你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure Front Door 中的 Apex 域

项目
03/31/2024

Apex 域（也称为根域或裸域）位于域名系统 (DNS) 区域的根目录中，不包含子域。例如，contoso.com 是 apex 域。

Azure Front Door 支持 apex 域，但需要特别注意几点。本文介绍 apex 域在 Azure Front Door 中的工作方式。

若要将根域或 apex 域添加到 Azure Front Door 配置文件，请参阅在 Azure Front Door 配置文件上加入根域或 apex 域。

DNS CNAME 平展

DNS 协议会阻止在区域顶点分配 CNAME 记录。例如，如果你的域为 contoso.com，则可以为 myapplication.contoso.com 创建 CNAME 记录，但无法为 contoso.com 本身创建 CNAME 记录。

Azure Front Door 不会公开与 Azure Front Door 终结点关联的前端公共 IP 地址。因此，无法将 apex 域映射到 Azure Front Door IP 地址。

警告

不要使用 Azure Front Door 终结点的公共 IP 地址来创建 A 记录。 Azure Front Door 终结点的公共 IP 地址可能会发生更改，我们不保证它将保持不变。

但是，此问题可使用 Azure DNS 中的别名记录得以解决。与 CNAME 记录不同，别名记录是在区域顶点创建的。可以将区域 apex 记录指向具有公共终结点的 Azure Front Door 配置文件。多个应用程序所有者可以指向用于其 DNS 区域中任何其他域的相同 Azure Front Door 终结点。例如，contoso.com 和 www.contoso.com 可以指向相同的 Azure Front Door 终结点。

将 apex 域或根域映射到 Azure Front Door 配置文件需要使用 CNAME 平展（有时称为 DNS 跟踪）。 CNAME 平展是指 DNS 提供程序以递归方式解析 CNAME 条目，直到解析 IP 地址为止。 Azure DNS 支持 Azure Front Door 终结点的此功能。

注意

其他 DNS 提供程序支持 CNAME 平展或 DNS 跟踪。但是，Azure Front Door 建议使用 Azure DNS 来托管 apex 域。

TXT 记录验证

若要验证域，需要创建 DNS TXT 记录。 TXT 记录的名称必须采用 _dnsauth.{subdomain} 格式。开始将域添加到 Azure Front Door 时，Azure Front Door 将为 TXT 记录提供唯一值。

例如，假设你想要将 apex 域 contoso.com 与 Azure Front Door 配合使用。首先，应将域添加到 Azure Front Door 配置文件，并记下需要使用的 TXT 记录值。然后，应使用以下属性配置 DNS 记录：

属性	值
记录名称	`_dnsauth`
记录值	使用 Azure Front Door 提供的值
生存时间 (TTL)	1 小时

Azure Front Door 托管的 TLS 证书轮换

使用 Azure Front Door 托管的证书时，Azure Front Door 会尝试自动轮换（续订）证书。在执行此操作之前，Azure Front Door 会检查 DNS CNAME 记录是否仍指向 Azure Front Door 终结点。 Apex 域没有指向 Azure Front Door 终结点的 CNAME 记录，因此除非重新验证域所有权，否则托管证书的自动轮换将失败。

选择“等待重新验证”链接，然后选择“重新生成”按钮以重新生成 TXT 令牌。之后，将 TXT 令牌添加到 DNS 提供程序设置。

注意

续订证书时，需要更新 Azure Front Door 的 DNS TXT 记录，以便进行域名验证。当看到“等待重新验证”域验证状态时，请确保生成新的 TXT 记录并更新 DNS 服务器。

后续步骤