Dominios con caracteres comodín en Azure Front Door

  • Artículo

Importante

Azure Front Door (clásico) se retirará el 31 de marzo de 2027. Para evitar cualquier interrupción del servicio, es importante migrar los perfiles de Azure Front Door (clásico) al nivel Estándar o Premium de Azure Front Door para marzo de 2027. Para obtener más información, consulte retirada de Azure Front Door (clásico).

Los dominios con caracteres comodín permiten a Azure Front Door recibir tráfico de cualquier subdominio de un dominio de nivel superior. Un ejemplo de dominio con carácter comodín es *.contoso.com.

Mediante el uso de dominios con caracteres comodín, puede simplificar la configuración de su perfil Azure Front Door. No es necesario modificar la configuración para agregar o especificar cada subdominio por separado. Por ejemplo, puede definir el enrutamiento para customer1.contoso.com, customer2.contoso.com y customerN.contoso.com con la misma ruta y agregando el dominio con caracteres comodín *.contoso.com.

Los dominios con caracteres comodín le ofrecen varias ventajas, entre ellas:

  • No es necesario que incorpore cada subdominio en su perfil de Azure Front Door. Por ejemplo, supongamos que crea nuevos subdominios para cada cliente y enruta las solicitudes de todos los clientes a un único grupo de origen. Siempre que agregue un nuevo cliente, Azure Front Door entiende cómo enrutar el tráfico al grupo de origen aunque el subdominio no se haya configurado explícitamente.
  • No es necesario generar un nuevo certificado de Seguridad de la capa de transporte (TLS) ni administrar ninguna configuración HTTPS específica del subdominio para enlazar un certificado para cada subdominio.
  • Puede usar una única directiva de firewall de aplicaciones web (WAF) para todos los subdominios.

Normalmente, los dominios con carácter comodín se usan para admitir soluciones de software como servicio (SaaS) y otras aplicaciones multiinquilino. Al compilar estos tipos de aplicación, deberá prestar especial atención a la forma de enrutar el tráfico a sus servidores de origen. Para más información, consulte Uso de Azure Front Door en una solución multiinquilino.

Nota

Al usar Azure DNS para administrar los registros DNS del dominio, debe configurar los dominios con carácter comodín mediante la API de Azure Resource Manager, Bicep, PowerShell y la CLI de Azure. La compatibilidad para agregar y administrar dominios con caracteres comodín de Azure DNS en Azure Portal no está disponible.

Agregar un dominio comodín y un enlace de certificado

Puede agregar un dominio con carácter comodín siguiendo pasos similares a los de los subdominios. Para más información sobre cómo agregar un subdominio a Azure Front Door, consulte Configuración de un dominio personalizado en Azure Front Door mediante Azure Portal.

Nota

  • Azure DNS admite registros con caracteres comodín.
  • No se puede purgar la caché de Azure Front Door para un dominio con caracteres comodín. Debe especificar un subdominio al purgar la memoria caché.

Para aceptar el tráfico HTTPS en el dominio con caracteres comodín, debe habilitar HTTPS en ese dominio. El enlace de certificado para un dominio con caracteres comodín requiere un certificado comodín. Es decir, el nombre del sujeto del certificado también debe tener el dominio con caracteres comodín.

Nota

  • Actualmente, solo está disponible la opción de usar su propio certificado SSL personalizado para habilitar HTTPS para dominios con caracteres comodín. Los certificados administrados de Azure Front Door no se pueden usar para dominios con caracteres comodín.
  • También se puede usar el mismo certificado comodín de Azure Key Vault o los certificados administrados de Azure Front Door para los subdominios.
  • Si desea agregar un subdominio del dominio con caracteres comodín que ya está validado en el perfil estándar o premium de Azure Front Door, la validación del dominio se aprueba automáticamente.
  • Si se valida un dominio con caracteres comodín y ya se ha agregado a un perfil, se puede agregar un subdominio de un solo nivel a otro perfil siempre que también se valide.

Definir un subdominio explícitamente

Puede agregar tantos subdominios de un solo nivel del dominio del carácter comodín como desee. Por ejemplo, para el dominio con carácter comodín *.contoso.com, también puede agregar subdominios al perfil de Azure Front Door para image.contosto.com, cart.contoso.com y así sucesivamente. La configuración que especifique explícitamente para el subdominio tiene prioridad sobre la configuración del dominio con carácter comodín.

Es posible que tenga que agregar subdominios explícitamente en estas situaciones:

  • Es necesario definir para un subdominio una ruta diferente a la del resto de dominios (desde el dominio con carácter comodín). Por ejemplo, sus clientes pueden usar subdominios como customer1.contoso.com, customer2.contoso.com, y demás, y estos subdominios deben enrutarse a los servidores de aplicaciones principales. Sin embargo, es posible que también quiera enrutar images.contoso.com a un contenedor de blob de Azure Storage.
  • Tener una directiva de WAF diferente para un subdominio específico.

Los subdominios como www.image.contoso.com no son un subdominio de un solo nivel de *.contoso.com.

Incorporación de dominios con caracteres comodín

Puede agregar un dominio con caracteres comodín en la sección de hosts de front-end o dominios. Al igual que con los subdominios, Azure Front Door (clásico) valida que haya una asignación de registro CNAME para el dominio con caracteres comodín. Esta asignación del Sistema de nombres de dominio (DNS) puede ser una asignación directa de registros CNAME como *.contoso.com asignada a endpoint.azurefd.net. O bien, puede usar la asignación temporal afdverify. Por ejemplo, afdverify.contoso.com asignado a afdverify.endpoint.azurefd.net valida la asignación de registro CNAME para el carácter comodín.

Nota

Azure DNS admite registros con caracteres comodín.

