Uso de una cuenta de almacenamiento protegida con Azure Functions

En este artículo se muestra cómo conectar la aplicación de funciones a una cuenta de almacenamiento protegida. Para obtener un tutorial detallado sobre cómo crear la aplicación de funciones con restricciones de acceso entrante y saliente, consulte el tutorial Integración con una red virtual. Para obtener más información sobre Azure Functions y las redes, vea Opciones de redes de Azure Functions.

Restricción de la cuenta de almacenamiento a una red virtual

Al crear una aplicación de funciones, cree una nueva cuenta de almacenamiento, o bien vincule la aplicación a una existente. Actualmente, solo Azure Portal, las implementaciones de plantillas de ARM y las implementaciones de Bicep admiten la creación de aplicaciones funcionales con una cuenta de almacenamiento seguro existente.

Nota:

La seguridad de su cuenta de almacenamiento es compatible con todos los niveles del Plan Dedicado (App Service) y el Plan Elastic Premium, así como en el Plan Flex Consumo.
El plan Consumo no admite redes virtuales.

Para obtener una lista de todas las restricciones de las cuentas de almacenamiento, consulte Requisitos de la cuenta de almacenamiento.

Importante

El Plan de Consumo Flex está actualmente en versión preliminar.

Almacenamiento protegido durante la creación de la aplicación de funciones

Puede crear una aplicación de funciones junto con una nueva cuenta de almacenamiento protegida detrás de una red virtual. Los vínculos siguientes muestran cómo crear estos recursos mediante el Azure Portal o mediante plantillas de implementación:

Azure Portal

Complete los pasos en Crear una aplicación de función en un plan Premium. En esta sección del tutorial de redes virtuales se muestra cómo crear una aplicación de funciones que se conecta al almacenamiento a través de puntos de conexión privados.

Nota:

Cuando cree su aplicación de función en Azure Portal, también puede elegir una cuenta de almacenamiento seguro existente en la pestaña Almacenamiento. Sin embargo, debe configurar las redes adecuadas en la aplicación de funciones para que pueda conectarse a través de la red virtual que se usa para proteger la cuenta de almacenamiento. Si no tiene permisos para configurar la red o no ha preparado completamente su red, seleccione Configurar red después de la creación en la pestaña Red. Puede configurar redes para la nueva aplicación de funciones en el portal en Configuración>Redes.

Plantillas de implementación

Use archivos de Bicep o plantillas de Azure Resource Manager (ARM) para crear una aplicación de funciones protegida y recursos de cuenta de almacenamiento. Al crear una cuenta de almacenamiento protegida en una implementación automatizada, debe establecer la vnetContentShareEnabled propiedad del sitio, crear el recurso compartido de archivos como parte de la implementación y establecer la configuración de la WEBSITE_CONTENTSHARE aplicación en el nombre del recurso compartido de archivos. Para más información, incluidos los vínculos a implementaciones de ejemplo, vea Implementaciones protegidas.

Almacenamiento protegido para una aplicación de funciones existente

Si ya existe una aplicación funcional, puede configurar directamente la conexión en red en la cuenta de almacenamiento utilizada por la aplicación. Este proceso hace que la aplicación esté inactiva mientras configura las redes y mientras se reinicia la aplicación.

Para minimizar el tiempo de inactividad, puede cambiar una cuenta de almacenamiento existente por otra nueva y segura.

1. Habilitación de la integración de red virtual

Como requisito previo, debe habilitar la integración de red virtual para la aplicación de funciones.

1. Elija una aplicación de funciones con una cuenta de almacenamiento que no tenga habilitados puntos de conexión de servicio o puntos de conexión privados.

2. Permita la integración de red virtual para su aplicación de funciones.

2. Creación de una cuenta de almacenamiento protegida

Configure una cuenta de almacenamiento protegida para la aplicación de funciones:

1. Cree una segunda cuenta de almacenamiento. Esta será la cuenta de almacenamiento protegida que usará la aplicación de funciones en su lugar. También puede usar una cuenta de almacenamiento existente que no esté usando Functions.

