Partilhar via

Conectar-se ao Armazenamento de Blobs do Azure a partir de fluxos de trabalho nos Aplicativos Lógicos do Azure

Aplica-se a: Aplicativos Lógicos do Azure (Consumo + Padrão)

Este guia mostra como acessar sua conta e contêiner do Armazenamento de Blobs do Azure a partir de um fluxo de trabalho nos Aplicativos Lógicos do Azure usando o conector de Armazenamento de Blob do Azure. Esse conector fornece gatilhos e ações que seu fluxo de trabalho pode usar para operações de blob. Em seguida, você pode criar fluxos de trabalho automatizados que são executados quando acionados por eventos em seu contêiner de armazenamento ou em outros sistemas e executar ações para trabalhar com dados em seu contêiner de armazenamento. Por exemplo, você pode acessar e gerenciar arquivos armazenados como blobs em sua conta de armazenamento do Azure.

Você pode se conectar ao Blob Storage do Azure a partir de um fluxo de trabalho numa lógica de Consumo multitenant ou numa lógica Standard single-tenant. Enquanto os fluxos de trabalho de consumo oferecem apenas a versão do conector gerenciado, os fluxos de trabalho padrão oferecem as versões do conector interno e do conector gerenciado.

Referência técnica do conector

O conector de Armazenamento de Blob do Azure tem versões diferentes, com base no tipo de aplicativo lógico e no ambiente de host.

Aplicação lógica Meio Ambiente Versão do conector
Consumo Aplicativos Lógicos do Azure Multilocatários Conector gerenciado, que aparece na galeria de conectores em Compartilhado. Para obter mais informações, consulte a seguinte documentação:

- Referência do conector gerenciado do Armazenamento de Blobs do Azure
- Conectores gerenciados em Aplicativos Lógicos do Azure
Padrão Aplicativos Lógicos do Azure e Ambiente do Serviço de Aplicativo v3 de locatário único (somente planos do Windows) Conector gerido (hospedado na Azure), que aparece na galeria de conectores em Partilhado, e conector integrado, que é com base no fornecedor de serviços e aparece na galeria de conectores em Integrado. A versão integrada difere das seguintes maneiras:

- A versão interna se conecta diretamente à sua conta de Armazenamento do Azure exigindo apenas uma cadeia de conexão.

- A versão interna pode acessar diretamente as redes virtuais do Azure.

Para obter mais informações, consulte a seguinte documentação:

- Referência do conector gerenciado do Armazenamento de Blobs do Azure
- Referência do conector interno do Blob do Azure
- Conectores internos nos Aplicativos Lógicos do Azure

Limitações

  • As ações do conector gerenciado do Armazenamento de Blobs do Azure podem ler ou gravar arquivos com 50 MB ou menos. Para lidar com arquivos maiores que 50 MB, mas até 1.024 MB, as ações do Armazenamento de Blobs do Azure dão suporte ao agrupamento de mensagens. A ação Armazenamento de Blob chamada Obter conteúdo de blob usa implicitamente o fragmentamento.

  • Embora os gatilhos gerenciados e internos do Armazenamento de Blob do Azure não ofereçam suporte a fragmentação, os gatilhos internos podem lidar com arquivos de 50 MB ou mais. No entanto, quando um gatilho gerenciado solicita conteúdo de arquivo, o gatilho seleciona apenas arquivos com 50 MB ou menos. Para obter ficheiros com mais de 50 MB, siga este padrão:

    1. Use um gatilho de Blob que retorna propriedades de arquivo, como Quando um blob é adicionado ou modificado (somente propriedades).

    2. Siga o gatilho com a ação do conector gerenciado do Armazenamento de Blob do Azure chamada Obter conteúdo de blob, que lê o arquivo completo e usa implicitamente o fragmento.

  • Limites de gatilho do Armazenamento de Blobs do Azure

    • O gatilho do conector gerenciado é limitado a 30.000 blobs na pasta virtual de sondagem.
    • O gatilho de conector interno é limitado a 10.000 blobs em todo o contêiner de sondagem.

