Domain wildcard di Azure Front Door

  • Artikel

Penting

Azure Front Door (klasik) akan dihentikan pada 31 Maret 2027. Untuk menghindari gangguan layanan apa pun, penting untuk memigrasikan profil Azure Front Door (klasik) Anda ke Azure Front Door Standard atau tingkat Premium paling lambat Maret 2027. Untuk informasi selengkapnya, lihat Penghentian Azure Front Door (klasik).

Domain wildcard memungkinkan Azure Front Door menerima lalu lintas untuk subdomain domain tingkat atas apa pun. Contoh domain kartubebas adalah *.contoso.com.

Dengan menggunakan domain wildcard, Anda dapat menyederhanakan konfigurasi profil Azure Front Door Anda. Anda tidak perlu mengubah konfigurasi untuk menambahkan atau menentukan setiap subdomain secara terpisah. Misalnya, Anda dapat menentukan perutean untuk customer1.contoso.com, , dan customerN.contoso.com dengan menggunakan rute yang sama dan menambahkan domain *.contoso.comwildcard customer2.contoso.com.

Domain wildcard memberi Anda beberapa keuntungan, termasuk:

  • Anda tidak perlu onboarding setiap subdomain di profil Azure Front Door Anda. Misalnya, Anda membuat subdomain baru setiap pelanggan, dan merutekan semua permintaan pelanggan ke satu grup asal. Setiap kali Anda menambahkan pelanggan baru, Azure Front Door memahami cara merutekan lalu lintas ke grup asal Anda meskipun subdomain tidak dikonfigurasi secara eksplisit.
  • Anda tidak perlu membuat sertifikat Keamanan Lapisan Transportasi (TLS) baru, atau mengelola pengaturan HTTPS khusus subdomain apa pun, untuk mengikat sertifikat untuk setiap subdomain.
  • Anda dapat menggunakan kebijakan firewall aplikasi web tunggal (WAF) untuk semua subdomain Anda.

Umumnya, domain wildcard digunakan untuk mendukung solusi software as a service (SaaS), dan aplikasi multipenyewa lainnya. Saat Anda membangun jenis aplikasi ini, Anda perlu memberikan pertimbangan khusus tentang bagaimana Anda merutekan lalu lintas ke server asal Anda. Untuk informasi selengkapnya, lihat Menggunakan Azure Front Door dalam solusi multipenyewa.

Catatan

Saat Anda menggunakan Azure DNS untuk mengelola catatan DNS domain, Anda perlu mengonfigurasi domain wildcard dengan menggunakan Azure Resource Manager API, Bicep, PowerShell, dan Azure CLI. Dukungan untuk menambahkan dan mengelola domain wildcard Azure DNS di portal Azure tidak tersedia.

Menambahkan domain wildcard dan pengikatan sertifikat

Anda dapat menambahkan domain wildcard dengan langkah-langkah serupa untuk subdomain. Untuk informasi selengkapnya tentang menambahkan subdomain ke Azure Front Door, lihat Mengonfigurasi domain kustom di Azure Front Door menggunakan portal Azure.

Catatan

  • Azure DNS mendukung rekaman wildcard.
  • Anda tidak dapat menghapus menyeluruh cache Azure Front Door untuk domain wildcard. Anda harus menentukan subdomain saat membersihkan cache.

Untuk menerima lalu lintas HTTPS pada domain wildcard, Anda harus mengaktifkan HTTPS pada domain wildcard. Pengikatan sertifikat untuk domain wildcard memerlukan sertifikat wildcard. Artinya, nama subjek sertifikat juga harus memiliki domain wildcard.

Catatan

  • Saat ini, hanya menggunakan opsi sertifikat SSL kustom Anda sendiri yang tersedia untuk mengaktifkan HTTPS untuk domain wildcard. Sertifikat yang dikelola Azure Front Door tidak dapat digunakan untuk domain wildcard.
  • Anda dapat memilih untuk menggunakan sertifikat wildcard yang sama dari Azure Key Vault atau dari sertifikat yang dikelola Azure Front Door untuk subdomain.
  • Jika Anda ingin menambahkan subdomain domain wildcard yang sudah divalidasi di profil Azure Front Door Standard atau Premium, validasi domain akan disetujui secara otomatis.
  • Jika domain wildcard divalidasi dan sudah ditambahkan ke satu profil, subdomain tingkat tunggal masih dapat ditambahkan ke profil lain selama itu juga divalidasi.

