Jak używać zabezpieczonego konta magazynu w usłudze Azure Functions

W tym artykule pokazano, jak połączyć aplikację funkcji z zabezpieczonym kontem magazynu. Aby zapoznać się ze szczegółowym samouczkiem dotyczącym tworzenia aplikacji funkcji z ograniczeniami dostępu przychodzącego i wychodzącego, zobacz samouczek Integracja z siecią wirtualną. Aby dowiedzieć się więcej na temat usługi Azure Functions i sieci, zobacz Opcje sieci usługi Azure Functions.

Ograniczanie konta magazynu do sieci wirtualnej

Podczas tworzenia aplikacji funkcji utworzysz nowe konto magazynu lub utworzysz łącze do istniejącego. Obecnie tylko witryny Azure Portal, wdrożenia szablonów usługi ARM i wdrożenia aplikacji Bicep obsługują tworzenie aplikacji funkcji przy użyciu istniejącego zabezpieczonego konta magazynu.

Uwaga

Zabezpieczone konta magazynu są obsługiwane dla wszystkich warstw planu Dedykowane (App Service) i planu Elastic Premium. Są one również wspierane przez plan Flex Consumption. Plan Zużycie nie obsługuje sieci wirtualnych.

Aby uzyskać listę wszystkich ograniczeń dotyczących kont magazynu, zobacz Wymagania dotyczące konta magazynu.

Ważne

Plan Flex Consumption jest obecnie dostępny w wersji zapoznawczej.

Bezpieczny magazyn podczas tworzenia aplikacji funkcji

Aplikację funkcji można utworzyć wraz z nowym kontem magazynu zabezpieczonym za siecią wirtualną. W poniższych sekcjach pokazano, jak utworzyć te zasoby przy użyciu witryny Azure Portal lub szablonów wdrażania.

Witryna Azure Portal

Wykonaj kroki opisane w temacie Tworzenie aplikacji funkcji w planie Premium. W tej sekcji samouczka dotyczącej sieci wirtualnej pokazano, jak utworzyć aplikację funkcji, która łączy się z magazynem za pośrednictwem prywatnych punktów końcowych.

Uwaga

Podczas tworzenia aplikacji funkcji w witrynie Azure Portal możesz również wybrać istniejące zabezpieczone konto magazynu na karcie Magazyn . Należy jednak skonfigurować odpowiednią sieć w aplikacji funkcji, aby mogła łączyć się za pośrednictwem sieci wirtualnej używanej do zabezpieczenia konta magazynu. Jeśli nie masz uprawnień do konfigurowania sieci lub nie masz w pełni przygotowanej sieci, wybierz pozycję Konfiguruj sieć po utworzeniu na karcie Sieć. Sieć dla nowej aplikacji funkcji można skonfigurować w portalu w obszarze Ustawienia>Sieci.

Szablony wdrażania

Użyj plików Bicep lub szablonów usługi Azure Resource Manager (ARM), aby utworzyć zasoby zabezpieczonej aplikacji funkcji i konta magazynu. Podczas tworzenia zabezpieczonego konta magazynu w zautomatyzowanym wdrożeniu należy ustawić vnetContentShareEnabled właściwość lokacji, utworzyć udział plików w ramach wdrożenia i ustawić WEBSITE_CONTENTSHARE ustawienie aplikacji na nazwę udziału plików. Aby uzyskać więcej informacji, w tym linki do przykładowych wdrożeń, zobacz Zabezpieczone wdrożenia.

Bezpieczny magazyn dla istniejącej aplikacji funkcji

Jeśli masz istniejącą aplikację funkcji, możesz bezpośrednio skonfigurować sieć na koncie magazynu używanym przez aplikację. Jednak ten proces powoduje, że aplikacja funkcji nie działa podczas konfigurowania sieci i podczas ponownego uruchamiania aplikacji funkcji.

Aby zminimalizować przestoje, możesz zamienić istniejące konto magazynu na nowe, zabezpieczone konto magazynu.

1. Włączanie integracji z siecią wirtualną

W ramach wymagań wstępnych należy włączyć integrację sieci wirtualnej dla aplikacji funkcji:

1. Wybierz aplikację funkcji z kontem magazynu, które nie ma włączonych punktów końcowych usługi ani prywatnych punktów końcowych.

2. Włącz integrację sieci wirtualnej dla aplikacji funkcji.

2. Tworzenie zabezpieczonego konta magazynu

Skonfiguruj zabezpieczone konto magazynu dla aplikacji funkcji:

1. Utwórz drugie konto magazynu. To konto magazynu to zabezpieczone konto magazynu używane przez aplikację funkcji zamiast oryginalnego niezabezpieczonego konta magazynu. Możesz również użyć istniejącego konta magazynu, które nie jest jeszcze używane przez funkcje.

