Video Indexer configureren voor gebruik met opslagaccounts achter de firewall
Wanneer u een Video Indexer-account maakt, moet u dit koppelen aan een Azure Storage-account. Opslagaccounts voor VI moeten een Standaard v2-opslagaccount voor algemeen gebruik zijn. Video Indexer heeft toegang tot het opslagaccount met behulp van systeemverificatie of managed identity-verificatie. Video Indexer valideert dat de gebruiker die de koppeling toevoegt, toegang heeft tot het opslagaccount met Op rollen gebaseerd toegangsbeheer van Azure Resource Manager (RBAC).
Als u een firewall wilt gebruiken om uw opslagaccount te beveiligen en vertrouwde opslag in te schakelen, is verificatie via beheerde identiteiten waarmee Video Indexer-toegang via de firewall is toegestaan de voorkeursoptie. Hiermee heeft Video Indexer toegang tot het opslagaccount dat is geconfigureerd zonder openbare toegang nodig te hebben voor vertrouwde opslagtoegang.
Belangrijk
Het is belangrijk om inzicht te krijgen in de gevolgen als u uw opslagaccounts vergrendelt zonder openbare toegang, met name met betrekking tot de Video Indexer-portal. Het bron-IP-adres van het clientapparaat is in dit scenario draaitabel. Als het opslagaccount is vergrendeld en geen uitzondering heeft voor het bron-IP-adres, wordt de toegang tot de SAS-URL voor het videobronbestand geweigerd. Dit geldt zowel voor het downloaden als streamen van video-inhoud.
Om naadloze toegang te garanderen, raden we u aan nauw samen te werken met uw netwerk-/opslagbeheerder om aan deze vereisten te voldoen. Gebruik uw bedrijfsnetwerk, een VPN of Azure Private Link om de benodigde connectiviteit te bieden terwijl u de beveiligingspostuur van uw opslagaccounts behoudt.
Azure Private Link biedt bijvoorbeeld een veilige manier om privé toegang te krijgen tot Azure-services vanuit uw virtuele netwerk. Het vereenvoudigt de netwerkarchitectuur en beveiligt de verbinding tussen eindpunten in Azure door de blootstelling van gegevens aan het openbare internet te elimineren.
Wijzigingen in netwerkconfiguraties moeten zorgvuldig worden gepland en getest om te voorkomen dat de toegang tot essentiële services en resources wordt onderbroken.
Volg deze stappen om Managed Identity voor Opslag in te schakelen en uw opslagaccount vervolgens te vergrendelen. Er wordt vanuit gegaan dat u al een Video Indexer-account hebt gemaakt en het opslagaccount hebt gekoppeld.
De beheerde identiteit en rol toewijzen
Volg alle stappen voor het maken van een Azure AI Video Indexer-account, maar gebruik ook de onderstaande stappen:
- Wanneer u Rol toewijzen selecteert, worden de volgende rollen toegewezen:
Azure Media Services : ContributorenAzure Storage : Storage Blob Data Owner. U kunt toewijzingen controleren of handmatig instellen door naar het menu Identiteit van uw Video Indexer-account te gaan en Azure-roltoewijzingen te selecteren. - Navigeer naar uw opslagaccount. Selecteer Netwerken in het menu en selecteer Ingeschakeld in geselecteerde virtuele netwerken en IP-adressen in de sectie Openbare netwerktoegang .
- Controleer onder Uitzonderingen of Azure-services in de lijst met vertrouwde services toegang hebben tot dit opslagaccount is geselecteerd.
Uploaden vanuit vergrendeld opslagaccount
Wanneer u een bestand uploadt naar Video Indexer, kunt u een koppeling naar een video opgeven met behulp van een SAS-locator. Als het opslagaccount dat als host fungeert voor de video niet openbaar toegankelijk is, gebruikt u de benadering Managed Identity en Trusted Service. Omdat er geen manier is om te weten of een SAS-URL verwijst naar een vergrendeld opslagaccount, moet u de queryparameter useManagedIdentityToDownloadVideo true expliciet instellen in de upload-video-API-aanroep.
U moet ook de rol Azure Storage : Storage Blob Data Owner voor dit opslagaccount instellen zoals u hebt gedaan met het opslagaccount.