Domeny z symbolami wieloznacznymi w usłudze Azure Front Door

  • Artykuł

Ważne

Usługa Azure Front Door (klasyczna) zostanie wycofana 31 marca 2027 r. Aby uniknąć zakłóceń w działaniu usługi, należy przeprowadzić migrację profilów usługi Azure Front Door (wersja klasyczna) do warstwy Azure Front Door Standard lub Premium do marca 2027 r. Aby uzyskać więcej informacji, zobacz Wycofywanie usługi Azure Front Door (wersja klasyczna).

Domeny z symbolami wieloznacznymi umożliwiają usłudze Azure Front Door odbieranie ruchu dla dowolnej poddomeny domeny najwyższego poziomu. Przykładowa domena z symbolami wieloznacznymi to *.contoso.com.

Korzystając z domen wieloznacznych, można uprościć konfigurację profilu usługi Azure Front Door. Nie musisz modyfikować konfiguracji, aby dodać lub określić każdą poddomenę oddzielnie. Można na przykład zdefiniować routing dla customer1.contoso.comcustomer2.contoso.com, i customerN.contoso.com przy użyciu tej samej trasy i dodać domenę *.contoso.comz symbolami wieloznacznymi .

Domeny z symbolami wieloznacznymi zapewniają kilka korzyści, takich jak:

  • Nie musisz dołączać każdej poddomeny w profilu usługi Azure Front Door. Załóżmy na przykład, że tworzysz nowe poddomeny dla każdego klienta i kierujesz żądania wszystkich klientów do jednej grupy pochodzenia. Za każdym razem, gdy dodasz nowego klienta, usługa Azure Front Door rozumie, jak kierować ruch do grupy źródeł, mimo że poddomena nie jest jawnie skonfigurowana.
  • Nie musisz generować nowego certyfikatu protokołu Transport Layer Security (TLS) ani zarządzać żadnymi ustawieniami protokołu HTTPS specyficznymi dla poddomeny, aby powiązać certyfikat dla każdej poddomeny.
  • Dla wszystkich domen podrzędnych można użyć jednej zasady zapory aplikacji internetowej (WAF).

Często domeny wieloznaczne są używane do obsługi rozwiązań typu oprogramowanie jako usługa (SaaS) i innych wielodostępnych aplikacji. Podczas tworzenia tych typów aplikacji należy zwrócić szczególną uwagę na sposób kierowania ruchu do serwerów pochodzenia. Aby uzyskać więcej informacji, zobacz Używanie usługi Azure Front Door w rozwiązaniu wielodostępnym.

Uwaga

W przypadku zarządzania rekordami DNS domeny przy użyciu usługi Azure DNS należy skonfigurować domeny wieloznaczne przy użyciu interfejsu API usługi Azure Resource Manager, Bicep, programu PowerShell i interfejsu wiersza polecenia platformy Azure. Obsługa dodawania domen wieloznacznych usługi Azure DNS i zarządzania nimi w witrynie Azure Portal nie jest dostępna.

Dodawanie domeny z symbolami wieloznacznymi i powiązania certyfikatu

Możesz dodać domenę z symbolami wieloznacznymi, wykonując podobne kroki dla poddomen. Aby uzyskać więcej informacji na temat dodawania poddomeny do usługi Azure Front Door, zobacz Konfigurowanie domeny niestandardowej w usłudze Azure Front Door przy użyciu witryny Azure Portal.

Uwaga

  • Usługa DNS platformy Azure obsługuje rekordy z użyciem symboli wieloznacznych.
  • Nie można przeczyścić pamięci podręcznej usługi Azure Front Door dla domeny z symbolami wieloznacznymi. Podczas przeczyszczania pamięci podręcznej należy określić poddomenę.

Aby akceptować ruch HTTPS w domenie z symbolami wieloznacznymi, należy włączyć protokół HTTPS w domenie wieloznacznych. Powiązanie certyfikatu dla domeny z symbolami wieloznacznymi wymaga certyfikatu z symbolami wieloznacznymi. Oznacza to, że nazwa podmiotu certyfikatu powinna również mieć domenę z symbolami wieloznacznymi.

Uwaga

  • Obecnie tylko przy użyciu własnej niestandardowej opcji certyfikatu SSL jest dostępna do włączania protokołu HTTPS dla domen wieloznacznych. Nie można używać certyfikatów zarządzanych usługi Azure Front Door dla domen wieloznacznych.
  • Możesz użyć tego samego certyfikatu wieloznacznych z usługi Azure Key Vault lub certyfikatów zarządzanych usługi Azure Front Door dla domen podrzędnych.
  • Jeśli chcesz dodać poddomenę domeny wieloznacznych, która jest już zweryfikowana w profilu usługi Azure Front Door Standard lub Premium, walidacja domeny zostanie automatycznie zatwierdzona.
  • Jeśli domena z symbolami wieloznacznymi jest weryfikowana i już dodana do jednego profilu, domena podrzędna pojedynczego poziomu może być nadal dodawana do innego profilu, o ile jest również weryfikowana.

