Jokertekendomeinen in Azure Front Door

Belangrijk

Azure Front Door (klassiek) wordt op 31 maart 2027 buiten gebruik gesteld. Om serviceonderbrekingen te voorkomen, is het belangrijk dat u uw Azure Front Door-profielen (klassiek) tegen maart 2027 migreert naar de Azure Front Door Standard- of Premium-laag. Zie De buitengebruikstelling van Azure Front Door (klassiek) voor meer informatie.

Met jokertekendomeinen kan Azure Front Door verkeer ontvangen voor elk subdomein van een domein op het hoogste niveau. Een voorbeeld van een jokertekendomein is *.contoso.com.

Met behulp van jokertekendomeinen kunt u de configuratie van uw Azure Front Door-profiel vereenvoudigen. U hoeft de configuratie niet te wijzigen om elk subdomein afzonderlijk toe te voegen of op te geven. U kunt bijvoorbeeld de routering voor customer1.contoso.com, customer2.contoso.comen customerN.contoso.com met behulp van dezelfde route definiëren en het domein met jokertekens *.contoso.comtoevoegen.

Jokertekendomeinen bieden u verschillende voordelen, waaronder:

• U hoeft niet elk subdomein in uw Azure Front Door-profiel te onboarden. Stel dat u elke klant nieuwe subdomeinen maakt en alle aanvragen van alle klanten doorsturen naar één oorspronkelijke groep. Wanneer u een nieuwe klant toevoegt, begrijpt Azure Front Door hoe verkeer naar uw oorspronkelijke groep moet worden gerouteerd, ook al is het subdomein niet expliciet geconfigureerd.
• U hoeft geen nieuw TLS-certificaat (Transport Layer Security) te genereren of een subdomeinspecifieke HTTPS-instellingen te beheren om een certificaat voor elk subdomein te binden.
• U kunt één WAF-beleid (Web Application Firewall) gebruiken voor al uw subdomeinen.

Meestal worden jokertekendomeinen gebruikt ter ondersteuning van SaaS-oplossingen (Software as a Service) en andere multitenant-toepassingen. Wanneer u deze toepassingstypen bouwt, moet u speciale aandacht besteden aan hoe u verkeer routeert naar uw oorspronkelijke servers. Zie Azure Front Door gebruiken in een multitenant-oplossing voor meer informatie.

Notitie

Wanneer u Azure DNS gebruikt om de DNS-records van uw domein te beheren, moet u jokertekendomeinen configureren met behulp van de Azure Resource Manager-API, Bicep, PowerShell en de Azure CLI. Ondersteuning voor het toevoegen en beheren van Azure DNS-jokertekendomeinen in Azure Portal is niet beschikbaar.

Een domein en certificaatbinding met jokertekens toevoegen

U kunt een jokertekendomein toevoegen aan de volgende stappen voor subdomeinen. Zie Een aangepast domein configureren in Azure Front Door met behulp van Azure Portal voor meer informatie over het toevoegen van een subdomein aan Azure Front Door.

Notitie

• Azure DNS ondersteunt recordsets met jokertekens.
• U kunt de Azure Front Door-cache niet leegmaken voor een domein met jokertekens. U moet een subdomein opgeven bij het opschonen van de cache.

Voor het accepteren van HTTPS-verkeer op uw domein met jokertekens moet u HTTPS inschakelen voor het domein met jokertekens. Voor de certificaatbinding voor een domein met jokertekens is een jokertekencertificaat vereist. Dat wil gezegd, de onderwerpnaam van het certificaat moet ook het domein met jokertekens hebben.

Notitie

• Momenteel is alleen het gebruik van uw eigen aangepaste SSL-certificaatoptie beschikbaar voor het inschakelen van HTTPS voor jokertekendomeinen. Beheerde Azure Front Door-certificaten kunnen niet worden gebruikt voor jokertekendomeinen.
• U kunt ervoor kiezen om hetzelfde jokertekencertificaat te gebruiken in Azure Key Vault of vanuit door Azure Front Door beheerde certificaten voor subdomeinen.
• Als u een subdomein wilt toevoegen van het jokertekendomein dat al is gevalideerd in het Azure Front Door Standard- of Premium-profiel, wordt de domeinvalidatie automatisch goedgekeurd.
• Als een domein met jokertekens is gevalideerd en al aan één profiel is toegevoegd, kan er nog steeds een subdomein met één niveau worden toegevoegd aan een ander profiel zolang het ook wordt gevalideerd.

