共用方式為

使用专用链接将 Azure Front Door Premium 连接到存储帐户源

适用于: ✔️ Front Door Premium

本文指导你配置 Azure Front Door Premium,以便使用 Azure 专用链接服务以私密方式连接到存储帐户源。

Prerequisites

Note

专用终结点要求存储帐户满足特定要求。 有关详细信息,请参阅对 Azure 存储使用专用终结点

在本节中,你将专用链接服务映射到在 Azure Front Door 专用网络中创建的专用终结点。

  1. 在 Azure Front Door Premium 配置文件的 “设置”下,选择“ 源组”。

  2. 选择包含要为其启用专用链接的存储帐户源的源组。

  3. 选择“+ 添加源”,以添加新的存储帐户源,或从该列表中选择以前创建的存储帐户源。

  4. 选择或输入以下值,以配置你希望 Azure Front Door Premium 与之建立专用连接的存储 blob。

    Setting Value
    Name 输入一个名称来标识此存储 blob 源。
    源类型 存储 (Azure Blob)
    主机名 从下拉列表中选择要用作源的主机。
    源主机标头 您可以自定义源的主机头,也可以将其保留为默认值。
    HTTP 端口 80 (默认值)
    HTTPS 端口 443 (默认值)
    Priority 不同的源可以具有不同的优先级,以分别提供主要、次要和备份源。
    Weight 1000 (默认值)。 当你想要分散流量时,请为不同的源分配权重。
    Region 选择与源相同或最近的区域。
    目标子资源 之前选定的且你的专用终结点可访问的资源的子资源类型。
    请求消息 自定义批准专用终结点时显示的消息。

    屏幕截图显示如何启用存储帐户专用链接。

  5. 选择 “添加” 以保存配置。

  6. 选择 “更新 ”以保存源组设置。

Note

请确保在您的路由规则中,以存储容器文件路径正确配置源路径,这样可以获取文件请求。

使用 az afd origin create 命令创建新的 Azure Front Door 源。 private-link-location 值必须来自 可用区域,并且 private-link-sub-resource-type 值为 Blob

az afd origin create --enabled-state Enabled \
                     --resource-group 'myResourceGroup' \
                     --origin-group-name 'og1' \
                     --origin-name 'mystorageorigin' \
                     --profile-name 'contosoAFD' \
                     --host-name 'mystorage.blob.core.chinacloudapi.cn' \
                     --origin-host-header 'mystorage.blob.core.chinacloudapi.cn' \
                     --http-port 80 \
                     --https-port 443 \
                     --priority 1 \
                     --weight 500 \
                     --enable-private-link true \
                     --private-link-location 'ChinaEast2' \
                     --private-link-request-message 'AFD storage origin Private Link request.' \
                     --private-link-resource '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorage' \
                     --private-link-sub-resource-type blob 

从存储帐户批准 Front Door 专用终结点连接

  1. 请转到您在上一个部分配置了 Private Link 的存储帐户。

  2. 在“设置”下选择“网络” 。

  3. “网络”中,选择 “专用终结点连接”。

  4. 从 Azure Front Door Premium 中选择 待处理 的专用终结点请求,然后选择 批准

    屏幕截图显示如何挂起存储专用终结点请求。

  1. 使用 az network private-endpoint-connection list 命令列出存储帐户的专用终结点连接。 记下输出中的专用终结点连接的 Resource ID

    az network private-endpoint-connection list --name 'mystorage' --resource-group 'myResourceGroup' --type 'Microsoft.Storage/storageAccounts'
    
  2. 使用 az network private-endpoint-connection approve 命令批准专用终结点连接。

    az network private-endpoint-connection approve --id '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorage/privateEndpointConnections/mystorage.aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e'
    

连接在批准后需要几分钟才能完全建立。 建立后,可以通过 Azure Front Door Premium 以私密方式访问存储帐户。 启用专用终结点后,将禁用对存储帐户的公共 Internet 访问。

Note

如果存储帐户中的 blob 或容器不允许匿名访问,则应授权针对 blob/容器发出的请求。 为请求授权的一个选项是使用共享访问签名

要避免的常见错误

配置启用了 Azure 专用链接的源时,常见错误如下:

  • 将启用了 Azure 专用链接的源添加到包含公共源的现有源组。 Azure Front Door 不允许在同一源组中混合公共和专用源。
  • 连接到不允许匿名访问的存储帐户时,不使用 SAS 令牌。