Cara menggunakan akun penyimpanan aman dengan Azure Functions

Artikel ini memperlihatkan kepada Anda cara menyambungkan aplikasi fungsi ke akun penyimpanan aman. Untuk tutorial mendalam tentang cara membuat aplikasi fungsi Anda dengan pembatasan akses masuk dan keluar, lihat tutorial Mengintegrasikan dengan jaringan virtual. Untuk mempelajari selengkapnya tentang Azure Functions dan jaringan, lihat Opsi jaringan Azure Functions.

Membatasi akun penyimpanan Anda ke jaringan virtual

Saat membuat aplikasi fungsi, Anda membuat akun penyimpanan baru atau menautkan ke yang sudah ada. Saat ini, hanya portal Azure, penyebaran templat ARM, dan penyebaran Bicep yang mendukung pembuatan aplikasi fungsi dengan akun penyimpanan aman yang ada.

Catatan

Akun penyimpanan aman didukung untuk semua tingkat paket Khusus (App Service) dan paket Elastic Premium. Mereka juga didukung oleh paket Konsumsi Flex. Paket Konsumsi tidak mendukung jaringan virtual.

Untuk daftar semua batasan pada akun penyimpanan, lihat Persyaratan akun penyimpanan.

Penting

Paket Konsumsi Flex saat ini dalam pratinjau.

Penyimpanan aman selama pembuatan aplikasi fungsi

Anda dapat membuat aplikasi fungsi, bersama dengan akun penyimpanan baru yang diamankan di belakang jaringan virtual. Bagian berikut menunjukkan kepada Anda cara membuat sumber daya ini dengan menggunakan portal Azure atau dengan menggunakan templat penyebaran.

Portal Azure

Selesaikan langkah-langkah dalam Membuat aplikasi fungsi dalam paket Premium. Bagian tutorial jaringan virtual ini menunjukkan kepada Anda cara membuat aplikasi fungsi yang terhubung ke penyimpanan melalui titik akhir privat.

Catatan

Saat membuat aplikasi fungsi di portal Azure, Anda juga dapat memilih akun penyimpanan aman yang ada di tab Penyimpanan. Namun, Anda harus mengonfigurasi jaringan yang sesuai pada aplikasi fungsi sehingga dapat terhubung melalui jaringan virtual yang digunakan untuk mengamankan akun penyimpanan. Jika Anda tidak memiliki izin untuk mengonfigurasi jaringan atau belum sepenuhnya menyiapkan jaringan, pilih Konfigurasikan jaringan setelah pembuatan di tab Jaringan. Anda dapat mengonfigurasi jaringan untuk aplikasi fungsi baru Anda di portal di bawah Pengaturan>Jaringan.

Templat penyebaran

Gunakan file Bicep atau templat Azure Resource Manager (ARM) untuk membuat aplikasi fungsi aman dan sumber daya akun penyimpanan. Saat Anda membuat akun penyimpanan aman dalam penyebaran otomatis, Anda harus mengatur vnetContentShareEnabled properti situs, membuat berbagi file sebagai bagian dari penyebaran Anda, dan mengatur WEBSITE_CONTENTSHARE pengaturan aplikasi ke nama berbagi file. Untuk informasi selengkapnya, termasuk tautan ke contoh penyebaran, lihat Penyebaran aman.

Penyimpanan aman untuk aplikasi fungsi yang ada

Saat Anda memiliki aplikasi fungsi yang sudah ada, Anda dapat langsung mengonfigurasi jaringan di akun penyimpanan yang digunakan oleh aplikasi. Namun, proses ini menyebabkan aplikasi fungsi Anda tidak berfungsi saat Anda mengonfigurasi jaringan dan saat aplikasi fungsi Anda dimulai ulang.

Untuk meminimalkan waktu henti, Anda dapat menukar akun penyimpanan yang ada untuk akun penyimpanan baru yang aman.

1. Aktifkan integrasi jaringan virtual

Sebagai prasyarat, Anda perlu mengaktifkan integrasi jaringan virtual untuk aplikasi fungsi Anda:

1. Pilih aplikasi fungsi dengan akun penyimpanan yang tidak mengaktifkan titik akhir layanan atau titik akhir privat.

2. Aktifkan integrasi jaringan virtual untuk aplikasi fungsi Anda.

2. Buat akun penyimpanan aman

Siapkan akun penyimpanan aman untuk aplikasi fungsi Anda:

1. Buat akun penyimpanan kedua. Akun penyimpanan ini adalah akun penyimpanan aman untuk digunakan aplikasi fungsi Anda alih-alih akun penyimpanan aslinya yang tidak aman. Anda juga dapat menggunakan akun penyimpanan yang sudah ada yang belum digunakan oleh Functions.

