私人端點連線概觀
警告
Azure 媒體服務將於 2024 年 6 月 30 日淘汰。 如需詳細資訊,請參閱 AMS淘汰指南。
本文會概略說明與媒體服務的私人端點連線。
使用 VNet 的用戶端
在 VNet 上使用私人端點的用戶端在連線至公用媒體服務端點時,應使用相同的 DNS 名稱來連線至媒體服務。 媒體服務依賴 DNS 解析,自動將連線從 VNet 路由傳送到媒體服務端點。
重要事項
使用私人端點時,請使用與媒體服務端點相同的 DNS 名稱,就像在其他情況下一樣。 請勿使用媒體服務端點的 privatelink 子網域 URL 連線到端點。
根據預設,媒體服務會建立一個附加至 VNet 的私人 DNS 區域,並對私人端點進行必要的更新。 不過,如果您使用的是自己的 DNS 伺服器,則可能需要對 DNS 組態進行額外的變更。 下列 DNS 變更一節描述私人端點所需的更新。
私人端點的 DNS 變更
當您建立私人端點時,每一個媒體服務端點的 DNS CNAME 資源記錄都會更新為子網域中首碼為 privatelink 的別名。 根據預設,我們也會建立對應至 privatelink 子網域的私人 DNS 區域,以及私人端點的 DNS A 資源記錄。
當您從具有私人端點的 VNet 外部解析媒體服務 DNS 名稱時,其會解析為媒體服務端點的公用端點。 從裝載私人端點的 VNet 解析時,媒體服務 URL 會解析為私人端點的 IP 位址。
例如,從裝載私人端點的 VNet 外部解析後,媒體服務 MediaAccountA 串流端點的 DNS 資源記錄將是:
| 名称 | 類型 | 值 |
|---|---|---|
| mediaaccounta-uswe1.streaming.media.azure.net | CNAME | mediaaccounta-uswe1.streaming.privatelink.media.azure.net |
| mediaaccounta-uswe1.streaming.privatelink.media.azure.net | CNAME | <Streaming Endpoint public endpoint> |
<Streaming Endpoint public endpoint> |
CNAME | <Streaming Endpoint internal endpoint> |
<Streaming Endpoint internal endpoint> |
A | <Streaming Endpoint public IP address> |
您可以使用 IP 允許清單,或停用帳戶內所有資源的公用網路存取來拒絕或限制媒體服務端點的公用網際網路存取。
由裝載私人端點的 VNet 中的用戶端解析時,「MediaAccountA」串流端點範例的 DNS 資源記錄將是:
| 名称 | 類型 | 值 |
|---|---|---|
| mediaaccounta-uswe1.streaming.media.azure.net | CNAME | mediaaccounta-uswe1.streaming.privatelink.media.azure.net |
| mediaaccounta-uswe1.streaming.privatelink.media.azure.net | A |
<Streaming Endpoint public endpoint>,例如 "10.0.0.9 |
此方法可讓您使用相同 DNS 名稱,在裝載私人端點的 VNet 用戶端存取媒體服務端點。 此方法對 VNet 外部的用戶端也能發揮相同功能。
如果您在網路上使用自訂 DNS 伺服器,用戶端必須要將媒體服務端點的 FQDN 解析為私人端點 IP 位址。 設定 DNS 伺服器將私人連結子網域委派給 VNet 的私人 DNS 區域,或使用私人端點 IP 位址,設定 mediaaccounta-usw22.streaming.privatelink.media.azure.net 的 A 記錄。
提示
使用自訂或內部部署 DNS 伺服器時,您應該設定 DNS 伺服器,將 privatelink 子網域中的媒體服務端點名稱解析為私人端點 IP 位址。 若要這麼做,您可以將 privatelink 子網域委派給 VNet 的私人 DNS 區域,或在 DNS 伺服器上設定 DNS 區域,然後新增 DNS A 記錄。
記憶體服務私人端點的建議 DNS 區域名稱,以及相關聯的端點目標子資源為:
| 媒體服務端點 | Private Link 群組識別碼 | DNS 區域名稱 |
|---|---|---|
| 串流端點 | StreamingEndpoint | privatelink.media.azure.net |
| 金鑰傳遞 | StreamingEndpoint | privatelink.media.azure.net |
| 即時活動 | liveevent | privatelink.media.azure.net |
如需有關設定您自己的 DNS 伺服器以支援私人端點的詳細資訊,請參閱下列文章:
公用網路存取旗標
媒體服務帳戶上的 publicNetworkAccess 旗標可以允許或封鎖透過公用網際網路對媒體服務端點的存取。
publicNetworkAccess 停用時,會封鎖任何來自公用網際網路的媒體服務端點要求,但依然允許對私人端點的要求。
服務等級 IP 允許清單
publicNetworkAccess 啟用時,允許來自公用網際網路的要求,但須符合服務等級 IP 允許清單。 如果 publicNetworkAccess 已停用,則不論 IP 允許清單設定為何,來自公用網際網路的要求都會受到封鎖。 IP 允許清單僅適用於來自公用網際網路的要求;IP 允許清單不會篩選針對私人端點的要求。
取得說明及支援
您可以連絡媒體服務並提出問題,或遵循下列其中一種方法來追蹤我們的更新:
- 問與答
-
Stack Overflow。 使用
azure-media-services標記問題。 - @MSFTAzureMedia 或使用 @AzureSupport 來要求支援。
- 透過 Azure 入口網站 開啟支援票證。