Подстановочные домены в Azure Front Door

Внимание

Azure Front Door (классическая версия) не поддерживает создание профиля, подключение нового домена или управляемые сертификаты и выводится из эксплуатации 31 марта 2027 года. Чтобы избежать нарушения работы службы, перейти на Azure Front Door Standard или Premium. Дополнительные сведения см. в разделе вывод из эксплуатации Azure Front Door (классическая версия).

Подстановочные домены позволяют Azure Front Door принимать трафик для любого поддомена домена верхнего уровня. Примером домена с подстановочными символами (wildcard) является *.contoso.com.

С помощью подстановочных доменов можно упростить настройку профиля Azure Front Door. Вам не нужно изменять конфигурацию, чтобы добавить или указать каждый поддомен отдельно. Например, можно определить маршрутизацию для customer1.contoso.com, customer2.contoso.com и customerN.contoso.com, используя тот же маршрут и добавив подстановочный домен *.contoso.com.

Подстановочные домены дают вам несколько преимуществ, в том числе:

  • Вам не нужно подключить каждый поддомен в профиле Azure Front Door. Например, предположим, что вы создаете новые поддомены каждого клиента и направляете все запросы всех клиентов в одну группу источников. При добавлении нового клиента Azure Front Door понимает, как маршрутизировать трафик в группу источников, даже если поддомен не настроен явным образом.
  • Вам не нужно создавать новый сертификат TLS или управлять параметрами HTTPS для конкретного поддомена, чтобы привязать сертификат для каждого поддомена.
  • Для всех поддоменов можно использовать одну политику брандмауэра веб-приложения (WAF).

Как правило, домены с подстановочным символом используются для поддержки решений SaaS и других мультитенантных приложений. При создании этих типов приложений необходимо учитывать, как направлять трафик на серверы-источники. Дополнительные сведения см. в статье Об использовании Azure Front Door в мультитенантном решении.

Примечание.

При использовании Azure DNS для управления записями DNS домена необходимо настроить подстановочные домены с помощью API Azure Resource Manager, Bicep, PowerShell и Azure CLI. Поддержка добавления доменов подстановочных знаков Azure DNS и управления ими в портал Azure недоступна.

Добавьте домен с подстановочными знаками и привязку сертификатов

Вы можете добавить домен с подстановочным знаком, выполнив действия, аналогичные действиям для поддоменов. Дополнительные сведения о добавлении поддомена в Azure Front Door см. в статье "Настройка личного домена в Azure Front Door" с помощью портал Azure.

Примечание.

  • Azure DNS поддерживает записи с подстановочными знаками.
  • Вы не можете очистить кэш Azure Front Door для подстановочного домена. При очистке кэша необходимо указать поддомен.

Чтобы принимать HTTPS-трафик для домена с подстановочным знаком, необходимо включить HTTPS для домена с подстановочным знаком. Для привязки сертификата для домена с подстановочными знаками требуется сертификат с подстановочными знаками. То есть имя субъекта сертификата должно также содержать домен с подстановочными знаками.

Примечание.

  • Вы можете использовать тот же сертификат с подстановочными знаками из Azure Key Vault или выбрать один из управляемых сертификатов Azure Front Door для поддоменов.
  • Если вы хотите добавить поддомен маски домена, который уже проверен в стандартном или премиум профиле Azure Front Door, проверка домена будет утверждена автоматически. Это условие относится к использованию собственного сертификата. Владение доменом требуется для управляемого сертификата для поддоменов.
  • Если домен с подстановочным знаком проверен и уже добавлен в один профиль, одноуровневый поддомен всё равно можно добавить в другой профиль при условии, что он также проверен.

Определение поддомена явным образом

Можно добавить столько поддоменов одного уровня, сколько нужно. Например, для подстановочного домена *.contoso.com можно также добавить поддомены в профиль Azure Front Door для image.contoso.com, cart.contoso.com и так далее. Конфигурация, указанная явным образом для поддомена, имеет приоритет над конфигурацией подстановочного домена.

В таких ситуациях может потребоваться явно добавить поддомены:

  • Необходимо задать другой маршрут для поддомена, чем для остальных доменов из подстановочного домена. Например, клиенты могут использовать поддомены, такие как customer1.contoso.com, customer2.contoso.comи т. д., и эти поддомены должны быть перенаправлены на основные серверы приложений. Однако вы также можете захотеть маршрутизировать images.contoso.com в контейнер блобов службы хранения Azure.
  • Для определенного поддомена необходимо использовать другую политику WAF.

Поддомены, например www.image.contoso.com , не являются поддоменом *.contoso.comодного уровня.

Добавление доменов с подстановочными знаками

Вы можете добавить домен с подстановочными знаками в разделе для интерфейсных узлов или доменов. Как и в случае с поддоменами, Azure Front Door (классическая) проверяет наличие сопоставления записи CNAME для домена с подстановочными знаками. Это сопоставление системы доменных имен (DNS) может быть прямым сопоставлением записей CNAME, как *.contoso.com сопоставлено с endpoint.azurefd.net. Или можно использовать временное сопоставление afdverify. Например, сопоставление afdverify.contoso.com с afdverify.endpoint.azurefd.net подтверждает карту записи CNAME для подстановочного знака.

Примечание.

Azure DNS поддерживает записи с подстановочными знаками.

