你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于: ✔️ Front Door Premium
本文指导你配置 Azure Front Door Premium,以便使用 Azure 专用链接服务以私密方式连接到存储帐户源。
Prerequisites
- 具有活动订阅的 Azure 帐户。 免费创建帐户。
专用链接。 有关详细信息,请参阅 创建专用链接服务。
Azure Cloud Shell 或 Azure CLI。
本文中的步骤在 Azure Cloud Shell 中以交互方式运行 Azure CLI 命令。 要在 Cloud Shell 中运行命令,请选择代码块右上角的“打开 Cloud Shell”。 选择“复制”以复制代码,并将其粘贴到 Cloud Shell 以运行。 也可以从 Azure 门户中运行 Cloud Shell。
还可以 在本地安装 Azure CLI 以运行命令。 如果在本地运行 Azure CLI,请使用 az login 命令登录到 Azure。
注意
专用终结点要求存储帐户满足特定要求。 有关详细信息,请参阅对 Azure 存储使用专用终结点。
在 Azure Front Door 中启用存储帐户的专用链接
在本节中,你将专用链接服务映射到在 Azure Front Door 专用网络中创建的专用终结点。
在 Azure Front Door Premium 配置文件中的“设置”下,选择“源组”。
选择包含要为其启用专用链接的存储帐户源的源组。
选择“+ 添加源”,以添加新的存储帐户源,或从该列表中选择以前创建的存储帐户源。
选择或输入以下值,以配置你希望 Azure Front Door Premium 与之建立专用连接的存储 blob。
设置 值 名称 输入一个名称来标识此存储 blob 源。 来源类型 存储 (Azure Blob) 主机名 从下拉列表中选择要用作源的主机。 源主机标头 您可以自定义源的主机头,也可以将其保留为默认值。 HTTP 端口 80(默认值) HTTPS 端口 443(默认值) 优先度 不同的源可以具有不同的优先级,以分别提供主要、次要和备份源。 重量 1000(默认值)。 当你想要分散流量时,请为不同的源分配权重。 区域 选择与源相同或最近的区域。 目标子资源 之前选定的且你的专用终结点可访问的资源的子资源类型。 请求消息 自定义批准专用终结点时显示的消息。 
选择 “添加” 以保存配置。
选择 “更新 ”以保存源组设置。
注意
确保使用存储容器文件路径正确配置传递规则中的原点路径,以便可以获取文件请求。
使用 az afd origin create 命令创建新的 Azure Front Door 源。
private-link-location 值必须来自 可用区域,而 private-link-sub-resource-type 的值为 blob。
az afd origin create --enabled-state Enabled \
--resource-group 'myResourceGroup' \
--origin-group-name 'og1' \
--origin-name 'mystorageorigin' \
--profile-name 'contosoAFD' \
--host-name 'mystorage.blob.core.windows.net' \
--origin-host-header 'mystorage.blob.core.windows.net' \
--http-port 80 \
--https-port 443 \
--priority 1 \
--weight 500 \
--enable-private-link true \
--private-link-location 'EastUS' \
--private-link-request-message 'AFD storage origin Private Link request.' \
--private-link-resource '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorage' \
--private-link-sub-resource-type blob
从存储帐户批准 Front Door 专用终结点连接
请转到您在上一个部分配置了 Private Link 的存储帐户。
在设置下选择网络 。
在“网络”中,选择“专用终结点连接”。
选择 Azure Front Door Premium 中的“挂起”专用终结点请求,然后选择“批准”。
使用 az network private-endpoint-connection list 命令列出存储帐户的专用终结点连接。 记下输出中的专用终结点连接的
Resource ID。az network private-endpoint-connection list --name 'mystorage' --resource-group 'myResourceGroup' --type 'Microsoft.Storage/storageAccounts'使用 az network private-endpoint-connection approve 命令批准专用终结点连接。
az network private-endpoint-connection approve --id '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorage/privateEndpointConnections/mystorage.aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e'
连接在批准后需要几分钟才能完全建立。 建立后,可以通过 Azure Front Door Premium 以私密方式访问存储帐户。 启用专用终结点后,将禁用对存储帐户的公共 Internet 访问。
注意
如果存储帐户中的 blob 或容器不允许匿名访问,则应授权针对 blob/容器发出的请求。 为请求授权的一个选项是使用共享访问签名。
要避免的常见错误
配置启用了 Azure 专用链接的源时,常见错误如下:
- 将启用了 Azure 专用链接的源添加到包含公共源的现有源组。 Azure Front Door 不允许在同一源组中混合公共和专用源。
- 连接到不允许匿名访问的存储帐户时,不使用 SAS 令牌。