Поделиться через

Домены Wild карта в Azure Front Door

  • Статья

Внимание

Azure Front Door (классическая версия) будет прекращена 31 марта 2027 г. Чтобы избежать нарушений работы служб, важно перенести профили Azure Front Door (классический) на уровень Azure Front Door standard или Premium к марту 2027 года. Дополнительные сведения см. в статье azure Front Door (классическая версия) для выхода на пенсию.

Домены Wild карта позволяют Azure Front Door получать трафик для любого поддомена домена верхнего уровня. Примером является дикий карта домен*.contoso.com.

Используя дикие домены карта, можно упростить настройку профиля Azure Front Door. Вам не нужно изменять конфигурацию, чтобы добавить или указать каждый поддомен отдельно. Например, можно определить маршрутизацию для customer1.contoso.com, customer2.contoso.comа customerN.contoso.com также использовать тот же маршрут и добавить дикий домен *.contoso.comкарта.

Wild карта домены дают вам несколько преимуществ, в том числе:

  • Вам не нужно подключить каждый поддомен в профиле Azure Front Door. Например, предположим, что вы создаете новые поддомены каждого клиента и направляете все запросы всех клиентов в одну группу источников. При добавлении нового клиента Azure Front Door понимает, как маршрутизировать трафик в группу источников, даже если поддомен не настроен явным образом.
  • Вам не нужно создавать новый сертификат TLS или управлять параметрами HTTPS для конкретного поддомена, чтобы привязать сертификат для каждого поддомена.
  • Для всех поддоменов можно использовать одну политику брандмауэра веб-приложения (WAF).

Обычно для поддержки решений SaaS и других мультитенантных приложений используются домены wild карта. При создании этих типов приложений необходимо учитывать, как направлять трафик на серверы-источники. Дополнительные сведения см. в статье Об использовании Azure Front Door в мультитенантном решении.

Примечание.

При использовании Azure DNS для управления записями DNS домена необходимо настроить дикие домены карта с помощью API Azure Resource Manager, Bicep, PowerShell и Azure CLI. Поддержка добавления доменов Azure DNS и управления ими карта в портал Azure недоступна.

Добавьте домен с подстановочными знаками и привязку сертификатов

Вы можете добавить дикий домен карта выполнив действия, аналогичные поддоменам. Дополнительные сведения о добавлении поддомена в Azure Front Door см. в статье "Настройка личного домена в Azure Front Door" с помощью портал Azure.

Примечание.

  • Azure DNS поддерживает записи с подстановочными знаками.
  • Вы не можете очистить кэш Azure Front Door для дикого домена карта. При очистке кэша необходимо указать поддомен.

Для приема HTTPS-трафика в домене с подстановочными знаками необходимо включить протокол HTTPS для этого домена. Для привязки сертификата для домена с подстановочными знаками требуется сертификат с подстановочными знаками. То есть имя субъекта сертификата должно также содержать домен с подстановочными знаками.

Примечание.

  • Сейчас для включения HTTPS для доменов с подстановочными знаками доступен только вариант с пользовательским SSL-сертификатом. Управляемые сертификаты Azure Front Door нельзя использовать для доменов с подстановочными знаками.
  • Вы можете использовать тот же сертификат с подстановочными знаками из Azure Key Vault или выбрать один из управляемых сертификатов Azure Front Door для поддоменов.
  • Если вы хотите добавить поддомен дикого домена карта который уже проверен в профиле Azure Front Door standard или Premium, проверка домена будет утверждена автоматически.
  • Если домен с подстановочными знаками прошел проверку и добавлен в один профиль, одноуровневый поддомен все-равно можно добавить в другой профиль при условии, что он также прошел проверку.

Определение поддомена явным образом

Можно добавить неограниченное количество одноуровневых поддоменов с подстановочным знаком. Например, для дикого домена *.contoso.comкарта можно также добавить поддомены в профиль Azure Front Door для image.contosto.com, cart.contoso.comи т. д. Конфигурация, указанная явным образом для поддомена, имеет приоритет над конфигурацией дикого домена карта.

В таких ситуациях может потребоваться явно добавить поддомены:

  • Необходимо определить другой маршрут для поддомена, отличного от остальных доменов (из дикого карта домена). Например, клиенты могут использовать поддомены, такие как customer1.contoso.com, customer2.contoso.comи т. д., и эти поддомены должны быть перенаправлены на основные серверы приложений. Однако также может потребоваться выполнить маршрутизацию images.contoso.com в контейнер больших двоичных объектов служба хранилища Azure.
  • Для определенного поддомена необходимо использовать другую политику WAF.

Поддомены, например www.image.contoso.com , не являются поддоменом *.contoso.comодного уровня.

Добавление доменов с подстановочными знаками

Вы можете добавить домен с подстановочными знаками в разделе для интерфейсных узлов или доменов. Как и в случае с поддоменами, Azure Front Door (классическая) проверяет наличие сопоставления записи CNAME для домена с подстановочными знаками. Это сопоставление системы доменных имен (DNS) может быть прямым сопоставлением записей CNAME, как *.contoso.com сопоставлено с endpoint.azurefd.net. Можно также использовать временное сопоставление afdverify. Например, сопоставление afdverify.contoso.com с afdverify.endpoint.azurefd.net подтверждает сопоставление записи CNAME для подстановочного знака.

Примечание.

Azure DNS поддерживает записи с подстановочными знаками.

