Stamm- oder Apex-Domäne in Ihre Front Door-Instanz integrieren

  • Artikel

Wichtig

Azure Front Door (klassisch) wird am 31. März 2027 eingestellt. Um Dienstunterbrechungen zu vermeiden, ist es wichtig, dass Sie Ihre (klassischen) Azure Front Door-Profile bis März 2027 zur Azure Front Door Standard- oder Premium-Stufe migrieren. Weitere Informationen finden Sie unter Einstellung von Azure Front Door (klassisch).

Azure Front Door verwendet CNAME-Einträge zum Überprüfen des Domänenbesitzes beim Integrieren von benutzerdefinierten Domänen. Azure Front Door legt die dem Front Door-Profil zugeordnete Azure Front-End-IP-Adresse nicht offen. Daher können Sie Ihre Apex-Domäne nicht einer IP-Adresse zuordnen, wenn Sie beabsichtigen, ein Onboarding in Azure Front Door durchzuführen.

Das Domain Name System (DNS)-Protokoll verhindert die Zuweisung von CNAME-Einträgen am Zonen-Apex. Wenn die Domäne beispielsweise contoso.com heißt, können Sie CNAME-Einträge für somelabel.contoso.com, aber keinen CNAME-Eintrag für contoso.com selbst erstellen. Diese Einschränkung stellt Anwendungsbesitzer, die über Anwendungen mit Lastenausgleich über Azure Front Door verfügen, vor ein Problem. Da für die Verwendung eines Azure Front Door-Profils die Erstellung eines CNAME-Eintrags erforderlich ist, kann vom Zonen-Apex aus nicht auf das Azure Front Door-Profil verwiesen werden.

Sie können dieses Problem beheben, indem Sie Aliaseinträge in Azure DNS verwenden. Anders als CNAME-Einträge werden Aliaseinträge im Zonen-Apex erstellt. Anwendungsbesitzende können diese verwenden, um ihren Zonen-Apex-Eintrag auf ein Azure Front Door-Profil verweisen, das über öffentliche Endpunkte verfügt. Anwendungsbesitzende können auf das gleiche Azure Front Door-Profil verweisen, der auch für andere Domänen innerhalb ihrer DNS-Zone verwendet wird. Beispielsweise können contoso.com und www.contoso.com beide auf dasselbe Azure Front Door-Profil verweisen.

Zum Zuweisen Ihrer Apex- oder Stammdomäne an Ihr Azrue Front Door-Profil muss der CNAME-Eintrag vereinfacht oder DNS nachverfolgt werden. Dabei löst der DNS-Anbieter auf rekursive Weise den CNAME-Eintrag auf, bis eine IP-Adresse aufgelöst wird. Azure DNS unterstützt diese Funktionalität für Azure Front Door-Endpunkte.

Hinweis

Andere DNS-Anbieter unterstützen CNAME-Vereinfachung oder DNS-Verfolgung. Azure Front Door empfiehlt seinen Kunden für das Hosting Ihrer Domänen jedoch die Verwendung von Azure DNS.

Sie können das Azure-Portal verwenden, um ein Onboarding für eine Apex-Domäne in Ihrer Azure Front Door-Instanz durchzuführen und HTTPS für sie zu aktivieren, indem Sie sie einem Transport Layer Security (TLS)-Zertifikat zuordnen. Apex-Domänen werden auch als Stammdomänen oder Naked Domains bezeichnet.

Apex-Domänen befinden sich am Stamm einer DNS-Zone und enthalten keine Unterdomänen. contoso.com ist beispielsweise eine Apex-Domäne. Azure Front Door unterstützt das Hinzufügen von Apex-Domänen, wenn Sie Azure DNS verwenden. Weitere Informationen zu Apex-Domänen finden Sie unter Domänen in Azure Front Door.

Sie können das Azure-Portal verwenden, um eine Apex-Domäne in Ihr Azure Front Door-Profil zu intergieren, und Sie können HTTPS für sie aktivieren, indem Sie sie einem TLS-Zertifikat zuordnen.

Benutzerdefinierte Domäne in Ihr Azure Front Door-Profil integrieren

  1. Wählen Sie unter EinstellungenDomänen für Ihr Azure Front Door-Profil aus. Wählen Sie dann + Hinzufügen aus, um ein neue benutzerdefinierte Domäne hinzuzufügen.

    Screenshot vom Hinzufügen einer neuen Domäne zum Azure Front Door-Profil.

  2. Auf der Seite Domäne hinzufügen geben Sie Informationen über die benutzerdefinierte Domäne ein. Sie können „Mit Azure verwaltetes DNS“ (empfohlen) oder die Option zum Verwenden eines eigenen DNS-Anbieters auswählen.

