Sdílet prostřednictvím

Zástupné domény ve službě Azure Front Door

  • Článek

Důležité

Služba Azure Front Door (Classic) bude vyřazena 31. března 2027. Abyste se vyhnuli přerušení služeb, je důležité do března 2027 migrovat profily služby Azure Front Door (Classic) na úroveň Azure Front Door Standard nebo Premium. Další informace najdete v části Vyřazení služby Azure Front Door (Classic).

Zástupné domény umožňují službě Azure Front Door přijímat provoz pro libovolnou subdoménu domény nejvyšší úrovně. Příkladem zástupné domény je *.contoso.com.

Pomocí zástupných domén můžete zjednodušit konfiguraci profilu služby Azure Front Door. Konfiguraci nemusíte upravovat a přidávat ani zadávat jednotlivé subdomény samostatně. Můžete například definovat směrování pro customer1.contoso.com, customer2.contoso.coma customerN.contoso.com pomocí stejné trasy a přidání zástupné domény *.contoso.com.

Zástupné domény poskytují několik výhod, mezi které patří:

  • Každou subdoménu v profilu služby Azure Front Door nemusíte připojovat. Předpokládejme například, že vytvoříte nové subdomény každého zákazníka a směrujete požadavky všech zákazníků do jedné skupiny původu. Pokaždé, když přidáte nového zákazníka, Azure Front Door pochopí, jak směrovat provoz do původní skupiny, i když subdoména není explicitně nakonfigurovaná.
  • Abyste mohli vytvořit vazbu certifikátu pro každou subdoménu, nemusíte generovat nový certifikát TLS (Transport Layer Security) ani spravovat nastavení HTTPS specifické pro subdoménu.
  • Pro všechny subdomény můžete použít jednu zásadu firewallu webových aplikací (WAF).

Domény se zástupnými čísly se běžně používají k podpoře řešení saaS (software jako služba) a dalších víceklientských aplikací. Při vytváření těchto typů aplikací je potřeba věnovat zvláštní pozornost směrování provozu na servery původu. Další informace najdete v tématu Použití služby Azure Front Door ve víceklientských řešeních.

Poznámka:

Pokud ke správě záznamů DNS vaší domény používáte Azure DNS, musíte nakonfigurovat zástupné domény pomocí rozhraní API Azure Resource Manageru, Bicep, PowerShellu a Azure CLI. Podpora přidávání a správy zástupných domén Azure DNS na webu Azure Portal není dostupná.

Přidání zástupné domény a vazby certifikátu

Zástupnou doménu můžete přidat pomocí podobných kroků pro subdomény. Další informace o přidání subdomény do služby Azure Front Door najdete v tématu Konfigurace vlastní domény ve službě Azure Front Door pomocí webu Azure Portal.

Poznámka:

Pokud chcete přijímat provoz HTTPS ve vaší zástupné doméně, musíte pro doménu se zástupným znakem povolit HTTPS. Vazba certifikátu pro doménu se zástupným znakem vyžaduje certifikát se zástupným znakem. To znamená, že název subjektu certifikátu by měl mít také zástupnou doménu.

Poznámka:

  • V současné době je k dispozici pouze použití vlastní možnosti certifikátu SSL pro povolení HTTPS pro zástupné domény. Spravované certifikáty služby Azure Front Door se nedají použít pro zástupné domény.
  • Pro subdomény můžete použít stejný zástupný certifikát ze služby Azure Key Vault nebo ze spravovaných certifikátů služby Azure Front Door.
  • Pokud chcete přidat subdoménu zástupné domény, která je již ověřená v profilu služby Azure Front Door Standard nebo Premium, ověření domény se automaticky schválí.
  • Pokud je doména se zástupnými znamény ověřená a už je přidaná do jednoho profilu, dá se subdoména na jedné úrovni přidat do jiného profilu, pokud je také ověřena.

Explicitní definice subdomény

Můžete přidat libovolný počet subdomén jednoúrovňového zástupného znaku. Například pro zástupnou doménu *.contoso.commůžete do profilu služby Azure Front Door přidat subdomény pro image.contoso.comatd cart.contoso.com. Konfigurace, kterou explicitně zadáte pro subdoménu, má přednost před konfigurací zástupné domény.

V těchto situacích může být potřeba explicitně přidat subdomény:

  • Musíte definovat jinou trasu pro subdoménu než ostatní domény (ze zástupné domény). Vaši zákazníci můžou například používat subdomény jako customer1.contoso.com, customer2.contoso.coma tak dále, a tyto subdomény by se měly směrovat na hlavní aplikační servery. Můžete ale také chtít směrovat images.contoso.com do kontejneru objektů blob služby Azure Storage.
  • Pro konkrétní subdoménu musíte použít jinou zásadu WAF.

Subdomény jako www.image.contoso.com nejsou subdoména *.contoso.comna jedné úrovni .

Přidání zástupných domén

V části pro front-endové hostitele nebo domény můžete přidat zástupnou doménu. Podobně jako subdomény služba Azure Front Door (Classic) ověřuje, že pro vaši doménu se zástupnými znamény existuje mapování záznamů CNAME. Toto mapování DNS (Domain Name System) může být přímé mapování záznamů CNAME, jako *.contoso.com je namapované na endpoint.azurefd.net. Nebo můžete použít dočasné mapování afdverify. Namapováno například afdverify.contoso.com k afdverify.endpoint.azurefd.net ověření mapy záznamů CNAME pro zástupný znak.

Poznámka:

Azure DNS podporuje záznamy se zástupným znakem.