На интерфейсных узлах можно добавить любое количество одноуровневых поддоменов для домена с подстановочными знаками, вплоть до предельного количества интерфейсных узлов. Эта функциональная возможность может потребоваться для следующих целей:

  • Определение другого маршрута для поддомена, чем для остальных доменов (из подстановочного домена).

  • Наличие другой политики WAF для конкретного поддомена. Например, *.contoso.com допускает добавление foo.contoso.com без повторного подтверждения владения доменом. Но домен foo.bar.contoso.com не разрешен, поскольку не является одноуровневым поддоменом для *.contoso.com. Чтобы добавить foo.bar.contoso.com без дополнительной проверки владения доменом, необходимо добавить *.bar.contoso.com.

Домены с подстановочными знаками и их поддомены можно добавлять с определенными ограничениями.

  • Если добавить домен-шаблон в профиль Azure Front Door (классическая версия):
    • Домен с подстановочным знаком нельзя добавить ни в какой другой профиль Azure Front Door (классическая версия).
    • Не удается добавить поддомены первого уровня домена с подстановочным знаком в другой профиль Azure Front Door (классический) или профиль Azure Content Delivery Network.
  • Если вы уже добавили поддомен подстановочного домена в профиль Azure Front Door (классический) или профиль Azure Content Delivery Network, вы не можете использовать этот подстановочный домен для другого профиля Azure Front Door (классический).
  • Если два профиля (Azure Front Door или Azure Content Delivery Network) имеют различные поддомены корневого домена, вы не можете добавить подстановочные домены ни в один из профилей.

Привязка сертификата

Чтобы принимать HTTPS-трафик для домена с подстановочным знаком, необходимо включить HTTPS для домена с подстановочным знаком. Для привязки сертификата для домена с подстановочными знаками требуется сертификат с подстановочными знаками. То есть имя субъекта сертификата должно также содержать домен с подстановочными знаками.

Примечание.

Сейчас HTTPS для подстановочных доменов можно включить только с помощью собственного SSL-сертификата. Нельзя использовать управляемые сертификаты Azure Front Door для подстановочных доменов.

Вы можете использовать тот же сертификат с подстановочными знаками из Azure Key Vault или выбрать один из управляемых сертификатов Azure Front Door для поддоменов.

Если вы добавите поддомен для домена подстановочного знака, который уже связан с ним сертификатом, вы не сможете отключить HTTPS для поддомена. Поддомен использует привязку к сертификату для домена с подстановочными символами, если он не будет заменен другим управляемым сертификатом Key Vault или Azure Front Door.

Политики WAF

Политики WAF можно привязать к доменам с подстановочными знаками так же, как и к другим доменам. Вы можете применить другую политику WAF к поддомену домена с подстановочным знаком. Поддомены автоматически наследуют политику WAF от домена с маской, если вы явно не назначаете политику WAF поддомену. Однако если добавить поддомен в профиль, отличный от профиля домена с подстановочным знаком, поддомен не сможет унаследовать политику WAF, связанную с доменом с подстановочным знаком.

Политики WAF можно привязать к доменам с подстановочными знаками так же, как и к другим доменам. Вы можете применить другую политику WAF к поддомену домена с подстановочным знаком. Для поддоменов необходимо указать политику WAF, которую нужно использовать, даже если это та же политика, что и для домена с подстановочным знаком. Поддомены не наследуют политику WAF автоматически от домена с подстановочными знаками.

Если вы не хотите, чтобы политика WAF выполнялась для поддомена, можно создать пустую политику WAF без управляемых или пользовательских наборов правил.

Маршруты

При настройке маршрута выберите в качестве источника домен с подстановочным знаком. Вы также можете настроить различное поведение маршрутизации для доменов с подстановочными знаками и поддоменов. Azure Front Door выбирает наиболее конкретное совпадение для домена по различным маршрутам. Дополнительные сведения см. в статье о сопоставлении запросов с правилом маршрутизации.

Внимание

Вы должны использовать одинаковые шаблоны путей во всех маршрутах, иначе клиенты столкнутся со сбоями.

Например, предположим, что у вас есть два правила маршрутизации:

  • Маршрут 1 (*.foo.com/* сопоставлен с группой источников A).
  • Маршрут 2 (bar.foo.com/somePath/* сопоставлен с группой происхождения B).
    Если запрос поступает к bar.foo.com/anotherPath/*, Azure Front Door выбирает маршрут 2 на основании более точного совпадения домена, но не находит подходящих шаблонов пути ни в одном из маршрутов.

Правила маршрутизации

При настройке правила маршрутизации выберите домен с подстановочными знаками в качестве внешнего хоста. Можно задать разное поведение маршрутизации для доменов с подстановочными символами и поддоменов. Azure Front Door выбирает наиболее конкретное совпадение для домена по различным маршрутам. Дополнительные сведения см. в статье о сопоставлении запросов с правилом маршрутизации.

Внимание

Вы должны использовать одинаковые шаблоны путей во всех маршрутах, иначе клиенты столкнутся со сбоями.

Например, предположим, что у вас есть два правила маршрутизации:

  • Маршрут 1 (*.foo.com/* сопоставлен с серверным пулом A).
  • Маршрут 2 (bar.foo.com/somePath/* сопоставлен с серверным пулом B).
    Если запрос поступает к bar.foo.com/anotherPath/*, Azure Front Door выбирает маршрут 2 на основании более точного совпадения домена, но не находит подходящих шаблонов пути ни в одном из маршрутов.