你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Azure CLI 中使用专用链接将 Azure Front Door Premium 连接到存储帐户源

本文将指导你完成对 Azure Front Door Premium 层级的配置，在 Azure CLI 中使用 Azure 专用链接服务以专用方式连接到存储帐户。

先决条件

• 在 Azure Cloud Shell 中使用 Bash 环境。 有关详细信息，请参阅 Azure Cloud Shell 中的 Bash 快速入门。

  

• 如需在本地运行 CLI 参考命令，请安装 Azure CLI。 如果在 Windows 或 macOS 上运行，请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息，请参阅如何在 Docker 容器中运行 Azure CLI。

  • 如果使用的是本地安装，请使用 az login 命令登录到 Azure CLI。 若要完成身份验证过程，请遵循终端中显示的步骤。 有关其他登录选项，请参阅使用 Azure CLI 登录。

  • 出现提示时，请在首次使用时安装 Azure CLI 扩展。 有关扩展详细信息，请参阅使用 Azure CLI 的扩展。

  • 运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本，请运行 az upgrade。

• 具有活动订阅的 Azure 帐户。 免费创建帐户。
• 具有正常运行的 Azure Front Door Premium 配置文件、终结点和源组。 有关如何创建 Azure Front Door 配置文件的详细信息，请参阅创建 Front Door - CLI。
• 具有一个正常运行的存储帐户，该帐户也是专用的。 请参阅此文档，了解如何执行相同的操作。

注意

专用终结点要求存储帐户满足特定要求。 有关详细信息，请参阅对 Azure 存储使用专用终结点。

在 Azure Front Door Premium 中启用存储帐户专用链接

运行 az afd origin create 以创建新的 Azure Front Door 源。 输入以下设置，配置你希望 Azure Front Door Premium 与之建立专用连接的存储帐户。 请注意，private-link-location 必须位于某个可用区域，并且 private-link-sub-resource-type 必须是 Blob。

az afd origin create --enabled-state Enabled \
                     --resource-group myRGFD \
                     --origin-group-name og1 \
                     --origin-name mystorageorigin \
                     --profile-name contosoAFD \
                     --host-name mystorage.blob.core.windows.net \
                     --origin-host-header mystorage.blob.core.windows.net \
                     --http-port 80 \
                     --https-port 443 \
                     --priority 1 \
                     --weight 500 \
                     --enable-private-link true \
                     --private-link-location EastUS \
                     --private-link-request-message 'AFD storage origin Private Link request.' \
                     --private-link-resource /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage \
                     --private-link-sub-resource-type blob 

批准来自 Azure 存储的 Azure Front Door Premium 专用终结点连接

1. 运行 az network private-endpoint-connection list，列出存储帐户的专用终结点连接。 记下输出第一行中提供的专用终结点连接的 Resource ID。

   az network private-endpoint-connection list --name mystorage --resource-group myRGFD --type Microsoft.Storage/storageAccounts
   

2. 运行 az network private-endpoint-connection approve cmdlet，批准专用终结点连接

   az network private-endpoint-connection approve --id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage/privateEndpointConnections/mystorage.00000000-0000-0000-0000-000000000000
   

3. 批准后，完全建立连接需要几分钟时间。 现在可以从 Azure Front Door Premium 访问存储帐户。 启用专用终结点后，将禁用从公共 Internet 直接访问存储帐户。

后续步骤

了解有关存储帐户的专用链接服务。