Бөлісу құралы:


Использование защищенной учетной записи хранения с Функции Azure

В этой статье показано, как подключить приложение-функцию к защищенной учетной записи хранения. Подробное руководство по созданию приложения-функции с ограничениями для входящего и исходящего доступа см . в руководстве по интеграции с виртуальной сетью . Дополнительные сведения см. в статье Параметры сети для Функций Azure.

Ограничьте учетную запись хранения виртуальной сети

При создании приложения-функции создается новая учетная запись хранения или ссылка на существующую. В настоящее время только портал Azure, развертывания шаблонов ARM и развертывания Bicep поддерживают создание приложений-функций с существующей защищенной учетной записью хранения.

Примечание.

Защита учетной записи хранения поддерживается для всех уровней выделенного плана (Служба приложений) и плана Elastic Premium, а также в плане потребления Flex.
План потребления не поддерживает виртуальные сети.

Список всех ограничений для учетных записей хранения см. в разделе "Требования к учетной записи хранения".

Внимание

План потребления Flex в настоящее время находится в предварительной версии.

Безопасное хранилище во время создания приложения-функции

Вы можете создать приложение-функцию вместе с новой учетной записью хранения, защищенной за виртуальной сетью. В следующих ссылках показано, как создать эти ресурсы с помощью портал Azure или с помощью шаблонов развертывания:

Выполните действия, описанные в разделе "Создание приложения-функции" в плане "Премиум". В этом разделе руководства по виртуальной сети показано, как создать приложение-функцию, которое подключается к хранилищу через частные конечные точки.

Примечание.

При создании приложения-функции в портал Azure можно также выбрать существующую защищенную учетную запись хранения на вкладке хранилища. Однако необходимо настроить соответствующую сеть в приложении-функции, чтобы он смог подключиться через виртуальную сеть, используемую для защиты учетной записи хранения. Если у вас нет разрешений на настройку сети или вы еще не подготовили сеть, выберите "Настройка сети" после создания на вкладке "Сеть". Вы можете настроить сеть для нового приложения-функции на портале в разделе "Параметры>сети".

Безопасное хранилище для существующего приложения-функции

При наличии существующего приложения-функции можно напрямую настроить сеть в учетной записи хранения, используемой приложением. Этот процесс приводит к отключению приложения во время настройки сети и при перезапуске приложения.

Чтобы свести к минимуму время простоя, можно вместо этого переключить существующую учетную запись хранения для новой защищенной учетной записи хранения.

1. Включение интеграции виртуальной сети

Необходимо включить интеграцию виртуальной сети для приложения-функции.

  1. Выберите приложение-функцию с учетной записью хранения, которая не имеет конечных точек службы или частных конечных точек.

  2. Включите интеграцию виртуальной сети для приложения-функции.

2. Создание защищенной учетной записи хранения

Настройте безопасную учетную запись хранения для приложения-функции:

  1. Создайте вторую учетную запись хранения. Это будет безопасная учетная запись хранения, которую будет использовать приложение-функция. Вы также можете использовать существующую учетную запись хранения, которая еще не используется функциями.

  2. Скопируйте строку подключения для этой учетной записи хранения. Эта строка понадобится позже.

  3. Создайте общую папку в новой учетной записи хранения. Попробуйте использовать то же имя, что и общая папка в существующей учетной записи хранения. В противном случае потребуется скопировать имя новой общей папки, чтобы настроить параметр приложения позже.

  4. Обеспечьте защиту новой учетной записи хранения одним из следующих способов:

    • Создайте частную конечную точку. При настройке подключений к частной конечной точке создайте частные конечные точки для file подресурсов и blob подресурсов. Для Устойчивые функции необходимо также создавать queue и table подресурсы, доступные через частные конечные точки. Если вы используете пользовательский или локальный DNS-сервер, убедитесь, что DNS-сервер настроен для разрешения новых частных конечных точек.

    • Ограничить трафик определенными подсетями. Убедитесь, что одна из разрешенных подсетей — это приложение-функция, интегрированная с сетью. Дважды убедитесь, что подсеть имеет конечную точку службы в Microsoft.Storage.

  5. Скопируйте содержимое файла и большого двоичного объекта из текущей учетной записи хранения, используемой приложением-функцией, в только что защищенную учетную запись хранения и общую папку. AzCopy и служба хранилища Azure Explorer являются общими методами. Если вы используете обозреватель служба хранилища Azure, возможно, потребуется разрешить IP-адрес клиента брандмауэру учетной записи хранения.

Теперь вы готовы настроить приложение-функцию для взаимодействия с новой защищенной учетной записью хранения.

3. Включение маршрутизации приложений и конфигурации

Примечание.

Эти действия конфигурации необходимы только для планов размещения Elastic Premium и выделенных (Служба приложений). План потребления Flex не требует настройки параметров сайта для настройки сети.

Теперь необходимо перенаправить трафик приложения-функции для передачи через виртуальную сеть.

  1. Включите маршрутизацию приложений для маршрутизации трафика приложения в виртуальную сеть.

    • Перейдите на вкладку "Сеть" приложения-функции. В разделе "Конфигурация исходящего трафика" выберите подсеть, связанную с интеграцией виртуальной сети.

    • На новой странице установите флажок для исходящего интернет-трафика в разделе маршрутизации приложений.

  2. Включите маршрутизацию общего ресурса содержимого, чтобы приложение-функция взаимодействовала с новой учетной записью хранения через свою виртуальную сеть.

    • На той же странице установите флажок для хранилища содержимого в разделе "Маршрутизация конфигурации".

4. Обновление параметров приложения

Наконец, необходимо обновить параметры приложения, чтобы указать новую безопасную учетную запись хранения.

  1. Измените параметры приложения на вкладке "Конфигурация " приложения-функции следующим образом:

    Имя настройки Значение Комментарии
    AzureWebJobsStorage
    WEBSITE_CONTENTAZUREFILECONNECTIONSTRING
    строка подключения к хранилищу; Оба параметра содержат строка подключения для новой защищенной учетной записи хранения, которую вы сохранили ранее.
    WEBSITE_CONTENTSHARE Общая папка Имя общей папки, созданной в защищенной учетной записи хранения, где находятся файлы развертывания проекта.
  2. Нажмите кнопку Сохранить, чтобы сохранить параметры приложения. После изменения параметров приложения оно будет перезапущено.

После перезапуска приложение-функция будет подключено к защищенной учетной записи хранения.

Следующие шаги