Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
SE APLICA A: todos los niveles de API Management
Azure Front Door es una plataforma moderna de red de entrega de aplicaciones que proporciona una red de entrega de contenido segura y escalable (CDN), aceleración dinámica de sitios y equilibrio de carga HTTP global para las aplicaciones web globales. Cuando se usa delante de API Management, Front Door puede proporcionar descarga de TLS, TLS de un extremo a otro, equilibrio de carga, almacenamiento en caché de las respuestas de las solicitudes GET y un firewall de aplicaciones web, entre otras funcionalidades. Para obtener una lista completa de las características admitidas, consulte ¿Qué es Azure Front Door?
Nota
En el caso de las cargas de trabajo web, se recomienda encarecidamente usar Azure protección contra DDoS y un firewall de aplicaciones web para protegerse frente a ataques DDoS emergentes. Otra opción es emplear Azure Front Door junto con un firewall de aplicaciones web. Azure Front Door ofrece protección de nivel de plataforma contra ataques DDoS de nivel de red. Para obtener más información, vea security baseline for Azure services.
En este artículo se muestra cómo:
- Configurar un perfil estándar o premium de Azure Front Door delante de una instancia de Azure API Management accesible públicamente: sin red o una instancia de Desarrollador o Premium insertada en una red virtual en modo external.
- Restrinja API Management para aceptar el tráfico de API solo desde Azure Front Door.
Sugerencia
También puede configurar Azure Front Door Premium para enrutar el tráfico a una puerta de enlace de API Management mediante un punto de conexión de privado.
Requisitos previos
- Una instancia de API Management
- Si decide usar una instancia insertada en la red, se debe implementar en una red virtual externa. (La inserción de red virtual se admite en los niveles de servicio Desarrollador y Premium).
- Importe una o varias API a la instancia de API Management para confirmar el enrutamiento mediante Front Door.
Configuración de Azure Front Door
Creación de perfil
Para conocer los pasos para crear un perfil de Azure Front Door Estándar/Premium, consulte Quickstart: Creación de un perfil de Azure Front Door: Azure portal. Para este artículo, puede elegir un perfil de Front Door Standard. Para obtener una comparación de Front Door Estándar y Front Door Premium, consulte Comparación de características entre niveles.
Configura las siguientes opciones específicas de Front Door para usar el endpoint de puerta de enlace de la instancia de API Management como origen de Front Door. Para obtener una explicación de otras opciones de configuración, consulte el inicio rápido de Front Door.
| Configuración | Importancia |
|---|---|
| Tipo de origen | Seleccione API Management. |
| Nombre de host de origen | Seleccione el nombre de host de la instancia de API Management, por ejemplo, myapim.azure-api.net |
| Almacenamiento en caché | Seleccione Habilitar almacenamiento en caché para que Front Door almacene en caché el contenido estático. |
| Comportamiento del almacenamiento en caché de cadenas de consulta | Seleccione Usar cadena de consulta. |
Captura de pantalla de la creación de un perfil de Front Door en el portal.
Actualización del grupo de origen predeterminado
Una vez creado el perfil, actualice el grupo de origen predeterminado para incluir un sondeo de estado de API Management.
En el portal, vaya al perfil de Front Door.
En el menú izquierdo, en Configuración, seleccione Grupos de origendefault-origin-group.
En la ventana Update origin group (Actualizar grupo de origen), configure las siguientes opciones de sondeo de estado y seleccione Update (Actualizar):
Configuración Importancia Estado Seleccione Enable health probes (Habilitar sondeos de estado). Camino Escriba . Protocolo Seleccione HTTPS. Método Seleccione GET. Interval (in seconds) (Intervalo [en segundos]) Ingrese 30. Captura de pantalla de la actualización del grupo de origen predeterminado en el portal.
Actualización de la ruta predeterminada
Se recomienda actualizar la ruta predeterminada asociada al grupo de origen de API Management para usar HTTPS como protocolo de reenvío.
- En el portal, vaya al perfil de Front Door.
- En el menú de la izquierda, en Configuración, seleccione Grupos de origen.
- Expanda el elemento default-origin-group.
- En el menú contextual (...) de default-route, seleccione Configure route (Configurar ruta).
- Establezca los protocolos aceptados en HTTP y HTTPS.
- Habilite la opción Redirect all traffic to use HTTPS (Redirigir todo el tráfico para usar HTTPS).
- Establezca Forwarding protocol (Protocolo de reenvío) en HTTPS only (Solo HTTPS) y, a continuación, seleccione Update (Actualizar).
Pruebe la configuración.
