Apex-domäner i Azure Front Door
Apex-domäner, även kallade rotdomäner eller nakna domäner, finns i roten i en DNS-zon (Domain Name System) och innehåller inte underdomäner. Till exempel contoso.com
är en apex-domän.
Azure Front Door stöder apex-domäner, men kräver särskilda överväganden. Den här artikeln beskriver hur apex-domäner fungerar i Azure Front Door.
Information om hur du lägger till en rot- eller apexdomän i din Azure Front Door-profil finns i Publicera en rot- eller apexdomän i din Azure Front Door-profil.
DNS CNAME-utplattande
DNS-protokollet förhindrar tilldelning av CNAME-poster i zonexemplet. Om din domän till exempel är contoso.com
kan du skapa en CNAME-post för myapplication.contoso.com
, men du kan inte skapa en CNAME-post för contoso.com
sig själv.
Azure Front Door exponerar inte den offentliga IP-adressen för klientdelen som är associerad med din Azure Front Door-slutpunkt. Därför kan du inte mappa en apex-domän till en Ip-adress för Azure Front Door.
Varning
Skapa inte en A-post med den offentliga IP-adressen för din Azure Front Door-slutpunkt. Azure Front Door-slutpunktens offentliga IP-adress kan ändras och vi ger inga garantier för att den förblir densamma.
Det här problemet kan dock lösas med hjälp av aliasposter i Azure DNS. Till skillnad från CNAME-poster skapas aliasposter i zonexet. Du kan peka en zon-apexpost till en Azure Front Door-profil som har offentliga slutpunkter. Flera programägare kan peka på samma Azure Front Door-slutpunkt som används för alla andra domäner i dns-zonen. Och kan till exempel contoso.com
www.contoso.com
peka på samma Azure Front Door-slutpunkt.
Om du mappar din apex- eller rotdomän till din Azure Front Door-profil används CNAME-utplattande, som ibland kallas DNS-jakt. CNAME-utplattande är platsen där en DNS-provider rekursivt löser CNAME-poster tills den löser en IP-adress. Azure DNS stöder den här funktionen för Azure Front Door-slutpunkter.
Kommentar
Andra DNS-leverantörer stöder CNAME-utplattad eller DNS-jakt. Azure Front Door rekommenderar dock att du använder Azure DNS som värd för dina apex-domäner.
Validering av TXT-post
För att verifiera en domän måste du skapa en DNS TXT-post. Namnet på TXT-posten måste vara av formuläret _dnsauth.{subdomain}
. Azure Front Door ger ett unikt värde för din TXT-post när du börjar lägga till domänen i Azure Front Door.
Anta till exempel att du vill använda apex-domänen contoso.com
med Azure Front Door. Först bör du lägga till domänen i din Azure Front Door-profil och notera det TXT-postvärde som du behöver använda. Sedan bör du konfigurera en DNS-post med följande egenskaper:
Property | Värde |
---|---|
Postnamn | _dnsauth |
Postvärde | använd värdet som tillhandahålls av Azure Front Door |
Time to live (TTL) | 1 timme |
Azure Front Door-hanterad TLS-certifikatrotation
När du använder ett Azure Front Door-hanterat certifikat försöker Azure Front Door automatiskt rotera (förnya) certifikatet. Innan det gör det kontrollerar Azure Front Door om DNS CNAME-posten fortfarande pekar på Azure Front Door-slutpunkten. Apex-domäner har ingen CNAME-post som pekar på en Azure Front Door-slutpunkt, så autorotationen för hanterat certifikat misslyckas tills domänägarskapet har återkallats.
Välj länken Väntande förlängning och välj sedan knappen Återskapa för att återskapa TXT-token. Därefter lägger du till TXT-token i inställningarna för DNS-providern.
Kommentar
Azure Front Door DNS TXT-poster för domännamnsverifiering måste uppdateras när certifikatet förnyas. När du ser valideringstillståndet för väntande återställningsdomän kontrollerar du att du genererar en ny TXT-post och uppdaterar DNS-servern.
Nästa steg
Information om hur du lägger till en rot- eller apexdomän i din Azure Front Door-profil finns i Publicera en rot- eller apexdomän i din Azure Front Door-profil.