Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’APPLIQUE À : tous les niveaux de Gestion des API
Azure Front Door est une plateforme de réseau de distribution d’applications moderne qui fournit un réseau de distribution de contenu sécurisé et évolutif( CDN), une accélération de site dynamique et un équilibrage de charge HTTP(s) global pour vos applications web globales. Lorsqu’il est utilisé devant Gestion des API, Front Door peut fournir le déchargement TLS, le protocole TLS de bout en bout, l’équilibrage de charge, la mise en cache des réponses des requêtes GET et un pare-feu d’applications web, entre autres fonctionnalités. Pour obtenir la liste complète des fonctionnalités prises en charge, consultez Qu’est-ce que Azure Front Door ?
Note
Pour les charges de travail web, nous vous recommandons vivement d’utiliser Azure protection DDoS et un pare-feu d’applications web pour vous protéger contre les attaques DDoS émergentes. Une autre option consiste à utiliser Azure Front Door avec un pare-feu d’applications web. Azure Front Door offre protection au niveau de la plateforme contre les attaques DDoS au niveau du réseau. Pour plus d’informations, consultez base de référence de sécurité pour les services Azure.
Cet article montre comment :
- Configurez un profil Azure Front Door Standard/Premium devant une instance de Azure API Management accessible publiquement : non réseau, ou une instance Développeur ou Premium injectée dans un réseau virtuel en mode external.
- Restreindre la gestion des API pour accepter le trafic d’API uniquement à partir de Azure Front Door.
Conseil
Vous pouvez également configurer Azure Front Door Premium pour acheminer le trafic vers une passerelle Gestion des API à l’aide d’un point de terminaison private.
Prérequis
- Une instance de gestion d'API.
- Si vous choisissez d’utiliser une instance injectée sur un réseau, elle doit être déployée sur un réseau virtuel externe. (L’injection sur un réseau virtuel est prise en charge dans les niveaux de service Développeur et Premium.)
- Importez une ou plusieurs API dans votre instance Gestion des API pour confirmer le routage via Front Door.
Configurer Azure Front Door
Création d’un profil
Pour connaître les étapes de création d’un profil standard/Premium Azure Front Door, consultez Quickstart : Créer un profil Azure Front Door - Azure portail. Pour cet article, vous pouvez choisir un profil Front Door Standard. Pour obtenir une comparaison de Front Door Standard et Front Door Premium, consultez la comparaison des niveaux.
Configurez les paramètres Front Door suivants spécifiques à l’utilisation du point de terminaison de passerelle de votre instance Gestion des API comme origine Front Door. Pour obtenir une explication des autres paramètres, consultez le guide de démarrage rapide Front Door.
| Paramètre | Valeur |
|---|---|
| Type d’origine | Sélectionner Gestion des API |
| Nom d’hôte de l’origine | Sélectionnez le nom d’hôte de votre instance Gestion des API, par exemple, myapim.azure-api.net |
| Mise en cache | Sélectionnez Activer la mise en cache pour Front Door pour mettre en cache du contenu statique |
| Comportement de mise en cache des chaînes de requête | Sélectionnez Utiliser la chaîne de requête |
Mettre à jour le groupe d’origines par défaut
Une fois le profil créé, mettez à jour le groupe d’origines par défaut pour inclure une sonde d’intégrité pour la gestion des API.
Dans le portail, accédez à votre profil Front Door.
Dans le menu de gauche, sous Paramètres, sélectionnez Groupes d'origine>groupe-d'origine-par-défaut.
Dans la fenêtre Mise à jour du groupe d'origine, configurez les paramètres de sonde de santé suivants, puis sélectionnez Mettre à jour :
Paramètre Valeur État Sélectionnez Activer les sondes d’intégrité Chemin d’accès Entrez /status-0123456789abcdefProtocole Sélectionner HTTPS Méthode Sélectionner GET Intervalle (en secondes) Entrez 30 
Mettre à jour la route par défaut
Nous vous recommandons de mettre à jour la route par défaut associée au groupe d’origines Gestion des API pour utiliser HTTPS comme protocole de transfert.
- Dans le portail, accédez à votre profil Front Door.
- Dans le menu de gauche, sous Paramètres , sélectionnez Groupes d’origines.
- Développez le groupe d’origines par défaut.
- Dans le menu contextuel (...) de l’itinéraire par défaut, sélectionnez Configurer l’itinéraire.
- Définissez les protocoles acceptés sur HTTP et HTTPS.
- Activez la redirection de tout le trafic pour utiliser HTTPS.
- Définissez le protocole de transfertsur HTTPS uniquement , puis sélectionnez Mettre à jour.
