将网络安全组与服务标记配合使用
Azure AI 视频索引器是 Azure 上托管的服务。 在某些情况下,服务必须与其他服务交互,以便为视频文件(例如存储帐户)编制索引,或者使用托管在 Azure 上的自己的服务(例如 AKS、Web 应用、逻辑应用、Functions)针对 Azure AI 视频索引器 API 终结点协调索引作业时。
注意
从 2023 年 1 月 9 日开始,如果你已使用“AzureVideoAnalyzerForMedia”网络服务标记,则网络安全组可能会出现问题。 这是因为我们正在移动到新的安全标记标签“VideoIndexer”。 缓解措施是从配置和部署脚本中删除旧的“AzureVideoAnalyzerForMedia”标记,然后开始使用“VideoIndexer”标记。
使用具有服务标记的网络安全组在网络级别限制对资源的访问。 服务标记表示给定 Azure 服务中的一组 IP 地址前缀,在本例中为 Azure AI 视频索引器。 Microsoft管理由服务标记分组的地址前缀,并在地址更改时自动更新服务标记。 此管理可最大程度地减少客户频繁更新网络安全规则的复杂性。
注意
NSG 服务标记功能不适用于试用帐户。 若要更新到 ARM 帐户,请参阅更新 Azure AI 视频索引器帐户 或 从试用帐户导入内容。
开始使用服务标记
目前,我们支持通过全局服务标记选项在网络安全组中使用服务标记:
使用单个全局 VideoIndexer 服务标记:此选项将虚拟网络打开到 Azure AI 视频索引器服务在我们提供服务的所有区域中使用的所有 IP 地址。 此方法允许 Azure AI 视频索引器拥有和使用的所有 IP 地址访问 NSG 后面的网络资源。
注意
目前我们不支持分配给“瑞士北部”区域服务的 IP。 我们很快就会添加这些 IP。 如果你的帐户位于此区域,则目前无法在 NSG 中使用服务标记,因为这些 IP 未包含在服务标记列表中,因此将被 NSG 规则拒绝。
使用单个全局 Azure AI 视频索引器服务标记
开始将服务标记与 Azure AI 视频索引器帐户配合使用的最简单方法是将全局标记 VideoIndexer
添加到 NSG 规则。
- 在 Azure 门户中,选择你的网络安全组。
- 在“设置”下,依次选择“入站安全规则”、“+ 添加”。
- 在“源”下拉列表中,选择“服务标记”。
- 从“源服务标记”下拉列表中,选择“VideoIndexer”。
此标记包含所有可用区域的 Azure AI 视频索引器服务的 IP 地址。 该标记可确保资源可以与 Azure AI 视频索引器服务通信。
使用 Azure CLI
还可以使用 Azure CLI 创建新的或更新现有的 NSG 规则,并使用 <
使用服务标记的安全规则示例。 有关更多详细信息,请访问 https://aka.ms/servicetags
az network nsg rule create -g MyResourceGroup --nsg-name MyNsg -n MyNsgRuleWithTags --priority 400 --source-address-prefixes VideoIndexer --destination-address-prefixes '*' --destination-port-ranges '*' --direction Inbound --access Allow --protocol Tcp --description "Allow traffic from Video Indexer"