Поделиться через

Подключение корневого или вершинного домена к Azure Front Door

Внимание

Azure Front Door (классическая версия) будет прекращена 31 марта 2027 г. Чтобы избежать нарушений работы служб, важно перенести профили Azure Front Door (классический) на уровень Azure Front Door standard или Premium к марту 2027 года. Дополнительные сведения см. в статье о выводе из эксплуатации Azure Front Door (классическая версия).

Azure Front Door использует записи CNAME для проверки владения доменом для подключения пользовательских доменов. Azure Front Door не предоставляет внешний IP-адрес, связанный с профилем Azure Front Door. Таким образом, вы не можете сопоставить свой основной домен с IP-адресом, если вы намерены подключить его к службе Azure Front Door.

Протокол DNS предотвращает назначение записей CNAME в вершине зоны. Например, если ваш домен — это contoso.com, вы можете создать записи CNAME для somelabel.contoso.com, но не можете создать запись CNAME для contoso.com. Это ограничение представляет проблему для владельцев приложений, которые балансируют нагрузку приложений через Azure Front Door. Так как для использования профиля Azure Front Door требуется создание записи CNAME, невозможно указать профиль Azure Front Door из вершины зоны.

Эту проблему можно устранить с помощью записей псевдонимов в Azure DNS. В отличие от записей CNAME, записи псевдонимов создаются в вершине зоны. Владельцы приложений могут использовать его для указания их вершинной записи зоны на профиль Azure Front Door с общедоступными конечными точками. Владельцы приложений могут указывать на тот же профиль Azure Front Door, который используется для любого другого домена в пределах зоны DNS. Например, contoso.com и www.contoso.com может указывать на тот же профиль Azure Front Door.

При сопоставлении верхнего или корневого домена с профилем Azure Front Door требуется уплощение CNAME или DNS-преследование, когда поставщик DNS рекурсивно разрешает записи CNAME до тех пор, пока не будет найден IP-адрес. Azure DNS поддерживает эту функцию для конечных точек Azure Front Door.

Примечание.

Другие поставщики DNS поддерживают преобразование CNAME в плоскую или DNS-преследование. Однако Azure Front Door рекомендует использовать Azure DNS для своих клиентов для размещения своих доменов.

Вы можете использовать портал Azure для подключения домена apex в Azure Front Door и включения HTTPS на нем, связав его с сертификатом TLS. Домены apex также называются корневыми или голыми доменами.

Домены apex находятся в корне зоны DNS и не содержат поддоменов. Например, contoso.com это домен вершины. Azure Front Door поддерживает добавление корневых доменов при использовании Azure DNS. Дополнительные сведения об вершинах доменов см. в разделе "Домены" в Azure Front Door.

Вы можете использовать портал Azure для подключения домена apex в профиле Azure Front Door и включить httpS на нем, связав его с сертификатом TLS.

Подключение личного домена к профилю Azure Front Door

  1. В разделе "Параметры" выберите "Домены" для профиля Azure Front Door. Затем нажмите кнопку +Добавить , чтобы добавить новый личный домен.

    Снимок экрана: добавление нового домена в профиль Azure Front Door.

  2. На панели "Добавление домена" введите сведения о пользовательском домене. Вы можете выбрать управляемый Azure DNS (рекомендуется) или использовать поставщик DNS.

    • Управляемый Azure DNS: выберите существующую зону DNS. Для личного домена нажмите кнопку "Добавить". Выберите домен APEX из всплывающего окна. Нажмите кнопку "ОК ", чтобы сохранить.

      Снимок экрана: добавление нового личного домена в профиль Azure Front Door.

    • Другой поставщик DNS: убедитесь, что поставщик DNS поддерживает сглаживание CNAME и выполните действия по добавлению пользовательского домена.

  3. Выберите состояние верификации Ожидание. Откроется новая область с информацией о записи DNS TXT, необходимой для проверки личного домена. Запись типа TXT имеет вид _dnsauth.<your_subdomain>.

    • Зона на основе Azure DNS. Выберите " Добавить ", чтобы создать запись TXT со значением, отображаемым в зоне Azure DNS.

    • Если вы используете другой поставщик DNS, вручную создайте запись TXT с именем _dnsauth.<your_subdomain> со значением записи, как показано на панели.

  4. Закройте панель "Проверка личного домена" и вернитесь в область "Домены" для профиля Azure Front Door. Вы увидите изменение состояния проверки с ожидающего на утвержденный. Если нет, подождите до 10 минут, чтобы изменения появились. Если проверка не утверждена, убедитесь, что запись TXT правильна и серверы имен настроены правильно, если вы используете Azure DNS.

