Cara menggunakan akun penyimpanan aman dengan Azure Functions

Artikel ini memperlihatkan kepada Anda cara menyambungkan aplikasi fungsi ke akun penyimpanan aman. Untuk tutorial mendalam tentang cara membuat aplikasi fungsi Anda dengan pembatasan akses masuk dan keluar, lihat tutorial Integrasikan dengan jaringan virtual. Untuk mempelajari selengkapnya tentang Azure Functions dan jaringan, lihat Opsi jaringan Azure Functions.

Membatasi akun penyimpanan Anda ke jaringan virtual

Saat membuat aplikasi fungsi, Anda membuat akun penyimpanan baru atau menautkan ke yang sudah ada. Saat ini, hanya templat ARM dan penyebaran Bicep yang mendukung pembuatan aplikasi fungsi dengan akun penyimpanan aman yang ada.

Catatan

Mengamankan akun penyimpanan Anda didukung untuk semua tingkatan dalam paket Dedicated (App Service) dan Elastic Premium. Paket konsumsi saat ini tidak mendukung jaringan virtual.

Untuk daftar semua batasan pada akun penyimpanan, lihat Persyaratan akun penyimpanan.

Penyimpanan aman selama pembuatan aplikasi fungsi

Anda dapat membuat aplikasi fungsi bersama dengan akun penyimpanan baru yang diamankan di belakang jaringan virtual yang dapat diakses melalui titik akhir privat. Tautan berikut menunjukkan kepada Anda cara membuat sumber daya ini dengan menggunakan portal Azure atau dengan menggunakan templat penyebaran:

Portal Azure

Selesaikan tutorial berikut untuk membuat aplikasi fungsi baru akun penyimpanan aman: Gunakan titik akhir privat untuk mengintegrasikan Azure Functions dengan jaringan virtual.

Templat penyebaran

Gunakan file Bicep atau templat Azure Resource Manager (ARM) untuk membuat aplikasi fungsi aman dan sumber daya akun penyimpanan. Saat Anda membuat akun penyimpanan aman dalam penyebaran otomatis, Anda harus mengatur vnetContentShareEnabled properti situs, membuat berbagi file sebagai bagian dari penyebaran Anda, dan mengatur WEBSITE_CONTENTSHARE pengaturan aplikasi ke nama berbagi file. Untuk informasi selengkapnya, termasuk tautan ke contoh penyebaran, lihat Penyebaran aman.

Penyimpanan aman untuk aplikasi fungsi yang ada

Saat Anda memiliki aplikasi fungsi yang sudah ada, Anda tidak dapat langsung mengamankan akun penyimpanan yang saat ini digunakan oleh aplikasi. Sebagai gantinya, Anda harus menukar akun penyimpanan yang ada untuk akun penyimpanan baru yang aman.

1. Aktifkan integrasi jaringan virtual

Sebagai prasyarat, Anda perlu mengaktifkan integrasi jaringan virtual untuk aplikasi fungsi Anda.

1. Pilih aplikasi fungsi dengan akun penyimpanan yang tidak mengaktifkan titik akhir layanan atau titik akhir privat.

2. Aktifkan integrasi jaringan virtual untuk aplikasi fungsi Anda.

2. Buat akun penyimpanan aman

Siapkan akun penyimpanan aman untuk aplikasi fungsi Anda:

1. Buat akun penyimpanan kedua. Ini akan menjadi akun penyimpanan aman yang akan digunakan aplikasi fungsi Anda sebagai gantinya. Anda juga dapat menggunakan akun penyimpanan yang sudah ada yang belum digunakan oleh Functions.

2. Salin string koneksi untuk akun penyimpanan ini. Anda memerlukan string ini untuk nanti.

3. Buat berbagi file di akun penyimpanan baru. Cobalah untuk menggunakan nama yang sama dengan berbagi file di akun penyimpanan yang ada. Jika tidak, Anda harus menyalin nama berbagi file baru untuk mengonfigurasi pengaturan aplikasi nanti.

4. Amankan akun penyimpanan baru dengan salah satu cara berikut:

   • Buat titik akhir privat. Saat Anda menyiapkan koneksi titik akhir privat, buat titik akhir privat untuk file sub sumber daya dan blob . Untuk Durable Functions, Anda juga harus membuat queue dan table sub-sumber daya dapat diakses melalui titik akhir privat. Jika Anda menggunakan server DNS kustom atau lokal, pastikan Anda mengonfigurasi server DNS untuk mengatasi titik akhir privat baru.

   • Batasi lalu lintas ke subnet tertentu. Pastikan bahwa salah satu subnet yang diizinkan adalah salah satu aplikasi fungsi Anda terintegrasi dengan jaringan. Periksa kembali apakah subnet memiliki titik akhir layanan ke Microsoft.Storage.

5. Salin konten file dan blob dari akun penyimpanan saat ini yang digunakan oleh aplikasi fungsi ke akun penyimpanan dan berbagi file yang baru diamankan. AzCopy dan Azure Storage Explorer adalah metode umum. Jika Anda menggunakan Azure Storage Explorer, Anda mungkin perlu mengizinkan alamat IP klien Anda ke firewall akun penyimpanan Anda.

Sekarang Anda siap untuk mengonfigurasi aplikasi fungsi Anda untuk berkomunikasi dengan akun penyimpanan yang baru diamankan.

3. Aktifkan perutean aplikasi dan konfigurasi

Anda sekarang harus merutekan lalu lintas aplikasi fungsi Anda untuk melalui jaringan virtual.

1. Aktifkan perutean aplikasi untuk merutekan lalu lintas aplikasi Anda ke jaringan virtual.

   • Navigasikan ke tab Jaringan aplikasi fungsi Anda. Di bawah Konfigurasi lalu lintas keluar, pilih subnet yang terkait dengan integrasi jaringan virtual Anda.

   • Di halaman baru, centang kotak untuk Lalu lintas internet keluar di bawah Perutean aplikasi.

2. Aktifkan perutean berbagi konten agar aplikasi fungsi Anda berkomunikasi dengan akun penyimpanan baru Anda melalui jaringan virtualnya.

   • Di halaman yang sama, centang kotak untuk Penyimpanan konten di bawah Perutean konfigurasi.

4. Memperbarui pengaturan aplikasi

Terakhir, Anda perlu memperbarui pengaturan aplikasi untuk mengarahkan ke akun penyimpanan aman baru.

1. Perbarui Pengaturan Aplikasi di bawah tab Konfigurasi aplikasi fungsi Anda ke hal berikut:

   Nama pengaturan	Nilai	Komentar
   AzureWebJobsStorage WEBSITE_CONTENTAZUREFILECONNECTIONSTRING	String koneksi penyimpanan	Kedua pengaturan berisi string koneksi untuk akun penyimpanan aman baru, yang Anda simpan sebelumnya.
   WEBSITE_CONTENTSHARE	Berbagi file	Nama berbagi file yang dibuat di akun penyimpanan aman tempat file penyebaran proyek berada.

2. Pilih Simpan untuk menyimpan pengaturan aplikasi. Mengubah pengaturan aplikasi menyebabkan aplikasi dimulai ulang.

Setelah aplikasi fungsi dimulai ulang, sekarang tersambung ke akun penyimpanan aman.

Langkah berikutnya

Opsi jaringan Azure Functions