Como usar uma conta de armazenamento segura com o Azure Functions
Este artigo mostra como conectar seu aplicativo de função a uma conta de armazenamento segura. Para obter um tutorial detalhado sobre como criar seu aplicativo de função com restrições de acesso de entrada e saída, consulte o tutorial Integrar com uma rede virtual. Para saber mais sobre o Azure Functions e a rede, consulte Opções de rede do Azure Functions.
Restringir a conta de armazenamento a uma rede virtual
Ao criar um aplicativo funcional, você cria uma nova conta de armazenamento ou vincula a uma existente. Atualmente, apenas o modelo ARM e as implantações do Bicep oferecem suporte à criação de aplicativos de função com uma conta de armazenamento segura existente.
Nota
A proteção da sua conta de armazenamento é compatível com todos os níveis nos planos Dedicado (Serviço de Aplicativo) e Elastic Premium. Atualmente, os planos de consumo não suportam redes virtuais.
Para obter uma lista de todas as restrições em contas de armazenamento, consulte Requisitos da conta de armazenamento.
Armazenamento seguro durante a criação de aplicativos de função
Você pode criar um aplicativo funcional junto com uma nova conta de armazenamento protegida por trás de uma rede virtual acessível por meio de pontos de extremidade privados. Os links a seguir mostram como criar esses recursos usando o portal do Azure ou modelos de implantação:
Conclua o tutorial a seguir para criar um novo aplicativo de função uma conta de armazenamento segura: Use pontos de extremidade privados para integrar o Azure Functions a uma rede virtual.
Armazenamento seguro para um aplicativo de função existente
Quando você tem um aplicativo de função existente, não pode proteger diretamente a conta de armazenamento que está sendo usada pelo aplicativo. Em vez disso, você deve trocar a conta de armazenamento existente por uma nova conta de armazenamento segura.
1. Habilite a integração de rede virtual
Como pré-requisito, você precisa habilitar a integração de rede virtual para seu aplicativo de função.
Escolha um aplicativo de função com uma conta de armazenamento que não tenha pontos de extremidade de serviço ou pontos de extremidade privados habilitados.
Habilite a integração de rede virtual para seu aplicativo de função.
2. Crie uma conta de armazenamento segura
Configure uma conta de armazenamento segura para seu aplicativo funcional:
Crie uma segunda conta de armazenamento. Esta será a conta de armazenamento segura que seu aplicativo de função usará em vez disso. Você também pode usar uma conta de armazenamento existente que ainda não esteja sendo usada pelo Functions.
Copie a cadeia de conexão para esta conta de armazenamento. Você precisa dessa cadeia de caracteres para mais tarde.
Crie um compartilhamento de arquivos na nova conta de armazenamento. Tente usar o mesmo nome que o compartilhamento de arquivos na conta de armazenamento existente. Caso contrário, você precisará copiar o nome do novo compartilhamento de arquivos para definir uma configuração de aplicativo mais tarde.
Proteja a nova conta de armazenamento de uma das seguintes maneiras:
Crie um ponto de extremidade privado. Ao configurar conexões de ponto de extremidade privadas, crie pontos de extremidade privados para os
fileeblobsubrecursos. Para funções duráveis, você também deve tornarqueueetablesub-recursos acessíveis por meio de pontos de extremidade privados. Se você estiver usando um servidor DNS personalizado ou local, certifique-se de configurar seu servidor DNS para resolver para os novos pontos de extremidade privados.Restrinja o tráfego a sub-redes específicas. Certifique-se de que uma das sub-redes permitidas é aquela com a qual seu aplicativo de função está integrado à rede. Verifique se a sub-rede tem um ponto de extremidade de serviço para Microsoft.Storage.
Copie o conteúdo de arquivo e blob da conta de armazenamento atual usada pelo aplicativo de função para a conta de armazenamento recém-protegida e o compartilhamento de arquivos. AzCopy e Azure Storage Explorer são métodos comuns. Se você usar o Gerenciador de Armazenamento do Azure, talvez seja necessário permitir o endereço IP do cliente no firewall da sua conta de armazenamento.
Agora você está pronto para configurar seu aplicativo de função para se comunicar com a conta de armazenamento recém-protegida.
3. Habilite o roteamento de aplicativos e configurações
Agora você deve rotear o tráfego do seu aplicativo de função para passar pela rede virtual.
Habilite o roteamento de aplicativos para rotear o tráfego do seu aplicativo para a rede virtual.
Navegue até a guia Rede do seu aplicativo de função. Em Configuração de tráfego de saída, selecione a sub-rede associada à sua integração de rede virtual.
Na nova página, marque a caixa para Tráfego de saída da Internet em Roteamento de aplicativos.
Habilite o roteamento de compartilhamento de conteúdo para que seu aplicativo de função se comunique com sua nova conta de armazenamento por meio de sua rede virtual.
- Na mesma página, marque a caixa Armazenamento de conteúdo em Roteamento de configuração.
4. Atualize as configurações do aplicativo
Finalmente, você precisa atualizar as configurações do aplicativo para apontar para a nova conta de armazenamento seguro.
Atualize as Configurações do aplicativo na guia Configuração do seu aplicativo de função para o seguinte:
Nome da definição Value Comentário AzureWebJobsStorageWEBSITE_CONTENTAZUREFILECONNECTIONSTRINGCadeia de conexão de armazenamento Ambas as configurações contêm a cadeia de conexão para a nova conta de armazenamento segura, que você salvou anteriormente. WEBSITE_CONTENTSHAREPartilha de ficheiros O nome do compartilhamento de arquivos criado na conta de armazenamento seguro onde residem os arquivos de implantação do projeto. Selecione Salvar para salvar as configurações do aplicativo. Alterar as configurações do aplicativo faz com que o aplicativo seja reiniciado.
Depois que o aplicativo de função for reiniciado, ele será conectado a uma conta de armazenamento segura.