적용 대상: 모든 API Management 계층
Azure Front Door 글로벌 웹 애플리케이션에 대한 안전하고 확장 가능한 CDN(콘텐츠 배달 네트워크), 동적 사이트 가속 및 글로벌 HTTP 부하 분산을 제공하는 최신 애플리케이션 배달 네트워크 플랫폼입니다. Front Door는 API Management 앞에서 사용하는 경우 TLS 오프로딩, 엔드투엔드 TLS, 부하 분산, GET 요청의 응답 캐싱 및 웹 애플리케이션 방화벽을 제공할 수 있습니다. 지원되는 기능의 전체 목록은
참고
웹 워크로드의 경우 Azure DDoS Protection 및 웹 애플리케이션 방화벽 을 사용하여 새로운 DDoS 공격으로부터 보호하는 것이 좋습니다. 또 다른 옵션은 웹 애플리케이션 방화벽과 함께 Azure Front Door 를 사용하는 것입니다. Azure Front Door는 네트워크 수준 DDoS 공격에 대한 플랫폼 수준 보호를 제공합니다. 자세한 내용은 Azure 서비스에 대한 보안 기준을 참조하세요.
이 문서는 다음 방법을 안내합니다.
- 공개적으로 액세스할 수 있는 Azure API Management 인스턴스 앞에 Azure Front Door Standard/Premium 프로필을 설정합니다( 비네트워크 또는 익스터널 모드 가상 네트워크에 삽입된 개발자 또는 프리미엄 인스턴스.
- API Management가 Azure Front Door API 트래픽만 허용하도록 제한합니다.
팁
또한 private 엔드포인트 사용하여 API Management 게이트웨이로 트래픽을 라우팅하도록 Azure Front Door Premium을 구성할 수 있습니다.
필수 조건
- API Management 인스턴스.
- 네트워크 삽입 인스턴스를 사용하도록 선택하는 경우 외부 VNet에 배포해야 합니다. (가상 네트워크 삽입은 개발자 및 프리미엄 서비스 계층에서 지원됩니다.)
- 하나 이상의 API를 API Management 인스턴스로 가져와서 Front Door를 통한 라우팅을 확인합니다.
Azure Front Door 구성
프로필 만들기
Azure Front Door Standard/Premium 프로필을 만드는 단계는 Quickstart: Azure Front Door 프로필 만들기 - Azure Portal을 참조하세요. 이 문서에서는 Front Door 표준 프로필을 선택할 수 있습니다. Front Door 표준 및 Front Door Premium을 비교하려면 계층 비교를 참조하세요.
API Management 인스턴스의 게이트웨이 엔드포인트를 Front Door 원본으로 사용하는 것과 관련된 다음 Front Door 설정을 구성합니다. 다른 설정에 대한 자세한 내용은 Front Door 빠른 시작을 참조하세요.
| 설정 | 값 |
|---|---|
| 원본 형식 | API Management 선택 |
| 원본 호스트 이름 | API Management 인스턴스의 호스트 이름(예: myapim.azure-api.net)을 선택합니다. |
| 캐싱 | Front Door에 캐싱을 사용하도록 선택하여정적 콘텐츠를 캐시합니다. |
| 쿼리 문자열 캐싱 동작 | 쿼리 문자열 사용을 선택합니다. |
기본 원본 그룹 업데이트
프로필이 만들어지면 API Management 상태 프로브를 포함하도록 기본 원본 그룹을 업데이트합니다.
포털에서 Front Door 프로필로 이동합니다.
왼쪽 메뉴의 설정에서 원본 그룹> 선택합니다.
원본 그룹 업데이트 창에서 다음 상태 프로브 설정을 구성하고 업데이트를 선택합니다.
설정 값 상태 상태 프로브를 사용하도록 설정을 선택 Path /status-0123456789abcdef을 입력합니다.프로토콜 HTTPS 선택 메서드 GET 선택 간격(초) 30 입력 
기본 경로 업데이트
HTTPS를 전달 프로토콜로 사용하도록 API Management 원본 그룹과 연결되는 기본 경로를 업데이트하는 것이 좋습니다.
- 포털에서 Front Door 프로필로 이동합니다.
- 왼쪽 메뉴의 설정 아래에서 원본 그룹을 선택합니다.
- default-origin-group을 확장합니다.
- 기본 경로의 상황에 맞는 메뉴(...)에서 경로 구성을 선택합니다.
- 수락된 프로토콜을HTTP 및 HTTPS로 설정합니다.
- HTTPS를 사용하도록 모든 트래픽 리디렉션을 사용하도록 설정합니다.
- 전달 프로토콜을HTTPS로만 설정한 다음 업데이트를 선택합니다.
구성 테스트
API Management에서 호스트하는 API(예: Swagger Petstore API)를 호출하여 Front Door 프로필 구성을 테스트합니다. 먼저 API Management 게이트웨이를 통해 API를 직접 호출하여 API에 연결할 수 있는지 확인합니다. 그런 다음, Front Door를 통해 API를 호출합니다.
