Azure Front Door 中的萬用字元網域

發行項
04/04/2024

重要

Azure Front Door（傳統版）將於 2027 年 3 月 31 日淘汰。為了避免任何服務中斷，請務必在 2027 年 3 月之前將 Azure Front Door （傳統）配置檔移轉至 Azure Front Door Standard 或進階版層。如需詳細資訊，請參閱 Azure Front Door（傳統版）淘汰。

萬用字元網域可讓 Azure Front Door 接收最上層網域任何子網域的流量。範例萬用字元網域為 *.contoso.com。

藉由使用萬用字元網域，您可以簡化 Azure Front Door 設定檔的設定。您不需要修改組態，即可個別新增或指定每個子網域。例如，您可以使用相同路由並新增萬用字元網域 *.contoso.com，定義 customer1.contoso.com、customer2.contoso.com 和 customerN.contoso.com 的路由。

萬用字元網域提供數個優點，包括：

您不需要將 Azure Front Door 設定檔中的每個子網域上線。例如，假設您為每個客戶建立新的子網域，並將所有客戶的要求路由傳送至單一原點群組。每當您新增客戶時，Azure Front Door 會瞭解如何將流量路由傳送至原始群組，即使未明確設定子域也一樣。
您不需要產生新的傳輸層安全性（TLS）憑證，或管理任何子域特定的 HTTPS 設定，以系結每個子域的憑證。
您可以針對所有子網域使用單一 Web 應用程式防火牆 (WAF) 原則。

萬用字元網域通常用來支援軟體即服務 (SaaS) 解決方案和其他多租用戶應用程式。當您建置這些應用程式類型時，您必須特別考慮如何將流量路由傳送至原始伺服器。如需詳細資訊，請參閱在多租用戶解決方案中使用 Azure Front Door。

注意

當您使用 Azure DNS 來管理網域的 DNS 記錄時，必須使用 Azure Resource Manager API、Bicep、PowerShell 和 Azure CLI 來設定萬用字元網域。不支援在 Azure 入口網站中新增和管理 Azure DNS 萬用字元網域。

新增萬用字元網域和憑證繫結

您可以遵循類似子域的步驟來新增通配符網域。如需將子網域新增至 Azure Front Door 的詳細資訊，請參閱使用 Azure 入口網站在 Azure Front Door 上設定自訂網域。

注意

Azure DNS 支援萬用字元記錄。
您無法針對萬用字元網域清除 Azure Front Door 快取。清除快取時，您必須指定子網域。

若要在萬用字元網域上接受 HTTPS 流量，您必須在萬用字元網域上啟用 HTTPS。萬用字元網域的憑證繫結需要萬用字元憑證。也就是說，憑證的主體名稱也應該具有萬用字元網域。

注意

目前，只有使用您自己的自訂 SSL 憑證選項，才能啟用萬用字元網域的 HTTPS。 Azure Front Door 受控憑證無法用於萬用字元網域。
您可以選擇針對子網域，使用來自 Azure Key Vault 或 Azure Front Door 受控憑證的相同萬用字元憑證。
如果您想要新增已在 Azure Front Door 標準或進階設定檔中驗證之萬用字元網域的子網域，系統會自動核准網域驗證。
如果已驗證萬用字元網域並已新增至一個設定檔，則只要單一層級子網域也經過驗證，仍然可以將單一層級子網域新增至另一個設定檔。

明確定義子網域

您可以視需要新增多個萬用字元的單一層級子網域。例如，針對萬用字元網域 *.contoso.com，您也可以將子網域新增至 image.contosto.com、cart.contoso.com 等等的 Azure Front Door 設定檔。您明確為子網域指定的設定優先於萬用字元網域的設定。

在這些情況下，您可能需要明確新增子網域：

您必須為子網域定義與其餘網域不同的路由 (從萬用字元網域定義)。例如，您的客戶可能會使用像是 customer1.contoso.com、customer2.contoso.com 等子網域，而這些子網域都應該路由傳送至主要應用程式伺服器。不過，您可能也想要將 images.contoso.com 路由傳送至 Azure 儲存體 Blob 容器。
您必須針對特定子網域設定不同的 WAF 原則。