Jawne definiowanie poddomeny

Możesz dodać dowolną liczbę poddomen jednopoziomowych symbolu wieloznacznych. Na przykład w przypadku domeny *.contoso.comz symbolami wieloznacznymi można również dodać poddomeny do profilu usługi Azure Front Door dla , cart.contoso.comimage.contosto.comi tak dalej. Konfiguracja jawnie określona dla poddomeny ma pierwszeństwo przed konfiguracją domeny wieloznacznych.

W takich sytuacjach może być konieczne jawne dodanie poddomen:

  • Musisz zdefiniować inną trasę dla poddomeny niż pozostałe domeny (z domeny wieloznacznych). Na przykład klienci mogą używać poddomeny, takich jak customer1.contoso.com, customer2.contoso.comi tak dalej, a wszystkie te poddomeny powinny być kierowane do głównych serwerów aplikacji. Możesz jednak również chcieć kierować images.contoso.com do kontenera obiektów blob usługi Azure Storage.
  • Musisz użyć innych zasad zapory aplikacji internetowej dla określonej poddomeny.

Poddomeny, takie jakwww.image.contoso.com, nie są poddomenami jednopoziomowymi .*.contoso.com

Dodawanie domen wieloznacznych

Domenę wieloznaczny można dodać w sekcji dotyczącej hostów lub domen frontonu. Podobnie jak w przypadku domen podrzędnych, usługa Azure Front Door (wersja klasyczna) sprawdza, czy istnieje mapowanie rekordów CNAME dla domeny wieloznacznych. To mapowanie systemu nazw domen (DNS) może być bezpośrednim mapowaniem rekordów CNAME, na przykład *.contoso.com mapowane na endpoint.azurefd.net. Możesz też użyć afdverify tymczasowego mapowania. Na przykład afdverify.contoso.com mapowane na afdverify.endpoint.azurefd.net mapę rekordów CNAME dla symbolu wieloznakowego.

Uwaga

Usługa DNS platformy Azure obsługuje rekordy z użyciem symboli wieloznacznych.

Można dodać dowolną liczbę poddomen jednopoziomowych domeny wieloznacznych na hostach frontonu do limitu hostów frontonu. Ta funkcja może być wymagana w przypadku:

  • Definiowanie innej trasy dla poddomeny niż pozostałe domeny (z domeny wieloznacznych).

  • Posiadanie innych zasad zapory aplikacji internetowej dla określonej poddomeny. Na przykład *.contoso.com umożliwia dodawanie foo.contoso.com bez konieczności ponownego potwierdzania własności domeny. Nie zezwala foo.bar.contoso.com jednak na to, ponieważ nie jest to poddomena na poziomie pojedynczego poziomu .*.contoso.com Aby dodać foo.bar.contoso.com bez dodatkowej weryfikacji własności domeny, *.bar.contoso.com należy dodać.

Domeny wieloznaczne i ich poddomeny można dodawać z pewnymi ograniczeniami:

  • Jeśli domena z symbolami wieloznacznymi zostanie dodana do profilu usługi Azure Front Door (wersja klasyczna):
    • Nie można dodać domeny z symbolami wieloznacznymi do żadnego innego profilu usługi Azure Front Door (wersja klasyczna).
    • Poddomeny pierwszego poziomu domeny wieloznacznych nie można dodać do innego profilu usługi Azure Front Door (klasycznego) ani profilu usługi Azure Content Delivery Network.
  • Jeśli domena podrzędna domeny wieloznacznych jest już dodawana do profilu usługi Azure Front Door (wersja klasyczna) lub profilu usługi Azure Content Delivery Network, domena wieloznaczny nie może być używana dla innego profilu usługi Azure Front Door (wersja klasyczna).
  • Jeśli dwa profile (Azure Front Door lub Azure Content Delivery Network) mają różne poddomeny domeny głównej, nie można dodać domen wieloznacznych do jednego z profilów.

Powiązanie certyfikatu

Aby akceptować ruch HTTPS w domenie z symbolami wieloznacznymi, należy włączyć protokół HTTPS w domenie wieloznacznych. Powiązanie certyfikatu dla domeny z symbolami wieloznacznymi wymaga certyfikatu z symbolami wieloznacznymi. Oznacza to, że nazwa podmiotu certyfikatu powinna również mieć domenę z symbolami wieloznacznymi.

