藉由 Azure CLI 使用 Private Link 將 Azure Front Door 進階版連線到儲存體帳戶原點
本文將引導您了解如何藉由 Azure CLI 使用 Azure Private Link 服務設定 Azure Front Door 進階版服務層級,以透過隱密方式連線到儲存體帳戶。
必要條件
在 Azure Cloud Shell 中使用 Bash 環境。 如需詳細資訊,請參閱 Azure Cloud Shell 中的 Bash 快速入門。
若要在本地執行 CLI 參考命令,請安裝 Azure CLI。 若您在 Windows 或 macOS 上執行,請考慮在 Docker 容器中執行 Azure CLI。 如需詳細資訊,請參閱〈如何在 Docker 容器中執行 Azure CLI〉。
如果您使用的是本機安裝,請使用 az login 命令,透過 Azure CLI 來登入。 請遵循您終端機上顯示的步驟,完成驗證程序。 如需其他登入選項,請參閱使用 Azure CLI 登入。
出現提示時,請在第一次使用時安裝 Azure CLI 延伸模組。 如需擴充功能詳細資訊,請參閱使用 Azure CLI 擴充功能。
執行 az version 以尋找已安裝的版本和相依程式庫。 若要升級至最新版本,請執行 az upgrade。
- 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
- 具有運作中的 Azure Front Door 進階版設定檔、端點和原始群組。 如需如何建立 Azure Front Door 設定檔的詳細資訊,請參閱建立 Front Door - CLI。
- 具有同時為私人的運作中儲存體帳戶。 請參閱此文件以了解如何執行相同的作業。
注意
私人端點需要您的儲存體帳戶才能符合特定需求。 如需詳細資訊,請參閱針對 Azure 儲存體使用私人端點。
在 Azure Front Door 進階版中啟用儲存體帳戶的 Private Link
執行 az afd origin create 以建立新的 Azure Front Door 來源。 輸入下列設定,以設定您希望 Azure Front Door 進階版以隱密方式連線的儲存體帳戶。 請注意,private-link-location
必須位於其中一個可用的區域,而且 private-link-sub-resource-type
必須是 blob。
az afd origin create --enabled-state Enabled \
--resource-group myRGFD \
--origin-group-name og1 \
--origin-name mystorageorigin \
--profile-name contosoAFD \
--host-name mystorage.blob.core.windows.net \
--origin-host-header mystorage.blob.core.windows.net \
--http-port 80 \
--https-port 443 \
--priority 1 \
--weight 500 \
--enable-private-link true \
--private-link-location EastUS \
--private-link-request-message 'AFD storage origin Private Link request.' \
--private-link-resource /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage \
--private-link-sub-resource-type blob
核准來自 Azure 儲存體的 Azure Front Door 進階版私人端點連線
執行 az network private-endpoint-connection list 以列出儲存體帳戶的私人端點連線。 記下可於輸出中第一行中取得的私人端點連線的
Resource ID
。az network private-endpoint-connection list --name mystorage --resource-group myRGFD --type Microsoft.Storage/storageAccounts
執行 az network private-endpoint-connection approve 來核准私人端點連線
az network private-endpoint-connection approve --id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage/privateEndpointConnections/mystorage.00000000-0000-0000-0000-000000000000
一經核准,連線需要幾分鐘的時間才能完全建立。 您現在可以從 Azure Front Door 進階版存取儲存體帳戶。 在啟用私人端點之後,會停用從公用網際網路直接存取儲存體帳戶。
注意
如果記憶體帳戶內的 Blob 或容器不允許匿名存取,則對 Blob/容器提出的要求應獲得授權。 授權要求的其中一個選項是使用 共用存取簽章。