Jak používat zabezpečený účet úložiště se službou Azure Functions

V tomto článku se dozvíte, jak připojit aplikaci funkcí k zabezpečenému účtu úložiště. Podrobný kurz o tom, jak vytvořit aplikaci funkcí s omezeními příchozího a odchozího přístupu, najdete v kurzu Integrace s virtuální sítí . Další informace o azure Functions a sítích najdete v tématu Možnosti sítí Azure Functions.

Omezení účtu úložiště na virtuální síť

Když vytvoříte aplikaci funkcí, vytvoříte nový účet úložiště nebo propojíte s existujícím účtem. V současné době podporují vytváření aplikací funkcí s existujícím zabezpečeným účtem úložiště jenom nasazení azure Portal, nasazení šablon ARM a nasazení Bicep.

Poznámka:

Zabezpečení účtu úložiště je podporováno pro všechny úrovně plánu Dedicated (App Service) a plánu Elastic Premium i v plánu Flex Consumption.
Plán Consumption nepodporuje virtuální sítě.

Seznam všech omezení účtů úložiště najdete v tématu Požadavky na účet úložiště.

Důležité

Plán Flex Consumption je aktuálně ve verzi Preview.

Zabezpečené úložiště během vytváření aplikace funkcí

Aplikaci funkcí můžete vytvořit společně s novým účtem úložiště, který je zabezpečený za virtuální sítí. Následující odkazy ukazují, jak tyto prostředky vytvořit pomocí webu Azure Portal nebo pomocí šablon nasazení:

Azure Portal

Dokončete kroky v části Vytvoření aplikace funkcí v plánu Premium. V této části kurzu virtuální sítě se dozvíte, jak vytvořit aplikaci funkcí, která se připojuje k úložišti přes privátní koncové body.

Poznámka:

Když vytvoříte aplikaci funkcí na webu Azure Portal, můžete také zvolit existující zabezpečený účet úložiště na kartě Úložiště . Musíte ale nakonfigurovat příslušné sítě v aplikaci funkcí, aby se mohl připojit přes virtuální síť použitou k zabezpečení účtu úložiště. Pokud nemáte oprávnění ke konfiguraci sítí nebo jste síť ještě plně nepřipravili, vyberte Konfigurovat sítě po vytvoření na kartě Sítě. Sítě pro novou aplikaci funkcí můžete nakonfigurovat na portálu v části Sítě nastavení>.

Šablony nasazení

K vytvoření zabezpečené aplikace funkcí a prostředků účtu úložiště použijte soubory Bicep nebo šablony Azure Resource Manageru (ARM). Když vytvoříte zabezpečený účet úložiště v automatizovaném nasazení, musíte nastavit vnetContentShareEnabled vlastnost webu, vytvořit sdílenou složku jako součást nasazení a nastavit WEBSITE_CONTENTSHARE nastavení aplikace na název sdílené složky. Další informace, včetně odkazů na ukázková nasazení, najdete v tématu Zabezpečená nasazení.

Zabezpečené úložiště pro existující aplikaci funkcí

Pokud máte existující aplikaci funkcí, můžete přímo nakonfigurovat sítě na účtu úložiště, který aplikace používá. Výsledkem tohoto procesu je, že aplikace bude při konfiguraci sítě a při restartování aplikace nefunguje.

Pokud chcete minimalizovat výpadky, můžete místo toho vyměnit existující účet úložiště za nový zabezpečený účet úložiště.

1. Povolení integrace virtuální sítě

Předpokladem je povolení integrace virtuální sítě pro vaši aplikaci funkcí.

1. Zvolte aplikaci funkcí s účtem úložiště, který nemá povolené koncové body služby ani privátní koncové body.

2. Povolte integraci virtuální sítě pro vaši aplikaci funkcí.

2. Vytvoření zabezpečeného účtu úložiště

Nastavení zabezpečeného účtu úložiště pro vaši aplikaci funkcí:

1. Vytvořte druhý účet úložiště. Bude to zabezpečený účet úložiště, který bude vaše aplikace funkcí používat. Můžete také použít existující účet úložiště, který služba Functions ještě nepoužívá.