Een subdomein expliciet definiëren

U kunt zoveel subdomeinen op één niveau van het jokerteken toevoegen als u wilt. Voor het domein *.contoso.commet jokertekens kunt u bijvoorbeeld ook subdomeinen toevoegen aan uw Azure Front Door-profiel voor image.contosto.com, cart.contoso.comenzovoort. De configuratie die u expliciet opgeeft voor het subdomein heeft voorrang op de configuratie van het domein met jokertekens.

Mogelijk moet u in deze situaties expliciet subdomeinen toevoegen:

• U moet een andere route voor een subdomein definiëren dan de rest van de domeinen (van het domein met jokertekens). Uw klanten kunnen bijvoorbeeld subdomeinen zoals customer1.contoso.com, customer2.contoso.comenzovoort gebruiken, en deze subdomeinen moeten allemaal worden doorgestuurd naar uw hoofdtoepassingsservers. Mogelijk wilt u echter ook routeren images.contoso.com naar een Azure Storage-blobcontainer.
• U moet een ander WAF-beleid gebruiken voor een specifiek subdomein.

Subdomeinen zijn www.image.contoso.com geen subdomein met één niveau van *.contoso.com.

Jokertekendomeinen toevoegen

U kunt een domein met jokertekens toevoegen onder de sectie voor front-endhosts of domeinen. Net als bij subdomeinen valideert Azure Front Door (klassiek) dat er CNAME-recordtoewijzing is voor uw domein met jokertekens. Deze DNS-toewijzing (Domain Name System) kan een directe CNAME-recordtoewijzing zijn, zoals *.contoso.com toegewezen aan endpoint.azurefd.net. Of u kunt tijdelijke toewijzing afdverify gebruiken. Bijvoorbeeld toegewezen afdverify.contoso.com om de CNAME-recordtoewijzing voor het jokerteken te afdverify.endpoint.azurefd.net valideren.

Notitie

Azure DNS ondersteunt recordsets met jokertekens.

U kunt zoveel subdomeinen op één niveau van het domein met jokertekens toevoegen aan front-endhosts, tot aan de limiet van de front-endhosts. Deze functionaliteit is mogelijk vereist voor:

• Een andere route definiëren voor een subdomein dan de rest van de domeinen (van het domein met jokertekens).

• Een ander WAF-beleid voor een specifiek subdomein hebben. U kunt bijvoorbeeld *.contoso.com toevoegen foo.contoso.com zonder dat u opnieuw het eigendom van het domein hoeft te bewijzen. Maar het staat niet toe foo.bar.contoso.com omdat het geen subdomein op één niveau is van *.contoso.com. Als u wilt toevoegen foo.bar.contoso.com zonder extra validatie van domeineigendom, *.bar.contoso.com moet u deze toevoegen.

U kunt jokertekendomeinen en hun subdomeinen toevoegen met bepaalde beperkingen:

• Als een jokertekendomein wordt toegevoegd aan een Azure Front Door-profiel (klassiek):
  • Het jokertekendomein kan niet worden toegevoegd aan een ander Azure Front Door-profiel (klassiek).
  • Subdomeinen op het eerste niveau van het jokertekendomein kunnen niet worden toegevoegd aan een ander Azure Front Door-profiel (klassiek) of een Azure Content Delivery Network-profiel.
• Als een subdomein van een domein met jokertekens al is toegevoegd aan een Azure Front Door-profiel (klassiek) of een Azure Content Delivery Network-profiel, kan het jokertekendomein niet worden gebruikt voor een ander Azure Front Door-profiel (klassiek).
• Als twee profielen (Azure Front Door of Azure Content Delivery Network) verschillende subdomeinen van een hoofddomein hebben, kunnen jokertekendomeinen niet worden toegevoegd aan een van de profielen.

Certificaatbinding

Voor het accepteren van HTTPS-verkeer op uw domein met jokertekens moet u HTTPS inschakelen voor het domein met jokertekens. Voor de certificaatbinding voor een domein met jokertekens is een jokertekencertificaat vereist. Dat wil gezegd, de onderwerpnaam van het certificaat moet ook het domein met jokertekens hebben.