    Снимок экрана: новый личный домен, который проходит проверку.

  5. Чтобы добавить новый личный домен в конечную точку, выберите "Не связана " из столбца связи конечной точки.

    Снимок экрана: несоединенный личный домен, добавленный в конечную точку.

  6. В области "Связать конечную точку и маршрут" выберите конечную точку и маршрут, к которому нужно связать домен. Затем нажмите Связать.

  7. В столбце состояния DNS выберите CNAME запись в настоящее время не обнаружена, чтобы добавить запись псевдонима в поставщика DNS.

    • Azure DNS: выберите " Добавить".

    • Поставщик DNS, поддерживающий упрощение CNAME: необходимо вручную ввести имя записи псевдонима.

  8. После создания записи псевдонима и связывания пользовательского домена с конечной точкой Azure Front Door, трафик начинает поступать.

    Снимок экрана: завершенная конфигурация домена APEX.

Примечание.

  • Столбец состояние DNS используется для проверки сопоставления CNAME. Домен верхнего уровня не поддерживает запись CNAME, поэтому состояние DNS показывает запись CNAME на данный момент не обнаружена, даже после добавления записи псевдонима поставщику услуг DNS.
  • Если вы размещаете службу, например веб-приложение Azure, за Azure Front Door, необходимо настроить веб-приложение с тем же именем домена, что и корневой домен в Azure Front Door. Кроме того, необходимо настроить заголовок внутреннего узла с таким доменным именем, чтобы предотвратить цикл перенаправления.
  • У доменов Apex нет записей CNAME, указывающих на профиль Azure Front Door. Автоматическое автоматическое завершение управляемого сертификата всегда завершается ошибкой, если проверка домена не завершена между поворотами.
  • Поставщик ресурсов Microsoft.Network необходим для создания записей псевдонимов.

Включение протокола HTTPS для личного домена

Для включения HTTPS для верхнего домена следуйте инструкциям по настройке HTTPS для личного домена.

Создание записи псевдонима для вершины зоны

  1. Откройте конфигурацию Azure DNS для домена, который необходимо подключить.

  2. Создайте или измените запись для вершины зоны.

  3. Выберите тип записи как A. Для набора записей псевдонима выберите Да. Задайте тип псевдонима ресурсу Azure.

  4. Выберите подписку Azure, содержащую профиль Azure Front Door. Затем выберите ресурс Azure Front Door из раскрывающегося списка ресурсов Azure.

  5. Чтобы сохранить изменения, нажмите кнопку ОК.

  6. На предыдущем шаге создается запись вершин зоны, которая указывает на ресурс Azure Front Door. Он также создает сопоставление записей CNAME afdverify (например, afdverify.contosonews.com), которое используется для подключения домена в профиле Azure Front Door.

Подключение личного домена к Azure Front Door

  1. На вкладке конструктора Azure Front Door щелкните значок + в разделе Frontend-хосты, чтобы добавить новый пользовательский домен.

  2. Введите корневое или апексное доменное имя в поле Имя пользовательского узла. Например, contosonews.com.

  3. После проверки сопоставления CNAME из домена с Azure Front Door нажмите кнопку "Добавить ", чтобы добавить личный домен.

  4. Чтобы отправить изменения, нажмитеСохранить.

Включение протокола HTTPS для личного домена

  1. Выберите добавленный личный домен. В разделе "Пользовательский домен HTTPS" измените состояние на "Включено".

  2. Для типа управления сертификатами выберите "Использовать собственный сертификат".

    Снимок экрана: параметры HTTPS личного домена

    Предупреждение

    Тип управления сертификатами, управляемый Azure Front Door, в настоящее время не поддерживается для доменов верхнего уровня или корневых доменов. Единственный вариант, доступный для включения HTTPS в вершине или корневом домене Azure Front Door, — использовать собственный пользовательский СЕРТИФИКАТ TLS/SSL, размещенный в Azure Key Vault.

  3. Прежде чем перейти к следующему шагу, убедитесь, что вы настроили необходимые разрешения для Azure Front Door для доступа к хранилищу ключей, как указано в пользовательском интерфейсе.

  4. Выберите учетную запись Key Vault из текущей подписки. Затем выберите соответствующий секрет и версию секрета, чтобы сопоставить с правильным сертификатом.

  5. Нажмите кнопку "Обновить", чтобы сохранить выбор. Затем выберите Сохранить.

  6. Выберите "Обновить " через пару минут. Затем снова выберите личный домен, чтобы просмотреть ход подготовки сертификатов.

Предупреждение

Убедитесь, что вы создали соответствующие правила маршрутизации для вашего домена вершины или добавили домен в существующие правила маршрутизации.

Связанный контент