Tentukan subdomain secara eksplisit

Anda dapat menambahkan sebanyak mungkin subdomain tingkat tunggal dari wildcard sesuka Anda. Misalnya, untuk domain *.contoso.comwildcard , Anda juga dapat menambahkan subdomain ke profil Azure Front Door Anda untuk image.contosto.com, cart.contoso.com, dan sebagainya. Konfigurasi yang Anda tentukan secara eksplisit untuk subdomain lebih diutamakan daripada konfigurasi domain wildcard.

Anda mungkin perlu secara eksplisit menambahkan subdomain dalam situasi ini:

  • Anda perlu menentukan rute yang berbeda untuk subdomain daripada domain lainnya (dari domain wildcard). Misalnya, pelanggan Anda mungkin menggunakan subdomain seperti customer1.contoso.com, , customer2.contoso.comdan sebagainya, dan subdomain ini semuanya harus dirutekan ke server aplikasi utama Anda. Namun, Anda mungkin juga ingin merutekan images.contoso.com ke kontainer blob Azure Storage.
  • Anda perlu menggunakan kebijakan WAF yang berbeda untuk subdomain tertentu.

Subdomain seperti www.image.contoso.com bukan subdomain tingkat tunggal dari *.contoso.com.

Menambahkan domain wildcard

Anda dapat menambahkan domain wildcard di bawah bagian untuk host atau domain front-end. Mirip dengan subdomain, Azure Front Door (klasik) memvalidasi bahwa ada pemetaan data CNAME untuk domain wildcard Anda. Pemetaan Sistem Nama Domain (DNS) ini bisa menjadi pemetaan catatan CNAME langsung seperti *.contoso.com yang dipetakan ke endpoint.azurefd.net. Atau Anda dapat menggunakan pemetaan sementara afdverify. Misalnya, afdverify.contoso.com dipetakan untuk afdverify.endpoint.azurefd.net memvalidasi peta data CNAME untuk wildcard.

Catatan

Azure DNS mendukung rekaman wildcard.

Anda dapat menambahkan sebanyak mungkin subdomain tingkat tunggal dari domain wildcard di host front-end, hingga batas host front-end. Fungsionalitas ini mungkin diperlukan untuk:

  • Menentukan rute yang berbeda untuk subdomain daripada domain lainnya (dari domain wildcard).

  • Memiliki kebijakan WAF yang berbeda untuk subdomain tertentu. Misalnya, *.contoso.com mengizinkan penambahan foo.contoso.com tanpa harus membuktikan kepemilikan domain lagi. Tetapi tidak mengizinkan foo.bar.contoso.com karena ini bukan subdomain tingkat tunggal dari *.contoso.com. Untuk menambahkan foo.bar.contoso.com tanpa validasi kepemilikan domain tambahan, *.bar.contoso.com perlu ditambahkan.

Anda dapat menambahkan domain wildcard dan subdomainnya dengan batasan tertentu:

  • Jika domain wildcard ditambahkan ke profil Azure Front Door (klasik):
    • Domain wildcard tidak dapat ditambahkan ke profil Azure Front Door (klasik) lainnya.
    • Subdomain tingkat pertama dari domain wildcard tidak dapat ditambahkan ke profil Azure Front Door (klasik) lain atau profil Jaringan Pengiriman Konten Azure.
  • Jika subdomain domain wildcard sudah ditambahkan ke profil Azure Front Door (klasik) atau profil Jaringan Pengiriman Konten Azure, domain wildcard tidak dapat digunakan untuk profil Azure Front Door (klasik) lainnya.
  • Jika dua profil (Azure Front Door atau Azure Content Delivery Network) memiliki berbagai subdomain domain root, domain wildcard tidak dapat ditambahkan ke salah satu profil.

Pengikatan sertifikat

Untuk menerima lalu lintas HTTPS pada domain wildcard, Anda harus mengaktifkan HTTPS pada domain wildcard. Pengikatan sertifikat untuk domain wildcard memerlukan sertifikat wildcard. Artinya, nama subjek sertifikat juga harus memiliki domain wildcard.

