使用 Azure 入口網站 在 Azure Front Door 上設定自定義網域

當您使用 Azure Front Door 傳遞應用程式時，如果您希望自己的功能變數名稱顯示在使用者要求中，則需要自定義網域。 有可見的網域名稱對您的客戶而言較為方便，並且也有助於宣傳商標。

建立 Azure Front Door Standard/進階版 配置檔之後，預設前端主機具有 子域 azurefd.net。 當 Azure Front Door Standard/進階版 預設會從後端傳遞內容時，此子域會包含在 URL 中。 例如 https://contoso-frontend.azurefd.net/activeusers.htm。

為了方便起見，Azure Front Door 提供將自定義網域與預設主機產生關聯的選項。 使用此選項時，您會在 URL 中使用自訂網域傳遞內容，而不是 Azure Front Door 擁有的功能變數名稱。 例如 https://www.contoso.com/photo.png。

必要條件

• 您必須先建立 Azure Front Door 配置檔，才能完成本教學課程中的步驟。 如需詳細資訊，請參閱快速入門：建立 Azure Front Door Standard/進階版。
• 如果您還沒有自訂網域，必須先向網域提供者購買。 如需範例，請參閱購買自訂網域名稱。
• 如果您使用 Azure 來裝載 DNS 網域，您必須將網域提供者的域名系統 （DNS） 委派給 Azure DNS。 如需詳細資訊，請參閱將網域委派給 Azure DNS。 否則，如果您使用網域提供者來處理 DNS 網域，您必須輸入提示的 DNS TXT 記錄，以手動驗證網域。

新增自訂網域

注意

如果已在 Azure Front Door 或 Microsoft CDN 配置檔中驗證自定義網域，則無法將其新增至另一個配置檔。

自定義網域是在 Azure Front Door 配置檔的 [網域] 窗格上設定。 您可以在端點關聯之前設定和驗證自訂網域。 自訂網域及其子網域一次只能與單一端點建立關聯。 不過，針對不同的 Azure Front Door 設定檔，您可以使用來自相同自訂網域的不同子網域。 您也可以將具有不同子域的自定義網域對應至相同的 Azure Front Door 端點。

1. 在 [設定] 下，選取 [Azure Front Door 配置檔的網域]。 然後選取 [+ 新增]。

   

2. 在 [ 新增網域 ] 窗格中，選取網域類型。 您可以選擇 [非 Azure 驗證網域 ] 或 [Azure 預先驗證的網域]。

   • 非 Azure 驗證網域 是需要擁有權驗證的網域。 當您選取 [非 Azure 驗證的網域] 時，建議您使用 [Azure 受控 DNS] 選項。 您也可以使用自己的 DNS 提供者。 如果您選擇 Azure 管理的 DNS，請選取現有的 DNS 區域。 然後選取現有的自定義子域，或建立新的子域。 如果您使用另一個 DNS 提供者，請手動輸入自定義功能變數名稱。 然後選取 [ 新增 ] 以新增您的自定義網域。

     

   • Azure 預先驗證的網域 是已由另一個 Azure 服務驗證的網域。 當您選取此選項時，Azure Front Door 不需要網域擁有權驗證。 隨即會出現不同 Azure 服務所驗證網域的下拉式清單。

     

   注意

   • Azure Front Door 同時支援 Azure 受控憑證和自備憑證（BYOC）。 針對非 Azure 驗證的網域，Azure 受控憑證會由 Azure Front Door 發行及管理。 針對 Azure 預先驗證的網域，Azure 受控憑證會發出，並由驗證網域的 Azure 服務管理。 若要使用您自己的憑證，請參閱 在自定義網域上設定 HTTPS。
   • Azure Front Door 支援不同訂用帳戶中的 Azure 預先驗證網域和 Azure DNS 區域。
   • 目前，Azure 預先驗證的網域僅支援由 Azure Static Web Apps 驗證的網域。

   新的自訂網域具有送出的驗證狀態。

   

