Platzhalterdomänen in Azure Front Door

  • Artikel

Wichtig

Azure Front Door (klassisch) wird am 31. März 2027 eingestellt. Um Dienstunterbrechungen zu vermeiden, ist es wichtig, dass Sie Ihre (klassischen) Azure Front Door-Profile bis März 2027 zur Dienstebene Azure Front Door Standard oder Premium migrieren. Weitere Informationen finden Sie unter Einstellung von Azure Front Door (klassisch).

Platzhalterdomänen ermöglichen es Azure Front Door, Datenverkehr für jede Unterdomäne einer Top-Level-Domain zu empfangen. Eine Beispiel für eine Platzhalterdomäne ist „*.contoso.com“.

Mithilfe von Platzhalterdomänen können Sie die Konfiguration Ihres Azure Front Door-Profils vereinfachen. Sie müssen die Konfiguration nicht ändern, um die einzelnen Unterdomänen separat hinzuzufügen und/oder anzugeben. Sie können beispielsweise das Routing für „customer1.contoso.com“, „customer2.contoso.com“ und „customerN.contoso.com“ definieren, indem Sie dieselbe Route verwenden und die Platzhalterdomäne „*.contoso.com“ hinzufügen.

Platzhalterdomänen bieten ihnen mehrere Vorteile. Dazu zählen die folgenden:

  • Es ist nicht notwendig, für jede Unterdomäne in Ihrem Azure Front Door-Profil ein Onboarding durchzuführen. Angenommen, Sie erstellen für jeden Kunden neue Unterdomänen und leiten die Anforderungen aller Kunden an eine einzelne Ursprungsgruppe weiter. Dann versteht Azure Front Door beim Hinzufügen neuer Kunden/Kundinnen, wie der Datenverkehr an Ihre Ursprungsgruppe weitergeleitet wird, obwohl die Unterdomäne nicht explizit konfiguriert wurde.
  • Es ist nicht notwendig, ein neues TLS-Zertifikat (Transport Layer Security) zu generieren oder unterdomänenspezifische HTTPS-Einstellungen zu verwalten, um ein Zertifikat für jede Unterdomäne zu binden.
  • Sie können eine einzelne WAF-Richtlinie (Web Application Firewall) für alle Ihre Unterdomänen verwenden.

In der Regel werden Platzhalterdomänen verwendet, um SaaS-Lösungen (Software-as-a-Service) und andere mehrinstanzenfähige Anwendungen zu unterstützen. Beim Erstellen solcher Anwendungstypen müssen Sie genau berücksichtigen, wie Sie Datenverkehr an Ihre Ursprungsserver weiterleiten. Weitere Informationen finden Sie unter Verwenden von Azure Front Door in einer mehrinstanzenfähigen Lösung.

Hinweis

Wenn Sie Azure DNS zum Verwalten der DNS-Einträge Ihrer Domäne verwenden, müssen Sie Platzhalterdomänen mithilfe der Azure Resource Manager-API, Bicep, PowerShell und der Azure CLI konfigurieren. Das Hinzufügen und Verwalten von Azure DNS-Platzhalterdomänen über das Azure-Portal wird nicht unterstützt.

Hinzufügen von Platzhalterdomäne und Zertifikatbindung

Sie können mit ähnlichen Schritten wie für Unterdomänen auch eine Platzhalterdomäne hinzufügen. Weitere Informationen zum Hinzufügen einer Unterdomäne zu Azure Front Door finden Sie unter Konfigurieren einer benutzerdefinierten Domäne in Azure Front Door mithilfe des Azure-Portals.

Hinweis

  • Azure DNS unterstützt Platzhalterdatensätze.
  • Sie können den Azure Front Door-Cache nicht für eine Platzhalterdomäne bereinigen. Beim Bereinigen des Caches ist es notwendig, eine Unterdomäne anzugeben.

Um HTTPS-Datenverkehr für Ihre Platzhalterdomäne zu akzeptieren, müssen Sie HTTPS für die Platzhalterdomäne aktivieren. Die Zertifikatbindung für eine Platzhalterdomäne erfordert ein Platzhalterzertifikat. Der Antragstellername des Zertifikats sollte also ebenfalls die Platzhalterdomäne aufweisen.

Hinweis

  • Derzeit ist nur die Verwendung Ihrer eigenen benutzerdefinierten SSL-Zertifikatoption zum Aktivieren von HTTPS für Platzhalterdomänen verfügbar. Von Azure Front Door verwaltete Zertifikate können nicht für Platzhalterdomänen verwendet werden.
  • Sie können das Platzhalterzertifikat aus Azure Key Vault oder aus den über Azure Front Door verwalteten Zertifikaten für Unterdomänen verwenden.
  • Wenn Sie der Platzhalterdomäne eine Unterdomäne hinzufügen möchten, die bereits im Azure Front Door Standard- oder -Premium-Profil überprüft wurde, wird die Domänenüberprüfung automatisch genehmigt.
  • Wenn eine Platzhalterdomäne überprüft und bereits zu einem Profil hinzugefügt wurde, kann eine Unterdomänen mit einer einzelnen Ebene weiterhin zu einem anderen Profil hinzugefügt werden, solange sie ebenfalls überprüft wird.