Tester la configuration
Testez la configuration du profil Front Door en appelant une API hébergée par Gestion des API, par exemple, l’API Swagger Petstore. Tout d’abord, appelez l’API directement via la passerelle Gestion des API pour vous assurer que l’API est accessible. Ensuite, appelez l’API via Front Door.
Appeler une API directement via Gestion des API
Pour appeler une API directement via la passerelle Gestion des API, vous pouvez utiliser un client de ligne de commande tel qu’un curl autre client HTTP. Une réponse réussie retourne une 200 OK réponse HTTP et les données attendues :
Appeler une API directement via Front Door
Appelez la même opération d’API à l’aide du point de terminaison Front Door configuré pour votre instance. Le nom d’hôte du point de terminaison dans le azurefd.net domaine s’affiche dans le portail sur la page Vue d’ensemble de votre profil Front Door. Une réponse réussie affiche 200 OK et retourne les mêmes données que dans l’exemple précédent.
Limiter le trafic entrant à l’instance Gestion des API
Utilisez des stratégies gestion des API pour vous assurer que votre instance Gestion des API accepte uniquement le trafic de Azure Front Door. Vous pouvez effectuer cette restriction à l’aide d’une ou des deux méthodes suivantes :
- Restreindre les adresses IP entrantes à vos instances Gestion des API
- Restreindre le trafic en fonction de la valeur de l’en-tête
X-Azure-FDID
Limiter les adresses IP entrantes
Vous pouvez configurer une stratégie de filtre ip entrante dans Gestion des API pour autoriser uniquement le trafic lié à Front Door, notamment :
espace d'adresses IP du backend de Front Door - Autoriser les adresses IP correspondant à la section AzureFrontDoor.Backend dans les plages d'adresses IP et balises de service Azure.
Note
Si votre instance Gestion des API est déployée sur un réseau virtuel externe, appliquez la même restriction en ajoutant une règle de groupe de sécurité réseau entrante dans le sous-réseau utilisé pour votre instance Gestion des API. Configurez la règle pour autoriser le trafic HTTPS à partir de la balise de service source AzureFrontDoor.Backend sur le port 443.
Azure services d’infrastructure - Autoriser les adresses IP 168.63.129.16 et 169.254.169.254.
Vérifier l’en-tête Front Door
Les demandes acheminées via Front Door comprennent des en-têtes spécifiques à la configuration de votre Front Door. Vous pouvez configurer la stratégie check-header pour filtrer les requêtes entrantes en fonction de la valeur unique de l’en-tête de requête HTTP X-Azure-FDID qui est envoyé à Gestion des API. Cette valeur d’en-tête est l’ID Front Door, qui est affiché dans le portail dans la page Vue d’ensemble du profil Front Door.
Dans l’exemple de stratégie suivant, l’ID Front Door est spécifié à l’aide d’une valeur nommée représentée par FrontDoorId.
<check-header name="X-Azure-FDID" failed-check-httpcode="403" failed-check-error-message="Invalid request." ignore-case="false">
<value>{{FrontDoorId}}</value>
</check-header>
Les demandes qui ne sont pas accompagnées d'un en-tête X-Azure-FDID valide retournent une réponse 403 Forbidden.
(Facultatif) Configurer Front Door pour le portail des développeurs
Si vous le souhaitez, configurez le portail des développeurs de l’instance Gestion des API en tant que point de terminaison dans le profil Front Door. Bien que le portail des développeurs gérés soit déjà dirigé par un CDN géré par Azure, vous pouvez tirer parti des fonctionnalités Front Door telles qu’un WAF.
Voici quelques étapes générales pour ajouter un point de terminaison pour le portail des développeurs à votre profil :
Pour ajouter un point de terminaison et configurer un itinéraire, consultez Configurer et point de terminaison avec Front Door Manager.
Lors de l’ajout de la route, ajoutez un groupe d’origines et des paramètres d’origine pour représenter le portail des développeurs :
- Type d’origine - Sélectionner personnalisé
- Nom d’hôte : entrez le nom d’hôte du portail des développeurs, par exemple, myapim.developer.azure-api.net
Pour plus d’informations et de détails sur les paramètres, consultez How to configure an origin for Azure Front Door.
Note
Si vous avez configuré un fournisseur d'identité Microsoft Entra ID ou Microsoft Entra External ID pour le portail des développeurs, vous devez mettre à jour l'inscription d'application correspondante avec une URL de redirection supplémentaire vers Front Door. Dans l’inscription d’application, ajoutez l’URL du point de terminaison du portail des développeurs configuré dans votre profil Front Door.
Contenu connexe
Pour automatiser les déploiements de Front Door avec Gestion des API, consultez le modèle Front Door Standard/Premium avec l’origine gestion des API
Découvrez comment déployer Web Application Firewall (WAF) sur Azure Front Door pour protéger l’instance Gestion des API contre les attaques malveillantes.