將根網域或頂點網域上線至 Azure Front Door

重要

Azure Front Door (傳統) 將於 2027 年 3 月 31 日遭到淘汰。 為了避免任何服務中斷，請務必在 2027 年 3 月之前，將 Azure Front Door (傳統) 設定檔移轉至 Azure Front Door 標準或進階層。 如需詳細資訊，請參閱 Azure Front Door (傳統版) 淘汰。

Azure Front Door 使用 CNAME 記錄來驗證自訂網域上線的網域擁有權。 Azure Front Door 不會公開與您的 Azure Front Door 配置文件相關聯的前端 IP 位址。 因此，如果您的意圖是將頂點網域上線至 Azure Front Door，則無法將頂點網域對應至 IP 位址。

功能變數名稱系統 （DNS） 通訊協定會防止在區域頂點指派 CNAME 記錄。 例如，如果您的網域是 contoso.com，您可以為 建立 CNAME 記錄 somelabel.contoso.com，但無法自行 contoso.com 建立 CNAME 記錄。 對於在 Azure Front Door 後方負載平衡應用程式的應用程式擁有者而言，這項限制會產生問題。 由於使用 Azure Front Door 配置檔需要建立 CNAME 記錄，因此無法從區域頂點指向 Azure Front Door 配置檔。

您可以使用 Azure DNS 中的別名記錄來解決此問題。 不同於 CNAME 記錄，別名記錄是在區域頂點建立。 應用程式擁有者可以使用它，將其區域頂點記錄指向具有公用端點的 Azure Front Door 配置檔。 應用程式擁有者可以指向其 DNS 區域內任何其他網域所使用的相同 Azure Front Door 配置檔。 例如， contoso.com 和 www.contoso.com 可以指向相同的 Azure Front Door 配置檔。

將您的頂點或根域對應至 Azure Front Door 配置檔需要 CNAME 壓平 或 DNS 追查，也就是 DNS 提供者遞歸解析 CNAME 專案，直到解析 IP 位址為止。 Azure DNS 支援 Azure Front Door 端點的這項功能。

注意

其他 DNS 提供者支援 CNAME 壓平合併或 DNS 追逐。 不過，Azure Front Door 建議其客戶使用 Azure DNS 來裝載其網域。

您可以使用 Azure 入口網站 在 Azure Front Door 上架頂點網域，並將它與傳輸層安全性 （TLS） 憑證建立關聯，以啟用其上的 HTTPS。 頂點網域也稱為 根 域或 裸 域。

頂點網域位於 DNS 區域的根目錄，且不包含子網域。 例如，contoso.com 是頂點網域。 當您使用 Azure DNS 時，Azure Front Door 支援新增頂點網域。 如需頂點網域的詳細資訊，請參閱 Azure Front Door 中的網域。

您可以使用 Azure 入口網站將頂點網域上線至您的 Azure Front Door 設定檔，並且可以透過將其與 TLS 憑證相關聯來啟用 HTTPS。

將自訂網域上線至您的 Azure Front Door 設定檔

1. 在 [設定] 底下，選取 Azure Front Door 配置檔的 [網域]。 然後選取 [+ 新增 ] 以新增自定義網域。

   

2. 在 [ 新增網域 ] 窗格中，輸入自定義網域的相關信息。 您可以選擇 Azure 管理的 DNS（建議），或者您可以選擇使用 DNS 提供者。

   • Azure 受控 DNS：選取現有的 DNS 區域。 針對 [ 自定義網域]，選取 [ 新增]。 從快顯中選取 [APEX 網域 ]。 然後選取 [ 確定 ] 以儲存。

     

   • 另一個 DNS 提供者：請確定 DNS 提供者支援 CNAME 扁平化，並遵循新增自定義網域的步驟。

3. 選取 [擱置中] 驗證狀態。 新的窗格隨即出現，其中包含驗證自定義網域所需的 DNS TXT 記錄資訊。 TXT 記錄的格式為 _dnsauth.<your_subdomain>。

   

   • Azure DNS 型區域：選取 [新增 ] 以建立新的 TXT 記錄，其中包含出現在 Azure DNS 區域中的值。

     

   • 如果您使用另一個 DNS 提供者，請以名稱 _dnsauth.<your_subdomain> 與記錄值手動建立新的 TXT 記錄，如窗格上所示。

4. 關閉 [ 驗證自定義網域 ] 窗格，然後返回 Azure Front Door 配置檔的 [網域 ] 窗格。 您應該會看到 [驗證狀態] 從 [擱置] 變更為 [已核准]。 如果沒有，請等候最多 10 分鐘，變更出現。 如果您的驗證未獲得核准，請確定您的 TXT 記錄正確無誤，而且如果您使用 Azure DNS，則會正確設定名稱伺服器。

