Helyettesítő karakterek tartományai az Azure Front Doorban

  • Cikk

Fontos

Az Azure Front Door (klasszikus) 2027. március 31-én megszűnik. A szolgáltatáskimaradás elkerülése érdekében fontos, hogy az Azure Front Door (klasszikus) profiljait 2027 márciusára migrálja az Azure Front Door Standard vagy Prémium szintre. További információkért lásd az Azure Front Door (klasszikus) kivonását.

A helyettesítő tartományok lehetővé teszik, hogy az Azure Front Door a legfelső szintű tartományok bármely altartományára irányuló forgalmat fogadjon. Ilyen például a helyettesítő karakterek tartománya *.contoso.com.

Helyettesítő tartományok használatával egyszerűsítheti az Azure Front Door-profil konfigurálását. Nem kell módosítania a konfigurációt az egyes altartományok külön-külön történő hozzáadásához vagy megadásához. Definiálhatja például az útválasztást customer1.contoso.coma , customer2.contoso.comés customerN.contoso.com ugyanazzal az útvonallal, és hozzáadhatja a helyettesítő karaktereket tartalmazó tartományt *.contoso.com.

A helyettesítő karaktereket tartalmazó tartományok számos előnnyel járnak, például:

  • Nem kell minden altartományt előkészítenie az Azure Front Door-profiljában. Tegyük fel például, hogy minden ügyfél új altartományokat hoz létre, és az ügyfelek összes kérését egyetlen forráscsoportba irányítja. Amikor új ügyfelet ad hozzá, az Azure Front Door megérti, hogyan irányíthatja a forgalmat a forráscsoporthoz annak ellenére, hogy az altartomány nincs explicit módon konfigurálva.
  • Az egyes altartományok tanúsítványának kötéséhez nem kell új transport layer security (TLS) tanúsítványt létrehoznia, és nem kell kezelnie az altartomány-specifikus HTTPS-beállításokat.
  • Egyetlen webalkalmazási tűzfalszabályzatot (WAF) használhat az összes altartományhoz.

A helyettesítő tartományokat gyakran használják a szolgáltatásként nyújtott szoftveres megoldások (SaaS) és más több-bérlős alkalmazások támogatására. Az ilyen alkalmazástípusok létrehozásakor különös figyelmet kell fordítania arra, hogyan irányítja a forgalmat a forráskiszolgálókra. További információ: Az Azure Front Door használata több-bérlős megoldásban.

Feljegyzés

Amikor az Azure DNS használatával kezeli a tartomány DNS-rekordjait, helyettesítő tartományokat kell konfigurálnia az Azure Resource Manager API, a Bicep, a PowerShell és az Azure CLI használatával. Nem érhető el az Azure DNS helyettesítő karakteres tartományainak hozzáadása és kezelése az Azure Portalon.

Helyettesítő karakteres tartomány és tanúsítványkötés hozzáadása

Helyettesítő karaktereket tartalmazó tartományt az altartományokhoz hasonló lépéseket követve vehet fel. További információ az altartomány Azure Front Doorhoz való hozzáadásáról: Egyéni tartomány konfigurálása az Azure Front Dooron az Azure Portal használatával.

Feljegyzés

  • Az Azure DNS helyettesítő rekordok használatát is támogatja.
  • Az Azure Front Door gyorsítótára nem törölhető helyettesítő karakterekből. A gyorsítótár kiürítésekor meg kell adnia egy altartományt.

Ahhoz, hogy a helyettesítő tartomány HTTPS-forgalmát elfogadhassa, engedélyeznie kell a HTTPS-t a helyettesítő tartományban. Egy helyettesítő tartomány tanúsítványkötéséhez helyettesítő tanúsítványra van szükség. Vagyis a tanúsítvány tulajdonosának a helyettesítő karakterek tartományával is rendelkeznie kell.

Feljegyzés

  • Jelenleg csak a saját egyéni SSL-tanúsítványbeállítás használata érhető el a HTTPS helyettesítő karakterekhez való engedélyezéséhez. Az Azure Front Door által felügyelt tanúsítványok nem használhatók helyettesítő karaktereket tartalmazó tartományokhoz.
  • Választhatja, hogy ugyanazt a helyettesítő tanúsítványt használja az Azure Key Vaultból vagy az Azure Front Door által felügyelt tanúsítványokból altartományokhoz.
  • Ha az Azure Front Door Standard vagy Prémium profilban már érvényesített helyettesítő tartomány altartományát szeretné hozzáadni, a tartományérvényesítés automatikusan jóvá lesz hagyva.
  • Ha egy helyettesítő karakteres tartomány érvényesítve van, és már hozzá van adva egy profilhoz, egy egyszintű altartomány továbbra is hozzáadható egy másik profilhoz, ha az is érvényesítve van.

