你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于: ✔️ Front Door Premium
本文将指导你完成对 Azure Front Door Premium 层级的配置,以使用 Azure 专用链接服务私密连接到存储静态网站。
先决条件
启用与存储静态网站的专用链接
在本节中,你将专用链接服务映射到在 Azure Front Door 专用网络中创建的专用终结点。
登录到 Azure 门户。
在 Azure Front Door Premium 配置文件中的“设置”下,选择“源组”。
选择包含要为其启用专用链接的存储静态网站原点的原点组。
选择“+ 添加原点”,以添加新的存储静态网站原点,或从该列表中选择以前创建的存储静态网站原点。
下表指示了在启用与 Azure Front Door 的专用链接时,在相应字段中要选择哪些值。 选择或输入以下设置,以配置你希望 Azure Front Door Premium 与之建立专用连接的存储静态网站。
设置 值 名称 输入一个名称来标识此存储静态网站原点。 原点类型 存储(静态网站) 主机名 从下拉列表中选择要用作源的主机。 源主机标头 您可以自定义源的主机头,也可以将其保留为默认值。 HTTP 端口 80(默认值) HTTPS 端口 443(默认值) 优先级 不同的源可以具有不同的优先级,以分别提供主要、次要和备份源。 重量 1000(默认值)。 当你想要分散流量时,请为不同的源分配权重。 区域 选择与源相同或最近的区域。 目标子资源 之前选定的且你的专用终结点可访问的资源的子资源类型。 可以选择 Web 或 web_secondary。 请求消息 批准专用终结点时要查看的自定义消息。 然后选择“添加”以保存配置。 选择“更新”以保存更改。
从存储帐户批准专用终结点连接
转到要以私密方式连接到 Azure Front Door Premium 的存储帐户。 在“设置”下选择“网络” 。
在“网络”中,选择“专用终结点连接” 。
选择 Azure Front Door Premium 中待处理的专用终结点请求,然后选择“批准”。
批准后,可以看到专用终结点连接状态为“已批准”。
创建与 web_secondary 的专用终结点连接
创建与存储静态网站的辅助子资源的专用终结点连接时,需要向原点主机头添加 -secondary 后缀。 例如,如果原点主机头是 contoso.z13.web.core.windows.net,则需要将其更改为 contoso-secondary.z13.web.core.windows.net。
添加原点并批准专用终结点连接后,可以测试与存储静态网站的专用链接连接。
本文将指导你完成对 Azure Front Door Premium 层级的配置,在 Azure CLI 中使用 Azure 专用链接服务以专用方式连接到存储帐户。
先决条件 - CLI
先决条件
在 Azure Cloud Shell 中使用 Bash 环境。 有关详细信息,请参阅 Azure Cloud Shell 入门。
如需在本地运行 CLI 参考命令,请安装 Azure CLI。 如果在 Windows 或 macOS 上运行,请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息,请参阅如何在 Docker 容器中运行 Azure CLI。
如果使用的是本地安装,请使用 az login 命令登录 Azure CLI。 若要完成身份验证过程,请遵循终端中显示的步骤。 有关其他登录选项,请参阅 使用 Azure CLI 向 Azure 进行身份验证。
出现提示时,请在首次使用时安装 Azure CLI 扩展。 有关扩展的详细信息,请参阅 使用和管理 Azure CLI 中的扩展。
运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本,请运行 az upgrade。
- 具有活动订阅的 Azure 帐户。 免费创建帐户。
- 具有正常运行的 Azure Front Door Premium 配置文件、终结点和源组。 有关如何创建 Azure Front Door 配置文件的详细信息,请参阅创建 Front Door - CLI。
在 Azure Front Door Premium 中启用存储静态网站的专用链接
- 运行 az afd origin create 以创建新的 Azure Front Door 源。 输入以下设置,以配置你希望 Azure Front Door Premium 与之建立专用连接的存储静态网站。 请注意,
private-link-___location必须位于某个可用区域,并且private-link-sub-resource-type必须是 Web。
az afd origin create --enabled-state Enabled \
--resource-group testRG \
--origin-group-name default-origin-group \
--origin-name pvtStaticSite \
--profile-name testAFD \
--host-name example.z13.web.core.windows.net\
--origin-host-header example.z13.web.core.windows.net\
--http-port 80 \
--https-port 443 \
--priority 1 \
--weight 500 \
--enable-private-link true \
--private-link-___location EastUS \
--private-link-request-message 'AFD Storage static website origin Private Link request.' \
--private-link-resource /subscriptions/00000000-0000-0000-0000-00000000000/resourceGroups/testRG/providers/Microsoft.Storage/storageAccounts/testingafdpl \
--private-link-sub-resource-type web
从存储帐户批准专用终结点连接
- 运行 az network private-endpoint-connection list,列出存储帐户的专用终结点连接。 查看输出第一行,记下存储帐户中可用的专用终结点连接的“资源 ID”。
az network private-endpoint-connection list -g testRG -n testingafdpl --type Microsoft.Storage/storageAccounts
- 运行 az network private-endpoint-connection approve cmdlet,批准专用终结点连接。
az network private-endpoint-connection approve --id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/testRG/providers/Microsoft.Storage/storageAccounts/testingafdpl/privateEndpointConnections/testingafdpl.00000000-0000-0000-0000-000000000000
创建与 Web_Secondary 的专用终结点连接
创建与存储静态网站的辅助子资源的专用终结点连接时,需要向原点主机头添加 -secondary 后缀。 例如,如果原始主机标头是 example.z13.web.core.windows.net,则需要将其更改为 example-secondary.z13.web.core.windows.net。
添加原点并批准专用终结点连接后,可以测试与存储静态网站的专用链接连接。
要避免的常见错误
配置启用了 Azure 专用链接的源时,常见错误如下:
- 将启用了 Azure 专用链接的源添加到包含公共源的现有源组。 Azure Front Door 不允许在同一源组中混合公共和专用源。
后续步骤
了解有关存储帐户的专用链接服务。