Azure Front Door の apex ドメイン

"ルート ドメイン" または "ネイキッド ドメイン" とも呼ばれる Apex ドメインは、ドメイン ネーム システム (DNS) ゾーンのルートに置かれていて、サブドメインを含んでいません。 たとえば、contoso.com は Apex ドメインです。

Azure Front Door では apex ドメインをサポートしていますが、特別な考慮事項を必要としています。 この記事では、Azure Front Door での apex ドメインのしくみについて説明します。

ルートまたは apex ドメインを、ご利用の Azure Front Door プロファイルに追加するには、Azure Front Door プロファイルへのルートまたは apex ドメインのオンボードに関するページを参照してください。

DNS CNAME フラット化

DNS プロトコルでは、ゾーンの頂点での CNAME レコードの割り当てができません。 たとえば、ご自分のドメインが contoso.com の場合、myapplication.contoso.com に CNAME レコードは作成できますが、contoso.com 自体には CNAME レコードを作成できません。

ご利用の Azure Front Door エンドポイントに関連付けられているフロントエンド パブリック IP アドレスは、Azure Front Door によって公開されません。 そのため、apex ドメインを Azure Front Door IP アドレスにマップすることはできません。

警告

ご利用の Azure Front Door エンドポイントのパブリック IP アドレスを使用して A レコードを作成しないでください。 ご利用の Azure Front Door エンドポイントのパブリック IP アドレスは変更される可能性があり、同じままであるという保証はありません。

ただし、この問題は、Azure DNS のエイリアス レコードを使用することで解決できます。 CNAME レコードとは異なり、エイリアス レコードはゾーンの頂点に作成されます。 ゾーンの apex レコードで、パブリック エンドポイントを持つ Azure Front Door プロファイルを指すことができます。 複数のアプリケーション所有者が、利用している DNS ゾーン内の他のドメインに使用されている同じ Azure Front Door エンドポイントを指すことができます。 たとえば、contoso.comwww.contoso.com で、同じ Azure Front Door エンドポイントを指すことができます。

apex またはルート ドメインを Azure Front Door プロファイルにマッピングするには、"DNS 追跡" とも呼ばれる "CNAME フラット化" を使用します。 CNAME フラット化は、DNS プロバイダーが IP アドレスを解決するまで CNAME エントリを再帰的に解決する場所です。 Azure DNS では、この機能が Azure Front Door エンドポイント用にサポートされています。

Note

他の DNS プロバイダーでも、CNAME フラット化または DNS 追跡がサポートされています。 ただし、Azure Front Door では、apex ドメインをホストする場合、Azure DNS を使用することをお勧めします。

TXT レコードの検証

ドメインを検証するには、DNS TXT レコードを作成する必要があります。 TXT レコードの名前は、_dnsauth.{subdomain} という形式にする必要があります。 Azure Front Door にドメインを追加し始めると、Azure Front Door によって、ご利用の TXT レコードに一意の値が指定されます。

たとえば、Azure Front Door で apex ドメイン contoso.com を使用するとします。 まず、Azure Front Door プロファイルにドメインを追加し、使用する必要がある TXT レコード値をメモする必要があります。 次に、次のプロパティを使用して DNS レコードを構成する必要があります。

プロパティ
[レコード名] _dnsauth
レコードの値 "Azure Front Door によって提供される値を使用する"
Time to Live (TTL) 1 時間

Azure Front Door マネージド TLS 証明書のローテーション

Azure Front Door マネージド証明書を使用すると、Azure Front Door によって証明書の自動的なローテーション (更新) が試みられます。 そうする前に、Azure Front Door では、DNS CNAME レコードがまだ Azure Front Door エンドポイントを指しているかどうかを確認します。 apex ドメインには Azure Front Door エンドポイントを指す CNAME レコードがないため、ドメインの所有権が再検証されるまで、マネージド証明書の自動ローテーションは失敗します。

[保留中の再有効化] リンクを選択し、[再生成] ボタンを選択して TXT トークンを再生成します。 その後で、TXT トークンを DNS プロバイダーの設定に追加します。

注意

ドメイン名の検証に使用する Azure Front Door の DNS TXT レコードは、証明書の更新時に更新する必要があります。 "保留中の再有効化" ドメインの検証状態が表示されたら、確実に新しい TXT レコードを生成し、DNS サーバーを更新してください。

次のステップ

ルートまたは apex ドメインを、ご利用の Azure Front Door プロファイルに追加するには、Azure Front Door プロファイルへのルートまたは apex ドメインのオンボードに関するページを参照してください。