Explizites Definieren einer Unterdomäne

Sie können beliebig viele Unterdomänen mit einer einzelnen Ebene des Platzhalters hinzufügen. Sie können beispielsweise für die Platzhalterdomäne „*.contoso.com“ ihrem Azure Front Door-Profil auch Unterdomänen für „image.contosto.com“, „cart.contoso.com“ usw. hinzufügen. Die Konfiguration, die Sie explizit für die Unterdomäne angeben, hat Vorrang vor der Konfiguration der Platzhalterdomäne.

In solchen Situationen müssen Sie möglicherweise explizit Unterdomänen hinzufügen:

  • Es ist notwendig, eine andere Route für eine Unterdomäne als für die übrigen Domänen (aus der Platzhalterdomäne) zu definieren. Angenommen, Ihre Kunden verwenden Unterdomänen wie „customer1.contoso.com“, „customer2.contoso.com“ usw., und diese Unterdomänen sollten alle an Ihre Hauptanwendungsserver weitergeleitet werden. Sie möchten „images.contoso.com“ aber möglicherweise auch an einen Azure Storage-Blobcontainer weiterleiten.
  • Dann müssen Sie eine andere WAF-Richtlinie für eine bestimmte Unterdomäne verwenden.

Unterdomänen wie „www.image.contoso.com“ sind keine Unterdomänen mit einer einzelnen Ebene von „*.contoso.com“.

Hinzufügen von Platzhalterdomänen

Sie können Platzhalterdomänen im Abschnitt für Front-End-Hosts oder Domänen hinzufügen. Ähnlich wie bei Unterdomänen überprüft Azure Front Door (klassisch), ob eine Zuordnung eines CNAME-Eintrags für Ihre Platzhalterdomäne vorhanden ist. Diese DNS-Zuordnung (Domain Name System) kann eine direkte Zuordnung eines CNAME-Eintrags sein, z. B. die Zuordnung von *.contoso.com zu endpoint.azurefd.net. Alternativ können Sie eine temporäre afdverify-Zuordnung verwenden. Beispiel: Bei der Zuordnung von afdverify.contoso.com zu afdverify.endpoint.azurefd.net wird die Zuordnung des CNAME-Eintrags für den Platzhalter überprüft.

Hinweis

Azure DNS unterstützt Platzhalterdatensätze.

Sie können beliebig viele Unterdomänen der Platzhalterdomäne (Unterdomänen mit einer einzelnen Ebene) in Front-End-Hosts hinzufügen (bis zum Limit der Front-End-Hosts). Diese Funktionalität kann für folgende Szenarien erforderlich sein:

  • Definieren einer anderen Route für eine Unterdomäne als für die übrigen Domänen (aus der Platzhalterdomäne).

  • Festlegen einer anderen WAF-Richtlinie für eine bestimmte Unterdomäne. *.contoso.com ermöglicht z. B. das Hinzufügen von foo.contoso.com ohne erneuten Nachweis des Domänenbesitzes. foo.bar.contoso.com ist jedoch nicht zulässig, da es sich nicht um eine Unterdomäne mit einzelner Ebene von *.contoso.com handelt. Damit Sie foo.bar.contoso.com ohne eine zusätzliche Überprüfung des Domänenbesitzes hinzufügen können, muss *.bar.contoso.com hinzugefügt werden.

Platzhalterdomänen und zugehörige Unterdomänen können mit bestimmten Einschränkungen hinzugefügt werden:

  • Wenn eine Platzhalterdomäne zu einem Profil für Azure Front Door (klassisch) hinzugefügt wird:
    • Die Platzhalterdomäne kann zu keinem anderen Azure Front Door (klassisch)-Profil hinzugefügt werden.
    • Unterdomänen der ersten Ebene der Platzhalterdomäne können keinem anderen Profil für Azure Front Door (klassisch) oder Azure Content Delivery Network-Profil hinzugefügt werden.
  • Wenn eine Unterdomäne einer Platzhalterdomäne bereits zu einem Azure Front Door (klassisch)- oder Azure Content Delivery Network-Profil hinzugefügt wurde, kann die Platzhalterdomäne für kein anderes Profil für Azure Front Door (klassisch) verwendet werden.
  • Wenn zwei Profile (Azure Front Door oder Azure Content Delivery Network) über verschiedene Unterdomänen einer Stammdomäne verfügen, können Platzhalterdomänen zu keinem der Profile hinzugefügt werden.

Zertifikatbindung

Um HTTPS-Datenverkehr für Ihre Platzhalterdomäne zu akzeptieren, müssen Sie HTTPS für die Platzhalterdomäne aktivieren. Die Zertifikatbindung für eine Platzhalterdomäne erfordert ein Platzhalterzertifikat. Der Antragstellername des Zertifikats sollte also ebenfalls die Platzhalterdomäne aufweisen.

