Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel bietet eine Übersicht über die Verwendung privater Endpunkte mit Azure AI Video Indexer, um eine sichere und private Konnektivität in Ihrem virtuellen Netzwerk sicherzustellen.
Hinweis
Ein vollständiges Verständnis privater Endpunkte und privater Links finden Sie unter Was ist ein privater Endpunkt?.
Anwendungsfälle
Sie können private Endpunkte für Ihre Azure AI Video Indexer-Konten verwenden, um Clients in einem virtuellen Netzwerk den sicheren Zugriff auf Daten über einen privaten Link zu ermöglichen. Der private Endpunkt verwendet eine IP-Adresse aus dem Adressraum des virtuellen Netzwerks, um auf das Azure AI Video Indexer-Konto des Clients zuzugreifen. Netzwerkdatenverkehr zwischen den Clients im virtuellen Netzwerk und dem Azure AI Video Indexer-Konto durchläuft das virtuelle Netzwerk und eine private Verbindung im Microsoft Backbone-Netzwerk, wodurch die Gefährdung durch das öffentliche Internet eliminiert wird.
Die Verwendung privater Endpunkte für Ihr Azure AI Video Indexer-Konto ermöglicht Folgendes:
- Sichern Sie Ihr Azure AI Video Indexer-Konto mithilfe eines privaten Links. Sie können die Videoindexerfirewall manuell konfigurieren, um alle Verbindungen mit dem Videoindexer-Konto zu blockieren, das vom öffentlichen Videoindexer-Endpunkt stammt.
- Stellen Sie sicher eine Verbindung mit Azure AI Video Indexer-Konten aus lokalen Netzwerken her, die über VPN oder ExpressRoutes mit privatem Peering eine Verbindung mit dem virtuellen Netzwerk herstellen.
Wichtig
- Private Endpunkte unterstützen Vorgänge, die die Videoindexer-API verwenden. Wenn Sie den öffentlichen Zugriff für Ihr Videoindexer-Konto deaktivieren, können Sie das Konto nicht über die VideoIndexer-Web-App verwenden.
- Videoindexer-Konten stellen eine Verbindung mit einem Azure Storage-Konto her. Informationen zum Einrichten Ihres Videoindexer-Kontos zum Herstellen einer Verbindung mit einem Speicherkonto hinter einer Firewall mit vertrauenswürdigem Speicher finden Sie unter "Konfigurieren von Videoindexer", um mit Speicherkonten hinter der Firewall zu arbeiten.
Konzeptionelle Übersicht
Ein privater Endpunkt ist eine spezielle Netzwerkschnittstelle für einen Azure-Dienst in Ihrem virtuellen Netzwerk. Wenn Sie einen privaten Endpunkt für Ihr Videoindexer-Konto erstellen, bietet es sichere Konnektivität zwischen Clients in Ihrem virtuellen Netzwerk und Ihrer Videoindexer-Instanz. Dem privaten Endpunkt wird eine IP-Adresse aus dem IP-Adressbereich Ihres virtuellen Netzwerks zugewiesen. Die Verbindung zwischen dem privaten Endpunkt und dem Azure AI Video Indexer-Dienst verwendet einen sicheren privaten Link.
Anwendungen im virtuellen Netzwerk können eine nahtlose Verbindung mit dem Azure AI Video Indexer-Dienst über den privaten Endpunkt herstellen. Sie können Anforderungen mit der VideoIndexer-REST-API durchführen, indem sie den vollqualifizierten Domänennamen (FQDN) ihrer Azure AI Video Indexer-Instanz verwenden. Die Verbindung verwendet dieselbe Autorisierung.
Wenn Sie einen privaten Endpunkt für ein Azure AI Video Indexer-Konto in Ihrem virtuellen Netzwerk erstellen, wird eine Zustimmungsanforderung zur Genehmigung an den Besitzer des Azure AI Video Indexer-Kontos gesendet. Wenn der Benutzer, der die Erstellung des privaten Endpunkts anfordert, auch besitzer des Azure AI Video Indexer-Kontos ist, wird diese Zustimmungsanforderung automatisch genehmigt.