Altartomány explicit definiálása

Tetszőleges számú egyszintű altartományt adhat hozzá a helyettesítő karakterhez. A helyettesítő karakterek tartománya *.contoso.comesetében például altartományokat is hozzáadhat az Azure Front Door-profilhoz image.contosto.com, cart.contoso.comés így tovább. Az altartományhoz explicit módon megadott konfiguráció elsőbbséget élvez a helyettesítő karakterek tartományának konfigurációja felett.

Előfordulhat, hogy kifejezetten fel kell vennie az altartományokat az alábbi helyzetekben:

  • Más útvonalat kell definiálnia egy altartományhoz, mint a többi tartományhoz (a helyettesítő karakterek tartományából). Előfordulhat például, hogy az ügyfelek olyan altartományokat használnak, mint customer1.contoso.coma , customer2.contoso.comés így tovább, és ezeket az altartományokat mind a fő alkalmazáskiszolgálókra kell irányítani. Előfordulhat azonban, hogy egy Azure Storage-blobtárolóhoz is szeretne átirányítani images.contoso.com .
  • Egy adott altartományhoz egy másik WAF-szabályzatot kell használnia.

Az altartományok például www.image.contoso.com nem egyszintű altartományai.*.contoso.com

Helyettesítő karaktereket tartalmazó tartományok hozzáadása

Helyettesítő karaktereket tartalmazó tartományt az előtérbeli gazdagépek vagy tartományok szakaszában adhat hozzá. Az altartományokhoz hasonlóan az Azure Front Door (klasszikus) ellenőrzi, hogy van-e CNAME rekordleképezés a helyettesítő karakterek tartományához. Ez a tartománynévrendszer (DNS) leképezése lehet közvetlen CNAME rekordleképezés, például *.contoso.com a megfeleltetés.endpoint.azurefd.net Vagy használhatja az afdverify ideiglenes leképezést is. Például afdverify.contoso.com a helyettesítő karakter CNAME rekordtérképének ellenőrzésére van megfeleltetve afdverify.endpoint.azurefd.net .

Feljegyzés

Az Azure DNS helyettesítő rekordok használatát is támogatja.

Az előtér-gazdagépeken a helyettesítő karakterek tartományának tetszőleges számú egyszintű altartományát hozzáadhatja az előtér-gazdagépek korlátig. Ez a funkció a következő esetekben lehet szükséges:

  • Más útvonal definiálása egy altartományhoz, mint a többi tartományhoz (a helyettesítő tartományból).

  • Eltérő WAF-szabályzattal rendelkezik egy adott altartományhoz. Például lehetővé teszi a hozzáadást foo.contoso.com anélkül, *.contoso.com hogy ismét bizonyítania kellene a tartomány tulajdonjogát. De ez nem teszi lehetővé foo.bar.contoso.com , mert nem egy szint altartománya *.contoso.com. A tartomány tulajdonjogának további érvényesítése *.bar.contoso.com nélkül történő hozzáadásához foo.bar.contoso.com hozzá kell adni.

Bizonyos korlátozásokkal helyettesítő tartományokat és altartományokat adhat hozzá:

  • Ha helyettesítő tartományt ad hozzá egy (klasszikus) Azure Front Door-profilhoz:
    • A helyettesítő karakteres tartomány nem adható hozzá más (klasszikus) Azure Front Door-profilhoz.
    • A helyettesítő tartomány első szintű altartományai nem vehetők fel egy másik Azure Front Door-profilba (klasszikus) vagy Egy Azure Content Delivery Network-profilba.
  • Ha egy helyettesítő tartomány altartománya már hozzá van adva egy Azure Front Door-profilhoz (klasszikus) vagy egy Azure Content Delivery Network-profilhoz, a helyettesítő tartomány nem használható más Azure Front Door-profilokhoz (klasszikus).
  • Ha két profil (az Azure Front Door vagy az Azure Content Delivery Network) egy gyökértartomány különböző altartományával rendelkezik, akkor a helyettesítő tartományok nem vehetők fel egyik profilhoz sem.

Tanúsítványkötés

Ahhoz, hogy a helyettesítő tartomány HTTPS-forgalmát elfogadhassa, engedélyeznie kell a HTTPS-t a helyettesítő tartományban. Egy helyettesítő tartomány tanúsítványkötéséhez helyettesítő tanúsítványra van szükség. Vagyis a tanúsítvány tulajdonosának a helyettesítő karakterek tartományával is rendelkeznie kell.