2. Zapisz parametry połączenia dla tego konta magazynu, aby użyć go później.

3. Utwórz udział plików na nowym koncie magazynu. Dla wygody możesz użyć tej samej nazwy udziału plików z oryginalnego konta magazynu. W przeciwnym razie, jeśli używasz nowej nazwy udziału plików, musisz zaktualizować ustawienie aplikacji.

4. Zabezpiecz nowe konto magazynu na jeden z następujących sposobów:

   • Utwórz prywatny punkt końcowy. Podczas konfigurowania połączenia prywatnego punktu końcowego utwórz prywatne punkty końcowe dla file podźródła i blob . W przypadku rozszerzenia Durable Functions należy również udostępnić queue zasoby podrzędne i table za pośrednictwem prywatnych punktów końcowych. Jeśli używasz niestandardowego lub lokalnego serwera systemu nazw domen (DNS), skonfiguruj serwer DNS, aby rozpoznać nowe prywatne punkty końcowe.

   • Ogranicz ruch do określonych podsieci. Upewnij się, że aplikacja funkcji jest zintegrowana z dozwoloną podsiecią i że podsieć ma punkt końcowy usługi do Microsoft.Storage.

5. Skopiuj zawartość pliku i obiektu blob z bieżącego konta magazynu używanego przez aplikację funkcji do nowo zabezpieczonego konta magazynu i udziału plików. Narzędzia AzCopy i Eksplorator usługi Azure Storage są typowymi metodami. Jeśli używasz Eksplorator usługi Azure Storage, może być konieczne zezwolenie na dostęp adresu IP klienta do zapory konta magazynu.

Teraz możesz skonfigurować aplikację funkcji do komunikowania się z nowo zabezpieczonym kontem magazynu.

3. Włączanie routingu aplikacji i konfiguracji

Uwaga

Te kroki konfiguracji są wymagane tylko w przypadku planów hostingu Elastic Premium i Dedicated (App Service). Plan Flex Consumption nie wymaga ustawień lokacji w celu skonfigurowania sieci.

Teraz możesz kierować ruch aplikacji funkcji do przechodzenia przez sieć wirtualną:

1. Włącz routing aplikacji, aby kierować ruch aplikacji do sieci wirtualnej:

   1. W aplikacji funkcji rozwiń węzeł Ustawienia, a następnie wybierz pozycję Sieć. Na stronie Sieć w obszarze Konfiguracja ruchu wychodzącego wybierz podsieć skojarzona z integracją sieci wirtualnej.

   2. Na nowej stronie w obszarze Routing aplikacji wybierz pozycję Wychodzący ruch internetowy.

2. Włącz routing udostępniania zawartości, aby umożliwić aplikacji funkcji komunikowanie się z nowym kontem magazynu za pośrednictwem sieci wirtualnej. Na tej samej stronie co poprzedni krok w obszarze Routing konfiguracji wybierz pozycję Magazyn zawartości.

Uwaga

Podczas kierowania do udziału zawartości na koncie magazynu współużytkowanego przez wiele aplikacji funkcji w tym samym planie należy zachować szczególną ostrożność. Aby uzyskać więcej informacji, zobacz Spójny routing za pośrednictwem sieci wirtualnych w artykule Zagadnienia dotyczące magazynu.

4. Aktualizowanie ustawień aplikacji

Na koniec należy zaktualizować ustawienia aplikacji, aby wskazywały nowe bezpieczne konto magazynu:

1. W aplikacji funkcji rozwiń węzeł Ustawienia, a następnie wybierz pozycję Zmienne środowiskowe.

2. Na karcie Ustawienia aplikacji zaktualizuj następujące ustawienia, wybierając każde ustawienie, edytując je, a następnie wybierając pozycję Zastosuj:

   Nazwa ustawienia	Wartość	Komentarz
   AzureWebJobsStorage	Parametry połączenia magazynu	Użyj parametry połączenia dla nowego zabezpieczonego konta magazynu, które zapisano wcześniej.
   WEBSITE_CONTENTAZUREFILECONNECTIONSTRING	Parametry połączenia magazynu	Użyj parametry połączenia dla nowego zabezpieczonego konta magazynu, które zapisano wcześniej.
   WEBSITE_CONTENTSHARE	Udział plików	Użyj nazwy udziału plików utworzonego na zabezpieczonym koncie magazynu, na którym znajdują się pliki wdrażania projektu.

3. Wybierz pozycję Zastosuj, a następnie potwierdź , aby zapisać nowe ustawienia aplikacji w aplikacji funkcji.

   Aplikacja funkcji zostanie ponownie uruchomiona.

Po zakończeniu ponownego uruchamiania aplikacji funkcji nawiąż połączenie z zabezpieczonym kontem magazynu.

Następne kroki

Opcje sieciowe usługi Azure Functions