2. Copie la cadena de conexión para esta cuenta de almacenamiento. Necesita esta cadena para más adelante.

3. Cree un recurso compartido de archivos en la nueva cuenta de almacenamiento. Intente usar el mismo nombre que el recurso compartido de archivos en la cuenta de almacenamiento existente. De lo contrario, deberá copiar el nombre del nuevo recurso compartido de archivos para configurar una configuración de aplicación más adelante.

4. Proteja la nueva cuenta de almacenamiento de una de las siguientes maneras:

   • Creación de un punto de conexión privado. Al configurar conexiones de punto de conexión privado, cree puntos de conexión privados para los subrecursos file y blob. Para Durable Functions, también debe hacer que los subrecursos queue y table sean accesibles a través de puntos de conexión privados. Si usa un servidor DNS personalizado o local, asegúrese de configurar el servidor DNS para resolver los nuevos puntos de conexión privados.

   • Restrinja el tráfico a subredes específicas. Asegúrese de que una de las subredes permitidas es la que la aplicación de funciones está integrada en la red. Compruebe que la subred tiene un punto de conexión de servicio en Microsoft.Storage.

5. Copie el contenido del archivo y el blob de la cuenta de almacenamiento actual utilizada por la aplicación de funciones a la nueva cuenta de almacenamiento y el recurso compartido de archivos protegidos. AzCopy y Explorador de Azure Storage son métodos comunes. Si usa el Explorador de Azure Storage, es posible que tenga que permitir la dirección IP del cliente en el firewall de la cuenta de almacenamiento.

Ahora está listo para configurar la aplicación de funciones para comunicarse con la cuenta de almacenamiento recién protegida.

3. Habilitación del enrutamiento de la aplicación y la configuración

Nota:

Estos pasos de configuración solo son necesarios para los planes de hosting Elástico Premium y Dedicado (App Service). El plan de Consumo flexible no requiere ajustes del sitio para configurar la red.

Ahora debe enrutar el tráfico de la aplicación de funciones para pasar por la red virtual.

1. Habilite el enrutamiento de aplicaciones para enrutar el tráfico de la aplicación a la red virtual.

   • Vaya a la pestaña Redes de la aplicación de funciones. En Configuración de tráfico saliente, seleccione la subred asociada a la integración de red virtual.

   • En la nueva página, active la casilla de Tráfico saliente de Internet en Enrutamiento de aplicaciones.

2. Habilite enrutamiento de recursos compartidos de contenido para que la aplicación de funciones se comunique con la nueva cuenta de almacenamiento a través de su red virtual.

   • En la misma página, active la casilla de almacenamiento de contenido en Enrutamiento de configuración.

4. Actualización de la configuración de la aplicación

Por último, debe actualizar la configuración de la aplicación para que apunte a la nueva cuenta de almacenamiento protegida.

1. Actualice la Configuración de la aplicación en la pestaña Configuración de la aplicación de funciones a lo siguiente:

   Nombre del valor	Value	Comentario
   AzureWebJobsStorage WEBSITE_CONTENTAZUREFILECONNECTIONSTRING	Cadena de conexión de almacenamiento	Ambas opciones contienen la cadena de conexión de la nueva cuenta de almacenamiento protegida, que guardó anteriormente.
   WEBSITE_CONTENTSHARE	Recurso compartido de archivos	El nombre del recurso compartido de archivos creado en la cuenta de almacenamiento protegida donde residen los archivos de implementación del proyecto.

2. Seleccione Guardar para guardar la configuración de la aplicación. Si cambia la configuración de la aplicación, esta se reiniciará.

Una vez que se reinicia la aplicación de funciones, estará conectado a una cuenta de almacenamiento protegida.

Pasos siguientes

Opciones de redes de Azure Functions