Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op: ✔️ Front Door Premium
In dit artikel wordt u begeleid bij het configureren van Azure Front Door Premium om privé verbinding te maken met een opslagaccount van oorsprong met behulp van de Azure Private Link-service.
Vereisten
- Een Azure-account met een actief abonnement. Gratis een account maken
Een Private Link. Zie Een Private Link-service maken voor uw oorspronkelijke webserver voor meer informatie.
Meld u aan bij Azure Portal met uw Azure-account.
Een Private Link. Zie Een Private Link-service maken voor uw oorspronkelijke webserver voor meer informatie.
Azure Cloud Shell of Azure Command-Line Interface (CLI).
In de stappen in dit artikel worden de Azure CLI-opdrachten interactief uitgevoerd in Azure Cloud Shell. Als u de opdrachten in Cloud Shell wilt uitvoeren, selecteert u Cloud Shell openen in de rechterbovenhoek van een codeblok. Selecteer Kopiëren om de code te kopiëren en plak deze in Cloud Shell om deze uit te voeren. U kunt Cloud Shell ook uitvoeren vanuit Azure Portal.
U kunt Azure CLI ook lokaal installeren om de opdrachten uit te voeren. Als u Azure CLI lokaal uitvoert, meldt u zich aan bij Azure met behulp van de opdracht az login .
Notitie
Voor privé-eindpunten moet uw opslagaccount voldoen aan specifieke vereisten. Zie Privé-eindpunten gebruiken voor Azure Storage voor meer informatie.
Private Link inschakelen voor een opslagaccount in Azure Front Door
In deze sectie wijst u de Private Link-service toe aan een privé-eindpunt dat is gemaakt in het privénetwerk van Azure Front Door.
Selecteer Origin-groepen in uw Azure Front Door Premium-profiel onder Instellingen.
Selecteer de oorspronkelijke groep met de oorsprong van het opslagaccount waarvoor u Private Link wilt inschakelen.
Selecteer + Voeg een oorsprong toe om een nieuwe opslagaccountbron toe te voegen of selecteer een eerder gemaakte opslagaccountbron uit de lijst.
Selecteer of voer de volgende waarden in om de opslagblob te configureren waarmee Azure Front Door Premium privé verbinding moet maken.
Instelling Waarde Naam Voer een naam in om de oorsprong van deze opslagblog te identificeren. Oorsprongstype Opslag (Azure Blobs) Hostnaam Selecteer de host in de vervolgkeuzelijst die u als oorsprong wilt gebruiken. Originele host-header U kunt de hostheader van de oorsprong aanpassen of deze standaard laten staan. HTTP-poort 80 (standaard) HTTPS-poort 443 (standaard) Prioriteit Verschillende oorsprongen kunnen verschillende prioriteiten hebben om primaire, secundaire en reserve-oorsprongen te bieden. Gewicht 1000 (standaard). Wijs gewichten toe aan uw verschillende oorsprongen wanneer u verkeer wilt distribueren. Regio Selecteer de regio die zich hetzelfde of het dichtst bij uw oorsprong bevindt. Doel-subbron Het type subresource voor de resource die eerder is geselecteerd waartoe uw privé-eindpunt toegang heeft. U kunt blob of web selecteren. Bericht aanvragen Aangepast bericht dat moet worden weergegeven tijdens het goedkeuren van het privé-eindpunt. 
Selecteer Toevoegen om uw configuratie op te slaan.
Selecteer Bijwerken om de oorspronkelijke groepsinstellingen op te slaan.
Notitie
Zorg ervoor dat het oorspronkelijke pad in uw routeringsregel correct is geconfigureerd met het pad naar het opslagcontainerbestand, zodat bestandsaanvragen kunnen worden verkregen.
Gebruik de opdracht az afd origin create om een nieuwe Azure Front Door-origin te maken. De private-link-location waarde moet afkomstig zijn uit de beschikbare regio's en de private-link-sub-resource-type waarde is blob.
az afd origin create --enabled-state Enabled \
--resource-group 'myResourceGroup' \
--origin-group-name 'og1' \
--origin-name 'mystorageorigin' \
--profile-name 'contosoAFD' \
--host-name 'mystorage.blob.core.windows.net' \
--origin-host-header 'mystorage.blob.core.windows.net' \
--http-port 80 \
--https-port 443 \
--priority 1 \
--weight 500 \
--enable-private-link true \
--private-link-location 'EastUS' \
--private-link-request-message 'AFD storage origin Private Link request.' \
--private-link-resource '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorage' \
--private-link-sub-resource-type blob
Privé-eindpuntverbinding van Front Door goedkeuren vanuit het opslagaccount
Ga naar het opslagaccount waarvoor u Private Link hebt geconfigureerd in de vorige sectie.
Selecteer Netwerken onder Instellingen.
Selecteer privé-eindpuntverbindingen in Netwerken.
Selecteer de aanvraag voor een privé-eindpunt in behandeling bij Azure Front Door Premium en selecteer Vervolgens Goedkeuren.
Gebruik de opdracht az network private-endpoint-connection list om de privé-eindpuntverbindingen voor uw opslagaccount weer te geven. Noteer de
Resource IDverbinding met het privé-eindpunt uit de uitvoer.az network private-endpoint-connection list --name 'mystorage' --resource-group 'myResourceGroup' --type 'Microsoft.Storage/storageAccounts'Gebruik de opdracht az network private-endpoint-connection goedkeuren om de privé-eindpuntverbinding goed te keuren.
az network private-endpoint-connection approve --id '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/mystorage/privateEndpointConnections/mystorage.aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e'
Het duurt enkele minuten voordat de verbinding volledig tot stand is gebracht na goedkeuring. Zodra dit is ingesteld, hebt u privé toegang tot uw opslagaccount via Azure Front Door Premium. Openbare internettoegang tot het opslagaccount is uitgeschakeld zodra het privé-eindpunt is ingeschakeld.
Notitie
Als de blob of container in het opslagaccount anonieme toegang niet toestaat, moeten aanvragen op basis van de blob/container worden geautoriseerd. Eén optie voor het autoriseren van een aanvraag is het gebruik van handtekeningen voor gedeelde toegang.
Veelvoorkomende fouten om te voorkomen
Hier volgen veelvoorkomende fouten bij het configureren van een origin waarvoor Azure Private Link is ingeschakeld:
- Het toevoegen van een origin met ingeschakelde Azure Private Link aan een bestaande origingroep die publieke origins bevat. Azure Front Door staat het combineren van openbare en privé-origins in dezelfde oorspronkelijke groep niet toe.
- Sas-tokens niet gebruiken tijdens het maken van verbinding met het opslagaccount waarvoor anonieme toegang niet is toegestaan.