Pruebe la configuración del perfil de Front Door mediante una llamada a una API hospedada por API Management, por ejemplo Swagger Petstore API. En primer lugar, llame a la API directamente mediante la puerta de enlace de API Management para asegurarse de que la API sea accesible. A continuación, llame a la API mediante Front Door.
Invocar una API directamente a través de API Management
Para llamar a una API directamente a través de la puerta de enlace de gestión de API, puede usar un cliente de línea de comandos u otro cliente HTTP. Una respuesta correcta devuelve una respuesta HTTP y los datos esperados:
Recorte de pantalla en el que se muestra la llamada al punto de conexión de API Management directamente mediante un cliente HTTP.
Llamar a una API directamente a través de Front Door
Llame a la misma operación de la API mediante el punto de conexión de Front Door configurado para tu instancia. El nombre de host del punto de conexión del dominio se muestra en el portal en la página Información general del perfil de Front Door. Una respuesta correcta muestra y devuelve los mismos datos que en el ejemplo anterior.
Restricción del tráfico entrante a la instancia de API Management
Use directivas de API Management para asegurarse de que la instancia de API Management acepta tráfico solo desde Azure Front Door. Puede llevar a cabo esta restricción mediante uno o ambos de los métodos siguientes:
- Restricción de las direcciones IP entrantes a las instancias de API Management
- Restricción del tráfico en función del valor del encabezado
X-Azure-FDID
Restricción de las direcciones IP entrantes
Puede configurar una directiva de filtro IP de entrada en API Management para permitir solo el tráfico relacionado con Front Door, que incluye:
Espacio de direcciones IP de back-end de Front Door: permitir direcciones IP correspondientes a la sección AzureFrontDoor.Backend en Azure IP Ranges and Service Tags.
Nota
Si la instancia de API Management está implementada en una red virtual externa, lleve a cabo la misma restricción agregando una regla de grupo de seguridad de red de entrada en la subred que se usa para la instancia de API Management. Configure la regla para permitir el tráfico HTTPS desde la etiqueta de servicio de origen AzureFrontDoor.Backend en el puerto 443.
Servicios de infraestructura de Azure - permitir direcciones IP 168.63.129.16 y 169.254.169.254.
Comprobación del encabezado de Front Door
Las solicitudes enrutadas mediante Front Door incluyen encabezados específicos de la configuración de Front Door. Puede configurar la directiva check-header para filtrar las solicitudes entrantes en función del valor único del encabezado de solicitud HTTP X-Azure-FDID que se envía a API Management. Este valor de encabezado es el identificador de Front Door, que se muestra en el portal en la página Información general del perfil de Front Door.
En el ejemplo de directiva siguiente, el identificador de Front Door se especifica mediante un valor con nombre llamado .
<check-header name="X-Azure-FDID" failed-check-httpcode="403" failed-check-error-message="Invalid request." ignore-case="false">
<value>{{FrontDoorId}}</value>
</check-header>
Las solicitudes que no van acompañadas de un encabezado X-Azure-FDID válido devuelven una respuesta 403 Forbidden.
(Opcional) Configuración de Front Door para el portal para desarrolladores
Opcionalmente, configure el portal para desarrolladores de la instancia de API Management como punto de conexión en el perfil de Front Door. Aunque el portal para desarrolladores administrado ya está dirigido por una red CDN administrada por Azure, es posible que quiera aprovechar las características de Front Door, como un WAF.
Estos son los pasos generales para agregar un punto de conexión para el portal para desarrolladores al perfil:
Para agregar un punto de conexión y configurar una ruta, consulte Configuración de un punto de conexión con el administrador de Front Door.
Al agregar la ruta, agregue un grupo de origen y una configuración de origen para representar el portal para desarrolladores:
- Tipo de origen: seleccione Personalizado.
- Nombre de host: escriba el nombre de host del portal para desarrolladores, por ejemplo, myapim.developer.azure-api.net
Para obtener más información y detalles sobre la configuración, consulte Cómo configurar un origen para Azure Front Door.
Nota
Si ha configurado un Microsoft Entra ID o Id. externa de Microsoft Entra proveedor de identidades para desarrolladores, debe actualizar el registro de aplicación correspondiente con una dirección URL de redireccionamiento adicional a Front Door. En el registro de aplicación, agregue la dirección URL del punto de conexión del portal para desarrolladores configurado en el perfil de Front Door.
Contenido relacionado
Para automatizar las implementaciones de Front Door con API Management, consulte la plantilla Front Door Estándar y Premium con origen de API Management.
Aprenda a implementar Web Application Firewall (WAF) en Azure Front Door para proteger la instancia de API Management frente a ataques malintencionados.