Uso de una cuenta de almacenamiento protegida con Azure Functions

En este artículo se muestra cómo conectar la aplicación de funciones a una cuenta de almacenamiento protegida. Para obtener un tutorial detallado sobre cómo crear la aplicación de funciones con restricciones de acceso entrante y saliente, consulte el tutorial Integración con una red virtual. Para obtener más información sobre Azure Functions y las redes, vea Opciones de redes de Azure Functions.

Restricción de la cuenta de almacenamiento a una red virtual

Al crear una aplicación de funciones, cree una nueva cuenta de almacenamiento, o bien vincule la aplicación a una existente. Actualmente, solo las implementaciones de ARM y Bicep admiten la creación de aplicaciones de funciones con una cuenta de almacenamiento protegida existente.

Nota:

La protección de la cuenta de almacenamiento es compatible con todos los niveles de los planes Dedicados (App Service) y Elastic Premium. Actualmente, los planes de consumo no admiten redes virtuales.

Para obtener una lista de todas las restricciones de las cuentas de almacenamiento, consulte Requisitos de la cuenta de almacenamiento.

Almacenamiento protegido durante la creación de la aplicación de funciones

Puede crear una aplicación de funciones junto con una nueva cuenta de almacenamiento protegida detrás de una red virtual a la que se pueda acceder a través de puntos de conexión privados. Los vínculos siguientes muestran cómo crear estos recursos mediante el Azure Portal o mediante plantillas de implementación:

Azure Portal

Complete el siguiente tutorial para crear una nueva aplicación de funciones con una cuenta de almacenamiento protegida: Uso de puntos de conexión privados para integrar Azure Functions con una red virtual.

Plantillas de implementación

Use archivos de Bicep o plantillas de Azure Resource Manager (ARM) para crear una aplicación de funciones protegida y recursos de cuenta de almacenamiento. Al crear una cuenta de almacenamiento protegida en una implementación automatizada, debe establecer la vnetContentShareEnabled propiedad del sitio, crear el recurso compartido de archivos como parte de la implementación y establecer la configuración de la WEBSITE_CONTENTSHARE aplicación en el nombre del recurso compartido de archivos. Para más información, incluidos los vínculos a implementaciones de ejemplo, vea Implementaciones protegidas.

Almacenamiento protegido para una aplicación de funciones existente

Cuando tiene una aplicación de funciones existente, no puede proteger directamente la cuenta de almacenamiento que está usando la aplicación. En su lugar, debe intercambiar la cuenta de almacenamiento existente para una nueva cuenta de almacenamiento protegida.

1. Habilitación de la integración de red virtual

Como requisito previo, debe habilitar la integración de red virtual para la aplicación de funciones.

1. Elija una aplicación de funciones con una cuenta de almacenamiento que no tenga habilitados puntos de conexión de servicio o puntos de conexión privados.

2. Permita la integración de red virtual para su aplicación de funciones.

2. Creación de una cuenta de almacenamiento protegida

Configure una cuenta de almacenamiento protegida para la aplicación de funciones:

1. Cree una segunda cuenta de almacenamiento. Esta será la cuenta de almacenamiento protegida que usará la aplicación de funciones en su lugar. También puede usar una cuenta de almacenamiento existente que no esté usando Functions.

2. Copie la cadena de conexión para esta cuenta de almacenamiento. Necesita esta cadena para más adelante.

3. Cree un recurso compartido de archivos en la nueva cuenta de almacenamiento. Intente usar el mismo nombre que el recurso compartido de archivos en la cuenta de almacenamiento existente. De lo contrario, deberá copiar el nombre del nuevo recurso compartido de archivos para configurar una configuración de aplicación más adelante.

4. Proteja la nueva cuenta de almacenamiento de una de las siguientes maneras:

   • Creación de un punto de conexión privado. Al configurar conexiones de punto de conexión privado, cree puntos de conexión privados para los subrecursos file y blob. Para Durable Functions, también debe hacer que los subrecursos queue y table sean accesibles a través de puntos de conexión privados. Si usa un servidor DNS personalizado o local, asegúrese de configurar el servidor DNS para resolver los nuevos puntos de conexión privados.

   • Restrinja el tráfico a subredes específicas. Asegúrese de que una de las subredes permitidas es la que la aplicación de funciones está integrada en la red. Compruebe que la subred tiene un punto de conexión de servicio en Microsoft.Storage.

5. Copie el contenido del archivo y el blob de la cuenta de almacenamiento actual utilizada por la aplicación de funciones a la nueva cuenta de almacenamiento y el recurso compartido de archivos protegidos. AzCopy y Explorador de Azure Storage son métodos comunes. Si usa el Explorador de Azure Storage, es posible que tenga que permitir la dirección IP del cliente en el firewall de la cuenta de almacenamiento.

Ahora está listo para configurar la aplicación de funciones para comunicarse con la cuenta de almacenamiento recién protegida.

3. Habilitación del enrutamiento de la aplicación y la configuración

Ahora debe enrutar el tráfico de la aplicación de funciones para pasar por la red virtual.

1. Habilite el enrutamiento de aplicaciones para enrutar el tráfico de la aplicación a la red virtual.

   • Vaya a la pestaña Redes de la aplicación de funciones. En Configuración de tráfico saliente, seleccione la subred asociada a la integración de red virtual.

   • En la nueva página, active la casilla de Tráfico saliente de Internet en Enrutamiento de aplicaciones.

2. Habilite enrutamiento de recursos compartidos de contenido para que la aplicación de funciones se comunique con la nueva cuenta de almacenamiento a través de su red virtual.

   • En la misma página, active la casilla de almacenamiento de contenido en Enrutamiento de configuración.

4. Actualización de la configuración de la aplicación

Por último, debe actualizar la configuración de la aplicación para que apunte a la nueva cuenta de almacenamiento protegida.

1. Actualice la Configuración de la aplicación en la pestaña Configuración de la aplicación de funciones a lo siguiente:

   Nombre del valor	Value	Comentario
   AzureWebJobsStorage WEBSITE_CONTENTAZUREFILECONNECTIONSTRING	Cadena de conexión de almacenamiento	Ambas opciones contienen la cadena de conexión de la nueva cuenta de almacenamiento protegida, que guardó anteriormente.
   WEBSITE_CONTENTSHARE	Recurso compartido de archivos	El nombre del recurso compartido de archivos creado en la cuenta de almacenamiento protegida donde residen los archivos de implementación del proyecto.

2. Seleccione Guardar para guardar la configuración de la aplicación. Si cambia la configuración de la aplicación, esta se reiniciará.

Una vez que se reinicia la aplicación de funciones, estará conectado a una cuenta de almacenamiento protegida.

Pasos siguientes

Opciones de redes de Azure Functions