Een beveiligd opslagaccount gebruiken met Azure Functions
In dit artikel leest u hoe u uw functie-app verbindt met een beveiligd opslagaccount. Raadpleeg de zelfstudie Integreren met een virtueel netwerk voor een uitgebreide zelfstudie over het maken van uw functie-app met inkomende en uitgaande toegangsbeperkingen. Zie Azure Functions-netwerkopties voor meer informatie over Azure Functions en netwerken.
Uw opslagaccount beperken tot een virtueel netwerk
Wanneer u een functie-app maakt, maakt u een nieuw opslagaccount of maakt u een koppeling naar een bestaand opslagaccount. Momenteel ondersteunen alleen ARM-sjabloon en Bicep-implementaties het maken van functie-apps met een bestaand beveiligd opslagaccount.
Notitie
Het beveiligen van uw opslagaccount wordt ondersteund voor alle lagen in zowel Toegewezen (App Service) als Elastic Premium-abonnementen. Verbruiksabonnementen bieden momenteel geen ondersteuning voor virtuele netwerken.
Zie De vereisten voor opslagaccounts voor een lijst met alle beperkingen voor opslagaccounts.
Beveiligde opslag tijdens het maken van een functie-app
U kunt een functie-app maken, samen met een nieuw opslagaccount dat is beveiligd achter een virtueel netwerk dat toegankelijk is via privé-eindpunten. In de volgende koppelingen ziet u hoe u deze resources maakt met behulp van Azure Portal of met behulp van implementatiesjablonen:
Voltooi de volgende zelfstudie om een nieuwe functie-app te maken met een beveiligd opslagaccount: Gebruik privé-eindpunten om Azure Functions te integreren met een virtueel netwerk.
Beveiligde opslag voor een bestaande functie-app
Wanneer u een bestaande functie-app hebt, kunt u het opslagaccount dat momenteel door de app wordt gebruikt, niet rechtstreeks beveiligen. U moet in plaats daarvan het bestaande opslagaccount verwisselen voor een nieuw, beveiligd opslagaccount.
1. Integratie van virtuele netwerken inschakelen
Als vereiste moet u integratie van virtuele netwerken inschakelen voor uw functie-app.
Kies een functie-app met een opslagaccount waarvoor geen service-eindpunten of privé-eindpunten zijn ingeschakeld.
Schakel integratie van virtuele netwerken in voor uw functie-app.
2. Een beveiligd opslagaccount maken
Stel een beveiligd opslagaccount in voor uw functie-app:
Maak een tweede opslagaccount. Dit wordt het beveiligde opslagaccount dat in plaats daarvan door uw functie-app wordt gebruikt. U kunt ook een bestaand opslagaccount gebruiken dat nog niet door Functions wordt gebruikt.
Kopieer de verbindingsreeks voor dit opslagaccount. U hebt deze tekenreeks nodig voor later gebruik.
Maak een bestandsshare in het nieuwe opslagaccount. Gebruik dezelfde naam als de bestandsshare in het bestaande opslagaccount. Anders moet u de naam van de nieuwe bestandsshare kopiëren om later een app-instelling te configureren.
Beveilig het nieuwe opslagaccount op een van de volgende manieren:
Maak een privé-eindpunt. Wanneer u privé-eindpuntverbindingen instelt, maakt u privé-eindpunten voor de
file
enblob
subresources. Voor Durable Functions moet u ook bronnen toegankelijk maken entable
subresources toegankelijk makenqueue
via privé-eindpunten. Als u een aangepaste of on-premises DNS-server gebruikt, moet u uw DNS-server zo configureren dat deze wordt omgezet in de nieuwe privé-eindpunten.Beperk verkeer naar specifieke subnetten. Zorg ervoor dat een van de toegestane subnetten het netwerk is waarmee uw functie-app is geïntegreerd. Controleer of het subnet een service-eindpunt heeft voor Microsoft.Storage.
Kopieer het bestand en de blob-inhoud van het huidige opslagaccount dat door de functie-app wordt gebruikt naar het zojuist beveiligde opslagaccount en de bestandsshare. AzCopy en Azure Storage Explorer zijn veelgebruikte methoden. Als u Azure Storage Explorer gebruikt, moet u mogelijk het IP-adres van uw client toestaan in de firewall van uw opslagaccount.
U bent nu klaar om uw functie-app te configureren om te communiceren met het zojuist beveiligde opslagaccount.
3. Toepassings- en configuratieroutering inschakelen
U moet nu het verkeer van uw functie-app routeren om via het virtuele netwerk te gaan.
Schakel toepassingsroutering in om het verkeer van uw app naar het virtuele netwerk te routeren .
Navigeer naar het tabblad Netwerken van uw functie-app. Selecteer onder Configuratie van uitgaand verkeer het subnet dat is gekoppeld aan de integratie van uw virtuele netwerk.
Schakel op de nieuwe pagina het selectievakje in voor uitgaand internetverkeer onder Toepassingsroutering.
Schakel routering van inhoudsshares in om uw functie-app te laten communiceren met uw nieuwe opslagaccount via het virtuele netwerk.
- Schakel op dezelfde pagina het selectievakje voor inhoudsopslag in onder Configuratieroutering.
4. Toepassingsinstellingen bijwerken
Ten slotte moet u uw toepassingsinstellingen bijwerken om naar het nieuwe beveiligde opslagaccount te verwijzen.
Werk de toepassings-Instellingen bij onder het tabblad Configuratie van uw functie-app naar het volgende:
Naam instelling Weergegeven als Opmerking AzureWebJobsStorage
WEBSITE_CONTENTAZUREFILECONNECTIONSTRING
Opslag verbindingsreeks Beide instellingen bevatten de verbindingsreeks voor het nieuwe beveiligde opslagaccount, dat u eerder hebt opgeslagen. WEBSITE_CONTENTSHARE
Bestandsshare De naam van de bestandsshare die is gemaakt in het beveiligde opslagaccount waarin de projectimplementatiebestanden zich bevinden. Selecteer Opslaan om de toepassingsinstellingen op te slaan. Als u app-instellingen wijzigt, wordt de app opnieuw opgestart.
Nadat de functie-app opnieuw is opgestart, is deze nu verbonden met een beveiligd opslagaccount.