Подключение корневого или вершинного домена к Azure Front Door

  • Статья

Внимание

Azure Front Door (классическая версия) будет прекращена 31 марта 2027 г. Чтобы избежать нарушений работы служб, важно перенести профили Azure Front Door (классический) на уровень Azure Front Door standard или Premium к марту 2027 года. Дополнительные сведения см. в статье azure Front Door (классическая версия) для выхода на пенсию.

Azure Front Door использует записи CNAME для проверки владения доменом для подключения пользовательских доменов. Azure Front Door не предоставляет внешний IP-адрес, связанный с профилем Azure Front Door. Таким образом, вы не можете сопоставить свой домен вершины с IP-адресом, если вы намерены подключить его к Azure Front Door.

Протокол DNS предотвращает назначение записей CNAME в вершине зоны. Например, если домен имеет contoso.comзначение, вы можете создать записи CNAME для somelabel.contoso.comсебя, но не можете создать запись CNAME.contoso.com Это ограничение представляет проблему для владельцев приложений, которые балансируйте нагрузку приложений за Azure Front Door. Так как для использования профиля Azure Front Door требуется создание записи CNAME, невозможно указать профиль Azure Front Door из вершины зоны.

Эту проблему можно устранить с помощью записей псевдонимов в Azure DNS. В отличие от записей CNAME, записи псевдонимов создаются в вершине зоны. Владельцы приложений могут использовать его для указания их вершинной записи зоны на профиль Azure Front Door с общедоступными конечными точками. Владельцы приложений могут указывать на тот же профиль Azure Front Door, который используется для любого другого домена в пределах зоны DNS. Например, contoso.com и www.contoso.com может указывать на тот же профиль Azure Front Door.

При сопоставлении вершин или корневого домена с профилем Azure Front Door требуется преобразование CNAME в плоскую или dns-преследование, то есть когда поставщик DNS рекурсивно разрешает записи CNAME, пока не будет разрешен IP-адрес. Azure DNS поддерживает эту функцию для конечных точек Azure Front Door.

Примечание.

Другие поставщики DNS поддерживают преобразование CNAME в плоскую или DNS-преследование. Однако Azure Front Door рекомендует использовать Azure DNS для своих клиентов для размещения своих доменов.

Вы можете использовать портал Azure для подключения домена apex в Azure Front Door и включения HTTPS на нем, связав его с сертификатом TLS. Домены apex также называются корневыми или голыми доменами.

Домены apex находятся в корне зоны DNS и не содержат поддоменов. Например, contoso.com это домен вершины. Azure Front Door поддерживает добавление доменов вершин при использовании Azure DNS. Дополнительные сведения об вершинах доменов см. в разделе "Домены" в Azure Front Door.

Вы можете использовать портал Azure для подключения домена apex в профиле Azure Front Door и включить httpS на нем, связав его с сертификатом TLS.

Подключение личного домена к профилю Azure Front Door

  1. В разделе Параметры выберите домены для профиля Azure Front Door. Затем нажмите кнопку +Добавить , чтобы добавить новый личный домен.

    Снимок экрана: добавление нового домена в профиль Azure Front Door.

  2. На панели "Добавление домена" введите сведения о пользовательском домене. Вы можете выбрать управляемый Azure DNS (рекомендуется) или использовать поставщик DNS.

    • Управляемый Azure DNS: выберите существующую зону DNS. Для личного домена нажмите кнопку "Добавить". Выберите домен APEX из всплывающего окна. Нажмите кнопку "ОК ", чтобы сохранить.

      Снимок экрана: добавление нового личного домена в профиль Azure Front Door.

    • Другой поставщик DNS: убедитесь, что поставщик DNS поддерживает неструктурированное преобразование CNAME и выполните действия по добавлению личного домена.

  3. Выберите состояние проверки Ожидание. Откроется новая область с информацией о записи DNS TXT, необходимой для проверки личного домена. Запись типа TXT имеет вид _dnsauth.<your_subdomain>.

    Снимок экрана, на котором показана проверка ожидания личного домена.

    • Зона на основе Azure DNS. Выберите " Добавить ", чтобы создать запись TXT со значением, отображаемым в зоне Azure DNS.

      Снимок экрана: проверка нового личного домена.

    • Если вы используете другой поставщик DNS, вручную создайте запись TXT с именем _dnsauth.<your_subdomain> со значением записи, как показано на панели.

  4. Закройте панель "Проверка личного домена" и вернитесь в область "Домены" для профиля Azure Front Door. Вы увидите изменение состояния проверки с ожидающего на утвержденный. Если нет, дождитесь появления изменений до 10 минут. Если проверка не утверждена, убедитесь, что запись TXT правильна и серверы имен настроены правильно, если вы используете Azure DNS.

