Konfigurera Video Indexer att fungera med lagringskonton bakom brandväggen

När du skapar ett Video Indexer-konto måste du associera det med ett Azure Storage-konto. Lagringskonton för VI måste vara ett standardlagringskonto för generell användning v2. Video Indexer kan komma åt lagringskontot med hjälp av systemautentisering eller hanterad identitetsautentisering. Video Indexer verifierar att användaren som lägger till associationen har åtkomst till lagringskontot med Rollbaserad åtkomstkontroll i Azure Resource Manager (RBAC).

Om du vill använda en brandvägg för att skydda ditt lagringskonto och aktivera betrodd lagring är autentisering med hanterade identiteter som tillåter Video Indexer-åtkomst via brandväggen det bästa alternativet. Det gör att Video Indexer kan komma åt lagringskontot som har konfigurerats utan att behöva offentlig åtkomst för betrodd lagringsåtkomst.

Viktigt!

Det är viktigt att förstå konsekvenserna om du låser dina lagringskonton utan offentlig åtkomst, särskilt i förhållande till Video Indexer-portalen. Klientenhetens käll-IP är avgörande i det här scenariot. Om lagringskontot är låst och inte har något undantag för käll-IP-adressen nekas åtkomst till SAS-URL:en för videokällans fil. Detta gäller både för nedladdning och direktuppspelning av videoinnehåll.

För att säkerställa sömlös åtkomst rekommenderar vi att du arbetar nära nätverks-/lagringsadministratören för att uppfylla dessa krav. Använd företagets nätverk, ett VPN eller Azure Private Link för att tillhandahålla nödvändig anslutning medan du upprätthåller säkerhetsstatusen för dina lagringskonton.

Azure Private Link är till exempel ett säkert sätt att komma åt Azure-tjänster privat från ditt virtuella nätverk. Det förenklar nätverksarkitekturen och skyddar anslutningen mellan slutpunkter i Azure så att inte data exponeras för det offentliga Internet.

Ändringar i nätverkskonfigurationer bör planeras noggrant och testas för att undvika att störa åtkomsten till viktiga tjänster och resurser.

Följ de här stegen för att aktivera Hanterad identitet för lagring och lås sedan ditt lagringskonto. Det förutsätts att du redan har skapat ett Video Indexer-konto och associerat lagringskontot.

Tilldela den hanterade identiteten och rollen

Följ alla steg för att skapa ett Azure AI Video Indexer-konto, men använd även stegen nedan:

1. När du väljer Tilldela roll tilldelas följande roller: Azure Media Services : Contributor och Azure Storage : Storage Blob Data Owner. Du kan verifiera eller manuellt ange tilldelningar genom att gå till identitetsmenyn för ditt Video Indexer-konto och välja Azure-rolltilldelningar.
2. Gå till ditt Lagringskonto. Välj Nätverk på menyn och välj Aktiverad från valda virtuella nätverk och IP-adresser i avsnittet Åtkomst till offentligt nätverk.
3. Under Undantag kontrollerar du att Tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot har valts.

Ladda upp från låst lagringskonto

När du laddar upp en fil till Video Indexer kan du ange en länk till en video med hjälp av en SAS-positionerare. Om lagringskontot som är värd för videon inte är offentligt tillgängligt använder du metoden Hanterad identitet och betrodd tjänst. Eftersom det inte går att veta om en SAS-URL pekar på ett låst lagringskonto anger du uttryckligen frågeparametern useManagedIdentityToDownloadVideo till true i API-anropet för uppladdningsvideo.

Du måste också ange rollen Azure Storage : Storage Blob Data Owner för det här lagringskontot som du gjorde med lagringskontot.