Azure Front Door 中的 Apex 網域
Apex 網域也稱為 根域或 裸域,位於功能變數名稱系統 (DNS) 區域的根目錄,且不包含子域。 例如, contoso.com 是頂點網域。
Azure Front Door 支援頂點網域,但需要特殊考慮。 本文說明頂點網域如何在 Azure Front Door 中運作。
若要將根或頂點網域新增至 Azure Front Door 配置檔,請參閱 在 Azure Front Door 配置檔上將根或頂點網域上架。
DNS CNAME 扁平化
DNS 通訊協定可防止在區域頂點指派 CNAME 記錄。 例如,如果您的網域是 contoso.com,您可以為 建立 CNAME 記錄 myapplication.contoso.com,但無法自行 contoso.com 建立 CNAME 記錄。
Azure Front Door 不會公開與您的 Azure Front Door 端點相關聯的前端公用 IP 位址。 因此,您無法將頂點網域對應至 Azure Front Door IP 位址。
警告
請勿使用 Azure Front Door 端點的公用 IP 位址建立 A 記錄。 Azure Front Door 端點的公用 IP 位址可能會變更,我們不會提供任何保證,保證其會維持不變。
不過,您可以使用 Azure DNS 中的別名記錄來解決此問題。 不同於 CNAME 記錄,別名記錄是在區域頂點建立。 您可以將區域頂點記錄指向具有公用端點的 Azure Front Door 配置檔。 多個應用程式擁有者可以指向其 DNS 區域內任何其他網域所使用的相同 Azure Front Door 端點。 例如, contoso.com 和 www.contoso.com 可以指向相同的 Azure Front Door 端點。
將您的頂點或根域對應至 Azure Front Door 配置檔會使用 CNAME 扁平化,有時稱為 DNS 追逐。 CNAME 扁平化是 DNS 提供者遞歸解析 CNAME 專案,直到解析 IP 位址為止。 Azure DNS 支援 Azure Front Door 端點的這項功能。
注意
其他 DNS 提供者支援 CNAME 壓平或 DNS 追逐。 不過,Azure Front Door 建議使用 Azure DNS 來裝載頂點網域。
TXT 記錄驗證
若要驗證網域,您必須建立 DNS TXT 記錄。 TXT 記錄的名稱必須是格式 _dnsauth.{subdomain}。 當您開始將網域新增至 Azure Front Door,Azure Front Door 會為您的 TXT 記錄提供唯一的值。
例如,假設您想要搭配 Azure Front Door 使用頂點網域 contoso.com 。 首先,您應該將網域新增至 Azure Front Door 設定檔,並記下您需要使用的 TXT 記錄值。 然後,您應該使用下列屬性來設定 DNS 記錄:
| 屬性 | 值 |
|---|---|
| 記錄名稱 | _dnsauth |
| 記錄值 | 使用 Azure Front Door 提供的值 |
| 存留時間 (TTL) | 1 小時 |
Azure Front Door 管理的 TLS 憑證輪替
當您使用 Azure Front Door 受控憑證時,Azure Front Door 會嘗試自動輪替(更新)憑證。 這麼做之前,Azure Front Door 會檢查 DNS CNAME 記錄是否仍指向 Azure Front Door 端點。 Apex 網域沒有指向 Azure Front Door 端點的 CNAME 記錄,因此在重新驗證網域擁有權之前,受控憑證的自動調整會失敗。
選取 [ 擱置重新驗證 ] 鏈接,然後選取 [重新 產生] 按鈕以重新產生 TXT 令牌。 之後,將 TXT 令牌新增至 DNS 提供者設定。
注意
更新憑證時,必須更新 Azure Front Door 的域名驗證 DNS TXT 記錄。 當您看到擱置重新驗證網域驗證狀態時,請確定您產生新的 TXT 記錄並更新 DNS 伺服器。
下一步
若要將根或頂點網域新增至 Azure Front Door 配置檔,請參閱 在 Azure Front Door 配置檔上將根或頂點網域上架。