Puede agregar todos los subdominios de un solo nivel del dominio con caracteres comodín que quiera en los hosts de front-end, hasta el límite para los hosts de front-end. Esta funcionalidad podría ser necesaria para:

  • Definir una ruta para un subdominio diferente del resto de los dominios (a partir del dominio comodín).

  • Tener una directiva de WAF diferente para un subdominio específico. Por ejemplo, *.contoso.com permite agregar foo.contoso.com sin necesidad de volver a probar la propiedad del dominio. Pero no permite foo.bar.contoso.com porque no es un subdominio de nivel único de *.contoso.com. Para agregar foo.bar.contoso.com sin la validación extra de la propiedad del dominio, se debe agregar *.bar.contoso.com.

Puede agregar dominios con caracteres comodín y sus subdominios con ciertas limitaciones:

  • Si se agrega un dominio con caracteres comodín a un perfil de Azure Front Door (clásico):
    • El dominio con caracteres comodín no se puede agregar a un perfil de Azure Front Door (clásico).
    • Los subdominios del primer nivel del dominio con caracteres comodín no se pueden agregar a otro perfil de Azure Front Door (clásico) o a un perfil de Azure Content Delivery Network.
  • Si ya se ha agregado un subdominio de un dominio con caracteres comodín a un perfil de Azure Front Door (clásico) o de Azure Content Delivery Network, el dominio con caracteres comodín no se podrá usar para otro perfil de Azure Front Door.
  • Si dos perfiles (de Azure Front Door o de Azure Content Delivery Network) tienen varios subdominios de un dominio raíz, no se pueden agregar dominios con caracteres comodín a ninguno de los perfiles.

Enlace de certificado

Para aceptar el tráfico HTTPS en el dominio con caracteres comodín, debe habilitar HTTPS en ese dominio. El enlace de certificado para un dominio con caracteres comodín requiere un certificado comodín. Es decir, el nombre del sujeto del certificado también debe tener el dominio con caracteres comodín.

Nota

Actualmente, solo está disponible la opción de usar su propio certificado SSL personalizado para habilitar HTTPS para dominios con caracteres comodín. Los certificados administrados de Azure Front Door no se pueden usar para dominios con caracteres comodín.

También se puede usar el mismo certificado comodín de Azure Key Vault o los certificados administrados de Azure Front Door para los subdominios.

Si se agrega un subdominio para un dominio con caracteres comodín que ya tiene un certificado asociado, no se puede deshabilitar HTTPS para el subdominio. El subdominio usa el enlace de certificado para el dominio con caracteres comodín, a menos que otro certificado administrado de Key Vault o de Azure Front Door lo invalide.

Directivas de WAF

Las directivas de WAF se pueden adjuntar a dominios con caracteres comodín, de manera similar que a otros dominios. Se puede aplicar una directiva de WAF diferente a un subdominio de un dominio con caracteres comodín. Los subdominios heredan automáticamente la directiva WAF del dominio con caracteres comodín si no hay ninguna directiva WAF explícita asociada al subdominio. Sin embargo, si el subdominio se agrega a un perfil diferente del perfil de dominio con caracteres comodín, el subdominio no puede heredar la directiva WAF asociada al dominio con caracteres comodín.

Las directivas de WAF se pueden adjuntar a dominios con caracteres comodín, de manera similar que a otros dominios. Se puede aplicar una directiva de WAF diferente a un subdominio de un dominio con caracteres comodín. En el caso de los subdominios, debe especificar la directiva de WAF que se va a usar, incluso si se trata de la misma directiva que para el dominio con caracteres comodín. Los subdominios no heredan automáticamente la directiva de WAF del dominio con caracteres comodín.

Si no quiere que una directiva de WAF se ejecute para un subdominio, puede crear una directiva de WAF vacía sin conjuntos de reglas personalizadas o administradas.

Rutas

Al configurar un enrutamiento, puede seleccionar un dominio con caracteres comodín como origen. También puede disponer de un comportamiento de enrutamiento diferente para los dominios y subdominios con caracteres comodín. Azure Front Door selecciona la coincidencia más específica para el dominio a través de diferentes rutas. Para obtener más información, consulte Cómo se coinciden las solicitudes con una regla de enrutamiento.

Importante

Debe tener patrones de ruta de acceso coincidentes en sus enrutamientos o sus clientes recibirán errores.

Por ejemplo, supongamos que tiene dos reglas de enrutamiento:

  • Ruta 1 (*.foo.com/* asignada al grupo de origen A)
  • Ruta 2 (bar.foo.com/somePath/* asignada al grupo de origen B) Si llega una solicitud para bar.foo.com/anotherPath/*, Azure Front Door seleccione la ruta 2 en función de una coincidencia de dominio más específica, solo para buscar patrones de ruta de acceso coincidentes en las rutas.

Reglas de enrutamiento

Al configurar una regla de enrutamiento, puede seleccionar un dominio con caracteres comodín como host de front-end. También puede disponer de un comportamiento de enrutamiento diferente para los dominios y subdominios con caracteres comodín. Azure Front Door selecciona la coincidencia más específica para el dominio a través de diferentes rutas. Para obtener más información, consulte Cómo se coinciden las solicitudes con una regla de enrutamiento.

Importante

Debe tener patrones de ruta de acceso coincidentes en sus enrutamientos o sus clientes recibirán errores.

Por ejemplo, supongamos que tiene dos reglas de enrutamiento:

  • Ruta 1 (*.foo.com/* asignada al grupo de backend A)
  • Ruta 2 (bar.foo.com/somePath/* asignada al grupo de origen B) Si llega una solicitud para bar.foo.com/anotherPath/*, Azure Front Door selecciona la ruta 2 en función de una coincidencia de dominio más específica, solo para buscar patrones de ruta de acceso coincidentes en las rutas.

Pasos siguientes