Azure Functions에서 보안 스토리지 계정을 사용하는 방법

이 문서에서는 함수 앱을 보안 스토리지 계정에 연결하는 방법을 보여 줍니다. 인바운드 및 아웃바운드 액세스 제한으로 함수 앱을 만드는 방법에 대한 자세한 자습서는 가상 네트워크와 통합 자습서를 참조하세요. Azure Functions 및 네트워킹에 대한 자세한 내용은 Azure Functions 네트워킹 옵션을 참조 하세요.

가상 네트워크에 대한 스토리지 계정 제한

함수 앱을 만들 때 새 스토리지 계정을 만들거나 기존 스토리지 계정에 연결합니다. 현재 ARM 템플릿 및 Bicep 배포만 기존 보안 스토리지 계정으로 함수 앱 만들기를 지원합니다.

참고 항목

스토리지 계정 보안은 Dedicated(App Service) 및 Elastic Premium 요금제의 모든 계층에 대해 지원됩니다. 소비 계획은 현재 가상 네트워크를 지원하지 않습니다.

스토리지 계정에 대한 모든 제한 사항 목록은 Storage 계정 요구 사항을 참조 하세요.

함수 앱을 만드는 동안 스토리지 보호

프라이빗 엔드포인트를 통해 액세스할 수 있는 가상 네트워크 뒤에서 보호되는 새 스토리지 계정과 함께 함수 앱을 만들 수 있습니다. 다음 링크에서는 Azure Portal을 사용하거나 배포 템플릿을 사용하여 이러한 리소스를 만드는 방법을 보여 줍니다.

Azure Portal

보안 스토리지 계정 으로 새 함수 앱을 만들려면 다음 자습서를 완료합니다. 프라이빗 엔드포인트를 사용하여 Azure Functions를 가상 네트워크와 통합합니다.

배포 템플릿

Bicep 파일 또는 ARM(Azure Resource Manager) 템플릿을 사용하여 보안 함수 앱 및 스토리지 계정 리소스를 만듭니다. 자동화된 배포에서 보안 스토리지 계정을 만들 때 사이트 속성을 설정하고 vnetContentShareEnabled , 배포의 일부로 파일 공유를 만들고, 앱 설정을 파일 공유의 이름으로 설정 WEBSITE_CONTENTSHARE 해야 합니다. 예제 배포에 대한 링크를 비롯한 자세한 내용은 보안 배포를 참조 하세요.

기존 함수 앱에 대한 보안 스토리지

기존 함수 앱이 있는 경우 앱에서 현재 사용 중인 스토리지 계정을 직접 보호할 수 없습니다. 대신 새 보안 스토리지 계정에 대한 기존 스토리지 계정을 교체해야 합니다.

1. 가상 네트워크 통합 사용

필수 조건으로 함수 앱에 가상 네트워크 통합을 사용하도록 설정해야 합니다.

1. 서비스 엔드포인트 또는 프라이빗 엔드포인트를 사용하도록 설정하지 않은 스토리지 계정이 있는 함수 앱을 선택합니다.

2. 함수 앱에 가상 네트워크 통합 을 사용하도록 설정합니다.

2. 보안 스토리지 계정 만들기

함수 앱에 대한 보안 스토리지 계정을 설정합니다.

1. 두 번째 스토리지 계정을 만듭니다. 함수 앱에서 대신 사용할 보안 스토리지 계정이 됩니다. Functions에서 아직 사용하지 않는 기존 스토리지 계정을 사용할 수도 있습니다.

2. 이 스토리지 계정에 대한 연결 문자열을 복사합니다. 나중에 이 문자열이 필요합니다.

3. 새 스토리지 계정에 파일 공유 를 만듭니다. 기존 스토리지 계정의 파일 공유와 동일한 이름을 사용하려고 합니다. 그렇지 않으면 나중에 앱 설정을 구성하기 위해 새 파일 공유의 이름을 복사해야 합니다.

4. 다음 방법 중 하나로 새 스토리지 계정을 보호합니다.

   • 프라이빗 엔드포인트 만들기 프라이빗 엔드포인트 연결을 설정할 때 및 blob 하위 리소스에 대한 프라이빗 엔드포인트를 file 만듭니다. Durable Functions의 경우 프라이빗 엔드포인트를 통해서도 하위 리소스에 액세스할 수 있도록 해야 queuetable 합니다. 사용자 지정 또는 온-프레미스 DNS 서버를 사용하는 경우 새 프라이빗 엔드포인트로 확인하도록 DNS 서버를 구성해야 합니다.

   • 트래픽을 특정 서브넷으로 제한합니다. 허용되는 서브넷 중 하나가 함수 앱이 네트워크와 통합된 서브넷인지 확인합니다. 서브넷에 Microsoft.Storage에 대한 서비스 엔드포인트가 있음을 두 번 검사.

5. 함수 앱에서 사용하는 현재 스토리지 계정의 파일 및 Blob 콘텐츠를 새로 보호된 스토리지 계정 및 파일 공유로 복사합니다. AzCopy 및 Azure Storage Explorer 는 일반적인 방법입니다. Azure Storage Explorer를 사용하는 경우 스토리지 계정의 방화벽에 클라이언트 IP 주소를 허용해야 할 수 있습니다.

이제 새로 보안된 스토리지 계정과 통신하도록 함수 앱을 구성할 준비가 되었습니다.

3. 애플리케이션 및 구성 라우팅 사용

이제 가상 네트워크를 통과하도록 함수 앱의 트래픽을 라우팅해야 합니다.

1. 애플리케이션 라우팅을 사용하여 앱의 트래픽을 가상 네트워크로 라우팅합니다.

   • 함수 앱의 네트워킹 탭으로 이동합니다. 아웃바운드 트래픽 구성에서 가상 네트워크 통합과 연결된 서브넷을 선택합니다.

   • 새 페이지에서 애플리케이션 라우팅에서 아웃바운드 인터넷 트래픽 상자를 검사.

2. 함수 앱이 가상 네트워크를 통해 새 스토리지 계정과 통신하도록 콘텐츠 공유 라우팅을 사용하도록 설정합니다.

   • 동일한 페이지에서 구성 라우팅에서 콘텐츠 스토리지 상자를 검사.

4. 애플리케이션 설정 업데이트

마지막으로 새 보안 스토리지 계정을 가리키도록 애플리케이션 설정을 업데이트해야 합니다.

1. 함수 앱의 구성 탭에서 애플리케이션 설정 다음으로 업데이트합니다.

   설정 이름	값	설명
   AzureWebJobsStorage WEBSITE_CONTENTAZUREFILECONNECTIONSTRING	스토리지 연결 문자열	두 설정 모두 이전에 저장한 새 보안 스토리지 계정에 대한 연결 문자열 포함합니다.
   WEBSITE_CONTENTSHARE	파일 공유	프로젝트 배포 파일이 있는 보안 스토리지 계정에서 만든 파일 공유의 이름입니다.

2. 저장을 선택하여 애플리케이션 설정을 저장합니다. 앱 설정을 변경하면 앱이 다시 시작됩니다.

함수 앱이 다시 시작되면 이제 보안 스토리지 계정에 연결됩니다.

다음 단계

Azure Functions 네트워킹 옵션