像是 www.image.contoso.com 的子網域不是 *.contoso.com 的單一層級子網域。

正在新增萬用字元網域

您可以在前端主機或網域的區段下，新增萬用字元網域。類似於子網域，Azure Front Door (傳統) 會驗證萬用字元網域的 CNAME 記錄對應。此網域名稱系統（DNS）對應可以是直接的 CNAME 記錄對應，例如 *.contoso.com 對應至 endpoint.azurefd.net。或者，您可以使用 afdverify 暫存對應。例如，afdverify.contoso.com 對應至 afdverify.endpoint.azurefd.net 驗證針對萬用字元的 CNAME 記錄對應。

注意

Azure DNS 支援萬用字元記錄。

您可以新增前端主機中萬用字元網域的多個單層子網域，最多可達前端主機的限制。下列可能需要這項功能：

為子網域定義與其餘網域不同的路由 (從萬用字元網域定義)。
針對特定子網域設定不同的 WAF 原則。例如，*.contoso.com 允許新增 foo.contoso.com，而不需再次證明網域所有權。但不允許 foo.bar.contoso.com，因為它不是 *.contoso.com 的單一層級子網域。若要在沒有額外網域所有權驗證下新增 foo.bar.contoso.com，則必須新增 *.bar.contoso.com。

您可以新增具有特定限制的萬用字元網域及其子網域：

如果將萬用字元網域新增至 Azure Front Door (傳統) 設定檔：
- 萬用字元網域無法新增至任何其他 Azure Front Door (傳統) 設定檔。
- 萬用字元網域的第一層子網域無法新增至另一個 Azure Front Door (傳統) 設定檔或 Azure 內容傳遞網路設定檔。
如果萬用字元網域的子網域已新增至 Azure Front Door (傳統) 設定檔或 Azure 內容傳遞網路設定檔，萬用字元網域就無法用於其他 Azure Front Door (傳統) 設定檔。
如果兩個設定檔 (Azure Front Door 或 Azure 內容傳遞網路) 具有根網域的各種子網域，則萬用字元網域無法新增至這兩個設定檔中的任一個。

憑證繫結

注意

目前，只有使用您自己的自訂 SSL 憑證選項，才能啟用萬用字元網域的 HTTPS。 Azure Front Door 受控憑證無法用於萬用字元網域。

您可以選擇針對子網域，使用來自 Azure Key Vault 或 Azure Front Door 受控憑證的相同萬用字元憑證。

如果子網域已新增至與其相關聯的憑證的萬用字元網域，則您無法停用子網域的 HTTPS。除非不同的金鑰保存庫或 Azure Front Door 受控憑證覆寫子網域，否則子網域會使用萬用字元網域的憑證繫結。

WAF 原則

WAF 原則可以附加至萬用字元網域，類似於其他網域。不同的 WAF 原則可以套用至萬用字元網域的子網域。如果沒有與子域相關聯的明確 WAF 原則，子域會自動從通配符網域繼承 WAF 原則。不過，如果子域新增至與通配符網域配置檔不同的配置檔，子域就無法繼承與通配符網域相關聯的 WAF 原則。

WAF 原則可以附加至萬用字元網域，類似於其他網域。不同的 WAF 原則可以套用至萬用字元網域的子網域。針對子網域，即使要使用的 WAF 原則與萬用字元網域相同，您也必須指定此 WAF 原則。子網域不會從萬用字元網域自動繼承 WAF 原則。

如果您不想讓 WAF 原則針對子網域執行，您可以建立不含受控或自訂規則集的空白 WAF 原則。

路由

設定路由時，您可以選取萬用字元網域作為原點。您也可以針對萬用字元網域和子網域有不同的路由行為。 Azure Front Door 會針對跨不同路由的網域選擇最特定的相符項目。如需詳細資訊，請參閱要求與路由規則比對的方式。

重要

您必須在路由中具有比對的路徑模式，否則您的用戶端將會看到失敗。

例如，假設您有兩個路由規則：

路由 1 (*.foo.com/* 對應至原點群組 A)
路由 2 (bar.foo.com/somePath/* 對應至原點群組 B) 如果要求抵達 bar.foo.com/anotherPath/*，Azure Front Door 會根據更特定的網域比對來選取路由 2，只尋找路由中沒有比對的路徑模式。

路由規則

設定路由規則時，您可以選取萬用字元網域作為前端主機。您也可以針對萬用字元網域和子網域有不同的路由行為。 Azure Front Door 會針對跨不同路由的網域選擇最特定的相符項目。如需詳細資訊，請參閱要求與路由規則比對的方式。

重要