Jak používat zabezpečený účet úložiště se službou Azure Functions
V tomto článku se dozvíte, jak připojit aplikaci funkcí k zabezpečenému účtu úložiště. Podrobný kurz o tom, jak vytvořit aplikaci funkcí s omezeními příchozího a odchozího přístupu, najdete v kurzu Integrace s virtuální sítí . Další informace o azure Functions a sítích najdete v tématu Možnosti sítí Azure Functions.
Omezení účtu úložiště na virtuální síť
Když vytvoříte aplikaci funkcí, vytvoříte nový účet úložiště nebo propojíte s existujícím účtem. V současné době podporují vytváření aplikací funkcí s existujícím zabezpečeným účtem úložiště jenom nasazení azure Portal, nasazení šablon ARM a nasazení Bicep.
Poznámka:
Zabezpečení účtu úložiště je podporováno pro všechny úrovně plánu Dedicated (App Service) a plánu Elastic Premium i v plánu Flex Consumption.
Plán Consumption nepodporuje virtuální sítě.
Seznam všech omezení účtů úložiště najdete v tématu Požadavky na účet úložiště.
Zabezpečené úložiště během vytváření aplikace funkcí
Aplikaci funkcí můžete vytvořit společně s novým účtem úložiště, který je zabezpečený za virtuální sítí. Následující odkazy ukazují, jak tyto prostředky vytvořit pomocí webu Azure Portal nebo pomocí šablon nasazení:
Dokončete kroky v části Vytvoření aplikace funkcí v plánu Premium. V této části kurzu virtuální sítě se dozvíte, jak vytvořit aplikaci funkcí, která se připojuje k úložišti přes privátní koncové body.
Poznámka:
Když vytvoříte aplikaci funkcí na webu Azure Portal, můžete také zvolit existující zabezpečený účet úložiště na kartě Úložiště . Musíte ale nakonfigurovat příslušné sítě v aplikaci funkcí, aby se mohl připojit přes virtuální síť použitou k zabezpečení účtu úložiště. Pokud nemáte oprávnění ke konfiguraci sítí nebo jste síť ještě plně nepřipravili, vyberte Konfigurovat sítě po vytvoření na kartě Sítě. Sítě pro novou aplikaci funkcí můžete nakonfigurovat na portálu v části Sítě nastavení>.
Zabezpečené úložiště pro existující aplikaci funkcí
Pokud máte existující aplikaci funkcí, můžete přímo nakonfigurovat sítě na účtu úložiště, který aplikace používá. Výsledkem tohoto procesu je, že aplikace bude při konfiguraci sítě a při restartování aplikace nefunguje.
Pokud chcete minimalizovat výpadky, můžete místo toho vyměnit existující účet úložiště za nový zabezpečený účet úložiště.
1. Povolení integrace virtuální sítě
Předpokladem je povolení integrace virtuální sítě pro vaši aplikaci funkcí.
Zvolte aplikaci funkcí s účtem úložiště, který nemá povolené koncové body služby ani privátní koncové body.
Povolte integraci virtuální sítě pro vaši aplikaci funkcí.
2. Vytvoření zabezpečeného účtu úložiště
Nastavení zabezpečeného účtu úložiště pro vaši aplikaci funkcí:
Vytvořte druhý účet úložiště. Bude to zabezpečený účet úložiště, který bude vaše aplikace funkcí používat. Můžete také použít existující účet úložiště, který služba Functions ještě nepoužívá.
Zkopírujte připojovací řetězec pro tento účet úložiště. Tento řetězec budete potřebovat později.
Vytvořte sdílenou složku v novém účtu úložiště. Zkuste použít stejný název jako sdílená složka v existujícím účtu úložiště. Jinak budete muset zkopírovat název nové sdílené složky, abyste mohli později nakonfigurovat nastavení aplikace.
Nový účet úložiště zabezpečte jedním z následujících způsobů:
Vytvoření privátního koncového bodu Když nastavíte připojení privátního koncového bodu, vytvořte privátní koncové body pro
file
zdroje ablob
podsourcy. Pro Durable Functions musíte také vytvářetqueue
atable
podsourcy přístupné prostřednictvím privátních koncových bodů. Pokud používáte vlastní nebo místní server DNS, nezapomeňte nakonfigurovat server DNS tak, aby se přeložil na nové privátní koncové body.Omezte provoz na konkrétní podsítě. Ujistěte se, že jedna z povolených podsítí je ta, se kterou je vaše aplikace funkcí integrovaná. Pečlivě zkontrolujte, jestli má podsíť koncový bod služby microsoft.Storage.
Zkopírujte obsah souboru a objektu blob z aktuálního účtu úložiště používaného aplikací funkcí do nově zabezpečeného účtu úložiště a sdílené složky. AzCopy a Průzkumník služby Azure Storage jsou běžné metody. Pokud používáte Průzkumník služby Azure Storage, možná budete muset povolit IP adresu klienta do brány firewall účtu úložiště.
Teď jste připraveni nakonfigurovat aplikaci funkcí tak, aby komunikovali s nově zabezpečeným účtem úložiště.
3. Povolení směrování aplikací a konfigurace
Poznámka:
Tyto kroky konfigurace se vyžadují jenom pro plány hostování Elastic Premium a Dedicated (App Service). Plán Flex Consumption nevyžaduje nastavení lokality ke konfiguraci sítí.
Teď byste měli směrovat provoz vaší aplikace funkcí tak, aby procházel přes virtuální síť.
Povolte směrování aplikací pro směrování provozu aplikace do virtuální sítě.
Přejděte na kartu Sítě vaší aplikace funkcí. V části Konfigurace odchozího provozu vyberte podsíť přidruženou k integraci virtuální sítě.
Na nové stránce zaškrtněte políčko Odchozí internetový provoz ve směrování aplikace.
Povolte směrování sdílení obsahu, aby vaše aplikace funkcí komunikovala s vaším novým účtem úložiště prostřednictvím své virtuální sítě.
- Na stejné stránce zaškrtněte políčko úložiště obsahu v části Směrování konfigurace.
4. Aktualizace nastavení aplikace
Nakonec musíte aktualizovat nastavení aplikace tak, aby ukazovala na nový účet zabezpečeného úložiště.
Aktualizujte nastavení aplikace na kartě Konfigurace aplikace funkcí následujícím postupem:
Název nastavení Hodnota Komentář AzureWebJobsStorage
WEBSITE_CONTENTAZUREFILECONNECTIONSTRING
Připojovací řetězec úložiště Obě nastavení obsahují připojovací řetězec nového zabezpečeného účtu úložiště, který jste si uložili dříve. WEBSITE_CONTENTSHARE
Sdílená složka Název sdílené složky vytvořené v zabezpečeném účtu úložiště, ve kterém se nacházejí soubory nasazení projektu. Výběrem možnosti Uložit uložte nastavení aplikace. Změna nastavení aplikace způsobí restartování aplikace.
Po restartování aplikace funkcí je teď připojený k zabezpečenému účtu úložiště.
Další kroky
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro