使用 Azure 媒体服务的 Azure 专用终结点

  • 项目

Media Services logo v3

警告

Azure 媒体服务将于 2024 年 6 月 30 日停用。 有关详细信息,请参阅 AMS 停用指南

本文概述了如何将专用终结点与 Azure 媒体服务配合使用。 媒体服务终结点包括用于流式传输视频并将媒体格式化为 HLS 和 DASH 的流式处理终结点(源服务器)、用于向媒体观看者提供媒体内容密钥和 DRM 许可证的密钥传送、为实时传送视频流引入媒体内容的实时事件,以及用于将媒体 blob 和关联的流式处理文件存储在资产(容器)中的媒体服务存储帐户。 建议在继续阅读本文之前了解 Azure 专用终结点

Azure 专用终结点

Azure 专用终结点是使用虚拟网络中的专用 IP 地址的网络接口。

使用 Azure 专用终结点进行练习

如果不熟悉如何使用专用终结点,请阅读以下教程和快速入门。

提示

请特别注意先决条件,不要跳过它们! 你可能无法在非建议区域中创建 VM,具体取决于你的订阅。

何时使用专用终结点

如果要使资源可供虚拟网络访问,请使用专用终结点。

启用专用终结点的 Azure 服务

下表显示了通常与媒体服务配合使用的服务。 请查看下表中的文档,了解如何将专用终结点和专用链接用于每个服务。

服务 媒体服务集成 专用终结点文档
Azure 存储 用于存储媒体文件 为 Azure 存储使用专用终结点
Azure Key Vault 用于存储客户管理的密钥 配置 Azure Key Vault 网络设置
事件网格 提供媒体服务事件的通知 为 Azure 事件网格主题或域配置专用终结点

提示

即使未使用虚拟网络,仍可使用动态加密和密钥传送数字版权管理 (DRM) 许可证(如 FairPlayPlayReady)来保护内容。 除了专用终结点外,还可以使用 DRM。

媒体服务终结点

可以使用专用终结点从虚拟网络访问媒体服务终结点。 还可以从对等互连虚拟网络或使用 Express Route 或 VPN 连接到虚拟网络的其他网络访问专用终结点。 也可以将专用链接与媒体服务终结点配合使用。

终结点 说明 支持专用终结点 Internet 访问控制
密钥传送 向媒体查看器提供媒体内容密钥和 DRM 许可证 IP 允许列表
实时事件 为实时传送视频流引入媒体内容 IP 允许列表
流式处理终结点 用于流式处理视频并将媒体格式设置为 HLS 和 DASH 的源服务器 IP 允许列表

重要

使用 2020-05-01 前的 API 版本创建的媒体服务帐户也有一个用于旧版 RESTv2 API 终结点的终结点(待弃用)。

媒体服务帐户资源的专用终结点

媒体服务帐户上创建了用于密钥传送、流式处理终结点和实时事件的专用终结点。 通常为每个类型的媒体服务终结点创建一个专用终结点。 例如,可以为多个流式处理终结点创建一个专用终结点。

使用这种方式,资源的多个实例(例如媒体服务帐户中的实时事件)可以连接到具有单个专用终结点的虚拟网络。 若要连接到多个虚拟网络,需要创建多个专用终结点。

有关网络访问标志、DNS 名称更改和 IP 级别允许列表的讨论,请参阅专用终结点连接概述

请参阅媒体服务的 Azure Policy,了解如何针对专用终结点方案应用 Azure Policy。

媒体服务存储专用终结点

有了虚拟网络和存储帐户的专用终结点,就可以使用专用终结点从本地网络访问存储帐户。

媒体服务始终使用公共终结点来访问存储帐户。 媒体服务帐户可配置为使用存储帐户,在满足以下要求后,这些存储帐户就会阻止从 Internet 进行的访问:

为存储帐户配置专用终结点的客户可以限制对其存储帐户的公用网络访问(使用存储帐户的 publicNetworkAccess 或 networkAcls 属性)。 如果满足以下所有条件,则媒体服务仍可使用公共终结点来访问存储帐户(而 publicNetworkAccess 或 networkAcls 属性往往会阻止这种访问):

  • networkAcls 下的存储帐户 bypass 属性设置为 AzureServices,并且
  • 媒体服务帐户具有托管标识,并且
  • 为媒体服务帐户的托管标识授予了该存储帐户的存储 Blob 数据参与者和读取者角色,并且
  • 媒体服务配置为使用托管标识来访问存储帐户。

媒体服务流式处理和实时事件专用终结点配置

以下示例描述了可用于专用流式传输的配置。

没有专用终结点

不使用专用终结点时,观看者发出的访问媒体内容和密钥的请求将通过 Internet 路由。

A diagram that show that when there is no private endpoint, internet access is available for both the streaming endpoint and the key delivery endpoint

用于流式传输和密钥传送的专用终结点

可为流式终结点和密钥传送服务创建专用终结点,以便可以直接访问这些资源,而不是通过 Internet 访问。 当网络中的用户无法访问 Internet 时,这可能很有用。

A diagram that shows viewers accessing content through the streaming endpoint private endpoint and through the key delivery endpoint private endpoint.

已禁用 Internet 访问

如果所有用户使用专用终结点访问媒体服务资源,则可以禁用从 Internet 访问这些资源。

A diagram showing internet access blocked to the streaming endpoint and the key delivery endpoint.

用于实时事件的专用终结点

还可为实时事件创建专用终结点,以便可以在无法连接 Internet 的情况下将实时内容引入媒体服务。

A diagram showing the live event with internet access blocked.

流式传输到 Internet 时用于实时事件的专用终结点

还可为实时事件创建专用终结点,同时使用流式处理终结点将内容流式传输到 Internet。 这对于需要安全引入并以庞大受众为目标的方案可能很有用。

A diagram showing the live event blocked but streaming accessed via the internet.

操作方法和教程