藉由 Azure CLI 使用 Private Link 將 Azure Front Door 進階版連線到儲存體帳戶原點

本文將引導您了解如何藉由 Azure CLI 使用 Azure Private Link 服務設定 Azure Front Door 進階版服務層級，以透過隱密方式連線到儲存體帳戶。

必要條件

• 在 Azure Cloud Shell 中使用 Bash 環境。 如需詳細資訊，請參閱 Azure Cloud Shell 中的 Bash 快速入門。

  

• 若要在本地執行 CLI 參考命令，請安裝 Azure CLI。 若您在 Windows 或 macOS 上執行，請考慮在 Docker 容器中執行 Azure CLI。 如需詳細資訊，請參閱〈如何在 Docker 容器中執行 Azure CLI〉。

  • 如果您使用的是本機安裝，請使用 az login 命令，透過 Azure CLI 來登入。 請遵循您終端機上顯示的步驟，完成驗證程序。 如需其他登入選項，請參閱使用 Azure CLI 登入。

  • 出現提示時，請在第一次使用時安裝 Azure CLI 延伸模組。 如需擴充功能詳細資訊，請參閱使用 Azure CLI 擴充功能。

  • 執行 az version 以尋找已安裝的版本和相依程式庫。 若要升級至最新版本，請執行 az upgrade。

• 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
• 具有運作中的 Azure Front Door 進階版設定檔、端點和原始群組。 如需如何建立 Azure Front Door 設定檔的詳細資訊，請參閱建立 Front Door - CLI。
• 具有同時為私人的運作中儲存體帳戶。 請參閱此文件以了解如何執行相同的作業。

注意

私人端點需要您的儲存體帳戶才能符合特定需求。 如需詳細資訊，請參閱針對 Azure 儲存體使用私人端點。

在 Azure Front Door 進階版中啟用儲存體帳戶的 Private Link

執行 az afd origin create 以建立新的 Azure Front Door 來源。 輸入下列設定，以設定您希望 Azure Front Door 進階版以隱密方式連線的儲存體帳戶。 請注意，private-link-location 必須位於其中一個可用的區域，而且 private-link-sub-resource-type 必須是 blob。

az afd origin create --enabled-state Enabled \
                     --resource-group myRGFD \
                     --origin-group-name og1 \
                     --origin-name mystorageorigin \
                     --profile-name contosoAFD \
                     --host-name mystorage.blob.core.windows.net \
                     --origin-host-header mystorage.blob.core.windows.net \
                     --http-port 80 \
                     --https-port 443 \
                     --priority 1 \
                     --weight 500 \
                     --enable-private-link true \
                     --private-link-location EastUS \
                     --private-link-request-message 'AFD storage origin Private Link request.' \
                     --private-link-resource /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage \
                     --private-link-sub-resource-type blob 

核准來自 Azure 儲存體的 Azure Front Door 進階版私人端點連線

1. 執行 az network private-endpoint-connection list 以列出儲存體帳戶的私人端點連線。 記下可於輸出中第一行中取得的私人端點連線的 Resource ID。

   az network private-endpoint-connection list --name mystorage --resource-group myRGFD --type Microsoft.Storage/storageAccounts
   

2. 執行 az network private-endpoint-connection approve 來核准私人端點連線

   az network private-endpoint-connection approve --id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRGFD/providers/Microsoft.Storage/storageAccounts/mystorage/privateEndpointConnections/mystorage.00000000-0000-0000-0000-000000000000
   

3. 一經核准，連線需要幾分鐘的時間才能完全建立。 您現在可以從 Azure Front Door 進階版存取儲存體帳戶。 在啟用私人端點之後，會停用從公用網際網路直接存取儲存體帳戶。

下一步

了解如何搭配儲存體帳戶使用 Private Link 服務。