Использование защищенной учетной записи хранения с Функции Azure
В этой статье показано, как подключить приложение-функцию к защищенной учетной записи хранения. Подробное руководство по созданию приложения-функции с ограничениями для входящего и исходящего доступа см . в руководстве по интеграции с виртуальной сетью . Дополнительные сведения см. в статье Параметры сети для Функций Azure.
Ограничьте учетную запись хранения виртуальной сети
При создании приложения-функции создается новая учетная запись хранения или ссылка на существующую. В настоящее время только портал Azure, развертывания шаблонов ARM и развертывания Bicep поддерживают создание приложений-функций с существующей защищенной учетной записью хранения.
Примечание.
Защита учетной записи хранения поддерживается для всех уровней выделенного плана (Служба приложений) и плана Elastic Premium, а также в плане потребления Flex.
План потребления не поддерживает виртуальные сети.
Список всех ограничений для учетных записей хранения см. в разделе "Требования к учетной записи хранения".
Внимание
План потребления Flex в настоящее время находится в предварительной версии.
Безопасное хранилище во время создания приложения-функции
Вы можете создать приложение-функцию вместе с новой учетной записью хранения, защищенной за виртуальной сетью. В следующих ссылках показано, как создать эти ресурсы с помощью портал Azure или с помощью шаблонов развертывания:
Выполните действия, описанные в разделе "Создание приложения-функции" в плане "Премиум". В этом разделе руководства по виртуальной сети показано, как создать приложение-функцию, которое подключается к хранилищу через частные конечные точки.
Примечание.
При создании приложения-функции в портал Azure можно также выбрать существующую защищенную учетную запись хранения на вкладке хранилища. Однако необходимо настроить соответствующую сеть в приложении-функции, чтобы он смог подключиться через виртуальную сеть, используемую для защиты учетной записи хранения. Если у вас нет разрешений на настройку сети или вы еще не подготовили сеть, выберите "Настройка сети" после создания на вкладке "Сеть". Вы можете настроить сеть для нового приложения-функции на портале в разделе "Параметры>сети".
Безопасное хранилище для существующего приложения-функции
При наличии существующего приложения-функции можно напрямую настроить сеть в учетной записи хранения, используемой приложением. Этот процесс приводит к отключению приложения во время настройки сети и при перезапуске приложения.
Чтобы свести к минимуму время простоя, можно вместо этого переключить существующую учетную запись хранения для новой защищенной учетной записи хранения.
1. Включение интеграции виртуальной сети
Необходимо включить интеграцию виртуальной сети для приложения-функции.
Выберите приложение-функцию с учетной записью хранения, которая не имеет конечных точек службы или частных конечных точек.
Включите интеграцию виртуальной сети для приложения-функции.
2. Создание защищенной учетной записи хранения
Настройте безопасную учетную запись хранения для приложения-функции:
Создайте вторую учетную запись хранения. Это будет безопасная учетная запись хранения, которую будет использовать приложение-функция. Вы также можете использовать существующую учетную запись хранения, которая еще не используется функциями.
Скопируйте строку подключения для этой учетной записи хранения. Эта строка понадобится позже.
Создайте общую папку в новой учетной записи хранения. Попробуйте использовать то же имя, что и общая папка в существующей учетной записи хранения. В противном случае потребуется скопировать имя новой общей папки, чтобы настроить параметр приложения позже.
Обеспечьте защиту новой учетной записи хранения одним из следующих способов:
Создайте частную конечную точку. При настройке подключений к частной конечной точке создайте частные конечные точки для
file
подресурсов иblob
подресурсов. Для Устойчивые функции необходимо также создаватьqueue
иtable
подресурсы, доступные через частные конечные точки. Если вы используете пользовательский или локальный DNS-сервер, убедитесь, что DNS-сервер настроен для разрешения новых частных конечных точек.Ограничить трафик определенными подсетями. Убедитесь, что одна из разрешенных подсетей — это приложение-функция, интегрированная с сетью. Дважды убедитесь, что подсеть имеет конечную точку службы в Microsoft.Storage.
Скопируйте содержимое файла и большого двоичного объекта из текущей учетной записи хранения, используемой приложением-функцией, в только что защищенную учетную запись хранения и общую папку. AzCopy и служба хранилища Azure Explorer являются общими методами. Если вы используете обозреватель служба хранилища Azure, возможно, потребуется разрешить IP-адрес клиента брандмауэру учетной записи хранения.
Теперь вы готовы настроить приложение-функцию для взаимодействия с новой защищенной учетной записью хранения.
3. Включение маршрутизации приложений и конфигурации
Примечание.
Эти действия конфигурации необходимы только для планов размещения Elastic Premium и выделенных (Служба приложений). План потребления Flex не требует настройки параметров сайта для настройки сети.
Теперь необходимо перенаправить трафик приложения-функции для передачи через виртуальную сеть.
Включите маршрутизацию приложений для маршрутизации трафика приложения в виртуальную сеть.
Перейдите на вкладку "Сеть" приложения-функции. В разделе "Конфигурация исходящего трафика" выберите подсеть, связанную с интеграцией виртуальной сети.
На новой странице установите флажок для исходящего интернет-трафика в разделе маршрутизации приложений.
Включите маршрутизацию общего ресурса содержимого, чтобы приложение-функция взаимодействовала с новой учетной записью хранения через свою виртуальную сеть.
- На той же странице установите флажок для хранилища содержимого в разделе "Маршрутизация конфигурации".
4. Обновление параметров приложения
Наконец, необходимо обновить параметры приложения, чтобы указать новую безопасную учетную запись хранения.
Измените параметры приложения на вкладке "Конфигурация " приложения-функции следующим образом:
Имя настройки Значение Комментарии AzureWebJobsStorage
WEBSITE_CONTENTAZUREFILECONNECTIONSTRING
строка подключения к хранилищу; Оба параметра содержат строка подключения для новой защищенной учетной записи хранения, которую вы сохранили ранее. WEBSITE_CONTENTSHARE
Общая папка Имя общей папки, созданной в защищенной учетной записи хранения, где находятся файлы развертывания проекта. Нажмите кнопку Сохранить, чтобы сохранить параметры приложения. После изменения параметров приложения оно будет перезапущено.
После перезапуска приложение-функция будет подключено к защищенной учетной записи хранения.
Следующие шаги
Кері байланыс
https://aka.ms/ContentUserFeedback.
Жақында қолжетімді болады: 2024 жыл бойы біз GitHub Issues жүйесін мазмұнға арналған кері байланыс механизмі ретінде біртіндеп қолданыстан шығарамыз және оны жаңа кері байланыс жүйесімен ауыстырамыз. Қосымша ақпаратты мұнда қараңыз:Жіберу және пікірді көру