Feljegyzés

Jelenleg csak a saját egyéni SSL-tanúsítványbeállítás használata érhető el a HTTPS helyettesítő karakterekhez való engedélyezéséhez. Az Azure Front Door által felügyelt tanúsítványok nem használhatók helyettesítő karaktereket tartalmazó tartományokhoz.

Választhatja, hogy ugyanazt a helyettesítő tanúsítványt használja az Azure Key Vaultból vagy az Azure Front Door által felügyelt tanúsítványokból altartományokhoz.

Ha olyan helyettesítő tartományhoz ad hozzá altartományt, amelyhez már van társítva tanúsítvány, akkor nem tilthatja le a HTTPS-t az altartományban. Az altartomány a helyettesítő karakterek tartományához tartozó tanúsítványkötést használja, kivéve, ha egy másik Key Vault- vagy Azure Front Door-felügyelt tanúsítvány felülírja azt.

WAF-szabályzatok

A WAF-szabályzatok más tartományokhoz hasonlóan helyettesítő tartományokhoz is csatolhatók. Egy helyettesítő karakteres tartomány altartományára egy másik WAF-szabályzat alkalmazható. Az altartományok automatikusan öröklik a WAF-szabályzatot a helyettesítő karakterek tartományából, ha nincs explicit WAF-szabályzat társítva az altartományhoz. Ha azonban az altartomány a helyettesítő karakteres tartományprofiltól eltérő profilhoz van hozzáadva, az altartomány nem örökölheti a helyettesítő tartományhoz társított WAF-szabályzatot.

A WAF-szabályzatok más tartományokhoz hasonlóan helyettesítő tartományokhoz is csatolhatók. Egy helyettesítő karakteres tartomány altartományára egy másik WAF-szabályzat alkalmazható. Az altartományok esetében meg kell adnia a használni kívánt WAF-házirendet, még akkor is, ha ugyanaz a szabályzat, mint a helyettesítő karakterek tartománya. Az altartományok nem öröklik automatikusan a WAF-szabályzatot a helyettesítő karakterek tartományából.

Ha nem szeretné, hogy egy WAF-szabályzat altartományhoz fusson, létrehozhat egy üres WAF-szabályzatot felügyelt vagy egyéni szabálykészletek nélkül.

Útvonalak

Az útvonal konfigurálásakor kiválaszthat egy helyettesítő tartományt forrásként. A helyettesítő karakterek és altartományok útvonalának viselkedése is eltérő lehet. Az Azure Front Door a tartomány legspecifikusabb egyezését választja ki különböző útvonalakon. További információ: A kérések útválasztási szabályhoz való egyeztetése.

Fontos

Az útvonalakon egyező elérésiút-mintákkal kell rendelkeznie, vagy az ügyfelek hibákat fognak látni.

Tegyük fel például, hogy két útválasztási szabálya van:

  • 1. útvonal (*.foo.com/* az A forráscsoportra van leképezve)
  • 2. útvonal (bar.foo.com/somePath/* a B forráscsoportra van leképezve) Ha egy kérés érkezik bar.foo.com/anotherPath/*, az Azure Front Door a 2. útvonalat választja ki egy konkrétabb tartományegyezés alapján, csak hogy ne találjon egyező útvonalmintákat az útvonalakon.

Útválasztási szabályok

Útválasztási szabály konfigurálásakor helyettesítő tartományt választhat előtér-gazdagépként. A helyettesítő karakterek és altartományok útvonalának viselkedése is eltérő lehet. Az Azure Front Door a tartomány legspecifikusabb egyezését választja ki különböző útvonalakon. További információ: A kérések útválasztási szabályhoz való egyeztetése.

Fontos

Az útvonalakon egyező elérésiút-mintákkal kell rendelkeznie, vagy az ügyfelek hibákat fognak látni.

Tegyük fel például, hogy két útválasztási szabálya van:

  • 1. útvonal (*.foo.com/* az A háttérkészlethez van hozzárendelve)
  • 2. útvonal (bar.foo.com/somePath/* a B háttérkészletre van leképezve) Ha egy kérés érkezik bar.foo.com/anotherPath/*, az Azure Front Door a 2. útvonalat választja ki egy konkrétabb tartományegyezés alapján, csak hogy ne találjon egyező útvonalmintákat az útvonalakon.

Következő lépések