Een beveiligd opslagaccount gebruiken met Azure Functions

  • Artikel

In dit artikel leest u hoe u uw functie-app verbindt met een beveiligd opslagaccount. Raadpleeg de zelfstudie Integreren met een virtueel netwerk voor een uitgebreide zelfstudie over het maken van uw functie-app met inkomende en uitgaande toegangsbeperkingen. Zie Azure Functions-netwerkopties voor meer informatie over Azure Functions en netwerken.

Uw opslagaccount beperken tot een virtueel netwerk

Wanneer u een functie-app maakt, maakt u een nieuw opslagaccount of maakt u een koppeling naar een bestaand opslagaccount. Momenteel ondersteunen alleen ARM-sjabloon en Bicep-implementaties het maken van functie-apps met een bestaand beveiligd opslagaccount.

Notitie

Het beveiligen van uw opslagaccount wordt ondersteund voor alle lagen in zowel Toegewezen (App Service) als Elastic Premium-abonnementen. Verbruiksabonnementen bieden momenteel geen ondersteuning voor virtuele netwerken.

Zie De vereisten voor opslagaccounts voor een lijst met alle beperkingen voor opslagaccounts.

Beveiligde opslag tijdens het maken van een functie-app

U kunt een functie-app maken, samen met een nieuw opslagaccount dat is beveiligd achter een virtueel netwerk dat toegankelijk is via privé-eindpunten. In de volgende koppelingen ziet u hoe u deze resources maakt met behulp van Azure Portal of met behulp van implementatiesjablonen:

Voltooi de volgende zelfstudie om een nieuwe functie-app te maken met een beveiligd opslagaccount: Gebruik privé-eindpunten om Azure Functions te integreren met een virtueel netwerk.

Beveiligde opslag voor een bestaande functie-app

Wanneer u een bestaande functie-app hebt, kunt u het opslagaccount dat momenteel door de app wordt gebruikt, niet rechtstreeks beveiligen. U moet in plaats daarvan het bestaande opslagaccount verwisselen voor een nieuw, beveiligd opslagaccount.

1. Integratie van virtuele netwerken inschakelen

Als vereiste moet u integratie van virtuele netwerken inschakelen voor uw functie-app.

  1. Kies een functie-app met een opslagaccount waarvoor geen service-eindpunten of privé-eindpunten zijn ingeschakeld.

  2. Schakel integratie van virtuele netwerken in voor uw functie-app.

2. Een beveiligd opslagaccount maken

Stel een beveiligd opslagaccount in voor uw functie-app:

  1. Maak een tweede opslagaccount. Dit wordt het beveiligde opslagaccount dat in plaats daarvan door uw functie-app wordt gebruikt. U kunt ook een bestaand opslagaccount gebruiken dat nog niet door Functions wordt gebruikt.

  2. Kopieer de verbindingsreeks voor dit opslagaccount. U hebt deze tekenreeks nodig voor later gebruik.

  3. Maak een bestandsshare in het nieuwe opslagaccount. Gebruik dezelfde naam als de bestandsshare in het bestaande opslagaccount. Anders moet u de naam van de nieuwe bestandsshare kopiëren om later een app-instelling te configureren.

  4. Beveilig het nieuwe opslagaccount op een van de volgende manieren:

    • Maak een privé-eindpunt. Wanneer u privé-eindpuntverbindingen instelt, maakt u privé-eindpunten voor de file en blob subresources. Voor Durable Functions moet u ook bronnen toegankelijk maken en table subresources toegankelijk maken queue via privé-eindpunten. Als u een aangepaste of on-premises DNS-server gebruikt, moet u uw DNS-server zo configureren dat deze wordt omgezet in de nieuwe privé-eindpunten.

    • Beperk verkeer naar specifieke subnetten. Zorg ervoor dat een van de toegestane subnetten het netwerk is waarmee uw functie-app is geïntegreerd. Controleer of het subnet een service-eindpunt heeft voor Microsoft.Storage.

  5. Kopieer het bestand en de blob-inhoud van het huidige opslagaccount dat door de functie-app wordt gebruikt naar het zojuist beveiligde opslagaccount en de bestandsshare. AzCopy en Azure Storage Explorer zijn veelgebruikte methoden. Als u Azure Storage Explorer gebruikt, moet u mogelijk het IP-adres van uw client toestaan in de firewall van uw opslagaccount.

U bent nu klaar om uw functie-app te configureren om te communiceren met het zojuist beveiligde opslagaccount.

3. Toepassings- en configuratieroutering inschakelen

U moet nu het verkeer van uw functie-app routeren om via het virtuele netwerk te gaan.

  1. Schakel toepassingsroutering in om het verkeer van uw app naar het virtuele netwerk te routeren .

    • Navigeer naar het tabblad Netwerken van uw functie-app. Selecteer onder Configuratie van uitgaand verkeer het subnet dat is gekoppeld aan de integratie van uw virtuele netwerk.

    • Schakel op de nieuwe pagina het selectievakje in voor uitgaand internetverkeer onder Toepassingsroutering.

  2. Schakel routering van inhoudsshares in om uw functie-app te laten communiceren met uw nieuwe opslagaccount via het virtuele netwerk.

    • Schakel op dezelfde pagina het selectievakje voor inhoudsopslag in onder Configuratieroutering.

4. Toepassingsinstellingen bijwerken

Ten slotte moet u uw toepassingsinstellingen bijwerken om naar het nieuwe beveiligde opslagaccount te verwijzen.

  1. Werk de toepassings-Instellingen bij onder het tabblad Configuratie van uw functie-app naar het volgende:

    Naam instelling Weergegeven als Opmerking
    AzureWebJobsStorage
    WEBSITE_CONTENTAZUREFILECONNECTIONSTRING    		 Opslag verbindingsreeks Beide instellingen bevatten de verbindingsreeks voor het nieuwe beveiligde opslagaccount, dat u eerder hebt opgeslagen.
    WEBSITE_CONTENTSHARE Bestandsshare De naam van de bestandsshare die is gemaakt in het beveiligde opslagaccount waarin de projectimplementatiebestanden zich bevinden.

  2. Selecteer Opslaan om de toepassingsinstellingen op te slaan. Als u app-instellingen wijzigt, wordt de app opnieuw opgestart.

Nadat de functie-app opnieuw is opgestart, is deze nu verbonden met een beveiligd opslagaccount.

Volgende stappen

Netwerkopties van Azure Functions