Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: ✔️ Front Door Premium
В этой статье описано, как настроить Azure Front Door Premium для частного подключения к источнику учетной записи хранения с помощью службы Приватного канала Azure.
Предпосылки
- Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
Частная ссылка. Для получения дополнительной информации см. в разделе "Создание службы личной ссылки".
Войдите на портал Azure с помощью своей учетной записи Azure.
Частная ссылка. Для получения дополнительной информации см. в разделе "Создание службы личной ссылки".
Azure Cloud Shell или Azure CLI
Действия, описанные в этой статье, выполняют команды Azure CLI интерактивно в Azure Cloud Shell. Чтобы выполнить команды в Cloud Shell, выберите Open Cloud Shell в правом верхнем углу блока кода. Выберите "Копировать ", чтобы скопировать код и вставить его в Cloud Shell, чтобы запустить его. Вы также можете запустить Cloud Shell из портала Azure.
Вы также можете установить Azure CLI локально для выполнения команд. При локальном запуске Azure CLI войдите в Azure с помощью команды az login .
Замечание
Для частных конечных точек требуется учетная запись хранения в соответствии с конкретными требованиями. Дополнительные сведения см. в разделе "Использование частных конечных точек для служба хранилища Azure".
Включение Private Link к хранилищу в Azure Front Door
В этом разделе описано, как сопоставить службу Private Link с частной конечной точкой, созданной в частной сети Azure Front Door.
В профиле Azure Front Door ценовой категории "Премиум" в разделе Параметры выберите Origin groups (Группы источников).
Выберите группу источников, содержащую источник учетной записи хранения, для которой вы хотите включить частное соединение.
Выберите +Добавить источник , чтобы добавить новый источник учетной записи хранения или выбрать ранее созданный источник учетной записи хранения из списка.
Выберите или введите следующие значения, чтобы настроить блоб хранилища для приватного подключения через Azure Front Door Premium.
Настройки Ценность Имя Введите имя для идентификации хранилища блога. Тип источника Хранилище (блобы Azure) Имя хоста Выберите хост из выпадающего списка, который хотите использовать в качестве источника. Заголовок хоста-источника Можно настроить заголовок узла источника или оставить значение по умолчанию. HTTP-порт 80 (по умолчанию) Порт HTTPS 443 (по умолчанию) Приоритет Другой источник может иметь разные приоритеты для предоставления первичных, вторичных и резервных источников. Вес 1000 (по умолчанию). Назначьте весовые коэффициенты вашим различным источникам, если вы хотите распределить трафик. Регион Выберите регион, который совпадает или находится ближе всего к вашему месту происхождения. Целевой дочерний ресурс Тип подресурса ресурса, выбранного ранее, к которому может получить доступ частная конечная точка. Запрос на сообщение Настраиваемое сообщение для отображения при подтверждении Приватной конечной точки. 
Нажмите кнопку "Добавить ", чтобы сохранить конфигурацию.
Выберите "Обновить", чтобы сохранить параметры группы источников.
Замечание
Убедитесь, что путь к источнику в правиле маршрутизации настроен правильно, указав путь к файлу контейнера хранилища, чтобы можно было обрабатывать запросы на файлы.
Используйте команду az afd origin create для создания нового источника Azure Front Door. Значение private-link-location должно быть из доступных регионов, а значение private-link-sub-resource-type — BLOB.
az afd origin create --enabled-state Enabled \
--resource-group 'myResourceGroup' \
--origin-group-name 'og1' \
--origin-name 'mystorageorigin' \
--profile-name 'contosoAFD' \
--host-name 'mystorage.blob.core.windows.net' \
--origin-host-header 'mystorage.blob.core.windows.net' \
--http-port 80 \
--https-port 443 \
--priority 1 \
--weight 500 \
--enable-private-link true \
--private-link-location 'EastUS' \
--private-link-request-message 'AFD storage origin Private Link request.' \
--private-link-resource '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorage' \
--private-link-sub-resource-type blob
Утвердите подключение частной конечной точки Front Door из учетной записи хранилища
Перейдите к учетной записи хранения, для которой вы настроили Private Link в предыдущем разделе.
В разделе Параметры выберите Сеть.
На вкладке Сеть выберите Подключения к частной конечной точке.
Выберите ожидающий запрос частной конечной точки из Azure Front Door Premium и нажмите кнопку "Утвердить".
Используйте команду az network private-endpoint-connection list , чтобы получить список подключений к частной конечной точке для учетной записи хранения. Обратите внимание на
Resource IDподключение частной конечной точки из выходных данных.az network private-endpoint-connection list --name 'mystorage' --resource-group 'myResourceGroup' --type 'Microsoft.Storage/storageAccounts'Используйте команду az network private-endpoint-connection approve для утверждения подключения к частной конечной точке.
az network private-endpoint-connection approve --id '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorage/privateEndpointConnections/mystorage.aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e'
Установление соединения занимает несколько минут после утверждения. После установки вы можете получить частный доступ к учетной записи хранения через Azure Front Door Premium. Общедоступный доступ к учетной записи хранения отключен после включения частной конечной точки.
Замечание
Если большой двоичный объект или контейнер в учетной записи хранения не разрешает анонимный доступ, запросы к большому двоичному объекту или контейнеру должны быть авторизованы. Одним из вариантов авторизации запроса является использование подписанных URL-адресов.
Распространенные ошибки, которых следует избегать
Ниже приведены распространенные ошибки при настройке источника с включенным приватным каналом Azure:
- Добавление источника с поддержкой Приватного канала Azure в существующую группу источников, содержащую общедоступные источники. Azure Front Door не позволяет смешивать общедоступные и частные источники в той же группе источников.
- Не используйте маркеры SAS при подключении к учетной записи хранения, которая не разрешает анонимный доступ.