    • Von Azure verwaltetes DNS: Wählen Sie eine vorhandene DNS-Zone aus. Wählen Sie unter Benutzerdefinierte Domäne die Option Neue hinzufügen aus. Wählen Sie im Popup eine APEX-Domäne aus. Wählen Sie dann OK aus, um die Änderung zu speichern.

      Screenshot vom Hinzufügen einer neuen benutzerdefinierten Domäne zum Azure Front Door-Profil.

    • Ein anderer DNS-Anbieter: Stellen Sie sicher, dass der DNS-Anbieter CNAME-Vereinfachung unterstützt, und führen Sie die Schritte zum Hinzufügen einer benutzerdefinierten Domäne aus.

  3. Wählen Sie den Überprüfungsstatus Ausstehend aus. Es wird eine neue Seite mit den Informationen zum DNS-TXT-Eintrag angezeigt, die zum Überprüfen der benutzerdefinierten Domäne erforderlich sind. Der TXT-Eintrag hat das Format _dnsauth.<your_subdomain>.

    Screenshot der ausstehenden Überprüfung der benutzerdefinierten Domäne.

    • Azure DNS-basierte Zone: Wählen Sie Hinzufügen aus, um einen neuen TXT-Eintrag mit dem Wert zu erstellen, der in der Azure DNS-Zone angezeigt wird.

      Screenshot, der die Überprüfung einer neuen benutzerdefinierten Domäne zeigt.

    • Wenn Sie einen anderen DNS-Anbieter verwenden, erstellen Sie manuell einen neuen TXT-Eintrag mit dem Namen _dnsauth.<your_subdomain> und dem auf der Seite angezeigten Eintragswert.

  4. Schließen Sie die Seite Benutzerdefinierte Domäne überprüfen und kehren Sie zur Seite Domänen für das Azure Front Door-Profil zurück. Der Überprüfungszustand sollte von Ausstehend in Bestätigt geändert werden. Wenn nicht, warten Sie bis zu 10 Minuten, bis Änderungen angezeigt werden. Wenn Ihre Überprüfung nicht bestätigt wird, stellen Sie sicher, dass Ihr TXT-Eintrag korrekt ist und Nameserver ordnungsgemäß konfiguriert sind, wenn Sie Azure DNS verwenden.

    Screenshot einer neuen benutzerdefinierten Domäne, welche die Überprüfung übergibt.

  5. Wählen Sie Nicht zugeordnet aus der Spalte Endpunktzuordnung aus, um die neue benutzerdefinierte Domäne zu einem Endpunkt hinzuzufügen.

    Screenshot einer nicht zugeordneten benutzerdefinierten Domäne, die einem Endpunkt hinzugefügt wurde.

  6. Wählen Sie im Bereich Endpunkt und Route zuordnen weiterleiten, wählen Sie den Endpunkt und die Route aus, zu denen Sie die Domäne zuordnen möchten. Wählen Sie dann Zuordnen aus.

    Screenshot des zugeordneten Endpunkts und des Routenbereichs für eine Domäne.

  7. Wählen Sie unter der Spalte DNS-Zustand die Option CNAME-Eintrag wird derzeit nicht erkannt aus, um den Aliaseintrag zum DNS-Anbieter hinzuzufügen.

    • Azure DNS: Wählen Sie Hinzufügen aus.

      Screenshot des Bereichs „CNAME-Eintrag hinzufügen oder aktualisieren“.

    • Ein DNS-Anbieter, der die CNAME-Vereinfachung unterstützt: Sie müssen den Namen des Aliaseintrags manuell eingeben.

  8. Nachdem der Aliaseintrag erstellt und die benutzerdefinierte Domäne dem Azure Front Door-Endpunkt zugeordnet wurde, wird der Datenverkehr gestartet.

    Screenshot der abgeschlossenen APEX-Domänenkonfiguration.

Hinweis

  • Die Spalte DNS-Zustand ist für die Prüfung der CNAME-Zuordnung vorgesehen. Eine Apex-Domäne unterstützt den CNAME-Eintrag nicht, somit wird der DNS-Zustand CNAME-Eintrag wird derzeit nicht erkannt angezeigt, auch wenn Sie den Aliaseintrag zum DNS-Anbieter hinzufügen.
  • Wenn Sie einen Dienst wie eine Azure-Web-App hinter Azure Front Door platzieren, müssen Sie die Web-App mit demselben Domänennamen konfigurieren wie die Stammdomäne in Azure Front Door. Außerdem müssen Sie den Back-End-Hostheader mit diesem Domänennamen konfigurieren, um eine Umleitungsschleife zu verhindern.
  • Apex-Domänen verfügen nicht über CNAME-Einträge, die auf das Azure Front Door-Profil verweisen. Die Autorotation von verwalteten Zertifikaten schlägt immer fehl, es sei denn, die Domänenüberprüfung wird zwischen Drehungen abgeschlossen.

