# Azure Blob啟用SFTP功能(已GA)
###### tags:`Azure Storage` `Blob Storage` `SFTP` `2022`
[toc]
## 1/ 基本介紹
* [Azure Blob 儲存體的 SSH 檔案傳輸通訊協定 (SFTP) 支援 (預覽)](https://docs.microsoft.com/zh-tw/azure/storage/blobs/secure-file-transfer-protocol-support)
* Azure Blob Storage現在支援SSH 檔案傳輸通訊協定 (SFTP)。
* 可以讓我們透過 SFTP 端點安全連線至 Blob Storage,允許我們可以利用 SFTP 進行檔案存取、檔案傳輸以及檔案管理。
* 我們可以設定`本機使用者`身分識別進行驗證,透過port 22 連線至使用 SFTP 的儲存體帳戶。
## 2/ 建立儲存體帳戶
* 登入[Azure Portal](https://portal.azure.com/),建立一個新的儲存體帳戶。
:::warning
:warning: **注意!**
儲存體帳戶名稱僅能小寫英文字母搭配數字。
:::
* 啟用階層命名空間
* 必須勾選`啟用階層命名空間`,才能夠勾選`啟用SFTP(預覽)`。
* 後續設定皆使用預設選項即可。
:::info
:memo: **經過測試後,發現到如果要在FTP Client能夠刪除檔案的話,必須要將`啟用Blob的虛刪除`取消**。
:::
## 3/ 新增本機使用者
* 成功建立儲存體帳戶後,`前往資源`,`點選SFTP(預覽)`->`新增本機使用者`。
* 使用者名稱:輸入一個使用者名稱,ex:user1
* 驗證方法:可以使用兩種方式
* `SSH密碼`:會在新增本機使用者後出現。
* `SSH金鑰組`:有三種金鑰方式,我們選擇`產生新的金鑰組`,並且給他一個名字。
* 設定容器權限
* `新增容器`:容器就是我們要儲放檔案的空間。
* 新增完容器後我們就可以來設定他的權限。
* `權限`:可以設定這個使用者對於這個容器的權限,我們可以先選擇`全部`。
* `首頁(登陸)目錄`:這邊可以設定這位使用者連線到這個容器的時,預設是在哪個目錄下。
* **經過測試後,使用者還是可以去到上層目錄,不會只限制在這邊設定的目錄底下**。
* 新增成功後
* 會出現SSH密碼,建議先把他複製起來,因為一但關閉後就只能夠重新產生。
* 下載SSH私密金鑰。
* 新增完的使用者會有連接字串,也建議先複製起來,後續我們在用FTP Client連線的時候會用到這些資訊。
* 以我的範例來說:
* 連接字串為:
```testblobsftp0729.<CONTAINER_NAME>.user1@testblobsftp0729.blob.core.windows.net```
* 主機名稱為:
```testblobsftp0729.blob.core.windows.net```
* 使用者名稱為:
```testblobsftp0729.<CONTAINER_NAME>.user1```
* <CONTAINER_NAME>須置換為剛才建立的容器名稱**user1ctr**。
* 因此完整的使用者名稱為```testblobsftp0729. user1ctr.user1```。
* 新增完使用者後,可以將其停用或者是刪除。
:::warning
:warning: **注意!**
* [Azure Blob 儲存體中 SSH 檔案傳輸通訊協定 (SFTP) 支援的限制和已知問題 (預覽)](https://docs.microsoft.com/zh-tw/azure/storage/blobs/secure-file-transfer-protocol-known-issues)
* 本機使用者是目前支援 SFTP 端點身分識別管理的唯一形式。
* SFTP 端點不支援 Azure Active Directory (Azure AD)。
:::
## 4/ 容器中新增目錄及上傳檔案
* 點選`容器`->剛才建立的容器`user1ctr`。
* 新增一些目錄和上傳一些檔案供後續測試。
## 5/ 使用FTP Client測試
* 我這邊使用FileZilla來做測試。
* 點選`檔案`->`站台管理員`。
* `新增站台`->主機輸入:```testblobsftp0729.blob.core.windows.net```。
* `協定`選擇SFTP。
* `登入型式`選擇一般。
* `使用者`輸入```testblobsftp0729. user1ctr.user1```。
* `密碼`輸入剛剛複製的SSH密碼,如果忘記可以重新產生
* 密碼也可以使用金鑰檔案。
* `登入型式`須改為`金鑰檔案`,並上傳從Azure上建立出來的SSH金鑰檔。
* 以上資訊都資訊都填好後,點選連線。
* 連線成功後,可以看到內容與Azure Blob上的內容相符。
* 我們也可以上傳檔案到FileZilla上看使否有同步到Azure。
* 測試成功。
## 6/ 補充
* 我們其實也可以透過Azure Blob上所提供的SAS來從Browser存取到檔案。
> [使用共用存取簽章 (SAS) 對 Azure 儲存體資源授與有限存取權](https://docs.microsoft.com/zh-tw/azure/storage/common/storage-sas-overview)
* 點選剛建立容器內的任一檔案
* 點選`產生SAS`,並設定`權限`。
* 往下點選`產生SAS權杖與URL`,將`Blob SAS URL`貼到Browser就可以看到文件的內容。
:::warning
:mag_right: **Discovery**
* 但我有發現到,透過SAS來訪問不同檔案類型會有不同的結果,瀏覽器可能會顯示文件的內容(如上範例),或是不顯示文件內容直接自動開始下載檔案。
>這部分微軟的回覆是:
> * 瀏覽器在訪問文件後綴為.txt、.json等的文件時,默認操作會將文件内容直接顯示在螢幕上。
> * 而對其他類型的文件,瀏覽器會在訪問時自動開始下載。
> * 但這一默認操作可以被修改。如果希望自動下載後綴為.txt、.json等的文件,可以修改Azure Portal中的**CONTENT-DISPOSITION屬性**:
> > 1. 打開您想訪問的Blob文件,點擊Overview選項:
> > 
> > 2. 下拉Overview選單,在CONTENT-DISPOSITION屬性一欄中輸入”attachment”並儲存:
> > 
> > 3. 隨後按照正常步驟生成SAS token與URL,就能在訪問txt等文件類型時讓瀏覽器自動下載了。
> > 4. 如果您不想讓瀏覽器自動下載文件,而是顯示在瀏覽器中,則可以將對應的.jpg等後綴的文件中對應的CONTENT-DISPOSITION項修改為”Inline”,再產生SAS token訪問即可。但請注意,由於某些文件不支持在瀏覽器上顯示,而需要某些特定軟體打開,因此此方法僅對部分文件類型適用,例如.jpg等圖片類型文件。
:::
## 7/ Reference
* [Azure Blob 儲存體的 SSH 檔案傳輸通訊協定 (SFTP) 支援 (預覽)](https://docs.microsoft.com/zh-tw/azure/storage/blobs/secure-file-transfer-protocol-support)
* [Azure Blob 儲存體中 SSH 檔案傳輸通訊協定 (SFTP) 支援的限制和已知問題 (預覽)](https://docs.microsoft.com/zh-tw/azure/storage/blobs/secure-file-transfer-protocol-known-issues)
* [使用共用存取簽章 (SAS) 對 Azure 儲存體資源授與有限存取權](https://docs.microsoft.com/zh-tw/azure/storage/common/storage-sas-overview)
Sign in via Facebook
Sign in via X(Twitter)
Sign in via GitHub
Sign in via Dropbox
Sign in with Wallet
Connect another wallet