   注意

   • 自 2023 年 9 月起，Azure Front Door 現在支援 BYOC 型網域擁有權驗證。 如果提供的憑證的憑證名稱 （CN） 或主體別名 （SAN） 符合自定義網域，Azure Front Door 會自動核准網域擁有權。 當您選取 Azure 受控憑證時，網域擁有權會繼續透過 DNS TXT 記錄進行驗證。
   • 對於在支援 BYOC 型驗證之前建立的自訂網域，而且網域驗證狀態是 [已核准] 以外的任何專案，您必須在入口網站中選取 [驗證狀態>重新驗證] 來觸發網域擁有權驗證的自動核准。 如果您使用命令列工具，您可以將空白 PATCH 要求傳送至網域 API 來觸發網域驗證。
   • Azure 預先驗證的網域具有擱置的驗證狀態。 它會在幾分鐘后自動變更為 [已 核准]。 驗證獲得核准之後，請跳至 將自定義網域關聯至您的 Front Door 端點 ，並完成其餘步驟。

   幾分鐘后，驗證狀態會變更為 [擱置]。

   

3. 選取 [ 擱置 驗證狀態]。 新的窗格隨即出現，其中包含驗證自定義網域所需的 DNS TXT 記錄資訊。 TXT 記錄的格式為 _dnsauth.<your_subdomain>。 如果您使用以 Azure DNS 為基礎的區域，請選取 [ 新增]。 新的 TXT 記錄，其中包含在 Azure DNS 區域中建立的記錄值。 如果您使用另一個 DNS 提供者，請手動建立名為 _dnsauth.<your_subdomain>的新 TXT 記錄，其記錄值如窗格所示。

   

4. 關閉窗格以返回自定義網域清單登陸窗格。 自定義網域的布建狀態應變更為 [已布建]。 驗證狀態應變更為 [已核准]。

   

如需網域驗證狀態的詳細資訊，請參閱 Azure Front Door 中的網域。

將自定義網域與您的 Azure Front Door 端點產生關聯

驗證自定義網域之後，您可以將它與您的 Azure Front Door Standard/進階版 端點產生關聯。

1. 選取 [ 未關聯的 ] 連結，以開啟 [ 關聯端點和路由 ] 窗格。 選取您要與網域建立關聯的端點和路由。 然後選取 [ 建立關聯 ] 以更新您的設定。

   

   端點 關聯 狀態應該會變更，以反映自定義網域目前相關聯的端點。

   

2. 選取 DNS 狀態連結。

   

   注意

   針對 Azure 預先驗證的網域，請移至 DNS 裝載服務，並將此網域的 CNAME 記錄從其他 Azure 服務端點手動更新至 Azure Front Door 端點。 不論網域是裝載於 Azure DNS 還是另一個 DNS 服務，都需要此步驟。 從 DNS 狀態數據行更新 CNAME 的連結不適用於這種類型的網域。

3. [ 新增或更新 CNAME 記錄 ] 窗格隨即出現，其中包含必須提供的 CNAME 記錄資訊，才能開始流動流量。 如果您使用 Azure DNS 託管區域，則可以選取 窗格上的 [新增 ] 來建立 CNAME 記錄。 如果您使用另一個 DNS 提供者，您必須手動輸入 CNAME 記錄名稱和值，如窗格所示。

   

4. 建立 CNAME 記錄且自定義網域與 Azure Front Door 端點相關聯之後，流量就會開始流動。

   注意

   • 如果啟用 HTTPS，憑證布建和傳播可能需要幾分鐘的時間，因為傳播會完成所有邊緣位置。
   • 例如，如果您的網域 CNAME 間接指向 Azure Front Door 端點，例如，使用 Azure 流量管理員 進行多重 CDN 故障轉移，DNS 狀態數據行會顯示為目前未偵測到的 CNAME/別名記錄。 在此情況下，Azure Front Door 無法保證 100% 偵測 CNAME 記錄。 如果您已將 Azure Front Door 端點設定為 流量管理員，但仍看到此訊息，這並不表示您未正確設定。 您不需要採取進一步的動作。

驗證自訂網域

驗證並建立自定義網域的關聯之後，請確認自定義網域已正確參考您的端點。

最後，使用瀏覽器驗證您的應用程式內容是否已提供。

下一步

• 瞭解如何 為您的自定義網域啟用 HTTPS。
• 深入瞭解 Azure Front Door 中的自定義網域。
• 瞭解 使用 Azure Front Door 的端對端 TLS。