Configure o Front Door Standard/Premium em frente ao Azure API Management

APLICA-SE A: Todas as camadas de gerenciamento de API

Azure Front Door é uma plataforma moderna de rede de entrega de aplicações que oferece uma rede de distribuição de conteúdos (CDN) segura e escalável, aceleração dinâmica do site e balanceamento de carga global de HTTP(s) para as suas aplicações web globais. Quando usado em frente ao Gerenciamento de API, o Front Door pode fornecer descarregamento de TLS, TLS de ponta a ponta, balanceamento de carga, cache de respostas para pedidos GET e um firewall de aplicação web, entre outras funcionalidades. Para uma lista completa de funcionalidades suportadas, veja O que é Azure Front Door?

Este artigo mostra como:

• Configure um perfil Azure Front Door Standard/Premium em frente a uma instância Azure API Management acessível publicamente: seja não em rede, ou uma instância Developer ou Premium injetada numa rede virtual em modo externo.
• Restrinja o API Management para aceitar apenas tráfego de API proveniente do Azure Front Door.

Pré-requisitos

• Uma instância de gerenciamento de API.
  • Se você optar por usar uma instância injetada pela rede, ela deverá ser implantada em uma rede virtual externa. (A injeção de rede virtual é suportada nas camadas de serviço Developer e Premium.)
• Importe uma ou mais APIs para sua instância de Gerenciamento de API para confirmar o roteamento pelo Front Door.

Configurar Azure Front Door

Criar perfil

Para passos para criar um perfil Azure Front Door Standard/Premium, veja Quickstart: Criar um perfil Azure Front Door - portal Azure. Para este artigo, pode escolher um perfil padrão do Front Door. Para uma comparação entre o Front Door Standard e o Front Door Premium, consulte a comparação por níveis.

Configure as seguintes definições de Front Door que são específicas para usar o endpoint de gateway da sua instância de Gestão de API como origem do Front Door. Para obter uma explicação de outras configurações, consulte o Guia de início rápido da porta frontal.

Atualizar grupo de origem padrão

Depois que o perfil for criado, atualize o grupo de origem padrão para incluir uma investigação de integridade do Gerenciamento de API.

1. No portal, vá ao seu perfil do Front Door.

2. No menu esquerdo, em Definições, seleciona Grupos de origem>default-origin-group.

3. Na janela Atualizar grupo de origem, configure as seguintes definições do teste de integridade e selecione Atualizar:

   Configuração	Valor
   Situação	Selecionar Ativar sondas de saúde
   Path	Introduzir /status-0123456789abcdef
   Protocol	Selecionar HTTPS
   Método	Selecione GET
   Intervalo (em segundos)	Introduza 30

   

Atualizar rota padrão

Recomendamos atualizar a rota padrão associada ao grupo de origem do Gerenciamento de API para usar HTTPS como o protocolo de encaminhamento.

1. No portal, vai ao teu perfil do Front Door.
2. No menu à esquerda, em Definições , seleciona Grupos de Origem.
3. Expandir grupo de origem padrão.
4. No menu de contexto (...) da rota por defeito, selecione Configurar rota.
5. Defina os protocolos aceites para HTTP e HTTPS.
6. Ativar Redirecionar todo o tráfego para usar HTTPS.
7. Defina o protocolo de encaminhamento apenas para HTTPS e depois selecione Atualizar.

Teste a configuração.

Teste a configuração do perfil Front Door chamando uma API hospedada pelo Gerenciamento de API, por exemplo, a API Swagger Petstore. Primeiro, chame a API diretamente por meio do gateway de Gerenciamento de API para garantir que a API esteja acessível. Em seguida, chame a API pela Front Door.

Chame uma API diretamente por meio do Gerenciamento de API

Para chamar uma API diretamente através do API Management gateway, pode usar um cliente de linha de comandos, como curl ou outro cliente HTTP. Uma resposta bem-sucedida devolve uma 200 OK resposta HTTP e os dados esperados:

Chame uma API diretamente pela Front Door

Chame a mesma operação de API usando o ponto de extremidade Front Door configurado para sua instância. O nome de host do endpoint no domínio azurefd.net é mostrado no portal na página Visão Geral do seu perfil Front Door. Uma resposta bem-sucedida mostra 200 OK e devolve os mesmos dados do exemplo anterior.

Restringir o tráfego de entrada à instância de Gerenciamento de API

Use políticas de Gestão de APIs para garantir que a sua instância de Gestão de APIs aceita apenas tráfego do Azure Front Door. Pode conseguir esta restrição usando um ou ambos os seguintes métodos:

1. Restrinja os endereços IP de entrada às suas instâncias de Gerenciamento de API
2. Restringa o tráfego com base no valor do cabeçalho X-Azure-FDID

Restringir endereços IP de entrada

Pode configurar uma política de filtro de IP de entrada na API Management para permitir apenas tráfego relacionado com a Front Door, que inclui:

• Front Door's backend IP space - Permitir endereços IP correspondentes à secção AzureFrontDoor.Backend em Azure Intervalos de IP e Etiquetas de Serviço.

  Nota

  Se sua instância de Gerenciamento de API for implantada em uma rede virtual externa, realize a mesma restrição adicionando uma regra de grupo de segurança de rede de entrada na sub-rede usada para sua instância de Gerenciamento de API. Configure a regra para permitir tráfego HTTPS a partir da etiqueta de serviço de origem AzureFrontDoor.Backend na porta 443.

• Serviços de infraestrutura do Azure - Permitir endereços IP 168.63.129.16 e 169.254.169.254.

Verifique o cabeçalho da porta principal

Os pedidos encaminhados através da Front Door incluem cabeçalhos específicos para a configuração da sua Front Door. Pode configurar a política check-header para filtrar os pedidos recebidos com base no valor único do cabeçalho HTTP X-Azure-FDID que é enviado para a API Management. Este valor de cabeçalho é o ID da Porta da Frente, que é mostrado no portal na página de Visão Geral do perfil da Porta da Frente.

No exemplo seguinte de política, o ID da Porta Principal é especificado usando um valor nomeado chamado FrontDoorId.

<check-header name="X-Azure-FDID" failed-check-httpcode="403" failed-check-error-message="Invalid request." ignore-case="false">
        <value>{{FrontDoorId}}</value>
</check-header>

Pedidos que não são acompanhados por um cabeçalho válido X-Azure-FDID retornam uma resposta 403 Forbidden.

(Opcional) Configurar o Front Door para o portal do desenvolvedor

Opcionalmente, configure o portal do desenvolvedor da instância de Gerenciamento de API como um ponto de extremidade no perfil Front Door. Embora o portal de programadores geridos já esteja disponível com uma CDN gerida pelo Azure, pode querer aproveitar funcionalidades do Front Door, como um WAF.

A seguir estão as etapas principais para adicionar um endpoint ao portal do desenvolvedor no seu perfil:

• Para adicionar um ponto de extremidade e configurar uma rota, consulte Configurar um ponto de extremidade com o Front Door manager.

• Ao adicionar a rota, adicione um grupo de origem e configurações de origem para representar o portal do desenvolvedor:

  • Tipo de origem - Selecionar Personalizado
  • Nome do host - Introduza o nome host do portal do programador, por exemplo, myapim.developer.azure-api.net

Para mais informações e detalhes sobre definições, consulte Como configurar uma origem para Azure Front Door.

Conteúdos relacionados

• Para automatizar as implementações do Front Door com API Management, consulte o modelo Front Door Standard/Premium com origem API Management

• Aprenda a implementar Web Application Firewall (WAF) em Azure Front Door para proteger a instância de Gestão de APIs contra ataques maliciosos.