Catatan

Saat ini, hanya menggunakan opsi sertifikat SSL kustom Anda sendiri yang tersedia untuk mengaktifkan HTTPS untuk domain wildcard. Sertifikat yang dikelola Azure Front Door tidak dapat digunakan untuk domain wildcard.

Anda dapat memilih untuk menggunakan sertifikat wildcard yang sama dari Azure Key Vault atau dari sertifikat yang dikelola Azure Front Door untuk subdomain.

Jika subdomain ditambahkan untuk domain wildcard yang sudah memiliki sertifikat yang terkait dengannya, Anda tidak dapat menonaktifkan HTTPS untuk subdomain. Subdomain menggunakan pengikatan sertifikat untuk domain wildcard, kecuali sertifikat yang dikelola Key Vault atau Azure Front Door yang berbeda akan mengambil alihnya.

Kebijakan WAF

Kebijakan WAF dapat dilampirkan ke domain wildcard, mirip dengan domain lainnya. Kebijakan WAF yang berbeda dapat diterapkan ke subdomain domain wildcard. Subdomain secara otomatis mewarisi kebijakan WAF dari domain wildcard jika tidak ada kebijakan WAF eksplisit yang terkait dengan subdomain. Namun, jika subdomain ditambahkan ke profil yang berbeda dari profil domain wildcard, subdomain tidak dapat mewarisi kebijakan WAF yang terkait dengan domain wildcard.

Kebijakan WAF dapat dilampirkan ke domain wildcard, mirip dengan domain lainnya. Kebijakan WAF yang berbeda dapat diterapkan ke subdomain domain wildcard. Untuk subdomain, Anda harus menentukan kebijakan WAF yang akan digunakan meskipun kebijakannya sama dengan domain wildcard. Subdomain tidak secara otomatis mewarisi kebijakan WAF dari domain karakter pengganti.

Jika Anda tidak ingin kebijakan WAF dijalankan untuk subdomain, Anda dapat membuat kebijakan WAF kosong tanpa aturan terkelola atau kustom.

Rute

Saat mengonfigurasi rute, Anda dapat memilih domain wildcard sebagai asal. Anda juga dapat memiliki perilaku rute yang berbeda untuk domain dan subdomain wildcard. Azure Front Door memilih kecocokan paling spesifik untuk domain di berbagai rute. Untuk informasi selengkapnya, lihat Bagaimana permintaan dicocokkan dengan aturan perutean.

Penting

Anda harus memiliki pola jalur yang cocok di seluruh rute Anda, atau klien Anda akan melihat kegagalan.

Misalnya, Anda memiliki dua aturan perutean:

  • Rute 1 (*.foo.com/* dipetakan ke grup asal A)
  • Rute 2 (bar.foo.com/somePath/* dipetakan ke grup asal B) Jika permintaan tiba untuk bar.foo.com/anotherPath/*, Azure Front Door memilih rute 2 berdasarkan kecocokan domain yang lebih spesifik, hanya untuk tidak menemukan pola jalur yang cocok di seluruh rute.

Aturan perutean

Saat mengonfigurasi aturan perutean, Anda dapat memilih domain wildcard sebagai host front-end. Anda juga dapat memiliki perilaku rute yang berbeda untuk domain dan subdomain wildcard. Azure Front Door memilih kecocokan paling spesifik untuk domain di berbagai rute. Untuk informasi selengkapnya, lihat Bagaimana permintaan dicocokkan dengan aturan perutean.

Penting

Anda harus memiliki pola jalur yang cocok di seluruh rute Anda, atau klien Anda akan melihat kegagalan.

Misalnya, Anda memiliki dua aturan perutean:

  • Rute 1 (*.foo.com/* dipetakan ke kumpulan backend A)
  • Rute 2 (bar.foo.com/somePath/* dipetakan ke kumpulan backend B) Jika permintaan tiba untuk bar.foo.com/anotherPath/*, Azure Front Door memilih rute 2 berdasarkan kecocokan domain yang lebih spesifik, hanya untuk tidak menemukan pola jalur yang cocok di seluruh rute.

Langkah berikutnya