Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op: Alle API Management-lagen
Azure Front Door is een modern netwerkplatform voor toepassingslevering dat een veilig, schaalbaar netwerk voor contentlevering (CDN), dynamische siteversnelling en globale HTTP(s) taakverdeling biedt voor uw wereldwijde webtoepassingen. Wanneer Front Door wordt gebruikt voor API Management, kan TLS-offloading, end-to-end TLS, taakverdeling, reactiecaching van GET-aanvragen en een webtoepassingsfirewall bieden, onder andere mogelijkheden. Zie What is Azure Front Door? voor een volledige lijst met ondersteunde functies.
Notitie
Voor webworkloads raden we u ten zeerste aan gebruik te maken van Azure DDoS-beveiliging en een webtoepassingsfirewall om te beschermen tegen opkomende DDoS-aanvallen. Een andere optie is om Azure Front Door samen met een webtoepassingsfirewall te gebruiken. Azure Front Door biedt platformbeveiliging tegen DDoS-aanvallen op netwerkniveau. Zie securitybasislijn voor Azure services voor meer informatie.
In dit artikel wordt uitgelegd hoe u het volgende kunt doen:
- Stel een Azure Front Door Standard/Premium-profiel in voor een openbaar toegankelijk Azure API Management exemplaar: een niet-netwerk of een Developer- of Premium-exemplaar dat is geïnjecteerd in een virtueel netwerk in externale modus.
- Beperk API Management om alleen API-verkeer van Azure Front Door te accepteren.
Aanbeveling
U kunt ook Azure Front Door Premium configureren om verkeer naar een API Management-gateway te routeren met behulp van een private-eindpunt.
Vereisten
- Een API Management-exemplaar.
- Als u ervoor kiest een door het netwerk geïnjecteerde instantie te gebruiken, moet deze worden geïmplementeerd in een extern VNet. (Virtuele netwerkinjectie wordt ondersteund in de servicelagen Developer en Premium.)
- Importeer een of meer API's in uw API Management-exemplaar om routering via Front Door te bevestigen.
Azure Front Door configureren
Profiel maken
Zie Quickstart: Een Azure Front Door-profiel maken - Azure portal voor stappen voor het maken van een Azure Front Door Standard-/Premium-profiel. Voor dit artikel kunt u een Front Door Standard-profiel kiezen. Voor een vergelijking van Front Door Standard en Front Door Premium, zie Laagvergelijking.
Configureer de volgende Front Door-instellingen die specifiek zijn voor het gebruik van het gateway-eindpunt van uw API Management-exemplaar als een Front Door-oorsprong. Zie de Front Door Quickstart voor uitleg over andere instellingen.
| Instelling | Waarde |
|---|---|
| Oorsprongtype | API Management selecteren |
| Hostnaam van oorsprong | Selecteer de hostnaam van uw API Management-exemplaar, bijvoorbeeld myapim.azure-api.net |
| In het geheugen opslaan | Selecteer Cache inschakelen voor Front Door om statische inhoud in de cache op te slaan |
| Cachegedrag van querystring | Selecteer Gebruik Queryreeks |
Standaard oorspronkelijke groep bijwerken
Nadat het profiel is gemaakt, werkt u de standaard origin-groep bij zodat deze een API Management gezondheidscontrole bevat.
Ga in de portal naar uw Front Door-profiel.
Selecteer in het linkermenu onder Instellingende optie Origin groups>default-origin-group.
Configureer in het venster Origin-groep bijwerken de volgende statustestinstellingen en selecteer Bijwerken:
Instelling Waarde Status Selecteer gezondheidstesten inschakelen Path /status-0123456789abcdefinvoerenProtocol HTTPS selecteren Methode GET selecteren Interval (in seconden) Voer 30 in 
Standaardroute bijwerken
U wordt aangeraden de standaardroute die is gekoppeld aan de API Management-origingroep bij te werken om HTTPS te gebruiken als het doorstuurprotocol.
- Ga in de portal naar uw Front Door-profiel.
- Selecteer Origin-groepen in het linkermenu onder Instellingen.
- Breid default-origin-group uit.
- Selecteer Route configureren in het contextmenu (...) van de standaardroute.
- Stel geaccepteerde protocollen in op HTTP en HTTPS.
- Schakel Alle verkeer omleiden naar HTTPS in.
- Stel het doorstuurprotocol alleen in op HTTPS en selecteer vervolgens Bijwerken.
De configuratie testen
Test de configuratie van het Front Door-profiel door een API aan te roepen die wordt gehost door API Management, bijvoorbeeld de Swagger Petstore-API. Roep eerst de API rechtstreeks aan via de API Management-gateway om ervoor te zorgen dat de API bereikbaar is. Roep vervolgens de API aan via Front Door.
