) bereitgestellt werden. (Die Einbindung in virtuelle Netzwerke wird in den Dienstebenen „Developer“ und „Premium“ unterstützt.)
- Importieren Sie eine oder mehrere APIs in Ihre API Management-Instanz, um das Routing über Front Door zu bestätigen.
Konfigurieren von Azure Front Door
Profil erstellen
Schritte zum Erstellen eines Azure Front Door Standard/Premium-Profils finden Sie unter Quickstart: Erstellen eines Azure Front Door-Profils – Azure Portal. Für diesen Artikel können Sie ein Front Door Standard-Profil auswählen. Einen Vergleich von Front Door Standard und Front Door Premium finden Sie im Tier-Vergleich.
Konfigurieren Sie die folgenden Front Door-Einstellungen für die Verwendung des Gatewayendpunkts Ihrer API Management-Instanz als Front Door-Ursprung. Eine Erläuterung anderer Einstellungen finden Sie im Schnellstart für Front Door.
| Einstellungen | Wert |
|---|---|
| Ursprungstyp | API-Verwaltung auswählen |
| Hostname des Ursprungs | Wählen Sie den Hostnamen Ihrer API-Verwaltungsinstanz aus, z. B. myapim.azure-api.net |
| Zwischenspeichern | Wählen Sie "Zwischenspeichern aktivieren " für front Door aus, um statische Inhalte zwischenzuspeichern. |
| Verhalten beim Zwischenspeichern von Abfragezeichenfolgen | Wählen Sie Abfragezeichenfolge verwenden aus. |
Aktualisieren der Standardursprungsgruppe
Aktualisieren Sie nach dem Erstellen des Profils die Standardursprungsgruppe, um einen API Management-Integritätstest einzuschließen.
Wechseln Sie im Portal zu Ihrem Front Door-Profil.
Wählen Sie im linken Menü unter "Einstellungen" die Option " Origin groups>default-origin-group" aus.
Konfigurieren Sie im Fenster 'Herkunftsgruppe aktualisieren' die folgenden Integritätsprüfung-Einstellungen und wählen Sie 'Aktualisieren' aus:
Einstellungen Wert Status Wählen Sie "Integritätssonden aktivieren" aus. Pfad Geben Sie /status-0123456789abcdefein.Protokoll HTTPS auswählen Methode GET-Methode auswählen Intervall (in Sekunden) Geben Sie 30 ein. 
Aktualisieren der Standardroute
Wir empfehlen, die Standardroute, die der API Management-Ursprungsgruppe zugeordnet ist, zur Verwendung von HTTPS als Weiterleitungsprotokoll zu aktualisieren.
- Wechseln Sie im Portal zu Ihrem Front Door-Profil.
- Wählen Sie im linken Menü unter "Einstellungen" " Origin-Gruppen" aus.
- Erweitern Sie die Standard-Ursprungsgruppe.
- Wählen Sie im Kontextmenü (...) der Standardroute " Route konfigurieren" aus.
- Legen Sie akzeptierte Protokolle auf HTTP und HTTPS fest.
- Aktivieren Sie 'Allen Datenverkehr auf HTTPS umleiten'.
- Legen Sie das Weiterleitungsprotokollnur auf HTTPS fest, und wählen Sie dann "Aktualisieren" aus.
Testen der Konfiguration
Testen Sie die Front Door-Profilkonfiguration, indem Sie eine API aufrufen, die von API Management gehostet wird, z. B. die Swagger Petstore-API. Rufen Sie die API zunächst direkt über das API Management-Gateway auf, um sicherzustellen, dass sie erreichbar ist. Rufen Sie dann die API über Front Door auf.
Direktes Aufrufen einer API über API Management
Um eine API direkt über das API-Verwaltungsgateway aufzurufen, können Sie einen Befehlszeilenclient wie curl z. B. einen anderen HTTP-Client verwenden. Eine erfolgreiche Antwort gibt eine 200 OK HTTP-Antwort und die erwarteten Daten zurück:
Direktes Aufrufen einer API über Front Door
Rufen Sie denselben API-Vorgang mit dem für Ihre Instanz konfigurierten Front Door-Endpunkt auf. Der Hostname des Endpunkts in der azurefd.net Domäne wird im Portal auf der Seite "Übersicht" Ihres Front Door-Profils angezeigt. Eine erfolgreiche Antwort zeigt 200 OK die gleichen Daten wie im vorherigen Beispiel an und gibt sie zurück.
