你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Azure CLI 中使用专用链接将 Azure Front Door Premium 连接到存储帐户源

2025-05-20

适用于： ✔️ Front Door Premium

本文提供了有关如何使用 Azure CLI 将 Azure Front Door 高级版配置为通过 Azure 专用链接以私密方式连接到存储帐户的分步指南。

先决条件

在 Azure Cloud Shell 中使用 Bash 环境。有关详细信息，请参阅 Azure Cloud Shell 入门。
如需在本地运行 CLI 参考命令，请安装 Azure CLI。如果在 Windows 或 macOS 上运行，请考虑在 Docker 容器中运行 Azure CLI。有关详细信息，请参阅如何在 Docker 容器中运行 Azure CLI。
- 如果使用的是本地安装，请使用 az login 命令登录到 Azure CLI。若要完成身份验证过程，请遵循终端中显示的步骤。有关其他登录选项，请参阅使用 Azure CLI 向 Azure 进行身份验证。
- 出现提示时，请在首次使用时安装 Azure CLI 扩展。有关扩展的详细信息，请参阅使用和管理 Azure CLI 中的扩展。
- 运行 az version 以查找安装的版本和依赖库。若要升级到最新版本，请运行 az upgrade。

先决条件：

一个有效的 Azure 订阅。创建一个免费帐户。
功能正常的 Azure Front Door 高级版配置文件、终结点和源组。有关设置说明，请参阅创建 Front Door - CLI。
专用存储帐户。有关指南，请参阅此文档。

注意

专用终结点要求存储帐户满足特定要求。有关详细信息，请参阅对 Azure 存储使用专用终结点。

在 Azure Front Door Premium 中启用存储帐户专用链接

运行 az afd origin create 命令创建新的 Azure Front Door 源。使用以下设置为专用连接配置存储帐户。确保 private-link-___location 位于某个可用区域，且 private-link-sub-resource-type 为 blob。

az afd origin create --enabled-state Enabled \
                     --resource-group myRGFD \
                     --origin-group-name og1 \
                     --origin-name mystorageorigin \
                     --profile-name contosoAFD \
                     --host-name mystorage.blob.core.windows.net \
                     --origin-host-header mystorage.blob.core.windows.net \
                     --http-port 80 \
                     --https-port 443 \
                     --priority 1 \
                     --weight 500 \
                     --enable-private-link true \
                     --private-link-___location EastUS \
                     --private-link-request-message 'AFD storage origin Private Link request.' \
                     --private-link-resource /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage \
                     --private-link-sub-resource-type blob

批准来自 Azure 存储的 Azure Front Door Premium 专用终结点连接

运行 az network private-endpoint-connection list 命令来列出存储帐户的专用终结点连接。记下输出中的专用终结点连接的 Resource ID。
```
az network private-endpoint-connection list --name mystorage --resource-group myRGFD --type Microsoft.Storage/storageAccounts
```

运行 az network private-endpoint-connection 批准命令以批准专用终结点连接。

az network private-endpoint-connection approve --id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage/privateEndpointConnections/mystorage.00000000-0000-0000-0000-000000000000

批准后，可能需要几分钟时间才能完全建立连接。建立后，Azure Front Door 高级版便可以访问存储帐户。启用专用终结点后，将禁用对存储帐户的公共 Internet 访问。

注意

如果存储帐户中的 Blob 或容器不允许匿名访问，则必须为请求授权。为请求授权的一种方法是使用共享访问签名。

要避免的常见错误

配置启用了 Azure 专用链接的源时，常见错误如下：

将启用了 Azure 专用链接的源添加到包含公共源的现有源组。 Azure Front Door 不允许在同一源组中混合公共和专用源。
连接到不允许匿名访问的存储帐户时不使用 SAS 令牌。

后续步骤

详细了解存储帐户的专用链接服务。

通过