Konfigurieren von Videoindexer für die Arbeit mit Speicherkonten hinter der Firewall
Wenn Sie ein Videoindexer-Konto erstellen, müssen Sie es einem Azure Storage-Konto zuordnen. Speicherkonten für VI müssen ein Standard-V2-Speicherkonto sein. Videoindexer kann mithilfe der Systemauthentifizierung oder der verwalteten Identitätsauthentifizierung auf das Speicherkonto zugreifen. Der Videoindexer überprüft, ob der Benutzer, der die Zuordnung hinzufügt, Zugriff auf das Speicherkonto mit azure Resource Manager Role Based Access Control (RBAC) hat.
Wenn Sie eine Firewall verwenden möchten, um Ihr Speicherkonto zu sichern und vertrauenswürdigen Speicher zu aktivieren, ist die Authentifizierung verwalteter Identitäten, die den Videoindexerzugriff über die Firewall ermöglicht, die bevorzugte Option. Es ermöglicht Videoindexer den Zugriff auf das Speicherkonto, das konfiguriert wurde, ohne öffentlichen Zugriff für den vertrauenswürdigen Speicherzugriff zu benötigen.
Wichtig
Es ist wichtig, die Auswirkungen zu verstehen, wenn Sie Ihre Speicherkonten ohne öffentlichen Zugriff sperren, insbesondere im Zusammenhang mit dem Videoindexer-Portal. Die Quell-IP des Clientgeräts ist in diesem Szenario pivotal. Wenn das Speicherkonto gesperrt ist und keine Ausnahme für die Quell-IP hat, wird der Zugriff auf die SAS-URL für die Videoquelldatei verweigert. Dies gilt sowohl für das Herunterladen als auch für das Streamen von Videoinhalten.
Um einen nahtlosen Zugriff sicherzustellen, empfehlen wir Ihnen, eng mit Ihrem Netzwerk-/Speicheradministrator zusammenzuarbeiten, um diese Anforderungen zu erfüllen. Nutzen Sie Ihr Unternehmensnetzwerk, ein VPN oder azure Private Link, um die erforderliche Konnektivität bereitzustellen, während Sie den Sicherheitsstatus Ihrer Speicherkonten beibehalten.
Beispielsweise bietet Azure Private Link eine sichere Möglichkeit, private Azure-Dienste über Ihr virtuelles Netzwerk auf Azure-Dienste zuzugreifen. Dadurch wird die Netzwerkarchitektur vereinfacht und die Verbindung zwischen Endpunkten in Azure wird geschützt, indem die Offenlegung von Daten im öffentlichen Internet verhindert wird.
Alle Änderungen an Netzwerkkonfigurationen sollten sorgfältig geplant und getestet werden, um zu verhindern, dass der Zugriff auf wichtige Dienste und Ressourcen unterbrochen wird.
Führen Sie die folgenden Schritte aus, um verwaltete Identität für Speicher zu aktivieren und ihr Speicherkonto zu sperren. Es wird davon ausgegangen, dass Sie bereits ein Videoindexer-Konto erstellt und das Speicherkonto zugeordnet haben.
Zuweisen der verwalteten Identität und Rolle
Führen Sie alle Schritte zum Erstellen eines Azure AI Video Indexer-Kontos aus, führen Sie aber auch die folgenden Schritte aus:
- Wenn Sie "Rolle zuweisen" auswählen, werden die folgenden Rollen zugewiesen:
Azure Media Services : ContributorundAzure Storage : Storage Blob Data Owner. Sie können Aufgaben überprüfen oder manuell festlegen, indem Sie zum Menü "Identität" Ihres Videoindexer-Kontos navigieren und Azure-Rollenzuweisungen auswählen. - Navigieren Sie zu Ihrem Speicherkonto. Wählen Sie im Menü "Netzwerk " die Option "Aktiviert" aus ausgewählten virtuellen Netzwerken und IP-Adressen im Abschnitt "Zugriff auf öffentliche Netzwerke" aus.
- Stellen Sie unter "Ausnahmen" sicher, dass Azure-Dienste in der Liste der vertrauenswürdigen Dienste für den Zugriff auf dieses Speicherkonto ausgewählt sind.
Hochladen aus gesperrten Speicherkonten
Beim Hochladen einer Datei in den Videoindexer können Sie einen Link zu einem Video mithilfe eines SAS-Locators bereitstellen. Wenn das Speicherkonto, auf das das Video gehostet wird, nicht öffentlich zugänglich ist, verwenden Sie den Ansatz "Verwaltete Identität" und "Vertrauenswürdiger Dienst". Da es keine Möglichkeit gibt, zu wissen, ob eine SAS-URL auf ein gesperrtes Speicherkonto verweist, legen Sie den Abfrageparameter useManagedIdentityToDownloadVideo true explizit im Upload-Video-API-Aufruf fest.
Außerdem müssen Sie die Rolle Azure Storage : Storage Blob Data Owner für dieses Speicherkonto wie beim Speicherkonto festlegen.