Biztonságos tárfiók használata az Azure Functions használatával

Ez a cikk bemutatja, hogyan csatlakoztathatja a függvényalkalmazást egy biztonságos tárfiókhoz. A függvényalkalmazás bejövő és kimenő hozzáférési korlátozásokkal való létrehozásáról részletes oktatóanyagot az Integrálás virtuális hálózattal című oktatóanyagban talál. Az Azure Functionsről és a hálózatkezelésről további információt az Azure Functions hálózatkezelési lehetőségei között talál.

Tárfiók korlátozása virtuális hálózatra

Függvényalkalmazás létrehozásakor vagy új tárfiókot hoz létre, vagy egy meglévőre mutató hivatkozást hoz létre. Jelenleg csak az Azure Portal, az ARM-sablontelepítések és a Bicep-környezetek támogatják a függvényalkalmazások létrehozását egy meglévő biztonságos tárfiókkal.

Feljegyzés

A biztonságos tárfiókok a dedikált (App Service) csomag és az Elastic Premium csomag minden szintjén támogatottak. A Flex Consumption csomag is támogatja őket. A használatalapú csomag nem támogatja a virtuális hálózatokat.

A tárfiókokra vonatkozó összes korlátozás listáját a Tárfiókokra vonatkozó követelmények című témakörben találja.

Fontos

A Rugalmas használat csomag jelenleg előzetes verzióban érhető el.

Biztonságos tárolás a függvényalkalmazás létrehozása során

Létrehozhat egy függvényalkalmazást, valamint egy új tárfiókot, amely egy virtuális hálózat mögött van védve. Az alábbi szakaszok bemutatják, hogyan hozhatja létre ezeket az erőforrásokat az Azure Portalon vagy üzembehelyezési sablonok használatával.

Azure Portalra

Hajtsa végre a Függvényalkalmazás létrehozása prémium csomagban című témakörben leírt lépéseket. A virtuális hálózatkezelési oktatóanyag ezen szakasza bemutatja, hogyan hozhat létre olyan függvényalkalmazást, amely privát végpontokon keresztül csatlakozik a tárolóhoz.

Feljegyzés

Ha az Azure Portalon hozza létre a függvényalkalmazást, a Storage lapon választhat egy meglévő biztonságos tárfiókot is. Azonban konfigurálnia kell a megfelelő hálózatkezelést a függvényalkalmazáson, hogy az a tárfiók védelméhez használt virtuális hálózaton keresztül kapcsolódjon. Ha nem rendelkezik a hálózat konfigurálásához szükséges engedélyekkel, vagy még nem készítette fel teljesen a hálózatot, válassza a Hálózatkezelés konfigurálása lehetőséget a létrehozás után a Hálózatkezelés lapon. Az új függvényalkalmazás hálózatkezelését a Beállítások>hálózatkezelés területén, a portálon konfigurálhatja.

Üzembehelyezési sablonok

Bicep-fájlok vagy Azure Resource Manager-sablonok használatával biztonságos függvényalkalmazásokat és tárfiók-erőforrásokat hozhat létre. Ha biztonságos tárfiókot hoz létre egy automatizált üzembe helyezés során, be kell állítania a vnetContentShareEnabled helytulajdonságot, létre kell hoznia a fájlmegosztást az üzembe helyezés részeként, és be kell állítania az WEBSITE_CONTENTSHARE alkalmazásbeállítást a fájlmegosztás nevére. További információkért, beleértve a példatelepítésekre mutató hivatkozásokat, tekintse meg a biztonságos üzembe helyezéseket ismertető témakört.

Meglévő függvényalkalmazás biztonságos tárolása

Ha már rendelkezik függvényalkalmazással, közvetlenül konfigurálhatja a hálózatkezelést az alkalmazás által használt tárfiókon. Ez a folyamat azonban azt eredményezi, hogy a függvényalkalmazás leáll a hálózatkezelés konfigurálása és a függvényalkalmazás újraindítása közben.

Az állásidő minimalizálása érdekében ehelyett felcserélhet egy meglévő tárfiókot egy új, biztonságos tárfiókra.

1. Virtuális hálózati integráció engedélyezése

Előfeltételként engedélyeznie kell a virtuális hálózati integrációt a függvényalkalmazáshoz:

1. Olyan függvényalkalmazást válasszon, amely olyan tárfiókkal rendelkezik, amelyen nincs engedélyezve szolgáltatásvégpontok vagy privát végpontok.

2. Virtuális hálózati integráció engedélyezése a függvényalkalmazáshoz.

2. Biztonságos tárfiók létrehozása

Biztonságos tárfiók beállítása a függvényalkalmazáshoz:

1. Hozzon létre egy második tárfiókot. Ez a tárfiók az a biztonságos tárfiók, amelyet a függvényalkalmazás használhat az eredeti nem biztonságos tárfiók helyett. Használhat olyan meglévő tárfiókot is, amelyet a Functions még nem használ.