Uwaga

Obecnie tylko przy użyciu własnej niestandardowej opcji certyfikatu SSL jest dostępna do włączania protokołu HTTPS dla domen wieloznacznych. Nie można używać certyfikatów zarządzanych usługi Azure Front Door dla domen wieloznacznych.

Możesz użyć tego samego certyfikatu wieloznacznych z usługi Azure Key Vault lub certyfikatów zarządzanych usługi Azure Front Door dla domen podrzędnych.

Jeśli domena podrzędna zostanie dodana dla domeny wieloznacznych, która ma już skojarzony certyfikat, nie można wyłączyć protokołu HTTPS dla poddomeny. Poddomena używa powiązania certyfikatu dla domeny z symbolami wieloznacznymi, chyba że zastąpi go inny certyfikat zarządzany przez usługę Key Vault lub Azure Front Door.

Zasady zapory aplikacji internetowej

Zasady zapory aplikacji internetowej można dołączać do domen wieloznacznych, podobnie jak w przypadku innych domen. Do poddomeny domeny wieloznacznych można zastosować inne zasady zapory aplikacji internetowej. Poddomeny automatycznie dziedziczą zasady zapory aplikacji internetowej z domeny wieloznacznych, jeśli nie ma jawnych zasad zapory aplikacji internetowej skojarzonych z poddomeną. Jeśli jednak poddomena zostanie dodana do innego profilu niż profil domeny wieloznacznych, poddomena nie może dziedziczyć zasad zapory aplikacji internetowej skojarzonych z domeną wieloznacznych.

Zasady zapory aplikacji internetowej można dołączać do domen wieloznacznych, podobnie jak w przypadku innych domen. Do poddomeny domeny wieloznacznych można zastosować inne zasady zapory aplikacji internetowej. W przypadku domen podrzędnych należy określić zasady zapory aplikacji internetowej, które mają być używane, nawet jeśli są to te same zasady co domena wieloznaczny. Poddomeny nie dziedziczą automatycznie zasad zapory aplikacji internetowej z domeny wieloznacznych.

Jeśli nie chcesz, aby zasady zapory aplikacji internetowej działały dla poddomeny, możesz utworzyć puste zasady zapory aplikacji internetowej bez zarządzanych ani niestandardowych zestawów reguł.

Trasy

Podczas konfigurowania trasy możesz wybrać domenę z symbolami wieloznacznymi jako źródło. Można również różnić zachowanie trasy dla domen wieloznacznych i domen podrzędnych. Usługa Azure Front Door wybiera najbardziej specyficzne dopasowanie domeny między różnymi trasami. Aby uzyskać więcej informacji, zobacz How requests are matched to a routing rule (Jak żądania są dopasowywane do reguły routingu).

Ważne

Musisz mieć pasujące wzorce ścieżek w trasach lub klienci będą widzieć błędy.

Załóżmy na przykład, że masz dwie reguły routingu:

  • Trasa 1 (*.foo.com/* zamapowana na grupę źródeł A)
  • Trasa 2 (bar.foo.com/somePath/* zamapowana na grupę źródeł B) Jeśli żądanie zostanie dostarczone dla bar.foo.com/anotherPath/*usługi , usługa Azure Front Door wybierze trasę 2 na podstawie bardziej szczegółowego dopasowania domeny, tylko aby nie znaleźć pasujących wzorców ścieżek w trasach.

Reguły routingu

Podczas konfigurowania reguły routingu można wybrać domenę wieloznaczny jako host frontonu. Można również różnić zachowanie trasy dla domen wieloznacznych i domen podrzędnych. Usługa Azure Front Door wybiera najbardziej specyficzne dopasowanie domeny między różnymi trasami. Aby uzyskać więcej informacji, zobacz How requests are matched to a routing rule (Jak żądania są dopasowywane do reguły routingu).

Ważne

Musisz mieć pasujące wzorce ścieżek w trasach lub klienci będą widzieć błędy.

Załóżmy na przykład, że masz dwie reguły routingu:

  • Trasa 1 (*.foo.com/* zamapowana na pulę zaplecza A)
  • Trasa 2 (bar.foo.com/somePath/* zamapowana na pulę zaplecza B) Jeśli żądanie zostanie dostarczone dla bar.foo.com/anotherPath/*usługi , usługa Azure Front Door wybierze trasę 2 na podstawie bardziej szczegółowego dopasowania domeny, tylko aby nie znaleźć pasujących wzorców ścieżek w trasach.

Następne kroki