    Снимок экрана: новый личный домен, который проходит проверку.

  5. Чтобы добавить новый личный домен в конечную точку, выберите "Не связана " из столбца связи конечной точки.

    Снимок экрана: несоединенный личный домен, добавленный в конечную точку.

  6. В области "Связать конечную точку и маршрут" выберите конечную точку и маршрут, к которому нужно связать домен. Теперь нажмите Связать.

    Снимок экрана: связанная конечная точка и область маршрутов для домена.

  7. В столбце состояния DNS выберите запись CNAME, чтобы добавить запись псевдонима в поставщик DNS.

    • Azure DNS: выберите " Добавить".

      Снимок экрана: панель

    • Поставщик DNS, поддерживающий плоскую настройку CNAME: необходимо вручную ввести имя записи псевдонима.

  8. После создания записи псевдонима и личного домена, связанного с конечной точкой Azure Front Door, трафик начинает поток.

    Снимок экрана: завершенная конфигурация домена APEX.

Примечание.

  • Столбец состояния DNS используется для сопоставления CNAME проверка. Домен apex не поддерживает запись CNAME, поэтому состояние DNS показывает запись CNAME в настоящее время не обнаруживается даже после добавления записи псевдонима в поставщик DNS.
  • Если вы размещаете службу, например веб-приложение Azure, за Azure Front Door, необходимо настроить веб-приложение с тем же именем домена, что и корневой домен в Azure Front Door. Кроме того, необходимо настроить заголовок внутреннего узла с таким доменным именем, чтобы предотвратить цикл перенаправления.
  • У доменов Apex нет записей CNAME, указывающих на профиль Azure Front Door. Автоматическое автоматическое завершение управляемого сертификата всегда завершается ошибкой, если проверка домена не завершена между поворотами.

Включение протокола HTTPS для личного домена

Для включения HTTPS для верхнего домена следуйте инструкциям по настройке HTTPS для личного домена.

Создание записи псевдонима для вершины зоны

  1. Откройте конфигурацию Azure DNS для домена, который необходимо подключить.

  2. Создайте или измените запись для вершины зоны.

  3. Выберите тип записи как A. Для набора записей Псевдонима нажмите кнопку "Да". Задайте тип псевдонима ресурсу Azure.

  4. Выберите подписку Azure, содержащую профиль Azure Front Door. Затем выберите ресурс Azure Front Door из раскрывающегося списка ресурсов Azure.

  5. Чтобы сохранить изменения, нажмите кнопку ОК.

    Снимок экрана: запись псевдонима для вершин зоны.

  6. На предыдущем шаге создается запись вершин зоны, которая указывает на ресурс Azure Front Door. Он также создает сопоставление записей CNAME afdverify (например, afdverify.contosonews.com), которое используется для подключения домена в профиле Azure Front Door.

Подключение личного домена к Azure Front Door

  1. На вкладке конструктора Azure Front Door щелкните + значок в разделе "Узлы frontend", чтобы добавить новый личный домен.

  2. Введите корневое или вершинное доменное имя в поле имени пользовательского узла. Например, contosonews.com.

  3. После проверки сопоставления CNAME из домена с Azure Front Door нажмите кнопку "Добавить ", чтобы добавить личный домен.

  4. Чтобы отправить изменения, нажмитеСохранить.

    Снимок экрана: панель

Включение протокола HTTPS для личного домена

  1. Выберите добавленный личный домен. В разделе "Пользовательский домен HTTPS" измените состояние на "Включено".

  2. Для типа управления сертификатами выберите "Использовать собственный сертификат".

    Снимок экрана: параметры HTTPS личного домена

    Предупреждение

    Тип управления сертификатами, управляемый Azure Front Door, в настоящее время не поддерживается для вершин или корневых доменов. Единственный вариант, доступный для включения HTTPS в вершине или корневом домене Azure Front Door, — использовать собственный пользовательский СЕРТИФИКАТ TLS/SSL, размещенный в Azure Key Vault.

  3. Прежде чем перейти к следующему шагу, убедитесь, что вы настроили необходимые разрешения для Azure Front Door для доступа к хранилищу ключей, как указано в пользовательском интерфейсе.

  4. Выберите учетную запись Key Vault из текущей подписки. Затем выберите соответствующую версию секрета и секрета, чтобы сопоставить соответствующий сертификат.

  5. Нажмите кнопку "Обновить", чтобы сохранить выбор. Затем выберите Сохранить.

  6. Выберите "Обновить " через пару минут. Затем снова выберите личный домен, чтобы просмотреть ход подготовки сертификатов.

Предупреждение

Убедитесь, что вы создали соответствующие правила маршрутизации для вашего домена вершины или добавили домен в существующие правила маршрутизации.

Следующие шаги