Besitzer des Azure AI Video Indexer-Kontos können Zustimmungsanforderungen und die privaten Endpunkte über die Registerkarte "Private Endpunkte " für das Videoindexer-Konto im Azure-Portal verwalten.
DNS-Änderungen für private Endpunkte
Hinweis
Ausführliche Informationen zum Konfigurieren Ihrer DNS-Einstellungen für private Endpunkte finden Sie unter Azure Private Endpoint DNS-Integration.
Wenn Sie einen privaten Endpunkt erstellen, werden zwei DNS-CNAME-Einträge für das Video Indexer-Konto erstellt: <account name>.api.videoindexer.ai
und <account name>.privatelink.api.videoindexer.ai
.
Standardmäßig erstellen wir auch eine private DNS-Zone , die der Unterdomäne privatelink.api.videoindexer.ai
für private Verknüpfungen entspricht. Der DNS-Eintrag <account name>.privatelink.api.videoindexer.ai
ist der IP-Adresse des privaten Endpunkts zugeordnet.
Wenn Sie eine REST-Anforderung an die FQDN-Endpunkt-URL von außerhalb des virtuellen Netzwerks mit dem privaten Endpunkt senden, wird der FQDN auf den öffentlichen Endpunkt von Video Indexer (api.videoindexer.ai
) aufgelöst.
Wenn er vom virtuellen Netzwerk aufgelöst wird, das den privaten Endpunkt hostet, wird er in die IP-Adresse des privaten Endpunkts aufgelöst.
Beispielsweise würde der DNS-Ressourceneintrag für das Videoindexer-Konto VIAccountA
, wenn er von außerhalb des virtuellen Netzwerks aufgelöst wird, das den privaten Endpunkt hosten, folgendes sein:
Name | Typ | Wert |
---|---|---|
VIAccountA.api.videoindexer.ai |
CNAME | VIAccountA.privatelink.api.videoindexer.ai |
VIAccountA.privatelink.api.videoindexer.ai |
CNAME | <Video Indexer public endpoint > |
Wie bereits erwähnt, können Sie den Zugriff für Clients außerhalb des virtuellen Netzwerks über den öffentlichen Endpunkt mithilfe der Videoindexer-Firewall verweigern oder steuern.
Die DNS-Ressourceneinträge für VIAccountA
, wenn sie von einem Client im virtuellen Netzwerk-Hosting aufgelöst werden, wären:
Name | Typ | Wert |
---|---|---|
VIAccountA.api.videoindexer.ai |
CNAME | VIAccountA.privatelink.api.videoindexer.ai |
VIAccountA.privatelink.api.videoindexer.ai |
Ein | 10.1.1.5 |
Dieser Ansatz ermöglicht den Zugriff auf das Videoindexer-Konto mit demselben Zugriffstoken für Clients im virtuellen Netzwerk, in dem die privaten Endpunkte gehostet werden, und Clients außerhalb des virtuellen Netzwerks.
Wenn Sie einen benutzerdefinierten DNS-Server in Ihrem Netzwerk verwenden, müssen Clients in der Lage sein, den FQDN für den Video Indexer-Kontoendpunkt in die IP-Adresse des privaten Endpunkts aufzulösen. Sie sollten Ihren DNS-Server so konfigurieren, dass Sie Ihre private Link-Unterdomäne an die private DNS-Zone für das virtuelle Netzwerk delegieren, oder konfigurieren Sie die A-Records für VIAccountA.privatelink.api.videoindexer.ai
mit der IP-Adresse des privaten Endpunkts.
Erstellen eines privaten Endpunkts
Weitere Informationen zum Erstellen eines privaten Endpunkts im Allgemeinen finden Sie unter Erstellen eines privaten Endpunkts im Azure-Portal.
Testen privater Endpunkte mit Azure AI Video Indexer
Informationen zum Testen privater Endpunkte mit Ihrem Azure AI Video Indexer-Konto finden Sie unter Verwenden privater Endpunkte mit Azure AI Video Indexer.