Een API rechtstreeks aanroepen via API Management
Als u een API rechtstreeks via de API Management-gateway wilt aanroepen, kunt u een opdrachtregelclient zoals curl of een andere HTTP-client gebruiken. Een geslaagd antwoord retourneert een 200 OK HTTP-antwoord en de verwachte gegevens:
Een API rechtstreeks aanroepen via Front Door
Roep dezelfde API-bewerking aan met behulp van het Front Door-eindpunt dat is geconfigureerd voor uw exemplaar. De hostnaam van het eindpunt in het domein wordt weergegeven in de azurefd.net portal op de pagina Overzicht van uw Front Door-profiel. Een geslaagd antwoord toont 200 OK en retourneert dezelfde gegevens als in het vorige voorbeeld.
Binnenkomend verkeer beperken tot API Management-exemplaar
Gebruik API Management-beleid om ervoor te zorgen dat uw API Management-exemplaar alleen verkeer van Azure Front Door accepteert. U kunt deze beperking uitvoeren met behulp van een of beide van de volgende methoden:
- Binnenkomende IP-adressen beperken voor uw API Management-instanties
- Verkeer beperken op basis van de waarde van de
X-Azure-FDID-header
Binnenkomende IP-adressen beperken
U kunt een binnenkomend IP-filterbeleid configureren in API Management om alleen verkeer met betrekking tot Front Door toe te staan, waaronder:
De back-end-IP-adresruimte vanFront Door - IP-adressen toestaan die overeenkomen met de sectie AzureFrontDoor.Backend in Azure IP-bereiken en servicetags.
Notitie
Als uw API Management-exemplaar is geïmplementeerd in een extern virtueel netwerk, moet u dezelfde beperking instellen door een regel voor binnenkomende netwerkbeveiligingsgroepen toe te voegen in het subnet dat wordt gebruikt voor uw API Management-exemplaar. Configureer de regel om HTTPS-verkeer van bronservicetag AzureFrontDoor.Backend toe te staan op poort 443.
Azure infrastructuurservices - IP-adressen 168.63.129.16 en 169.254.169.254 toestaan.
Front Door-koptekst controleren
Aanvragen die via Front Door worden doorgestuurd, bevatten headers die specifiek zijn voor uw Front Door-configuratie. U kunt het beleid check-header configureren om binnenkomende aanvragen te filteren op basis van de unieke waarde van de X-Azure-FDID HTTP-aanvraagheader die naar API Management wordt verzonden. Deze headerwaarde is de Front Door-id, die wordt weergegeven in de portal op de pagina Overzicht van het Front Door-profiel.
In het volgende beleidsvoorbeeld wordt de Front Door-id opgegeven met behulp van een benoemde waarde met de naam FrontDoorId.
<check-header name="X-Azure-FDID" failed-check-httpcode="403" failed-check-error-message="Invalid request." ignore-case="false">
<value>{{FrontDoorId}}</value>
</check-header>
Aanvragen die niet vergezeld gaan van een geldige X-Azure-FDID header retourneren een 403 Forbidden-antwoord.
(Optioneel) Front Door configureren voor ontwikkelaarsportal
Configureer eventueel de ontwikkelaarsportal van het API Management-exemplaar als een eindpunt in het Front Door-profiel. Hoewel de beheerde ontwikkelaarsportal al wordt uitgevoerd door een door Azure beheerde CDN, kunt u gebruikmaken van Front Door-functies zoals een WAF.
Hieronder volgen de stappen op hoog niveau voor het toevoegen van een eindpunt voor de ontwikkelaarsportal aan uw profiel:
Als u een eindpunt wilt toevoegen en een route wilt configureren, raadpleegt u Configureren en eindpunten met Front Door-manager.
Wanneer u de route toevoegt, voegt u een origin-groep en origin-instellingen toe die de ontwikkelaarsportal vertegenwoordigen:
- Oorsprongstype - Aangepast selecteren
- Hostnaam: voer de hostnaam van de ontwikkelaarsportal in, bijvoorbeeld myapim.developer.azure-api.net
Zie De origin configureren voor Azure Front Door voor meer informatie en details over instellingen.
Notitie
Als u een Microsoft Entra ID of Microsoft Entra External ID-id-provider voor de ontwikkelaarsportal hebt geconfigureerd, moet u de bijbehorende app-registratie bijwerken met een extra omleidings-URL naar Front Door. Voeg in de app-registratie de URL toe voor het eindpunt van de ontwikkelaarsportal dat is geconfigureerd in uw Front Door-profiel.
Gerelateerde inhoud
Als u implementaties van Front Door met API Management wilt automatiseren, raadpleegt u de sjabloon Front Door Standard/Premium met API Management-oorsprong
Meer informatie over het implementeren van Web Application Firewall (WAF) op Azure Front Door om het API Management-exemplaar te beveiligen tegen schadelijke aanvallen.