設定 Video Indexer 以在防火牆後方使用儲存體帳戶
當您建立影片索引器帳戶時,必須將它與 Azure 儲存體 帳戶產生關聯。 VI 的記憶體帳戶必須是標準一般用途 v2 儲存體帳戶。 影片索引器可以使用系統驗證或受控識別驗證來存取記憶體帳戶。 影片索引器會驗證新增關聯的使用者具有 Azure Resource Manager 角色型 存取控制 (RBAC) 的記憶體帳戶存取權。
如果您想要使用防火牆來保護儲存體帳戶,並啟用受信任的儲存體,則允許 Video Indexer 透過防火牆存取的受控識別驗證是慣用的選項。 它可讓影片索引器存取已設定的記憶體帳戶,而不需要對受信任的記憶體存取進行 公用存取。
重要
如果您鎖定沒有公用存取權的記憶體帳戶,特別是在影片索引器入口網站方面,請務必瞭解其影響。 用戶端裝置的來源IP在此案例中至關重要。 如果記憶體帳戶已鎖定且來源 IP 沒有例外狀況,則會拒絕存取視訊來源檔案的 SAS URL。 這同時適用於下載和串流視訊內容。
為了確保順暢存取,建議您與網路/記憶體系統管理員密切合作,以符合這些需求。 當您維護記憶體帳戶的安全性狀態時,利用公司網路、VPN 或 Azure Private Link 來提供必要的連線能力。
例如,Azure Private Link 可讓您安全地從虛擬網路存取 Azure 服務。 其可簡化網路架構,並透過消除公用網際網路上的資料暴露,來保護 Azure 中端點之間的連線。
網路組態的任何變更都應該仔細規劃及測試,以避免中斷對基本服務和資源的存取。
請遵循下列步驟來啟用記憶體的受控識別,然後鎖定您的記憶體帳戶。 假設您已建立影片索引器帳戶,並關聯記憶體帳戶。
指派受控識別和角色
請遵循建立 Azure AI 影片索引器帳戶的所有步驟,但也使用下列步驟:
- 當您選擇 [ 指派角色] 時,會指派下列角色:
Azure Media Services : Contributor和Azure Storage : Storage Blob Data Owner。 您可以瀏覽至 Video Indexer 帳戶的 [身分識別] 功能表,然後選取 [Azure 角色指派],以驗證或手動設定指派。 - 瀏覽至您的儲存體帳戶。 從功能表中選取 [網路],然後在 [公用網路存取] 區段中選取 [已從選取的虛擬網路和 IP 位址啟用]。
- 在 [例外狀況] 底下,確定已選取 [允許受信任服務清單上的 Azure 服務存取此儲存體帳戶]。
從鎖定的儲存體帳戶上傳
將檔案上傳至 Video Indexer 時,您可以使用 SAS 定位器提供影片的連結。 如果裝載影片的記憶體帳戶無法公開存取,請使用受控識別和信任的服務方法。 由於無法知道 SAS URL 是否指向鎖定的記憶體帳戶,因此在上傳視訊 API 呼叫中明確將查詢參數useManagedIdentityToDownloadVideo設定為 true 。
您也需要像使用記憶體帳戶一樣,在此記憶體帳戶上設定角色 Azure Storage : Storage Blob Data Owner 。