Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Внимание
Azure Front Door (классическая версия) будет прекращена 31 марта 2027 г. Чтобы избежать нарушений работы служб, важно перенести профили Azure Front Door (классический) на уровень Azure Front Door standard или Premium к марту 2027 года. Для получения дополнительной информации см. вывод из эксплуатации Azure Front Door (классическая версия).
Подстановочные домены позволяют Azure Front Door принимать трафик для любого поддомена домена верхнего уровня. Примером домена с подстановочными символами (wildcard) является *.contoso.com.
С помощью подстановочных доменов можно упростить настройку профиля Azure Front Door. Вам не нужно изменять конфигурацию, чтобы добавить или указать каждый поддомен отдельно. Например, можно определить маршрутизацию для customer1.contoso.com, customer2.contoso.com и customerN.contoso.com, используя тот же маршрут и добавив подстановочный домен *.contoso.com.
Подстановочные домены дают вам несколько преимуществ, в том числе:
- Вам не нужно подключить каждый поддомен в профиле Azure Front Door. Например, предположим, что вы создаете новые поддомены каждого клиента и направляете все запросы всех клиентов в одну группу источников. При добавлении нового клиента Azure Front Door понимает, как маршрутизировать трафик в группу источников, даже если поддомен не настроен явным образом.
- Вам не нужно создавать новый сертификат TLS или управлять параметрами HTTPS для конкретного поддомена, чтобы привязать сертификат для каждого поддомена.
- Для всех поддоменов можно использовать одну политику брандмауэра веб-приложения (WAF).
Как правило, домены с подстановочным символом используются для поддержки решений SaaS и других мультитенантных приложений. При создании этих типов приложений необходимо учитывать, как направлять трафик на серверы-источники. Дополнительные сведения см. в статье Об использовании Azure Front Door в мультитенантном решении.
Примечание.
При использовании Azure DNS для управления записями DNS домена необходимо настроить подстановочные домены с помощью API Azure Resource Manager, Bicep, PowerShell и Azure CLI. Поддержка добавления доменов подстановочных знаков Azure DNS и управления ими в портал Azure недоступна.
Добавьте домен с подстановочными знаками и привязку сертификатов
Вы можете добавить подстановочный домен, следуя шагам, аналогичным шагам для поддоменов. Дополнительные сведения о добавлении поддомена в Azure Front Door см. в статье "Настройка личного домена в Azure Front Door" с помощью портал Azure.
Примечание.
- Azure DNS поддерживает записи с подстановочными знаками.
- Вы не можете очистить кэш Azure Front Door для подстановочного домена. При очистке кэша необходимо указать поддомен.
Для приема HTTPS-трафика в домене с подстановочными знаками необходимо включить протокол HTTPS для этого домена. Для привязки сертификата для домена с подстановочными знаками требуется сертификат с подстановочными знаками. То есть имя субъекта сертификата должно также содержать домен с подстановочными знаками.
Примечание.
- Сейчас для включения HTTPS для доменов с подстановочными знаками доступен только вариант с пользовательским SSL-сертификатом. Управляемые сертификаты Azure Front Door нельзя использовать для доменов с подстановочными знаками.
- Вы можете использовать тот же сертификат с подстановочными знаками из Azure Key Vault или выбрать один из управляемых сертификатов Azure Front Door для поддоменов.
- Если вы хотите добавить поддомен маски домена, который уже проверен в стандартном или премиум профиле Azure Front Door, проверка домена будет утверждена автоматически.
- Если домен с подстановочными знаками прошел проверку и добавлен в один профиль, одноуровневый поддомен все-равно можно добавить в другой профиль при условии, что он также прошел проверку.
Определение поддомена явным образом
Можно добавить неограниченное количество одноуровневых поддоменов с подстановочным знаком. Например, для подстановочного домена *.contoso.com можно также добавить поддомены в профиль Azure Front Door для image.contoso.com, cart.contoso.com и так далее. Конфигурация, указанная явным образом для поддомена, имеет приоритет над конфигурацией подстановочного домена.
В таких ситуациях может потребоваться явно добавить поддомены:
- Необходимо задать другой маршрут для поддомена, чем для остальных доменов из подстановочного домена. Например, клиенты могут использовать поддомены, такие как
customer1.contoso.com,customer2.contoso.comи т. д., и эти поддомены должны быть перенаправлены на основные серверы приложений. Однако вы также можете захотеть маршрутизироватьimages.contoso.comв контейнер блобов службы хранения Azure. - Для определенного поддомена необходимо использовать другую политику WAF.
Поддомены, например www.image.contoso.com , не являются поддоменом *.contoso.comодного уровня.
Добавление доменов с подстановочными знаками
Вы можете добавить домен с подстановочными знаками в разделе для интерфейсных узлов или доменов. Как и в случае с поддоменами, Azure Front Door (классическая) проверяет наличие сопоставления записи CNAME для домена с подстановочными знаками. Это сопоставление системы доменных имен (DNS) может быть прямым сопоставлением записей CNAME, как *.contoso.com сопоставлено с endpoint.azurefd.net. Вы также можете использовать временное сопоставление Afdverify. Например, сопоставление afdverify.contoso.com с afdverify.endpoint.azurefd.net подтверждает карту записи CNAME для подстановочного знака.
Примечание.
Azure DNS поддерживает записи с подстановочными знаками.
На интерфейсных узлах можно добавить любое количество одноуровневых поддоменов для домена с подстановочными знаками, вплоть до предельного количества интерфейсных узлов. Эта функциональная возможность может потребоваться для следующих целей:
Определение другого маршрута для поддомена, чем для остальных доменов (из подстановочного домена).