Notitie

Momenteel is alleen het gebruik van uw eigen aangepaste SSL-certificaatoptie beschikbaar voor het inschakelen van HTTPS voor jokertekendomeinen. Beheerde Azure Front Door-certificaten kunnen niet worden gebruikt voor jokertekendomeinen.

U kunt ervoor kiezen om hetzelfde jokertekencertificaat te gebruiken in Azure Key Vault of vanuit door Azure Front Door beheerde certificaten voor subdomeinen.

Als er een subdomein wordt toegevoegd voor een domein met jokertekens waaraan al een certificaat is gekoppeld, kunt u HTTPS voor het subdomein niet uitschakelen. Het subdomein gebruikt de certificaatbinding voor het domein met jokertekens, tenzij een ander key vault- of door Azure Front Door beheerd certificaat dit overschrijft.

WAF-beleid

WAF-beleid kan worden gekoppeld aan jokertekendomeinen, vergelijkbaar met andere domeinen. Een ander WAF-beleid kan worden toegepast op een subdomein van een domein met jokertekens. Subdomeinen nemen het WAF-beleid automatisch over van het jokertekendomein als er geen expliciet WAF-beleid is gekoppeld aan het subdomein. Als het subdomein echter wordt toegevoegd aan een ander profiel dan het domeinprofiel met jokertekens, kan het subdomein het WAF-beleid dat is gekoppeld aan het domein met jokertekens niet overnemen.

WAF-beleid kan worden gekoppeld aan jokertekendomeinen, vergelijkbaar met andere domeinen. Een ander WAF-beleid kan worden toegepast op een subdomein van een domein met jokertekens. Voor de subdomeinen moet u het WAF-beleid opgeven dat moet worden gebruikt, zelfs als dit hetzelfde beleid is als het domein met jokertekens. Subdomeinen nemen het WAF-beleid niet automatisch over van het domein met jokertekens.

Als u geen WAF-beleid wilt uitvoeren voor een subdomein, kunt u een leeg WAF-beleid maken zonder beheerde of aangepaste regelsets.

Routes

Wanneer u een route configureert, kunt u een domein met jokertekens selecteren als oorsprong. U kunt ook verschillende routegedrag hebben voor jokertekendomeinen en subdomeinen. Azure Front Door kiest de meest specifieke overeenkomst voor het domein op verschillende routes. Zie Hoe aanvragen worden vergeleken met een routeringsregel voor meer informatie.

Belangrijk

U moet overeenkomende padpatronen voor uw routes hebben, anders zien uw clients fouten.

Stel dat u twee routeringsregel hebt:

• Route 1 (*.foo.com/* toegewezen aan oorspronggroep A)
• Route 2 (bar.foo.com/somePath/* toegewezen aan oorspronkelijke groep B) Als een aanvraag binnenkomt bar.foo.com/anotherPath/*, selecteert Azure Front Door route 2 op basis van een specifiekere domeinovereenkomst, alleen om geen overeenkomende padpatronen voor de routes te vinden.

Regels voor doorsturen

Wanneer u een routeringsregel configureert, kunt u een domein met jokertekens selecteren als front-endhost. U kunt ook verschillende routegedrag hebben voor jokertekendomeinen en subdomeinen. Azure Front Door kiest de meest specifieke overeenkomst voor het domein op verschillende routes. Zie Hoe aanvragen worden vergeleken met een routeringsregel voor meer informatie.

Belangrijk

U moet overeenkomende padpatronen voor uw routes hebben, anders zien uw clients fouten.

Stel dat u twee routeringsregel hebt:

• Route 1 (*.foo.com/* toegewezen aan back-endpool A)
• Route 2 (bar.foo.com/somePath/* toegewezen aan back-endpool B) Als er een aanvraag binnenkomt bar.foo.com/anotherPath/*, selecteert Azure Front Door route 2 op basis van een specifiekere domeinovereenkomst, alleen om geen overeenkomende padpatronen voor de routes te vinden.

Volgende stappen

• Meer informatie over het maken van een Azure Front Door-profiel.
• Meer informatie over het toevoegen van een aangepast domein aan uw Azure Front Door.
• Meer informatie over het inschakelen van HTTPS voor een aangepast domein.

• Meer informatie over het maken van een Azure Front Door-profiel.
• Meer informatie over het toevoegen van een aangepast domein aan uw Azure Front Door.
• Meer informatie over het inschakelen van HTTPS voor een aangepast domein.