Enterpriseプランのお客様が、サブドメインサポート機能を介してCloudflareアカウントにサブドメインを追加する方法について説明します。
概要
Cloudflareのサブドメインサポートでは、サブドメインのCloudflareのパフォーマンスおよびセキュリティの管理を簡略化し、追加のメリットもご提供しています。サブドメインサポートは、www.example.com、 dev.www.example.comなど、複数のサブドメインレベルでご利用いただけます。
用語
このガイドでは、次の用語を使用します:
- ルートドメイン: ドメインRegistrarから購入したドメイン(example.com)。
- 子ドメイン(サブドメイン):ルートドメインの下の階層のドメイン(foo.example.com、 dev.foo.example.com、またはwww.dev.foo.example.com)。
- 親ドメイン:子ドメイン(サブドメイン)のすぐ上の階層のドメインまたはサブドメイン(example.com は foo.example.comの親であり、 foo.example.com は dev.foo.example.comの親です)。
メリット
サブドメインサポートは、次のようなメリットを提供します:
- サブドメインサポートにより、ITチームがルートドメインまたは親ドメインを引き続き制御する一方で、組織内の専用チームが特定のサブドメインに対するCloudflareの設定を制御することができます。
- たとえば、example.comのITチームがapi.example.com のような子ドメイン(サブドメイン)を他のチームに割り当てる一方で、親ドメインのDNS(example.com)の制御を維持します。
- api.example.comは、blog.example.comとは異なるCloudflare設定が必要です。
要件
サプドメインサポートには、次のような注目すべき要件があります:
- Cloudflareで親ドメインがアクティブである場合、あるCloudflareアカウントから別のCloudflareアカウントに子ドメインを移行するには、まず子ドメインを親ドメインに戻す必要があります。
- 親の証明書が子ドメインを明示的に列挙するもので、子のSSL証明書が作成された後に作成された場合、親ドメインのSSL証明書は子ドメインの訪問者に表示されます。
- 例:foo.example.comは、example.comの子です。どちらのドメインもCloudflare上にあります。example.comが、foo.example.comがホスト名として明記された証明書を持つ場合、example.comの専用証明書がfoo.example.comの訪問者に提示されます。
- 親ドメインと子ドメインの両方がCloudflare上にある場合は、サブドメインのセットアップタイプ(Fullまたは CNAME)を親のセットアップタイプと一致させます。
- 親ドメインのCloudflare Edge Side Code(ESC)は、子ドメインに自動的に適用されず、ESCの変更が必要になります。
DNSSECをサブドメインに追加する
次の手順に従って、親ドメインと子ドメイン(サブドメイン)の両方でDNSSECを有効にしてください。
- 子ドメイン(サブドメイン)をCloudflareアカウントに追加し、提示されたCloudflareのネームサーバーに注目してください。Cloudflareネームサーバーは、Cloudflareネームサーバー の下のCloudflareDNSアプリ内に記載されています。
- 親ドメインのDNSアプリ内で、各Cloudflareネームサーバーに1つずつ、合わせて2つのNSレコードを作成します。NSレコードの名前が子ドメインのホスト名と一致していることを確認します。
- 子ドメインのDNS解決を検証します。
- 子ドメインのDNSSECを有効にし、DSレコード出力内で提供される情報を保存します。
- 前の手順のDSレコードを親ドメインに追加します。(DSレコードを追加する手順を表示)
- Aレコードを子ドメインに追加して、DNS解決を検証します。
- 2〜6時間待ってください。それから、DNSSEC検証(1.1.1.1、8.8.8.8、9.9.9.9)で複数のDNSレゾルバーを使って、前の手順で追加したAレコードをテストします。たとえば、Aレコードがtest.child.example.com 用である場合は、次のようにします。
dig
test.child.example.com
+dnssec @
1.1.1.1
Cloudflareに子ドメイン(サブドメイン)を追加する
Full (default)のセットアップまたはCNAME のセットアップに子ドメインを追加します。子ドメインに使用するセットアップは、親ドメインの設定を模倣するのが理想的です。
親ドメインのセットアップ |
推奨される子ドメインのセットアップ |
プランのタイプ |
FullセットアップによるCloudflare上の親ドメイン |
Fullのセットアップのみ |
Free プラン、Pro プラン、Business プラン、Enterprise プラン |
CNAMEのセットアップによる Cloudflare上の親ドメイン |
CNAMEのセットアップのみ |
Business プラン、またはEnterprise プラン |
親ドメインがCloudflare上にない |
FullのセットアップまたはCNAMEのセットアップを選択できる |
CNAME のセットアップにはBusiness プランまたはEnterprise プランが必要です。 |
子ドメイン(サブドメイン )の追加に関する情報は、CNAME のセットアップを理解するをご参照ください。
子ドメイン(サブドメイン)をFullのセットアップゾーンに追加します。親ドメインがFullのセットアップ上にある場合は、NSレコードを親ドメインのCloudflare DNSアプリに追加します。
手続きが完了したら、サブドメインのCloudflare設定が親ドメインから子ドメインに移行していることを確認してください。
子ドメインの追加に関するベストプラクティス
子ドメインがCloudflareに追加されると、親ドメインは子ドメイン(サブドメイン)に対する設定の制御を失います。たとえば、 example.comのshop.example.comに対するPage Ruleは、子ドメインのshop.example.comがCloudflareに追加されると機能しなくなります。TXTレコードを持つ子ドメインを有効にする前、またはNSレコードを設定する前に、Page Ruleの設定を親ドメインから子ドメインに移行してください。
この概念は、レート制限、DNS、ファイアウォールルールなど、子ドメイン(サブドメイン)に設定されたCloudflare機能に適用されます。
サブドメインを新しいCloudflareアカウントに移行する
Fullセットアップのサブドメインを、あるCloudflareアカウントから別のCloudflareアカウントに移動するには、次の手順に従います:
- サブドメインを新しいCloudflareアカウントに追加します。
- 新しいCloudflareアカウント内でサブドメインのCNAMEレコードまたはAレコードを作成します。
- 新しいCloudflareアカウントに対応する新しいネームサーバーを参照するように、サブドメインのNSレコードを更新します。
- 古いCloudflareアカウント内のサブドメインのCNAMEレコードまたはAレコードを削除します。