Jak używać zabezpieczonego konta magazynu w usłudze Azure Functions

  • Artykuł

W tym artykule pokazano, jak połączyć aplikację funkcji z zabezpieczonym kontem magazynu. Szczegółowy samouczek dotyczący tworzenia aplikacji funkcji z ograniczeniami dostępu przychodzącego i wychodzącego można znaleźć w samouczku Integrowanie z siecią wirtualną. Aby dowiedzieć się więcej na temat usługi Azure Functions i sieci, zobacz Opcje sieci usługi Azure Functions.

Ograniczanie konta magazynu do sieci wirtualnej

Podczas tworzenia aplikacji funkcji utworzysz nowe konto magazynu lub utworzysz łącze do istniejącego. Obecnie tylko szablon usługi ARM i wdrożenia Bicep obsługują tworzenie aplikacji funkcji przy użyciu istniejącego zabezpieczonego konta magazynu.

Uwaga

Zabezpieczanie konta magazynu jest obsługiwane dla wszystkich warstw w planach Dedykowane (App Service) i Elastic Premium. Plany zużycia obecnie nie obsługują sieci wirtualnych.

Aby uzyskać listę wszystkich ograniczeń dotyczących kont magazynu, zobacz Wymagania dotyczące konta magazynu.

Bezpieczny magazyn podczas tworzenia aplikacji funkcji

Aplikację funkcji można utworzyć wraz z nowym kontem magazynu zabezpieczonym za siecią wirtualną dostępną za pośrednictwem prywatnych punktów końcowych. Poniższe linki pokazują, jak utworzyć te zasoby przy użyciu witryny Azure Portal lub przy użyciu szablonów wdrażania:

Wykonaj czynności opisane w poniższym samouczku, aby utworzyć nową aplikację funkcji zabezpieczone konto magazynu: integrowanie usługi Azure Functions z siecią wirtualną przy użyciu prywatnych punktów końcowych.

Bezpieczny magazyn dla istniejącej aplikacji funkcji

Jeśli masz istniejącą aplikację funkcji, nie można bezpośrednio zabezpieczyć konta magazynu używanego obecnie przez aplikację. Zamiast tego należy zamienić istniejące konto magazynu na nowe, zabezpieczone konto magazynu.

1. Włączanie integracji z siecią wirtualną

W ramach wymagań wstępnych należy włączyć integrację sieci wirtualnej dla aplikacji funkcji.

  1. Wybierz aplikację funkcji z kontem magazynu, które nie ma włączonych punktów końcowych usługi ani prywatnych punktów końcowych.

  2. Włącz integrację sieci wirtualnej dla aplikacji funkcji.

2. Tworzenie zabezpieczonego konta magazynu

Skonfiguruj zabezpieczone konto magazynu dla aplikacji funkcji:

  1. Utwórz drugie konto magazynu. Będzie to zabezpieczone konto magazynu używane przez aplikację funkcji. Możesz również użyć istniejącego konta magazynu, które nie jest jeszcze używane przez funkcje.

  2. Skopiuj parametry połączenia dla tego konta magazynu. Ten ciąg będzie potrzebny później.

  3. Utwórz udział plików na nowym koncie magazynu. Spróbuj użyć tej samej nazwy co udział plików na istniejącym koncie magazynu. W przeciwnym razie należy skopiować nazwę nowego udziału plików, aby później skonfigurować ustawienie aplikacji.

  4. Zabezpiecz nowe konto magazynu na jeden z następujących sposobów:

    • Utwórz prywatny punkt końcowy. Podczas konfigurowania połączeń prywatnych punktów końcowych utwórz prywatne punkty końcowe dla file podźródła i blob . W przypadku rozszerzenia Durable Functions należy również udostępnić queue zasoby podrzędne i table za pośrednictwem prywatnych punktów końcowych. Jeśli używasz niestandardowego lub lokalnego serwera DNS, upewnij się, że serwer DNS został skonfigurowany tak, aby rozpoznawał nowe prywatne punkty końcowe.

    • Ogranicz ruch do określonych podsieci. Upewnij się, że jedna z dozwolonych podsieci jest zintegrowana z aplikacją funkcji. Sprawdź dokładnie, czy podsieć ma punkt końcowy usługi microsoft.Storage.

  5. Skopiuj zawartość pliku i obiektu blob z bieżącego konta magazynu używanego przez aplikację funkcji do nowo zabezpieczonego konta magazynu i udziału plików. Narzędzia AzCopy i Eksplorator usługi Azure Storage są typowymi metodami. Jeśli używasz Eksplorator usługi Azure Storage, może być konieczne zezwolenie na dostęp adresu IP klienta do zapory konta magazynu.

Teraz możesz skonfigurować aplikację funkcji do komunikowania się z nowo zabezpieczonym kontem magazynu.

3. Włączanie routingu aplikacji i konfiguracji

Teraz należy kierować ruch aplikacji funkcji, aby przechodzić przez sieć wirtualną.

  1. Włącz routing aplikacji, aby kierować ruch aplikacji do sieci wirtualnej.

    • Przejdź do karty Sieć aplikacji funkcji. W obszarze Konfiguracja ruchu wychodzącego wybierz podsieć skojarzona z integracją sieci wirtualnej.

    • Na nowej stronie zaznacz pole wyboru dla wychodzącego ruchu internetowego w obszarze Routing aplikacji.

  2. Włącz routing udostępniania zawartości, aby aplikacja funkcji komunikowała się z nowym kontem magazynu za pośrednictwem sieci wirtualnej.

    • Na tej samej stronie zaznacz pole wyboru Magazyn zawartości w obszarze Routing konfiguracji.

4. Aktualizowanie ustawień aplikacji

Na koniec należy zaktualizować ustawienia aplikacji, aby wskazywały nowe bezpieczne konto magazynu.

  1. Zaktualizuj Ustawienia aplikacji na karcie Konfiguracja aplikacji funkcji, wykonując następujące czynności:

    Nazwa ustawienia Wartość Komentarz
    AzureWebJobsStorage
    WEBSITE_CONTENTAZUREFILECONNECTIONSTRING    		 Parametry połączenia magazynu Oba ustawienia zawierają parametry połączenia dla nowego zabezpieczonego konta magazynu, które zapisano wcześniej.
    WEBSITE_CONTENTSHARE Udział plików Nazwa udziału plików utworzonego na zabezpieczonym koncie magazynu, na którym znajdują się pliki wdrażania projektu.

  2. Wybierz pozycję Zapisz , aby zapisać ustawienia aplikacji. Zmiana ustawień aplikacji powoduje ponowne uruchomienie aplikacji.

Po ponownym uruchomieniu aplikacji funkcji jest ona teraz połączona z zabezpieczonym kontem magazynu.

Następne kroki

Opcje sieciowe usługi Azure Functions