API Management를 통해 직접 API 호출
API Management 게이트웨이를 통해 직접 API를 호출하려면 명령줄 클라이언트(예: curl 또는 다른 HTTP 클라이언트)를 사용할 수 있습니다. 성공적인 응답은 200 OK HTTP 응답 및 예상 데이터를 반환합니다.
Front Door를 통해 직접 API 호출
인스턴스에 대해 구성된 Front Door 엔드포인트를 사용하여 동일한 API 작업을 호출합니다. 도메인에 있는 azurefd.net 엔드포인트의 호스트 이름은 Front Door 프로필의 개요 페이지에 있는 포털에 표시됩니다. 성공적인 응답은 이전 예제와 동일한 데이터를 표시 200 OK 하고 반환합니다.
API Management 인스턴스로 들어오는 트래픽 제한
API Management 정책을 사용하여 API Management 인스턴스가 Azure Front Door 트래픽만 허용하도록 합니다. 다음 방법 중 하나 또는 둘 다를 사용하여 이 제한을 수행할 수 있습니다.
- 들어오는 IP 주소를 API Management 인스턴스로 제한
-
X-Azure-FDID헤더의 값에 따라 트래픽 제한
받는 IP 주소 제한
다음을 포함하는 Front Door 관련 트래픽만 허용하도록 API Management에서 인바운드 IP 필터 정책을 구성할 수 있습니다.
Front Door의 백 엔드 IP 주소 공간 - Azure IP 범위 및 서비스 태그AzureFrontDoor.Backend 섹션에 해당하는 IP 주소를 허용합니다.
참고
API Management 인스턴스가 외부 가상 네트워크에 배포되는 경우 인바운드 네트워크 보안 그룹 규칙을 API Management 인스턴스에 사용되는 서브넷에 추가하여 동일한 제한을 수행합니다. 포트 443의 원본 서비스 태그 AzureFrontDoor.Backend 에서 HTTPS 트래픽을 허용하도록 규칙을 구성합니다.
Azure 인프라 서비스 - IP 주소 168.63.129.16 및 169.254.169.254를 허용합니다.
Front Door 헤더를 확인하십시오
Front Door를 통해 라우팅되는 요청에는 Front Door 구성과 관련된 헤더가 포함됩니다.
check-header 정책을 구성하여 API Management로 전송되는 X-Azure-FDID HTTP 요청 헤더의 고유 값을 기반으로 들어오는 요청을 필터링할 수 있습니다. 이 헤더 값은 Front Door 프로필의 개요 페이지에 있는 포털에 표시되는 Front Door ID입니다.
다음 정책 예제에서 Front Door ID는 명명FrontDoorId된 값을 사용하여 지정됩니다.
<check-header name="X-Azure-FDID" failed-check-httpcode="403" failed-check-error-message="Invalid request." ignore-case="false">
<value>{{FrontDoorId}}</value>
</check-header>
유효한 X-Azure-FDID 헤더와 함께 제공되지 않는 요청은 403 Forbidden 응답을 반환합니다.
(선택 사항) 개발자 포털에 대한 Azure Front Door 구성
필요에 따라 API Management 인스턴스의 개발자 포털을 Front Door 프로필의 엔드포인트로 구성합니다. 관리되는 개발자 포털은 이미 Azure에서 관리하는 CDN 앞단에 있지만, WAF와 같은 Front Door 기능을 활용하고 싶을 수 있습니다.
개발자 포털에 대한 엔드포인트를 프로필에 추가하는 개략적인 단계는 다음과 같습니다.
엔드포인트를 추가하고 경로를 구성하려면 Front Door 관리자를 사용하여 구성 및 엔드포인트를 참조하세요.
경로를 추가할 때 개발자 포털을 나타내는 원본 그룹 및 원본 설정을 추가합니다.
- 원본 유형 - 사용자 지정 선택
- 호스트 이름 - 개발자 포털의 호스트 이름(예: myapim.developer.azure-api.net)을 입력합니다.
설정에 대한 정보와 자세한 내용은 Azure Front Door용 원본을 구성하는 방법을 참조하세요.
참고
개발자 포털에 대한 Microsoft Entra ID 또는 Microsoft Entra External ID ID 공급자를 구성한 경우 Front Door에 대한 추가 리디렉션 URL로 해당 앱 등록을 업데이트해야 합니다. 앱 등록에서 Front Door 프로필에 구성된 개발자 포털 엔드포인트에 대한 URL을 추가합니다.
관련 콘텐츠
API Management를 사용하여 Front Door 배포를 자동화하려면 API Management 원본을 사용하는 템플릿 Front Door 표준/프리미엄을 참조하세요.
Azure Front Door Web Application Firewall(WAF) 배포하여 악의적인 공격으로부터 API Management 인스턴스를 보호하는 방법을 알아봅니다.