2. Mentse a tárfiók kapcsolati sztring későbbi használatra.

3. Hozzon létre egy fájlmegosztást az új tárfiókban. Az ön kényelme érdekében használhatja ugyanazt a fájlmegosztási nevet az eredeti tárfiókból. Ellenkező esetben, ha új fájlmegosztási nevet használ, frissítenie kell az alkalmazásbeállítást.

4. Biztonságossá teheti az új tárfiókot az alábbi módokon:

   • Hozzon létre egy privát végpontot. A privát végpont kapcsolatának beállításakor hozzon létre privát végpontokat az és blob az file alforrások számára. A Durable Functions esetében privát végpontokon keresztül is elérhetővé kell tennie és table alhálózatokat kell készíteniequeue. Ha egyéni vagy helyszíni dns-kiszolgálót használ, konfigurálja a DNS-kiszolgálót úgy, hogy feloldja az új privát végpontokat.

   • Forgalom korlátozása adott alhálózatokra. Győződjön meg arról, hogy a függvényalkalmazás hálózata integrálva van egy engedélyezett alhálózattal, és hogy az alhálózathoz tartozik szolgáltatásvégpont Microsoft.Storage.

5. Másolja a fájl- és blobtartalmat a függvényalkalmazás által használt aktuális tárfiókból az újonnan védett tárfiókba és fájlmegosztásba. Az AzCopy és az Azure Storage Explorer gyakori módszerek. Ha az Azure Storage Explorert használja, előfordulhat, hogy engedélyeznie kell az ügyfél IP-címének elérését a tárfiók tűzfalához.

Most már konfigurálhatja a függvényalkalmazást, hogy kommunikáljon az újonnan védett tárfiókkal.

3. Alkalmazás- és konfigurációs útválasztás engedélyezése

Feljegyzés

Ezek a konfigurációs lépések csak az Elastic Premium és a Dedikált (App Service) üzemeltetési csomagokhoz szükségesek. A Rugalmas kihasználtság csomag nem igényel helybeállításokat a hálózatkezelés konfigurálásához.

Most már készen áll arra, hogy átirányítsa a függvényalkalmazás forgalmát a virtuális hálózaton való áthaladásra:

1. Az alkalmazás útválasztásának engedélyezése az alkalmazás forgalmának a virtuális hálózathoz való átirányításához:

   1. A függvényalkalmazásban bontsa ki a Beállítások elemet, majd válassza a Hálózatkezelés lehetőséget. A Hálózatkezelés lap Kimenő forgalom konfigurációja területén válassza ki a virtuális hálózati integrációhoz társított alhálózatot.

   2. Az új lapon, az Alkalmazás útválasztása területen válassza a Kimenő internetes forgalom lehetőséget.

2. Engedélyezze a tartalommegosztás útválasztását , hogy a függvényalkalmazás a virtuális hálózatán keresztül kommunikálhasson az új tárfiókjával. Az előző lépéshez hasonló lapon, a Konfigurációs útválasztás területen válassza a Tartalomtároló lehetőséget.

Feljegyzés

Különös figyelmet kell fordítania arra, hogy az ugyanazon csomagban több függvényalkalmazás által megosztott tárfiókban lévő tartalommegosztáshoz útválasztást alkalmazzon. További információ: Konzisztens útválasztás virtuális hálózatokon keresztül a Storage-szempontok című cikkben.

4. Alkalmazásbeállítások frissítése

Végül frissítenie kell az alkalmazásbeállításokat, hogy az új biztonságos tárfiókra mutasson:

1. A függvényalkalmazásban bontsa ki a Beállítások elemet, majd válassza a Környezeti változók lehetőséget.

2. Az Alkalmazás beállításai lapon frissítse az alábbi beállításokat az egyes beállítások kiválasztásával, szerkesztésével, majd az Alkalmaz gombra kattintva:

   A beállítás neve	Érték	Megjegyzés
   AzureWebJobsStorage	Tárolási kapcsolati sztring	Használja a korábban mentett új biztonságos tárfiók kapcsolati sztring.
   WEBSITE_CONTENTAZUREFILECONNECTIONSTRING	Tárolási kapcsolati sztring	Használja a korábban mentett új biztonságos tárfiók kapcsolati sztring.
   WEBSITE_CONTENTSHARE	Fájlmegosztás	Használja annak a fájlmegosztásnak a nevét, amelyet abban a biztonságos tárfiókban hoztak létre, amelyben a projekt üzembehelyezési fájljai találhatók.

3. Válassza az Alkalmaz lehetőséget, majd a Megerősítés lehetőséget az új alkalmazásbeállítások a függvényalkalmazásba való mentéséhez.

   A függvényalkalmazás újraindul.

Miután a függvényalkalmazás újraindult, csatlakozik a biztonságos tárfiókhoz.

Következő lépések

Az Azure Functions hálózatkezelési lehetőségei