Jokerteckendomäner i Azure Front Door

  • Artikel

Viktigt!

Azure Front Door (klassisk) dras tillbaka den 31 mars 2027. För att undvika avbrott i tjänsten är det viktigt att du migrerar dina Azure Front Door-profiler (klassiska) till Azure Front Door Standard- eller Premium-nivån senast i mars 2027. Mer information finns i Azure Front Door (klassisk) tillbakadragning.

Med jokerteckendomäner kan Azure Front Door ta emot trafik för alla underdomäner i en toppnivådomän. Ett exempel på jokerteckendomän är *.contoso.com.

Genom att använda jokerteckendomäner kan du förenkla konfigurationen av din Azure Front Door-profil. Du behöver inte ändra konfigurationen för att lägga till eller ange varje underdomän separat. Du kan till exempel definiera routningen för customer1.contoso.com, customer2.contoso.comoch customerN.contoso.com genom att använda samma väg och lägga till jokerteckendomänen *.contoso.com.

Jokerteckendomäner ger dig flera fördelar, bland annat:

  • Du behöver inte registrera varje underdomän i din Azure Front Door-profil. Anta till exempel att du skapar nya underdomäner för varje kund och dirigerar alla kunders begäranden till en enda ursprungsgrupp. När du lägger till en ny kund förstår Azure Front Door hur du dirigerar trafik till din ursprungsgrupp även om underdomänen inte har konfigurerats uttryckligen.
  • Du behöver inte generera ett nytt TLS-certifikat (Transport Layer Security) eller hantera några underdomänspecifika HTTPS-inställningar för att binda ett certifikat för varje underdomän.
  • Du kan använda en enda brandväggsprincip för webbprogram (WAF) för alla dina underdomäner.

Vanligtvis används jokerteckendomäner för att stödja saaS-lösningar (programvara som en tjänst) och andra program med flera klienter. När du skapar dessa programtyper måste du särskilt tänka på hur du dirigerar trafik till dina ursprungsservrar. Mer information finns i Använda Azure Front Door i en lösning med flera klientorganisationer.

Kommentar

När du använder Azure DNS för att hantera domänens DNS-poster måste du konfigurera jokerteckendomäner med hjälp av Azure Resource Manager API, Bicep, PowerShell och Azure CLI. Stöd för att lägga till och hantera Azure DNS-jokerteckendomäner i Azure-portalen är inte tillgängligt.

Lägga till en jokerteckendomän och certifikatbindning

Du kan lägga till en jokerteckendomän med följande steg som liknar för underdomäner. Mer information om hur du lägger till en underdomän i Azure Front Door finns i Konfigurera en anpassad domän på Azure Front Door med hjälp av Azure-portalen.

Kommentar

  • Azure DNS stöder poster med jokertecken.
  • Du kan inte rensa Azure Front Door-cachen för en jokerteckendomän. Du måste ange en underdomän när du rensar cacheminnet.

Om du vill acceptera HTTPS-trafik på din jokerteckendomän måste du aktivera HTTPS på jokerteckendomänen. Certifikatbindningen för en jokerteckendomän kräver ett jokerteckencertifikat. Certifikatets ämnesnamn bör alltså också ha jokerteckendomänen.

Kommentar

  • För närvarande är det bara att använda ett eget anpassat SSL-certifikatalternativ för att aktivera HTTPS för jokerteckendomäner. Azure Front Door-hanterade certifikat kan inte användas för jokerteckendomäner.
  • Du kan välja att använda samma jokerteckencertifikat från Azure Key Vault eller från Azure Front Door-hanterade certifikat för underdomäner.
  • Om du vill lägga till en underdomän för jokerteckendomänen som redan har verifierats i Azure Front Door Standard- eller Premium-profilen godkänns domänvalidering automatiskt.
  • Om en jokerteckendomän verifieras och redan har lagts till i en profil kan en underdomän på en nivå fortfarande läggas till i en annan profil så länge den också verifieras.

Definiera en underdomän explicit

Du kan lägga till så många underdomäner på en nivå som du vill. För jokerteckendomänen *.contoso.comkan du till exempel också lägga till underdomäner i din Azure Front Door-profil för image.contosto.com, cart.contoso.comoch så vidare. Den konfiguration som du uttryckligen anger för underdomänen har företräde framför konfigurationen av jokerteckendomänen.

Du kan behöva lägga till underdomäner uttryckligen i dessa situationer:

  • Du måste definiera en annan väg för en underdomän än resten av domänerna (från jokerteckendomänen). Dina kunder kan till exempel använda underdomäner som customer1.contoso.com, customer2.contoso.comoch så vidare, och dessa underdomäner bör dirigeras till dina huvudprogramservrar. Men du kanske också vill dirigera images.contoso.com till en Azure Storage-blobcontainer.
  • Du måste använda en annan WAF-princip för en specifik underdomän.

Underdomäner som www.image.contoso.com inte är en underdomän på en nivå av *.contoso.com.

Lägga till jokerteckendomäner

Du kan lägga till en jokerteckendomän under avsnittet för klientdelsvärdar eller domäner. Precis som underdomäner verifierar Azure Front Door (klassisk) att det finns CNAME-postmappning för din jokerteckendomän. Den här DNS-mappningen (Domain Name System) kan vara en direkt CNAME-postmappning som *.contoso.com mappas till endpoint.azurefd.net. Eller så kan du använda tillfällig afdverify-mappning. Till exempel afdverify.contoso.com mappad för att afdverify.endpoint.azurefd.net verifiera CNAME-postkartan för jokertecknet.

