你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
教程:通过 HTTPS 使用 Azure 内容分发网络自定义域访问存储 Blob
将 Azure 存储帐户与 Azure 内容分发网络集成以后,即可添加自定义域并在该域上为自定义 Blob 存储终结点启用 HTTPS。
先决条件
在完成本教程中的步骤之前,必须先将 Azure 存储帐户与 Azure 内容分发网络集成。 有关详细信息,请参阅快速入门:将 Azure 存储帐户与 Azure 内容分发网络集成。
添加自定义域
在配置文件中创建 内容分发网络终结点以后,终结点名称(azureedge.net 的子域)就会默认包括在用于交付内容分发网络内容的 URL 中。 也可将自定义域与内容分发网络终结点相关联。 使用此选项时,请在 URL 中使用自定义域而不是终结点名称来交付内容。 若要向终结点添加自定义域,请按将自定义域添加到 Azure 内容分发网络终结点教程中的说明操作。
配置 HTTPS
通过在自定义域上使用 HTTPS 协议,可以确保数据在 Internet 中通过 TLS/SSL 加密安全地进行分发。 Web 浏览器通过 HTTPS 连接到网站时,它会验证网站的安全证书并验证该证书是否由合法的证书颁发机构颁发。 若要在自定义域上配置 HTTPS,请按在 Azure 内容分发网络自定义域上配置 HTTPS 教程中的说明操作。
共享访问签名
如果 Blob 存储终结点配置为不允许进行匿名读取访问,则应在向自定义域发出的每个请求中提供一个共享访问签名 (SAS) 令牌。 默认情况下,Blob 存储终结点不允许进行匿名读取访问。 有关 SAS 的详细信息,请参阅管理对容器和 Blob 的匿名读取访问。
Azure 内容分发网络会忽略添加到 SAS 令牌的任何限制。 例如,所有 SAS 令牌都有过期时间,这意味着仍然可以使用过期的 SAS 访问该内容,直至从内容分发网络接入点 (POP) 服务器中清除该内容。 可以通过设置缓存响应标头来控制数据在 Azure 内容分发网络上的缓存时间。 有关详细信息,请参阅管理 Azure 内容分发网络中的 Azure 存储 Blob 的过期。
如果为同一 Blob 终结点创建了多个 SAS URL,请考虑启用查询字符串缓存。 这样做可以确保每个 URL 都被视为一个唯一的实体。 有关详细信息,请参阅控制 Azure 内容分发网络对查询字符串的缓存行为。
HTTP 到 HTTPS 重定向
可以选择将 HTTP 流量重定向到 HTTPS,实现方法是使用标准规则引擎或 Edgio 高级规则引擎创建 URL 重定向规则。 标准规则引擎仅适用于来自 Microsoft 的 Azure 内容分发网络配置文件,而 Edgio 高级规则引擎仅适用于来自 Edgio 的高级 Azure 内容分发网络配置文件。
在上述规则中,保留主机名、路径、查询字符串和片段将使得传入值用于重定向过程中。
在上述规则中,Cdn-endpoint-name 是指为内容分发网络终结点配置的名称,它可以从下拉列表中选择。 origin-path 的值是指源存储帐户内静态内容所在的路径。 若要在一个容器中托管所有静态内容,请将 origin-path 替换为相应容器的名称。
定价和计费
通过 Azure 内容分发网络访问 Blob 时,将按 Blob 存储价格为 POP 服务器与原始存储(Blob 存储)之间的流量付费,按 Azure 内容分发网络定价为从 POP 服务器访问的数据付费。
例如,如果你在美国有一个存储帐户,该帐户使用 Azure 内容分发网络进行访问,而某人在欧洲尝试通过 Azure 内容分发网络访问该存储帐户中的某个 Blob,则 Azure 内容分发网络会先查看该 Blob 最靠近欧洲的 POP。 如果找到了它,Azure 内容分发网络将访问该 blob 副本并使用内容分发网络定价,因为它是在 Azure 内容分发网络上访问的。 如果未找到,则 Azure 内容分发网络会将该 Blob 复制到 POP 服务器(这会产生在 Blob 存储定价中指定的出口和事务费用),然后会在 POP 服务器上访问该文件(这会进行 Azure 内容分发网络计费)。