   

5. 從 [端點關聯] 數據行選取 [取消關聯]，將新的自定義網域新增至端點。

   

6. 在 [ 建立端點和路由 關聯] 窗格上，選取您要與網域建立關聯的端點和路由。 然後選取 [ 關聯]。

   

7. 在 [DNS 狀態] 資料行底下，選取 [CNAME 記錄目前未偵測到] 將別名記錄新增至 DNS 提供者。

   • Azure DNS：選取 [ 新增]。

     

   • 支援 CNAME 扁平處理的 DNS 提供者：您必須手動輸入別名記錄名稱。

8. 建立別名記錄且自定義網域與 Azure Front Door 端點相關聯之後，流量就會開始流動。

   

注意

• DNS 狀態資料行用於 CNAME 對應檢查。 頂點網域不支援 CNAME 記錄，因此即使您將別名記錄新增至 DNS 提供者，DNS 狀態仍 不會偵測 到 CNAME 記錄。
• 當您將 Azure Web 應用程式放在 Azure Front Door 後方時，您必須使用與 Azure Front Door 中根域相同的功能變數名稱來設定 Web 應用程式。 您也需要設定具有該功能變數名稱的後端主機標頭，以防止重新導向迴圈。
• Apex 網域沒有指向 Azure Front Door 配置檔的 CNAME 記錄。 除非網域驗證在輪替之間完成，否則受控憑證自動輪替一律會失敗。
• Microsoft.Network 資源提供者需要建立別名記錄。

在自訂網域上啟用 HTTPS

遵循設定自訂網域的 HTTPS 的指導，為您的頂點網域啟用 HTTPS。

建立區域頂點的別名記錄

1. 針對要上線的網域，開啟 [Azure DNS] 設定。

2. 建立或編輯區域頂點的記錄。

3. 選取記錄類型作為 A。針對 [ 別名記錄集]，選取 [ 是]。 將 [別名類型] 設定為 [Azure 資源]。

4. 選取包含 Azure Front Door 設定檔的 Azure 訂用帳戶。 然後，從 [Azure 資源] 下拉式清單中選取 [Azure Front Door 資源 ]。

5. 選取 [確定] 以提交變更。

   

6. 上一個步驟會建立指向 Azure Front Door 資源的區域頂點記錄。 它也會建立 CNAME 記錄對應 afdverify （例如 afdverify.contosonews.com，）， 用於在 Azure Front Door 配置檔上上架網域。

將 Azure Front Door 上的自定義網域上線

1. 在 [Azure Front Door 設計工具] 索引卷標上，選取 + [前端主機] 區段上的圖示以新增自定義網域。

2. 在 [自定義主機名] 字段中輸入根或頂點域名。 例如 contosonews.com。

3. 驗證從網域到 Azure Front Door 的 CNAME 對應之後，請選取 [新增 ] 以新增自定義網域。

4. 選取 [儲存] 以提交變更。

   

在自訂網域上啟用 HTTPS

1. 選取已新增的自定義網域。 在 [自定義網域 HTTPS] 區段底下，將狀態變更為 [已啟用]。

2. 針對 [ 憑證管理類型]，選取 [ 使用我自己的憑證]。

   

   警告

   頂點或根域目前不支援 Azure Front Door 管理的憑證管理類型。 在 Azure Front Door 頂點或根域上啟用 HTTPS 的唯一選項，是使用裝載在 Azure 金鑰保存庫 上您自己的自定義 TLS/SSL 憑證。

3. 在繼續進行下一個步驟之前，請確定您已設定正確的 Azure Front Door 許可權，以存取密鑰保存庫，如 UI 中所述。

4. 從您目前的訂用帳戶中選擇 金鑰保存庫 帳戶。 然後選取適當的 秘密 和 秘密版本 ，以對應至正確的憑證。

5. 選取 [ 更新] 以儲存選取專案。 然後選取儲存。

6. 選取 [幾分鐘后重新整理]。 然後再次選取自定義網域，以查看憑證布建的進度。

警告

請確定您已為頂點網域建立適當的路由規則，或將網域新增至現有的路由規則。

下一步

• 了解如何建立 Azure Front Door 設定檔。
• 了解 Azure Front Door 的運作方式。