Kommentar

Azure DNS stöder poster med jokertecken.

Du kan lägga till så många underdomäner på en nivå som möjligt för jokerteckendomänen i klientdelsvärdar, upp till gränsen för klientdelsvärdarna. Den här funktionen kan krävas för:

  • Definiera en annan väg för en underdomän än resten av domänerna (från jokerteckendomänen).

  • Ha en annan WAF-princip för en specifik underdomän. Du kan till exempel *.contoso.com lägga till foo.contoso.com utan att behöva bevisa domänägarskap igen. Men det tillåter foo.bar.contoso.com inte eftersom det inte är en underdomän på en enda nivå för *.contoso.com. Om du vill lägga till foo.bar.contoso.com utan extra validering *.bar.contoso.com av domänägarskap måste du lägga till.

Du kan lägga till jokerteckendomäner och deras underdomäner med vissa begränsningar:

  • Om en jokerteckendomän läggs till i en Azure Front Door-profil (klassisk):
    • Jokerteckendomänen kan inte läggas till i någon annan Azure Front Door-profil (klassisk).
    • Underdomäner på första nivån för jokerteckendomänen kan inte läggas till i en annan Azure Front Door-profil (klassisk) eller en Azure Content Delivery Network-profil.
  • Om en underdomän för en jokerteckendomän redan har lagts till i en Azure Front Door-profil (klassisk) eller en Azure Content Delivery Network-profil kan jokerteckendomänen inte användas för andra Azure Front Door-profiler (klassisk).
  • Om två profiler (Azure Front Door eller Azure Content Delivery Network) har olika underdomäner för en rotdomän kan jokerteckendomäner inte läggas till i någon av profilerna.

Certifikatbindning

Om du vill acceptera HTTPS-trafik på din jokerteckendomän måste du aktivera HTTPS på jokerteckendomänen. Certifikatbindningen för en jokerteckendomän kräver ett jokerteckencertifikat. Certifikatets ämnesnamn bör alltså också ha jokerteckendomänen.

Kommentar

För närvarande är det bara att använda ett eget anpassat SSL-certifikatalternativ för att aktivera HTTPS för jokerteckendomäner. Azure Front Door-hanterade certifikat kan inte användas för jokerteckendomäner.

Du kan välja att använda samma jokerteckencertifikat från Azure Key Vault eller från Azure Front Door-hanterade certifikat för underdomäner.

Om en underdomän läggs till för en jokerteckendomän som redan har ett certifikat associerat med det kan du inte inaktivera HTTPS för underdomänen. Underdomänen använder certifikatbindningen för jokerteckendomänen, såvida inte ett annat Key Vault- eller Azure Front Door-hanterat certifikat åsidosätter det.

WAF-principer

WAF-principer kan kopplas till jokerteckendomäner, liknande andra domäner. En annan WAF-princip kan tillämpas på en underdomän för en jokerteckendomän. Underdomäner ärver automatiskt WAF-principen från jokerteckendomänen om det inte finns någon explicit WAF-princip kopplad till underdomänen. Men om underdomänen läggs till i en annan profil än domänprofilen för jokertecken kan underdomänen inte ärva waf-principen som är associerad med jokerteckendomänen.

WAF-principer kan kopplas till jokerteckendomäner, liknande andra domäner. En annan WAF-princip kan tillämpas på en underdomän för en jokerteckendomän. För underdomänerna måste du ange vilken WAF-princip som ska användas även om det är samma princip som jokerteckendomänen. Underdomäner ärver inte automatiskt WAF-principen från jokerteckendomänen.

Om du inte vill att en WAF-princip ska köras för en underdomän kan du skapa en tom WAF-princip utan hanterade eller anpassade regeluppsättningar.

Vägar

När du konfigurerar en väg kan du välja en jokerteckendomän som ursprung. Du kan också ha olika vägbeteenden för jokerteckendomäner och underdomäner. Azure Front Door väljer den mest specifika matchningen för domänen på olika vägar. Mer information finns i Hur begäranden matchas med en routningsregel.

Viktigt!

Du måste ha matchande sökvägsmönster över dina vägar, annars ser dina klienter fel.

Anta till exempel att du har två routningsregel:

  • Väg 1 (*.foo.com/* mappad till ursprungsgrupp A)
  • Route 2 (bar.foo.com/somePath/* mappad till ursprungsgrupp B) Om en begäran tas emot för bar.foo.com/anotherPath/*väljer Azure Front Door väg 2 baserat på en mer specifik domänmatchning, bara för att hitta inga matchande sökvägsmönster över vägarna.

Dirigeringsregler

När du konfigurerar en routningsregel kan du välja en jokerteckendomän som klientdelsvärd. Du kan också ha olika vägbeteenden för jokerteckendomäner och underdomäner. Azure Front Door väljer den mest specifika matchningen för domänen på olika vägar. Mer information finns i Hur begäranden matchas med en routningsregel.

Viktigt!

Du måste ha matchande sökvägsmönster över dina vägar, annars ser dina klienter fel.

Anta till exempel att du har två routningsregel:

  • Väg 1 (*.foo.com/* mappad till serverdelspool A)
  • Route 2 (bar.foo.com/somePath/* mappad till serverdelspool B) Om en begäran kommer till bar.foo.com/anotherPath/*väljer Azure Front Door väg 2 baserat på en mer specifik domänmatchning, bara för att hitta inga matchande sökvägsmönster över vägarna.

Nästa steg