Eseguire l'onboarding di un dominio radice o apex in Frontdoor di Azure
Importante
Frontdoor di Azure (versione classica) verrà ritirato il 31 marzo 2027. Per evitare interruzioni del servizio, è importante eseguire la migrazione dei profili frontdoor di Azure (versione classica) al livello Frontdoor di Azure Standard o Premium entro marzo 2027. Per altre informazioni, vedere Ritiro di Frontdoor di Azure (versione classica).
Frontdoor di Azure usa i record CNAME per convalidare la proprietà del dominio per l'onboarding di domini personalizzati. Frontdoor di Azure non espone l'indirizzo IP front-end associato al profilo frontdoor di Azure. Non è quindi possibile eseguire il mapping del dominio apex a un indirizzo IP se l'intento è di eseguirne l'onboarding in Frontdoor di Azure.
Il protocollo DNS (Domain Name System) impedisce l'assegnazione di record CNAME al vertice della zona. Ad esempio, se il dominio è contoso.com
, è possibile creare record CNAME per somelabel.contoso.com
, ma non è possibile creare un record CNAME per contoso.com
se stesso. Questa restrizione presenta un problema per i proprietari di applicazioni che bilanciano il carico delle applicazioni dietro Frontdoor di Azure. Poiché l'uso di un profilo Frontdoor di Azure richiede la creazione di un record CNAME, non è possibile puntare al profilo frontdoor di Azure dal vertice della zona.
È possibile risolvere questo problema usando i record alias in DNS di Azure. A differenza dei record CNAME, i record alias vengono creati al vertice della zona. I proprietari di applicazioni possono usarlo per puntare il record di vertice della zona a un profilo frontdoor di Azure con endpoint pubblici. I proprietari di applicazioni possono puntare allo stesso profilo frontdoor di Azure usato per qualsiasi altro dominio all'interno della propria zona DNS. Ad esempio, contoso.com
e www.contoso.com
può puntare allo stesso profilo frontdoor di Azure.
Per eseguire il mapping del dominio principale o radice al profilo di Frontdoor di Azure, è necessario eseguire il routing CNAME flat o DNS, ovvero quando il provider DNS risolve in modo ricorsivo le voci CNAME fino a quando non risolve un indirizzo IP. DNS di Azure supporta questa funzionalità per gli endpoint frontdoor di Azure.
Nota
Altri provider DNS supportano l'appiattimento CNAME o l'inseguimento DNS. Tuttavia, Frontdoor di Azure consiglia di usare DNS di Azure per i clienti per ospitare i propri domini.
È possibile usare il portale di Azure per eseguire l'onboarding di un dominiopex nella frontdoor di Azure e abilitare HTTPS associandolo a un certificato TLS (Transport Layer Security). I domini Apex sono definiti anche domini radice o naked .
I domini Apex si trovano nella radice di una zona DNS e non contengono sottodomini. Ad esempio, contoso.com
è un dominiopex. Frontdoor di Azure supporta l'aggiunta di domini apex quando si usa DNS di Azure. Per altre informazioni sui domini apex, vedere Domini in Frontdoor di Azure.
È possibile usare il portale di Azure per eseguire l'onboarding di un dominiopex nel profilo frontdoor di Azure ed è possibile abilitare HTTPS associandolo a un certificato TLS.
Eseguire l'onboarding del dominio personalizzato nel profilo frontdoor di Azure
In Impostazioni selezionare Domini per il profilo frontdoor di Azure. Selezionare quindi + Aggiungi per aggiungere un nuovo dominio personalizzato.
Nel riquadro Aggiungi un dominio immettere informazioni sul dominio personalizzato. È possibile scegliere DNS gestito da Azure (scelta consigliata) oppure scegliere di usare il provider DNS.
DNS gestito da Azure: selezionare una zona DNS esistente. In Dominio personalizzato selezionare Aggiungi nuovo. Selezionare Dominio APEX dal popup. Selezionare quindi OK per salvare.
Un altro provider DNS: assicurarsi che il provider DNS supporti l'appiattimento CNAME e seguire la procedura per l'aggiunta di un dominio personalizzato.
Selezionare lo stato di convalida In sospeso . Viene visualizzato un nuovo riquadro con le informazioni sul record TXT DNS necessarie per convalidare il dominio personalizzato. Il record TXT è sotto forma di
_dnsauth.<your_subdomain>
.Zona basata su DNS di Azure: selezionare Aggiungi per creare un nuovo record TXT con il valore visualizzato nella zona DNS di Azure.
Se si usa un altro provider DNS, creare manualmente un nuovo record TXT con il nome
_dnsauth.<your_subdomain>
con il valore del record, come illustrato nel riquadro.
