你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Azure CLI 中使用专用链接将 Azure Front Door Premium 连接到存储帐户源
本文将指导你完成对 Azure Front Door Premium 层级的配置,在 Azure CLI 中使用 Azure 专用链接服务以专用方式连接到存储帐户。
先决条件
在 Azure Cloud Shell 中使用 Bash 环境。 有关详细信息,请参阅 Azure Cloud Shell 中的 Bash 快速入门。
如需在本地运行 CLI 参考命令,请安装 Azure CLI。 如果在 Windows 或 macOS 上运行,请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息,请参阅如何在 Docker 容器中运行 Azure CLI。
如果使用的是本地安装,请使用 az login 命令登录到 Azure CLI。 若要完成身份验证过程,请遵循终端中显示的步骤。 有关其他登录选项,请参阅使用 Azure CLI 登录。
出现提示时,请在首次使用时安装 Azure CLI 扩展。 有关扩展详细信息,请参阅使用 Azure CLI 的扩展。
运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本,请运行 az upgrade。
- 具有活动订阅的 Azure 帐户。 免费创建帐户。
- 具有正常运行的 Azure Front Door Premium 配置文件、终结点和源组。 有关如何创建 Azure Front Door 配置文件的详细信息,请参阅创建 Front Door - CLI。
- 具有一个正常运行的存储帐户,该帐户也是专用的。 请参阅此文档,了解如何执行相同的操作。
注意
专用终结点要求存储帐户满足特定要求。 有关详细信息,请参阅对 Azure 存储使用专用终结点。
在 Azure Front Door Premium 中启用存储帐户专用链接
运行 az afd origin create 以创建新的 Azure Front Door 源。 输入以下设置,配置你希望 Azure Front Door Premium 与之建立专用连接的存储帐户。 请注意,private-link-location
必须位于某个可用区域,并且 private-link-sub-resource-type
必须是 Blob。
az afd origin create --enabled-state Enabled \
--resource-group myRGFD \
--origin-group-name og1 \
--origin-name mystorageorigin \
--profile-name contosoAFD \
--host-name mystorage.blob.core.windows.net \
--origin-host-header mystorage.blob.core.windows.net \
--http-port 80 \
--https-port 443 \
--priority 1 \
--weight 500 \
--enable-private-link true \
--private-link-location EastUS \
--private-link-request-message 'AFD storage origin Private Link request.' \
--private-link-resource /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage \
--private-link-sub-resource-type blob
批准来自 Azure 存储的 Azure Front Door Premium 专用终结点连接
运行 az network private-endpoint-connection list,列出存储帐户的专用终结点连接。 记下输出第一行中提供的专用终结点连接的
Resource ID
。az network private-endpoint-connection list --name mystorage --resource-group myRGFD --type Microsoft.Storage/storageAccounts
运行 az network private-endpoint-connection approve cmdlet,批准专用终结点连接
az network private-endpoint-connection approve --id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage/privateEndpointConnections/mystorage.00000000-0000-0000-0000-000000000000
批准后,完全建立连接需要几分钟时间。 现在可以从 Azure Front Door Premium 访问存储帐户。 启用专用终结点后,将禁用从公共 Internet 直接访问存储帐户。
注意
如果存储帐户中的 blob 或容器不允许匿名访问,则应授权针对 blob/容器发出的请求。 为请求授权的一个选项是使用共享访问签名。
后续步骤
了解有关存储帐户的专用链接服务。