使用 Azure 媒体服务的 Azure 专用终结点
警告
Azure 媒体服务将于 2024 年 6 月 30 日停用。 有关详细信息,请参阅 AMS 停用指南。
本文概述了如何将专用终结点与 Azure 媒体服务配合使用。 媒体服务终结点包括用于流式传输视频并将媒体格式化为 HLS 和 DASH 的流式处理终结点(源服务器)、用于向媒体观看者提供媒体内容密钥和 DRM 许可证的密钥传送、为实时传送视频流引入媒体内容的实时事件,以及用于将媒体 blob 和关联的流式处理文件存储在资产(容器)中的媒体服务存储帐户。 建议在继续阅读本文之前了解 Azure 专用终结点。
Azure 专用终结点是使用虚拟网络中的专用 IP 地址的网络接口。
如果不熟悉如何使用专用终结点,请阅读以下教程和快速入门。
提示
请特别注意先决条件,不要跳过它们! 你可能无法在非建议区域中创建 VM,具体取决于你的订阅。
如果要使资源可供虚拟网络访问,请使用专用终结点。
下表显示了通常与媒体服务配合使用的服务。 请查看下表中的文档,了解如何将专用终结点和专用链接用于每个服务。
服务 | 媒体服务集成 | 专用终结点文档 |
---|---|---|
Azure 存储 | 用于存储媒体文件 | 为 Azure 存储使用专用终结点 |
Azure Key Vault | 用于存储客户管理的密钥 | 配置 Azure Key Vault 网络设置 |
事件网格 | 提供媒体服务事件的通知 | 为 Azure 事件网格主题或域配置专用终结点 |
提示
即使未使用虚拟网络,仍可使用动态加密和密钥传送和数字版权管理 (DRM) 许可证(如 FairPlay 和 PlayReady)来保护内容。 除了专用终结点外,还可以使用 DRM。
可以使用专用终结点从虚拟网络访问媒体服务终结点。 还可以从对等互连虚拟网络或使用 Express Route 或 VPN 连接到虚拟网络的其他网络访问专用终结点。 也可以将专用链接与媒体服务终结点配合使用。
终结点 | 说明 | 支持专用终结点 | Internet 访问控制 |
---|---|---|---|
密钥传送 | 向媒体查看器提供媒体内容密钥和 DRM 许可证 | 是 | IP 允许列表 |
实时事件 | 为实时传送视频流引入媒体内容 | 是 | IP 允许列表 |
流式处理终结点 | 用于流式处理视频并将媒体格式设置为 HLS 和 DASH 的源服务器 | 是 | IP 允许列表 |
重要
使用 2020-05-01 前的 API 版本创建的媒体服务帐户也有一个用于旧版 RESTv2 API 终结点的终结点(待弃用)。
媒体服务帐户上创建了用于密钥传送、流式处理终结点和实时事件的专用终结点。 通常为每个类型的媒体服务终结点创建一个专用终结点。 例如,可以为多个流式处理终结点创建一个专用终结点。
使用这种方式,资源的多个实例(例如媒体服务帐户中的实时事件)可以连接到具有单个专用终结点的虚拟网络。 若要连接到多个虚拟网络,需要创建多个专用终结点。
有关网络访问标志、DNS 名称更改和 IP 级别允许列表的讨论,请参阅专用终结点连接概述。
请参阅媒体服务的 Azure Policy,了解如何针对专用终结点方案应用 Azure Policy。
有了虚拟网络和存储帐户的专用终结点,就可以使用专用终结点从本地网络访问存储帐户。
媒体服务始终使用公共终结点来访问存储帐户。 媒体服务帐户可配置为使用存储帐户,在满足以下要求后,这些存储帐户就会阻止从 Internet 进行的访问:
为存储帐户配置专用终结点的客户可以限制对其存储帐户的公用网络访问(使用存储帐户的 publicNetworkAccess 或 networkAcls 属性)。 如果满足以下所有条件,则媒体服务仍可使用公共终结点来访问存储帐户(而 publicNetworkAccess 或 networkAcls 属性往往会阻止这种访问):
- networkAcls 下的存储帐户 bypass 属性设置为 AzureServices,并且
- 媒体服务帐户具有托管标识,并且
- 为媒体服务帐户的托管标识授予了该存储帐户的存储 Blob 数据参与者和读取者角色,并且
- 媒体服务配置为使用托管标识来访问存储帐户。
以下示例描述了可用于专用流式传输的配置。
不使用专用终结点时,观看者发出的访问媒体内容和密钥的请求将通过 Internet 路由。
可为流式终结点和密钥传送服务创建专用终结点,以便可以直接访问这些资源,而不是通过 Internet 访问。 当网络中的用户无法访问 Internet 时,这可能很有用。
如果所有用户使用专用终结点访问媒体服务资源,则可以禁用从 Internet 访问这些资源。
还可为实时事件创建专用终结点,以便可以在无法连接 Internet 的情况下将实时内容引入媒体服务。
还可为实时事件创建专用终结点,同时使用流式处理终结点将内容流式传输到 Internet。 这对于需要安全引入并以庞大受众为目标的方案可能很有用。