2. Zkopírujte připojovací řetězec pro tento účet úložiště. Tento řetězec budete potřebovat později.

3. Vytvořte sdílenou složku v novém účtu úložiště. Zkuste použít stejný název jako sdílená složka v existujícím účtu úložiště. Jinak budete muset zkopírovat název nové sdílené složky, abyste mohli později nakonfigurovat nastavení aplikace.

4. Nový účet úložiště zabezpečte jedním z následujících způsobů:

   • Vytvoření privátního koncového bodu Když nastavíte připojení privátního koncového bodu, vytvořte privátní koncové body pro file zdroje a blob podsourcy. Pro Durable Functions musíte také vytvářet queue a table podsourcy přístupné prostřednictvím privátních koncových bodů. Pokud používáte vlastní nebo místní server DNS, nezapomeňte nakonfigurovat server DNS tak, aby se přeložil na nové privátní koncové body.

   • Omezte provoz na konkrétní podsítě. Ujistěte se, že jedna z povolených podsítí je ta, se kterou je vaše aplikace funkcí integrovaná. Pečlivě zkontrolujte, jestli má podsíť koncový bod služby microsoft.Storage.

5. Zkopírujte obsah souboru a objektu blob z aktuálního účtu úložiště používaného aplikací funkcí do nově zabezpečeného účtu úložiště a sdílené složky. AzCopy a Průzkumník služby Azure Storage jsou běžné metody. Pokud používáte Průzkumník služby Azure Storage, možná budete muset povolit IP adresu klienta do brány firewall účtu úložiště.

Teď jste připraveni nakonfigurovat aplikaci funkcí tak, aby komunikovali s nově zabezpečeným účtem úložiště.

3. Povolení směrování aplikací a konfigurace

Poznámka:

Tyto kroky konfigurace se vyžadují jenom pro plány hostování Elastic Premium a Dedicated (App Service). Plán Flex Consumption nevyžaduje nastavení lokality ke konfiguraci sítí.

Teď byste měli směrovat provoz vaší aplikace funkcí tak, aby procházel přes virtuální síť.

1. Povolte směrování aplikací pro směrování provozu aplikace do virtuální sítě.

   • Přejděte na kartu Sítě vaší aplikace funkcí. V části Konfigurace odchozího provozu vyberte podsíť přidruženou k integraci virtuální sítě.

   • Na nové stránce zaškrtněte políčko Odchozí internetový provoz ve směrování aplikace.

2. Povolte směrování sdílení obsahu, aby vaše aplikace funkcí komunikovala s vaším novým účtem úložiště prostřednictvím své virtuální sítě.

   • Na stejné stránce zaškrtněte políčko úložiště obsahu v části Směrování konfigurace.

4. Aktualizace nastavení aplikace

Nakonec musíte aktualizovat nastavení aplikace tak, aby ukazovala na nový účet zabezpečeného úložiště.

1. Aktualizujte nastavení aplikace na kartě Konfigurace aplikace funkcí následujícím postupem:

   Název nastavení	Hodnota	Komentář
   AzureWebJobsStorage WEBSITE_CONTENTAZUREFILECONNECTIONSTRING	Připojovací řetězec úložiště	Obě nastavení obsahují připojovací řetězec nového zabezpečeného účtu úložiště, který jste si uložili dříve.
   WEBSITE_CONTENTSHARE	Sdílená složka	Název sdílené složky vytvořené v zabezpečeném účtu úložiště, ve kterém se nacházejí soubory nasazení projektu.

2. Výběrem možnosti Uložit uložte nastavení aplikace. Změna nastavení aplikace způsobí restartování aplikace.

Po restartování aplikace funkcí je teď připojený k zabezpečenému účtu úložiště.

Další kroky

Možnosti sítí Azure Functions