Chiudere il riquadro Convalidare il dominio personalizzato e tornare al riquadro Domini per il profilo frontdoor di Azure. Verrà visualizzato il passaggio dello stato di convalida da In sospeso a Approvato. In caso contrario, attendere fino a 10 minuti per visualizzare le modifiche. Se la convalida non viene approvata, assicurarsi che il record TXT sia corretto e che i server dei nomi siano configurati correttamente se si usa DNS di Azure.
Selezionare Non associati nella colonna Associazione endpoint per aggiungere il nuovo dominio personalizzato a un endpoint.
Nel riquadro Associa endpoint e route selezionare l'endpoint e la route a cui si vuole associare il dominio. Selezionare quindi Associa.
Nella colonna stato DNS selezionare Record CNAME attualmente non rilevato per aggiungere il record alias al provider DNS.
DNS di Azure: selezionare Aggiungi.
Provider DNS che supporta l'appiattimento CNAME: è necessario immettere manualmente il nome del record alias.
Dopo aver creato il record alias e aver associato il dominio personalizzato all'endpoint frontdoor di Azure, il traffico inizia a fluire.
Nota
- La colonna dello stato DNS viene usata per il controllo del mapping CNAME. Un dominio apex non supporta un record CNAME, quindi lo stato DNS indica che il record CNAME non viene attualmente rilevato anche dopo aver aggiunto il record alias al provider DNS.
- Quando si inserisce un servizio come un'app Web di Azure dietro Frontdoor di Azure, è necessario configurare l'app Web con lo stesso nome di dominio del dominio radice in Frontdoor di Azure. È anche necessario configurare l'intestazione host back-end con tale nome di dominio per impedire un ciclo di reindirizzamento.
- I domini Apex non hanno record CNAME che puntano al profilo frontdoor di Azure. L'autorotazione del certificato gestito ha sempre esito negativo a meno che la convalida del dominio non venga completata tra le rotazioni.
Abilitare HTTPS nel dominio personalizzato
Seguire le indicazioni per configurare HTTPS per il dominio personalizzato per abilitare HTTPS per il dominio apex.
Creare un record alias per il vertice della zona
Aprire la configurazione DNS di Azure per il dominio di cui eseguire l'onboarding.
Creare o modificare il record per il vertice della zona.
Selezionare il tipo di record come A. Per Set di record alias selezionare Sì. Impostare Tipo di alias sulla risorsa di Azure.
Selezionare la sottoscrizione di Azure che contiene il profilo frontdoor di Azure. Selezionare quindi la risorsa Frontdoor di Azure dall'elenco a discesa delle risorse di Azure.
Selezionare OK per inviare le modifiche.
Il passaggio precedente crea un record di vertice della zona che punta alla risorsa frontdoor di Azure. Crea anche un mapping di record CNAME afdverify (ad esempio,
afdverify.contosonews.com
) usato per l'onboarding del dominio nel profilo di Frontdoor di Azure.
Eseguire l'onboarding del dominio personalizzato in Frontdoor di Azure
Nella scheda Progettazione frontdoor di Azure selezionare l'icona + nella sezione Host front-end per aggiungere un nuovo dominio personalizzato.
Immettere il nome di dominio radice o apex nel campo Nome host personalizzato. Un esempio è
contosonews.com
.Dopo aver convalidato il mapping CNAME dal dominio alla frontdoor di Azure, selezionare Aggiungi per aggiungere il dominio personalizzato.
Selezionare Salva per inviare le modifiche.
Abilitare HTTPS nel dominio personalizzato
Selezionare il dominio personalizzato aggiunto. Nella sezione HTTPS dominio personalizzato modificare lo stato su Abilitato.
Per Tipo di gestione dei certificati selezionare Usa il certificato personale.
Avviso
Un tipo di gestione dei certificati gestito da Frontdoor di Azure non è attualmente supportato per i domini principali o radice. L'unica opzione disponibile per abilitare HTTPS in un dominio principale o radice per Frontdoor di Azure consiste nell'usare il proprio certificato TLS/SSL personalizzato ospitato in Azure Key Vault.
Assicurarsi di configurare le autorizzazioni corrette per Frontdoor di Azure per accedere all'insieme di credenziali delle chiavi, come indicato nell'interfaccia utente, prima di procedere con il passaggio successivo.
Scegliere un account Key Vault dalla sottoscrizione corrente. Selezionare quindi la versione privata e privata appropriata per eseguire il mapping al certificato corretto.
Selezionare Aggiorna per salvare la selezione. Quindi selezionare Salva.
Selezionare Aggiorna dopo un paio di minuti. Selezionare di nuovo il dominio personalizzato per visualizzare lo stato di avanzamento del provisioning dei certificati.
Avviso
Assicurarsi di aver creato regole di routing appropriate per il dominio apex o di aggiungere il dominio alle regole di routing esistenti.
Passaggi successivi
- Informazioni su come creare un profilo frontdoor di Azure.
- Informazioni sul funzionamento di Frontdoor di Azure.