适用于: ✔️ Front Door Premium
本文指导你配置 Azure Front Door Premium,以便使用 Azure 专用链接服务以私密方式连接到存储帐户源。
Prerequisites
- 拥有有效订阅的 Azure 帐户。 创建账户。
专用链接。 有关详细信息,请参阅 创建专用链接服务。
Azure CLI。
可以在本地安装 Azure CLI 以运行命令。 如果在本地运行 Azure CLI,请使用 az login 命令登录到 Azure。
Note
专用终结点要求存储帐户满足特定要求。 有关详细信息,请参阅对 Azure 存储使用专用终结点。
在 Azure Front Door 中启用存储帐户的专用链接
在本节中,你将专用链接服务映射到在 Azure Front Door 专用网络中创建的专用终结点。
在 Azure Front Door Premium 配置文件的 “设置”下,选择“ 源组”。
选择包含要为其启用专用链接的存储帐户源的源组。
选择“+ 添加源”,以添加新的存储帐户源,或从该列表中选择以前创建的存储帐户源。
选择或输入以下值,以配置你希望 Azure Front Door Premium 与之建立专用连接的存储 blob。
Setting Value Name 输入一个名称来标识此存储 blob 源。 源类型 存储 (Azure Blob) 主机名 从下拉列表中选择要用作源的主机。 源主机标头 您可以自定义源的主机头,也可以将其保留为默认值。 HTTP 端口 80 (默认值) HTTPS 端口 443 (默认值) Priority 不同的源可以具有不同的优先级,以分别提供主要、次要和备份源。 Weight 1000 (默认值)。 当你想要分散流量时,请为不同的源分配权重。 Region 选择与源相同或最近的区域。 目标子资源 之前选定的且你的专用终结点可访问的资源的子资源类型。 请求消息 自定义批准专用终结点时显示的消息。 选择 “添加” 以保存配置。
选择 “更新 ”以保存源组设置。
Note
请确保在您的路由规则中,以存储容器文件路径正确配置源路径,这样可以获取文件请求。
使用 az afd origin create 命令创建新的 Azure Front Door 源。
private-link-location
值必须来自 可用区域,并且 private-link-sub-resource-type
值为 Blob。
az afd origin create --enabled-state Enabled \
--resource-group 'myResourceGroup' \
--origin-group-name 'og1' \
--origin-name 'mystorageorigin' \
--profile-name 'contosoAFD' \
--host-name 'mystorage.blob.core.chinacloudapi.cn' \
--origin-host-header 'mystorage.blob.core.chinacloudapi.cn' \
--http-port 80 \
--https-port 443 \
--priority 1 \
--weight 500 \
--enable-private-link true \
--private-link-location 'ChinaEast2' \
--private-link-request-message 'AFD storage origin Private Link request.' \
--private-link-resource '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorage' \
--private-link-sub-resource-type blob
从存储帐户批准 Front Door 专用终结点连接
使用 az network private-endpoint-connection list 命令列出存储帐户的专用终结点连接。 记下输出中的专用终结点连接的
Resource ID
。az network private-endpoint-connection list --name 'mystorage' --resource-group 'myResourceGroup' --type 'Microsoft.Storage/storageAccounts'
使用 az network private-endpoint-connection approve 命令批准专用终结点连接。
az network private-endpoint-connection approve --id '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorage/privateEndpointConnections/mystorage.aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e'
连接在批准后需要几分钟才能完全建立。 建立后,可以通过 Azure Front Door Premium 以私密方式访问存储帐户。 启用专用终结点后,将禁用对存储帐户的公共 Internet 访问。
Note
如果存储帐户中的 blob 或容器不允许匿名访问,则应授权针对 blob/容器发出的请求。 为请求授权的一个选项是使用共享访问签名。
要避免的常见错误
配置启用了 Azure 专用链接的源时,常见错误如下:
- 将启用了 Azure 专用链接的源添加到包含公共源的现有源组。 Azure Front Door 不允许在同一源组中混合公共和专用源。
- 连接到不允许匿名访问的存储帐户时,不使用 SAS 令牌。