На интерфейсных узлах можно добавить любое количество одноуровневых поддоменов для домена с подстановочными знаками, вплоть до предельного количества интерфейсных узлов. Эта функциональная возможность может потребоваться для следующих целей:

  • Определение другого маршрута для поддомена, отличного от остальных доменов (из домена с подстановочными знаками).

  • Наличие другой политики WAF для конкретного поддомена. Например, *.contoso.com допускает добавление foo.contoso.com без повторного подтверждения владения доменом. Но домен foo.bar.contoso.com не разрешен, поскольку не является одноуровневым поддоменом для *.contoso.com. Чтобы добавить foo.bar.contoso.com без дополнительной проверки владения доменом, необходимо добавить *.bar.contoso.com.

Домены с подстановочными знаками и их поддомены можно добавлять с определенными ограничениями.

  • Если в профиль Azure Front Door (классическая модель) добавляется домен карта:
    • домен с подстановочными знаками нельзя добавить ни в один другой профиль Azure Front Door (классическая);
    • поддомены первого уровня домена с подстановочными знаками невозможно добавить в другой профиль Azure Front Door (классическая) или профиль сети доставки содержимого Azure.
  • Если поддомен домена с подстановочными знаками уже добавлен в профиль Azure Front Door (классическая) или в профиль сети доставки содержимого Azure, домен с подстановочными знаками нельзя использовать для других профилей Azure Front Door (классическая).
  • Если два профиля (Azure Front Door или сети доставки содержимого Azure) имеют различные поддомены корневого домена, домены с подстановочными знаками нельзя добавить ни в один из профилей.

Привязка сертификата

Для приема HTTPS-трафика в домене с подстановочными знаками необходимо включить протокол HTTPS для этого домена. Для привязки сертификата для домена с подстановочными знаками требуется сертификат с подстановочными знаками. То есть имя субъекта сертификата должно также содержать домен с подстановочными знаками.

Примечание.

Сейчас для включения HTTPS для доменов с подстановочными знаками доступен только вариант с пользовательским SSL-сертификатом. Управляемые сертификаты Azure Front Door нельзя использовать для доменов с подстановочными знаками.

Вы можете использовать тот же сертификат с подстановочными знаками из Azure Key Vault или выбрать один из управляемых сертификатов Azure Front Door для поддоменов.

Если для домена с подстановочными знаками, с которым уже связан сертификат, добавлен дочерний домен, отключить HTTPS для этого поддомена невозможно. Поддомен использует привязку к сертификату для домена с подстановочными знаками, если он не будет перезаписан другим управляемым сертификатом Key Vault или Azure Front Door.

Политики WAF

Политики WAF могут быть подключены к доменам с подстановочными знаками, как и к другим доменам. К поддомену домена с подстановочными знаками можно применить другую политику WAF. Поддомены автоматически наследуют политику WAF из дикого домена карта если не существует явной политики WAF, связанной с поддоменом. Однако если поддомен добавляется в другой профиль, отличный от профиля дикого карта домена, поддомен не может наследовать политику WAF, связанную с диким доменом карта.

Политики WAF могут быть подключены к доменам с подстановочными знаками, как и к другим доменам. К поддомену домена с подстановочными знаками можно применить другую политику WAF. Для поддоменов используемую политику WAF необходимо указывать явно, даже если это та же политика, которая применяется для домена с подстановочными знаками. Поддомены не наследуют политику WAF автоматически от домена с подстановочными знаками.

Если вы не хотите, чтобы политика WAF выполнялась для поддомена, можно создать пустую политику WAF без управляемых или пользовательских наборов правил.

Маршруты

При настройке маршрута можно выбрать дикий домен карта в качестве источника. Действия маршрутизации для доменов с подстановочными знаками и поддоменов могут отличаться. Azure Front Door выбирает наиболее конкретное совпадение для домена по разным маршрутам. Дополнительные сведения см. в статье о сопоставлении запросов с правилом маршрутизации.

Внимание

У вас должны быть соответствующие шаблоны путей между маршрутами, или клиенты увидят сбои.

Например, предположим, что у вас есть два правила маршрутизации:

  • Маршрут 1 (*.foo.com/* сопоставлен с группой происхождения A)
  • Маршрут 2 (bar.foo.com/somePath/* сопоставлен с группой источников B) Если запрос поступает для bar.foo.com/anotherPath/*, Azure Front Door выбирает маршрут 2 на основе более конкретного соответствия домена, только чтобы найти соответствующие шаблоны пути по маршрутам.

Правила маршрутизации

При настройке правила маршрутизации в качестве интерфейсного узла можно выбрать домен с подстановочными знаками. Действия маршрутизации для доменов с подстановочными знаками и поддоменов могут отличаться. Azure Front Door выбирает наиболее конкретное совпадение для домена по разным маршрутам. Дополнительные сведения см. в статье о сопоставлении запросов с правилом маршрутизации.

Внимание

У вас должны быть соответствующие шаблоны путей между маршрутами, или клиенты увидят сбои.

Например, предположим, что у вас есть два правила маршрутизации:

  • Маршрут 1 (*.foo.com/* сопоставлен с серверным пулом A)
  • Маршрут 2 (bar.foo.com/somePath/* сопоставлен с серверным пулом B) Если запрос поступает для bar.foo.com/anotherPath/*, Azure Front Door выбирает маршрут 2 на основе более конкретного соответствия домена, только чтобы найти шаблоны пути, соответствующие по всем маршрутам.

Следующие шаги