    Se o limite for excedido, um novo blob pode não ser capaz de acionar o fluxo de trabalho, portanto, o gatilho é ignorado.

Pré-requisitos

Adicionar um gatilho de Blob

No fluxo de trabalho de Consumo, está disponível apenas o conector gerido do Armazenamento de Blob do Azure. Em um fluxo de trabalho Padrão, o conector gerenciado do Armazenamento de Blob do Azure e o conector interno estão disponíveis. Embora cada versão do conector forneça apenas um gatilho do Azure Blob Storage, o nome do gatilho difere da seguinte forma, dependendo de ter um fluxo de trabalho de Consumo ou de Padrão:

Aplicação lógica Versão do conector Nome do gatilho Descrição
Consumo Somente conector gerenciado Quando um blob é adicionado ou modificado (somente propriedades) O gatilho é acionado quando as propriedades de um blob são adicionadas ou atualizadas na pasta raiz do contêiner de armazenamento. Quando você configura o gatilho gerenciado, a versão gerenciada ignora os blobs existentes no contêiner de armazenamento.
Padrão Conector integrado


Conector gerenciado		 Incorporado: Quando um blob é adicionado ou atualizado

Controlado: Quando um blob é adicionado ou modificado (apenas propriedades)		 Incorporado: o gatilho é acionado quando um blob é adicionado ou atualizado em seu contêiner de armazenamento e é acionado para qualquer pasta aninhada em seu contêiner de armazenamento, não apenas para a pasta raiz. Quando você configura o gatilho interno, a versão interna processa todos os blobs existentes no contêiner de armazenamento.

Gerenciado: o gatilho é acionado quando as propriedades de um blob são adicionadas ou atualizadas na pasta raiz do contêiner de armazenamento. Quando você configura o gatilho gerenciado, a versão gerenciada ignora os blobs existentes no contêiner de armazenamento.

As etapas a seguir usam o portal do Azure, mas com a extensão apropriada de Aplicativos Lógicos do Azure, você também pode usar as seguintes ferramentas para criar fluxos de trabalho de aplicativos lógicos:

  1. No portal Azure, abra o recurso da aplicação lógica de consumo.

  2. No menu da barra lateral de recursos, em Ferramentas de Desenvolvimento, selecione o designer para abrir seu fluxo de trabalho em branco.

  3. Adicione o gatilho gerenciado do Armazenamento de Blobs do Azure para seu cenário seguindo as etapas gerais para adicionar um gatilho ao seu fluxo de trabalho.

    Este exemplo continua com o gatilho de Armazenamento de Blob do Azure chamado Quando um blob é adicionado ou modificado (somente propriedades).

  4. Se solicitado, forneça as seguintes informações para sua conexão com sua conta de armazenamento. Quando tiver terminado, selecione Criar.

    Propriedade Necessário Descrição
    Nome da conexão Sim Um nome para a sua ligação.
    Tipo de Autenticação Sim O tipo de autenticação para sua conta de armazenamento. Para obter mais informações, consulte Tipos de autenticação para gatilhos e ações que oferecem suporte à autenticação.

    Por exemplo, essa conexão usa a autenticação de chave de acesso e fornece o valor da chave de acesso para a conta de armazenamento, juntamente com os seguintes valores de propriedade:

    Propriedade Necessário Valor Descrição
    Nome da Conta de Armazenamento do Azure ou Ponto de Extremidade de Blob Sim, mas apenas para autenticação de chave de acesso < nome da conta de armazenamento> O nome da conta de Armazenamento do Azure onde seu contêiner de blob existe.

    Observação: para localizar o nome da conta de armazenamento, abra o recurso da conta de armazenamento no portal do Azure. No menu de recursos, em Segurança + rede, selecione Chaves de acesso. Em Nome da conta de armazenamento, copie e salve o nome.
    Chave de Acesso da Conta de Armazenamento do Azure Sim, mas apenas para autenticação de chave de acesso < chave de acesso à conta de armazenamento> A chave de acesso para sua conta de armazenamento do Azure.