Наличие другой политики WAF для конкретного поддомена. Например,
*.contoso.comдопускает добавлениеfoo.contoso.comбез повторного подтверждения владения доменом. Но доменfoo.bar.contoso.comне разрешен, поскольку не является одноуровневым поддоменом для*.contoso.com. Чтобы добавитьfoo.bar.contoso.comбез дополнительной проверки владения доменом, необходимо добавить*.bar.contoso.com.
Домены с подстановочными знаками и их поддомены можно добавлять с определенными ограничениями.
- Если подстановочный домен добавляется в профиль Azure Front Door (классический):
- Подстановочный домен нельзя добавить в любой другой профиль Azure Front Door (классическая).
- Поддомены первого уровня домена с подстановочными знаками нельзя добавить в другой профиль Azure Front Door (классическая версия) или в профиль Azure Content Delivery Network (сети доставки содержимого).
- Если поддомен домена с подстановочными знаками уже добавлен в профиль Azure Front Door (классическая) или в профиль сети доставки содержимого Azure, домен с подстановочными знаками нельзя использовать для других профилей Azure Front Door (классическая).
- Если два профиля (Azure Front Door или сети доставки содержимого Azure) имеют различные поддомены корневого домена, домены с подстановочными знаками нельзя добавить ни в один из профилей.
Привязка сертификата
Для приема HTTPS-трафика в домене с подстановочными знаками необходимо включить протокол HTTPS для этого домена. Для привязки сертификата для домена с подстановочными знаками требуется сертификат с подстановочными знаками. То есть имя субъекта сертификата должно также содержать домен с подстановочными знаками.
Примечание.
Сейчас для включения HTTPS для доменов с подстановочными знаками доступен только вариант с пользовательским SSL-сертификатом. Управляемые сертификаты Azure Front Door нельзя использовать для доменов с подстановочными знаками.
Вы можете использовать тот же сертификат с подстановочными знаками из Azure Key Vault или выбрать один из управляемых сертификатов Azure Front Door для поддоменов.
Если для домена с подстановочными знаками, с которым уже связан сертификат, добавлен дочерний домен, отключить HTTPS для этого поддомена невозможно. Поддомен использует привязку к сертификату для домена с подстановочными символами, если он не будет заменен другим управляемым сертификатом Key Vault или Azure Front Door.
Политики WAF
Политики WAF могут быть подключены к доменам с подстановочными знаками, как и к другим доменам. К поддомену домена с подстановочными знаками можно применить другую политику WAF. Поддомены автоматически наследуют политику WAF из домена с подстановочным знаком, если с поддоменом не связана явная политика WAF. Однако если поддомен добавляется в другой профиль, нежели профиль подстановочного домена, поддомен не может наследовать политику WAF, связанную с подстановочным доменом.
Политики WAF могут быть применены к доменам с подстановочными знаками, как и к другим доменам. К поддомену домена с подстановочными знаками можно применить другую политику WAF. Для поддоменов необходимо явно указывать политику WAF, даже если она совпадает с политикой универсального домена. Поддомены не наследуют политику WAF автоматически от домена с подстановочными знаками.
Если вы не хотите, чтобы политика WAF выполнялась для поддомена, можно создать пустую политику WAF без управляемых или пользовательских наборов правил.
Маршруты
При настройке маршрута можно выбрать подстановочный домен в качестве источника. Действия маршрутизации для доменов с подстановочными знаками и поддоменов могут отличаться. Azure Front Door выбирает наиболее конкретное совпадение для домена по различным маршрутам. Дополнительные сведения см. в статье о сопоставлении запросов с правилом маршрутизации.
Внимание
У вас должны быть одинаковые шаблоны путей по всем маршрутам, иначе клиенты увидят ошибки.
Например, предположим, что у вас есть два правила маршрутизации:
- Маршрут 1 (
*.foo.com/*сопоставлен с группой происхождения A) - Маршрут 2 (
bar.foo.com/somePath/*сопоставлен с группой источников B) Если запрос поступает дляbar.foo.com/anotherPath/*, Azure Front Door выбирает маршрут 2 на основе более точного соответствия домену, но не находит соответствующие шаблоны пути для маршрутов.
Правила маршрутизации
При настройке правила маршрутизации можно выбрать подстановочный домен в качестве фронтенд-хоста. Действия маршрутизации для доменов с подстановочными знаками и поддоменов могут отличаться. Azure Front Door выбирает самое точное соответствие для домена из доступных маршрутов. Дополнительные сведения см. в статье о сопоставлении запросов с правилом маршрутизации.
Внимание
У вас должны быть соответствующие шаблоны маршрутов, или клиенты увидят сбои.
Например, предположим, что у вас есть два правила маршрутизации:
- Маршрут 1 (
*.foo.com/*сопоставлен с серверным пулом A) - Маршрут 2 (
bar.foo.com/somePath/*сопоставлен с серверным пулом B). Если запрос поступает дляbar.foo.com/anotherPath/*, Azure Front Door выбирает маршрут 2 на основе более конкретного соответствия домена, но не находит совпадающих шаблонов пути среди всех маршрутов.
Следующие шаги
- Узнайте, как создать профиль Azure Front Door.
- Узнайте, как добавить личный домен в свою службу Azure Front Door.
- Узнайте, как включить HTTPS для личного домена.
- Узнайте, как создать профиль Azure Front Door.
- Узнайте, как добавить личный домен в свою службу Azure Front Door.
- Узнайте, как включить HTTPS для личного домена.