你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Azure CLI 中使用专用链接将 Azure Front Door Premium 连接到存储帐户源

本文提供了有关如何使用 Azure CLI 将 Azure Front Door 高级版配置为通过 Azure 专用链接以私密方式连接到存储帐户的分步指南。

先决条件

• 在 Azure Cloud Shell 中使用 Bash 环境。 有关详细信息，请参阅 Azure Cloud Shell 中的 Bash 快速入门。

  

• 如需在本地运行 CLI 参考命令，请安装 Azure CLI。 如果在 Windows 或 macOS 上运行，请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息，请参阅如何在 Docker 容器中运行 Azure CLI。

  • 如果使用的是本地安装，请使用 az login 命令登录到 Azure CLI。 若要完成身份验证过程，请遵循终端中显示的步骤。 有关其他登录选项，请参阅使用 Azure CLI 登录。

  • 出现提示时，请在首次使用时安装 Azure CLI 扩展。 有关扩展详细信息，请参阅使用 Azure CLI 的扩展。

  • 运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本，请运行 az upgrade。

先决条件：

• 一个有效的 Azure 订阅。 创建一个免费帐户。
• 功能正常的 Azure Front Door 高级版配置文件、终结点和源组。 有关设置说明，请参阅创建 Front Door - CLI。
• 专用存储帐户。 有关指南，请参阅此文档。

注意

专用终结点要求存储帐户满足特定要求。 有关详细信息，请参阅对 Azure 存储使用专用终结点。

在 Azure Front Door Premium 中启用存储帐户专用链接

运行 az afd origin create 命令创建新的 Azure Front Door 源。 使用以下设置为专用连接配置存储帐户。 确保 private-link-location 位于某个可用区域，且 private-link-sub-resource-type 为 blob。

az afd origin create --enabled-state Enabled \
                     --resource-group myRGFD \
                     --origin-group-name og1 \
                     --origin-name mystorageorigin \
                     --profile-name contosoAFD \
                     --host-name mystorage.blob.core.windows.net \
                     --origin-host-header mystorage.blob.core.windows.net \
                     --http-port 80 \
                     --https-port 443 \
                     --priority 1 \
                     --weight 500 \
                     --enable-private-link true \
                     --private-link-location EastUS \
                     --private-link-request-message 'AFD storage origin Private Link request.' \
                     --private-link-resource /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage \
                     --private-link-sub-resource-type blob 

批准来自 Azure 存储的 Azure Front Door Premium 专用终结点连接

1. 运行 az network private-endpoint-connection list 命令来列出存储帐户的专用终结点连接。 记下输出中的专用终结点连接的 Resource ID。

   az network private-endpoint-connection list --name mystorage --resource-group myRGFD --type Microsoft.Storage/storageAccounts
   

2. 运行 az network private-endpoint-connection 批准 命令以批准专用终结点连接。

   az network private-endpoint-connection approve --id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage/privateEndpointConnections/mystorage.00000000-0000-0000-0000-000000000000
   

3. 批准后，可能需要几分钟时间才能完全建立连接。 建立后，Azure Front Door 高级版便可以访问存储帐户。 启用专用终结点后，将禁用对存储帐户的公共 Internet 访问。

注意

如果存储帐户中的 Blob 或容器不允许匿名访问，则必须为请求授权。 为请求授权的一种方法是使用共享访问签名。

后续步骤

详细了解存储帐户的专用链接服务。