Einschränken des eingehenden Datenverkehrs der API Management-Instanz
Verwenden Sie API-Verwaltungsrichtlinien, um sicherzustellen, dass Ihre API-Verwaltungsinstanz datenverkehr nur von Azure Front Door akzeptiert. Sie können diese Einschränkung mit einer oder beiden der folgenden Methoden erreichen:
- Beschränken Sie eingehende IP-Adressen in Ihren API Management-Instanzen
- Einschränken des Datenverkehrs basierend auf dem Wert des headers
X-Azure-FDID
Beschränken eingehender IP-Adressen
Sie können eine eingehende IP-Filterrichtlinie in der API-Verwaltung konfigurieren, um nur Front Door-bezogenen Datenverkehr zuzulassen, der Folgendes umfasst:
Front Doors Backend-IP-Adressraum – IP-Adressen zulassen, die dem AzureFrontDoor.Backend Abschnitt in Azure IP Ranges and Service Tags entsprechen.
Hinweis
Wenn Ihre API Management-Instanz in einem externen virtuellen Netzwerk bereitgestellt wird, legen Sie dieselbe Einschränkung fest, indem Sie eine Netzwerksicherheitsgruppen-Eingangsregel in dem Subnetz hinzufügen, das für Ihre API Management Instanz verwendet wird. Konfigurieren Sie die Regel, um HTTPS-Datenverkehr vom Quelldiensttag AzureFrontDoor.Backend auf Port 443 zuzulassen.
Azure-Infrastrukturdienste – IP-Adressen 168.63.129.16 und 169.254.169.254 zulassen.
Überprüfen des Front Door-Headers
Über Front Door weitergeleitete Anforderungen enthalten Header, die spezifisch für Ihre Front Door-Konfiguration sind. Sie können die richtlinie check-header konfigurieren, um eingehende Anforderungen basierend auf dem eindeutigen Wert des http-Anforderungsheaders X-Azure-FDID zu filtern, der an die API-Verwaltung gesendet wird. Dieser Headerwert ist die Front Door ID, die im Portal auf der Seite "Übersicht" des Front Door-Profils angezeigt wird.
Im folgenden Richtlinienbeispiel wird die Front Door ID mit einem benannten Wert mit dem Namen FrontDoorIdangegeben.
<check-header name="X-Azure-FDID" failed-check-httpcode="403" failed-check-error-message="Invalid request." ignore-case="false">
<value>{{FrontDoorId}}</value>
</check-header>
Anforderungen, die von einem gültigen X-Azure-FDID Header nicht begleitet werden, geben eine antwort 403 Forbidden zurück.
(Optional) Konfigurieren von Front Door für das Entwicklerportal
Konfigurieren Sie optional das Entwicklerportal der API Management-Instanz als Endpunkt im Front Door-Profil. Während das verwaltete Entwicklerportal bereits von einem Azure verwalteten CDN bereitgestellt wird, sollten Sie die Vorteile von Front Door-Features wie einem WAF nutzen.
Im Folgenden sind die allgemeinen Schritte zum Hinzufügen eines Endpunkts für das Entwicklerportal zu Ihrem Profil aufgeführt:
Informationen zum Hinzufügen eines Endpunkts und zum Konfigurieren einer Route finden Sie unter "Konfigurieren und Endpunkt" mit Front Door-Manager.
Fügen Sie beim Hinzufügen der Route eine Ursprungsgruppe und die Ursprungseinstellungen hinzu, um das Entwicklerportal darzustellen:
- Ursprungstyp – Benutzerdefiniert auswählen
- Hostname : Geben Sie den Hostnamen des Entwicklerportals ein, z. B. myapim.developer.azure-api.net
Weitere Informationen und Details zu Einstellungen finden Sie unter How to configure an origin for Azure Front Door.
Hinweis
Wenn Sie einen Microsoft Entra ID oder Microsoft Entra External ID Identitätsanbieter für das Entwicklerportal konfiguriert haben, müssen Sie die entsprechende App-Registrierung mit einer zusätzlichen Umleitungs-URL zu Front Door aktualisieren. Fügen Sie in der App-Registrierung die URL für den Endpunkt des Entwicklerportals hinzu, der in Ihrem Front Door-Profil konfiguriert ist.
Zugehöriger Inhalt
Informationen zum Automatisieren von Bereitstellungen von Front Door mit API-Verwaltung finden Sie in der Vorlage Front Door Standard/Premium mit API Management Origin
Erfahren Sie, wie Sie Web Application Firewall (WAF) auf Azure Front Door bereitstellen, um die API-Verwaltungsinstanz vor böswilligen Angriffen zu schützen.