Hinweis

Derzeit ist nur die Verwendung Ihrer eigenen benutzerdefinierten SSL-Zertifikatoption zum Aktivieren von HTTPS für Platzhalterdomänen verfügbar. Von Azure Front Door verwaltete Zertifikate können nicht für Platzhalterdomänen verwendet werden.

Sie können das Platzhalterzertifikat aus Azure Key Vault oder aus den über Azure Front Door verwalteten Zertifikaten für Unterdomänen verwenden.

Wenn eine Unterdomäne für eine Platzhalterdomäne hinzugefügt wird, der bereits ein Zertifikat zugeordnet ist, können Sie HTTPS für die Unterdomäne nicht deaktivieren. Die Unterdomäne verwendet die Zertifikatbindung für die Platzhalterdomäne, sofern sie nicht durch ein anderes Key Vault-Zertifikat oder ein über Azure Front Door verwaltetes Zertifikat außer Kraft gesetzt wird.

WAF-Richtlinien

WAF-Richtlinien können Platzhalterdomänen zugeordnet werden, wie es bei anderen Domänen der Fall ist. Eine andere WAF-Richtlinie kann auf eine Unterdomäne einer Platzhalterdomäne angewendet werden. Unterdomänen erben automatisch die WAF-Richtlinie von der Platzhalterdomäne, wenn der Unterdomäne keine explizite WAF-Richtlinie zugeordnet ist. Wenn die Unterdomäne jedoch einem anderen Profil als dem der Platzhalterdomäne hinzugefügt wird, kann die Unterdomäne nicht die WAF-Richtlinie erben, die der Platzhalterdomäne zugeordnet ist.

WAF-Richtlinien können Platzhalterdomänen zugeordnet werden, wie es bei anderen Domänen der Fall ist. Eine andere WAF-Richtlinie kann auf eine Unterdomäne einer Platzhalterdomäne angewendet werden. Für die Unterdomänen müssen Sie die zu verwendende WAF-Richtlinie auch dann angeben, wenn es sich um dieselbe Richtlinie wie bei der Platzhalterdomäne handelt. Unterdomänen erben nicht automatisch die WAF-Richtlinie der Platzhalterdomäne.

Wenn Sie nicht möchten, dass eine WAF-Richtlinie für eine Unterdomäne ausgeführt wird, können Sie eine leere WAF-Richtlinie ohne verwaltete oder benutzerdefinierte Regelsätze erstellen.

Routen

Beim Konfigurieren einer Route können Sie eine Platzhalterdomäne als Ursprung auswählen. Sie können für Platzhalterdomänen auch ein anderes Routingverhalten als für Unterdomänen festlegen. Azure Front Door wählt für die Domäne die spezifischste Übereinstimmung über verschiedene Routen hinweg aus. Weitere Informationen finden Sie unter Abgleichen von Anforderungen mit einer Routingregel.

Wichtig

Sie müssen über übereinstimmende Pfadmuster für Ihre Routen verfügen. Anderenfalls treten bei Ihren Clients Fehler auf.

Gehen wir beispielsweise von den beiden folgenden Routingregeln aus:

  • Route 1 („*.foo.com/*“ ist der Ursprungsgruppe A zugeordnet)
  • Route 2 („bar.foo.com/somePath/*“ ist der Ursprungsgruppe B zugeordnet): Wenn eine Anforderung für „bar.foo.com/anotherPath/*“ eingeht, wählt Azure Front Door die Route 2 basierend auf einer spezifischeren Domänenübereinstimmung aus, findet über die Routen hinweg aber keine übereinstimmenden Pfadmuster.

Routingregeln

Beim Konfigurieren einer Routingregel können Sie eine Platzhalterdomäne als Front-End-Host auswählen. Sie können für Platzhalterdomänen auch ein anderes Routingverhalten als für Unterdomänen festlegen. Azure Front Door wählt für die Domäne die spezifischste Übereinstimmung über verschiedene Routen hinweg aus. Weitere Informationen finden Sie unter Abgleichen von Anforderungen mit einer Routingregel.

Wichtig

Sie müssen über übereinstimmende Pfadmuster für Ihre Routen verfügen. Anderenfalls treten bei Ihren Clients Fehler auf.

Gehen wir beispielsweise von den beiden folgenden Routingregeln aus:

  • Route 1 („*.foo.com/*“ ist dem Back-End-Pool A zugeordnet)
  • Route 2 („bar.foo.com/somePath/*“ ist dem Back-End-Pool B zugeordnet): Wenn eine Anforderung für „bar.foo.com/anotherPath/*“ eingeht, wählt Azure Front Door die Route 2 basierend auf einer spezifischeren Domänenübereinstimmung aus, findet über die Routen hinweg aber keine übereinstimmenden Pfadmuster.

Nächste Schritte