2. Simpan string koneksi untuk digunakan akun penyimpanan ini nanti.

3. Buat berbagi file di akun penyimpanan baru. Untuk kenyamanan Anda, Anda dapat menggunakan nama berbagi file yang sama dari akun penyimpanan asli Anda. Jika tidak, jika Anda menggunakan nama berbagi file baru, Anda harus memperbarui pengaturan aplikasi.

4. Amankan akun penyimpanan baru dengan salah satu cara berikut:

   • Buat titik akhir privat. Saat Anda menyiapkan koneksi titik akhir privat Anda, buat titik akhir privat untuk file sub sumber daya dan blob . Untuk Durable Functions, Anda juga harus membuat queue dan table sub-sumber daya dapat diakses melalui titik akhir privat. Jika Anda menggunakan server Sistem Nama Domain (DNS) kustom atau lokal, konfigurasikan server DNS Anda untuk mengatasi titik akhir privat baru.

   • Batasi lalu lintas ke subnet tertentu. Pastikan aplikasi fungsi Anda terintegrasi dengan subnet yang diizinkan dan subnet memiliki titik akhir layanan ke Microsoft.Storage.

5. Salin konten file dan blob dari akun penyimpanan saat ini yang digunakan oleh aplikasi fungsi ke akun penyimpanan dan berbagi file yang baru diamankan. AzCopy dan Azure Storage Explorer adalah metode umum. Jika Anda menggunakan Azure Storage Explorer, Anda mungkin perlu mengizinkan akses alamat IP klien ke firewall akun penyimpanan Anda.

Sekarang Anda siap untuk mengonfigurasi aplikasi fungsi Anda untuk berkomunikasi dengan akun penyimpanan yang baru diamankan.

3. Aktifkan perutean aplikasi dan konfigurasi

Catatan

Langkah-langkah konfigurasi ini hanya diperlukan untuk paket hosting Elastic Premium dan Dedicated (App Service ). Paket Konsumsi Flex tidak memerlukan pengaturan situs untuk mengonfigurasi jaringan.

Anda sekarang siap untuk merutekan lalu lintas aplikasi fungsi Anda untuk melalui jaringan virtual:

1. Aktifkan perutean aplikasi untuk merutekan lalu lintas aplikasi Anda ke jaringan virtual:

   1. Di aplikasi fungsi Anda, perluas Pengaturan, lalu pilih Jaringan. Di halaman Jaringan , di bawah Konfigurasi lalu lintas keluar, pilih subnet yang terkait dengan integrasi jaringan virtual Anda.

   2. Di halaman baru, di bawah Perutean aplikasi, pilih Lalu lintas internet keluar.

2. Aktifkan perutean berbagi konten untuk memungkinkan aplikasi fungsi Anda berkomunikasi dengan akun penyimpanan baru Anda melalui jaringan virtualnya. Di halaman yang sama dengan langkah sebelumnya, di bawah Perutean konfigurasi, pilih Penyimpanan konten.

Catatan

Anda harus berhati-hati saat merutekan ke berbagi konten di akun penyimpanan yang dibagikan oleh beberapa aplikasi fungsi dalam paket yang sama. Untuk informasi selengkapnya, lihat Perutean yang konsisten melalui jaringan virtual di artikel Pertimbangan penyimpanan.

4. Memperbarui pengaturan aplikasi

Terakhir, Anda perlu memperbarui pengaturan aplikasi untuk menunjuk ke akun penyimpanan aman baru:

1. Di aplikasi fungsi Anda, perluas Pengaturan, lalu pilih Variabel lingkungan.

2. Di tab Pengaturan aplikasi, perbarui pengaturan berikut dengan memilih setiap pengaturan, mengeditnya, lalu memilih Terapkan:

   Nama pengaturan	Nilai	Komentar
   AzureWebJobsStorage	String koneksi penyimpanan	Gunakan string koneksi untuk akun penyimpanan aman baru Anda, yang Anda simpan sebelumnya.
   WEBSITE_CONTENTAZUREFILECONNECTIONSTRING	String koneksi penyimpanan	Gunakan string koneksi untuk akun penyimpanan aman baru Anda, yang Anda simpan sebelumnya.
   WEBSITE_CONTENTSHARE	Berbagi file	Gunakan nama berbagi file yang dibuat di akun penyimpanan aman tempat file penyebaran proyek berada.

3. Pilih Terapkan, lalu Konfirmasi untuk menyimpan pengaturan aplikasi baru di aplikasi fungsi.

   Aplikasi fungsi dimulai ulang.

Setelah aplikasi fungsi selesai dimulai ulang, aplikasi tersebut terhubung ke akun penyimpanan aman.

Langkah berikutnya

Opsi jaringan Azure Functions