Do limitu hostitelů front-endu můžete přidat tolik subdomén jednoúrovňové domény zástupného znaku v hostitelích front-endu. Tato funkce může být vyžadována pro:

  • Definování jiné trasy pro subdoménu než ostatní domény (ze zástupné domény).

  • Pro konkrétní subdoménu máte jinou zásadu WAF. Například *.contoso.com umožňuje přidávání foo.contoso.com bez nutnosti znovu prokázat vlastnictví domény. Nepovoluje foo.bar.contoso.com se ale, protože se nejedná o jedinou subdoménu *.contoso.comúrovně . Pokud chcete přidat foo.bar.contoso.com bez dalšího ověření vlastnictví domény, *.bar.contoso.com je potřeba přidat.

Můžete přidat zástupné domény a jejich subdomény s určitými omezeními:

  • Pokud je doména se zástupným znakem přidaná do profilu služby Azure Front Door (Classic):
    • Doména se zástupným znakem se nedá přidat do žádného jiného profilu služby Azure Front Door (Classic).
    • Subdomény první úrovně zástupné domény nejde přidat do jiného profilu služby Azure Front Door (Classic) ani do profilu služby Azure Content Delivery Network.
  • Pokud se subdoména zástupné domény už přidá do profilu služby Azure Front Door (Classic) nebo do profilu služby Azure Content Delivery Network, doména se zástupnými znamény nedá použít pro jiný profil služby Azure Front Door (Classic).
  • Pokud dva profily (Azure Front Door nebo Azure Content Delivery Network) mají různé subdomény kořenové domény, není možné do žádného z těchto profilů přidat zástupné domény.

Vazba certifikátu

Pokud chcete přijímat provoz HTTPS ve vaší zástupné doméně, musíte pro doménu se zástupným znakem povolit HTTPS. Vazba certifikátu pro doménu se zástupným znakem vyžaduje certifikát se zástupným znakem. To znamená, že název subjektu certifikátu by měl mít také zástupnou doménu.

Poznámka:

V současné době je k dispozici pouze použití vlastní možnosti certifikátu SSL pro povolení HTTPS pro zástupné domény. Spravované certifikáty služby Azure Front Door se nedají použít pro zástupné domény.

Pro subdomény můžete použít stejný zástupný certifikát ze služby Azure Key Vault nebo ze spravovaných certifikátů služby Azure Front Door.

Pokud je subdoména přidaná pro doménu se zástupnými znamény, která už k ní má přidružený certifikát, nemůžete pro subdoménu zakázat HTTPS. Subdoména používá vazbu certifikátu pro doménu se zástupným znakem, pokud ji nepřepíše jiný trezor klíčů nebo spravovaný certifikát služby Azure Front Door.

Zásady WAF

Zásady WAF je možné připojit k doménám se zástupnými cardy, podobně jako u jiných domén. Na subdoménu zástupné domény se dá použít jiná zásada WAF. Subdomény automaticky dědí zásadu WAF ze zástupné domény, pokud k subdoméně nejsou přidružené žádné explicitní zásady WAF. Pokud je však subdoména přidána do jiného profilu než profil domény se zástupnými otazíky, subdoména nemůže zdědit zásadu WAF přidruženou k doméně se zástupným znakem.

Zásady WAF je možné připojit k doménám se zástupnými cardy, podobně jako u jiných domén. Na subdoménu zástupné domény se dá použít jiná zásada WAF. Pro subdomény je nutné zadat zásady WAF, které se mají použít, i když se jedná o stejnou zásadu jako doména se zástupným znakem. Subdomény automaticky nezdědí zásady WAF ze zástupné domény.

Pokud nechcete, aby zásady WAF běžely pro subdoménu, můžete vytvořit prázdnou zásadu WAF bez spravovaných ani vlastních sad pravidel.

Trasy

Při konfiguraci trasy můžete jako zdroj vybrat zástupnou doménu. Pro zástupné domény a subdomény můžete mít také jiné chování tras. Azure Front Door zvolí nejvýraznější shodu pro doménu napříč různými trasami. Další informace najdete v tématu Jak se požadavky shodují s pravidlem směrování.

Důležité

Musíte mít odpovídající vzory cest napříč trasami, jinak se klientům zobrazí selhání.

Předpokládejme například, že máte dvě pravidla směrování:

  • Trasa 1 (*.foo.com/* namapovaná na skupinu původu A)
  • Trasa 2 (bar.foo.com/somePath/* namapovaná na skupinu původu B) Pokud přijde požadavek na bar.foo.com/anotherPath/*, Azure Front Door vybere trasu 2 na základě konkrétnější shody domény, pouze pokud nenajdete žádné odpovídající vzory cest napříč trasami.

Pravidla směrování

Při konfiguraci pravidla směrování můžete jako hostitele front-endu vybrat zástupnou doménu. Pro zástupné domény a subdomény můžete mít také jiné chování tras. Azure Front Door zvolí nejvýraznější shodu pro doménu napříč různými trasami. Další informace najdete v tématu Jak se požadavky shodují s pravidlem směrování.

Důležité

Musíte mít odpovídající vzory cest napříč trasami, jinak se klientům zobrazí selhání.

Předpokládejme například, že máte dvě pravidla směrování:

  • Trasa 1 (*.foo.com/* namapovaná na back-endový fond A)
  • Trasa 2 (bar.foo.com/somePath/* namapovaná na back-endový fond B) Pokud přijde požadavek na bar.foo.com/anotherPath/*, Azure Front Door vybere trasu 2 na základě konkrétnější shody domény, pouze pokud nenajdete žádné odpovídající vzory cest napříč trasami.

Další kroky