Azure 新加坡账号 Azure微软云Blob存储配置

{ "description": "本文手把手带你完成Azure Blob存储从创建到实战配置的全流程：涵盖资源组、存储账户、容器、访问密钥、连接字符串、SAS令牌等核心概念，穿插避坑提示与命令行/Portal双路径演示，拒绝照本宣科，用大白话讲清‘为什么这么配’和‘不这么配会怎样’。", "content": "

嘿，朋友，别急着点退出——你不是在读一篇枯燥的云服务说明书，而是在参加一场Azure Blob存储的「生存训练营」。没错，就是那个听起来高大上、一配置就报错、一连不上就怀疑人生、一设错权限就全员躺平的Blob存储。今天咱不画饼，不甩术语，就泡杯茶，打开终端，一起把它从“玄学”拉回“人话”。

\n\n

第一步：先别急着建Blob，建个家再说

\n

很多人一上来就搜“如何创建Blob”，结果在Azure门户里狂点“存储账户→Blob服务→容器”，最后发现——咦？容器建好了，但上传文件时报错：“Forbidden”、“No subscription found”、“Authentication failed”……恭喜，你成功跳进了第一个坑：没家，哪来的房？

\n

Azure里，Blob不是独立户口本，它是寄居在“存储账户”这个大家庭里的二娃。而这个家庭，又必须住在某个“资源组”里——你可以理解为：资源组是小区，存储账户是楼栋，Blob容器是每层的单元门牌号，而Blob对象（比如你的logo.png）才是真正在屋里躺着的住户。

\n

所以，开干前请默念三遍：先建资源组 → 再建存储账户 → 最后建容器。顺序错了，轻则反复删重建，重则被运维同事默默记小本本。

\n\n

第二步：建资源组？就当是给项目起个微信群名

\n

登录Azure门户，左上角点“创建资源”→搜索“资源组”→点“创建”。名字别写“rg123”或“test”，试试“rg-prod-finance-2024”——既说明用途（财务生产环境），又带年份，三年后你翻记录时不会对着“rg-test-v2-backup-old”发呆三分钟。

\n

位置选哪儿？原则就一条：离你的用户最近，或离调用它的应用最近。比如你App部署在“中国东部”，那资源组位置也选“中国东部”。别图省事选“全球”，Azure可没有“全球统一时区”，跨区域延迟+费用双暴击。

\n\n

第三步：存储账户——不是所有账户都叫“通用v2”

\n

在资源组里点“添加”→搜“存储账户”→创建。关键选项来了：

\n

\n
• 帐户种类：务必选 StorageV2 (general purpose v2) ——这是目前唯一支持Blob、File、Queue、Table全功能的“六边形战士”。选StorageV1？它连生命周期管理都不支持，等于买了辆自行车却被告知不能装后视镜。
\n
• 性能层级：选 Standard（SSD/HDD混合，性价比之王）。除非你真在跑高频金融行情流，否则别碰Premium——贵三倍，还强制要求本地冗余（LRS），容灾能力反而缩水。
\n
• 复制选项：新手闭眼选 GRS（异地冗余）。它把数据自动同步到同城+异地另一个区域，断电、地震、隔壁施工挖断光缆……都不怕。想省钱选LRS？可以，但请先备份好辞职信。
\n
• 安全设置：把“允许Blob公共读取”关掉！默认是关的，但有人手抖点开，结果公司财报PDF被搜索引擎抓走首页——这不是虚构案例，是某客户上周的真实事故。
\n

\n

Azure 新加坡账号 名字规则：小写字母+数字+短横线，长度3–24位，且全局唯一（Azure所有用户共用命名空间）。试过“mystorage”？早被注册了。建议组合：业务缩写+环境+序列，比如 finblobprod01。

\n\n

第四步：容器——不是docker，是Blob的“抽屉”

\n

存储账户建好后，左侧菜单进“容器”→“+ 容器”。名字注意三点：

\n

\n
• 全小写，无下划线，不能以短横开头结尾；
\n
• 别用“$logs”“$web”这种系统保留名（Azure自己要用）；
\li>权限级别选 私有（不可匿名访问）——除非你真要托管静态网站，否则别开“Blob”或“容器”级公开读。\n

\n

顺带一提：一个存储账户最多存500个容器，但单个容器能存无限Blob（理论值）。所以别纠结“要不要分10个容器放图片/视频/日志”，按业务域分更合理：比如app-images、user-uploads、backup-archive。

\n\n

第五步：怎么连？钥匙在哪？别瞎猜！

\n

连不上？90%是因为钥匙没拿对。进存储账户→左侧“访问密钥”，你会看到两把钥匙：key1 和 key2。它们完全等价，但设计初衷是让你轮换更新——比如先把应用切到key2，再重置key1，避免停服。

\n

真正该抄的是这串：
DefaultEndpointsProtocol=https;AccountName=finblobprod01;AccountKey=xxx;EndpointSuffix=core.chinacloudapi.cn
这就是连接字符串，所有SDK（.NET/Python/JS）认的就是它。别手动拼URL，别用“https://finblobprod01.blob.core.chinacloudapi.cn”硬连——没认证头，直接403。

\n\n

第六步：SAS令牌——给临时工发一把“限次限地限时间”的钥匙

\n

要让前端直传Blob？或者让第三方审计系统只读某目录7天？别交出AccountKey！用SAS（Shared Access Signature）。

\n

Portal里进容器→“共享访问签名”→勾选“读取”“写入”“列出”（按需），设置开始/到期时间（强烈建议别超30天），点生成。你会得到一长串带?sv=...&st=...&se=...&sr=c&sp=rw&sig=...的URL——这就是临时通行证。有效期一过，链接自动失效，比HR发的实习offer还守约。

\n\n

终极彩蛋：命令行党看这里（Azure CLI一行到位）

\n

嫌点鼠标累？来段真实可用的CLI脚本（已适配中国云）：

\n

az login --use-device-code
az account set --subscription \"Your Sub Name\"
az group create -n rg-dev-mediapool -l \"China East 2\"
az storage account create -n mediastoredev01 \
  -g rg-dev-mediapool \
  -l \"China East 2\" \
  --sku Standard_LRS \
  --kind StorageV2 \
  --https-only true
az storage container create -n uploads \
  --account-name mediastoredev01 \
  --auth-mode login

\n

最后一句用了--auth-mode login，意思是“用当前登录账号权限操作”，免去导密钥步骤——适合开发调试，上线请切回连接字符串。

\n\n

最后送你三条保命口诀

\n

\n
1. 密钥不进Git，不贴群聊，不存明文配置文件——用Azure Key Vault托管，或CI/CD注入环境变量；
\n
2. 容器权限宁紧勿松——先设私有，需要时再开SAS，别图省事开“容器级读”；
\n
3. 所有生产配置做完，立刻用curl或Azure Storage Explorer验证一次上传+下载——眼见为实，截图留痕，比文档管用十倍。
\n

\n

好了，现在你可以合上电脑，深呼吸，然后对自己说：Azure Blob，不过如此。下次遇到“Connection refused”，你知道该先查资源组是否存在，而不是重启VS Code。

\n

祝你配置顺利，不丢密钥，不误删容器，不背锅。毕竟，云不是用来造神的，是用来让人少加班的。

" }