Aktivieren von HTTPS für eine benutzerdefinierte Domäne

Folgen Sie den Anweisungen zum Konfigurieren von HTTPS für Ihre benutzerdefinierte Domäne, um HTTPS für Ihre Apex-Domäne zu aktivieren.

Erstellen eines Aliaseintrags für einen Zonen-Apex

  1. Öffnen Sie die Konfiguration Azure DNS, damit die Domäne integriert werden kann.

  2. Erstellen oder bearbeiten Sie den Eintrag für den Zonen-Apex.

  3. Wählen Sie als Datensatztyp A aus. Wählen Sie für den Alias-DatensatzsatzJa aus. Legen Sie den Aliastyp auf Azure-Ressource fest.

  4. Wählen Sie das Azure-Abonnement aus, in dem Ihr Front Door-Profil enthalten ist. Wählen Sie dann in der Dropdownliste Azure-Ressource die Azure Front Door-Ressource aus.

  5. Klicken Sie auf OK, um die Änderungen zu übermitteln.

    Screenshot eines Aliasdatensatzes für Zonen-Apex.

  6. Im vorherigen Schritt wird ein Zonen-Apex-Datensatz erstellt, der auf Ihre Azure Front Door-Ressource verweist. Außerdem wird ein CNAME-Eintragszuordnungs-afdverify (z. B. afdverify.contosonews.com) erstellt, der für das Onboarding der Domäne in Ihrem Azure Front Door-Profil verwendet wird.

Integrieren der benutzerdefinierten Domäne in Ihre Azure Front Door-Instanz

  1. Klicken Sie in Azure Front Door auf der Registerkarte „Designer“ im Abschnitt Front-End-Hosts auf das Symbol +, um eine neue benutzerdefinierte Domäne hinzuzufügen.

  2. Geben Sie in das Feld Benutzerdefinierter Hostname den Namen der Stamm- oder Apex-Domäne ein. z. B. contosonews.com.

  3. Nachdem die CNAME-Zuordnung von der Domäne zu Ihrer Azure Front Door-Instanz überprüft wurde, klicken Sie auf Hinzufügen, um die benutzerdefinierte Domäne hinzuzufügen.

  4. Klicken Sie auf Speichern, um die Änderungen zu übermitteln.

    Screenshot des Bereichs „Benutzerdefinierte Domäne hinzufügen“.

Aktivieren von HTTPS für eine benutzerdefinierte Domäne

  1. Wählen Sie die benutzerdefinierte Domäne aus, die hinzugefügt wurde. Ändern Sie im Abschnitt Benutzerdefinierte Domäne HTTPS den Status in Aktiviert.

  2. Wählen Sie als ZertifikatverwaltungstypEigenes Zertifikat verwenden aus.

    Screenshot der HTTPS-Einstellungen für benutzerdefinierte Domänen

    Warnung

    Der Zertifikatverwaltungstyp „Mit Azure Front Door verwaltet“ wird derzeit nicht für Apex- oder Stammdomänen unterstützt. Sie können nur Ihr eigenes benutzerdefiniertes TLS/SSL-Zertifikat verwenden, das in Azure Key Vault gehostet wird, um HTTPS auf einer Apex- oder Stammdomäne für Azure Front Door zu aktivieren.

  3. Vergewissern Sie sich, dass Sie die richtigen Berechtigungen für Azure Front Door eingerichtet haben, um wie auf der Benutzeroberfläche angegeben auf Ihren Schlüsseltresor zugreifen zu können, bevor Sie mit dem nächsten Schritt fortfahren.

  4. Wählen Sie ein Key Vault-Konto aus Ihrem aktuellen Abonnement aus. Wählen Sie dann das entsprechende Geheimnis und die geheime Version aus, um das richtige Zertifikat zuzuordnen.

  5. Wählen Sie Update aus, um die Auswahl zu speichern. Klicken Sie dann auf Speichern.

  6. Wählen Sie nach einigen Minuten Aktualisieren aus. Wählen Sie dann erneut die benutzerdefinierte Domäne aus, um den Fortschritt der Zertifikatbereitstellung anzuzeigen.

Warnung

Vergewissern Sie sich, dass Sie angemessene Routingregeln für Ihre Apex-Domäne erstellt oder die Domäne bereits vorhandenen Routingregeln zugeordnet haben.

Nächste Schritte