    Observação: para localizar a chave de acesso, abra o recurso da conta de armazenamento no portal do Azure. No menu de recursos, em Segurança + rede, selecione >> Copie e salve o valor da chave primária.

    Captura de ecrã a mostrar o fluxo de trabalho de Consumo, o gatilho de Armazenamento de Blobs do Azure e exemplos de informações de ligação.

  5. Depois que a caixa de informações do gatilho aparecer, forneça as informações necessárias.

    Para o valor da propriedade Container , selecione o ícone de pasta para procurar seu contêiner de blob. Ou insira o caminho manualmente usando a sintaxe /<container-name>, por exemplo:

    Captura de tela mostrando o fluxo de trabalho de Consumo com o gatilho de Armazenamento de Blob do Azure e informações de gatilho de exemplo.

  6. Se existirem outros parâmetros para o gatilho, abra a lista Parâmetros avançados e selecione os parâmetros desejados.

    Para obter mais informações, consulte Propriedades de gatilho do conector gerenciado do Armazenamento de Blob do Azure.

  7. Adicione quaisquer outras ações exigidas pelo seu fluxo de trabalho.

  8. Quando tiver terminado, guarde o fluxo de trabalho. Na barra de ferramentas do estruturador, selecione Guardar.

Adicionar uma ação de Blob

No fluxo de trabalho de Consumo, está disponível apenas o conector gerido do Armazenamento de Blob do Azure. Em um fluxo de trabalho Padrão, o conector gerenciado do Armazenamento de Blob do Azure e o conector interno estão disponíveis. Cada versão fornece várias ações com nomes diferentes, com base no fato de você ter um fluxo de trabalho Consumo ou Padrão. Por exemplo, as versões de conector gerido e integrado possuem suas próprias ações para obter os metadados e o conteúdo do arquivo.

  • As ações do conector geridas estão disponíveis nos fluxos de trabalho de Consumo ou de Padrão.

  • As ações integradas do conector estão disponíveis apenas em fluxos de trabalho padrão.

As etapas a seguir usam o portal do Azure, mas com a extensão apropriada dos Aplicativos Lógicos do Azure, você também pode usar as seguintes ferramentas para criar fluxos de trabalho de aplicativos lógicos:

  1. No portal Azure, abra o recurso da aplicação lógica de consumo.

  2. No menu da barra lateral de recursos, em Ferramentas de Desenvolvimento, selecione o designer para abrir o fluxo de trabalho.

    Essas etapas pressupõem que seu fluxo de trabalho já tenha um gatilho.

    Este exemplo usa o gatilho Recurrence.

  3. Adicione a ação gerenciada do Armazenamento de Blobs do Azure para seu cenário seguindo as etapas gerais para adicionar uma ação ao seu fluxo de trabalho.

    Este exemplo continua com a ação chamada Obter conteúdo de blob.

  4. Se solicitado, forneça as seguintes informações para sua conexão. Quando tiver terminado, selecione Criar.

    Propriedade Necessário Descrição
    Nome da conexão Sim Um nome para a sua ligação
    Tipo de Autenticação Sim O tipo de autenticação para sua conta de armazenamento. Para obter mais informações, consulte Tipos de autenticação para gatilhos e ações que oferecem suporte à autenticação.

    Por exemplo, essa conexão usa a autenticação de chave de acesso e fornece o valor da chave de acesso para a conta de armazenamento, juntamente com os seguintes valores de propriedade:

    Propriedade Necessário Valor Descrição
    Nome da Conta de Armazenamento do Azure ou Ponto de Extremidade de Blob Sim, mas apenas para autenticação de chave de acesso < nome da conta de armazenamento> O nome da conta de armazenamento do Azure onde seu contêiner de blob existe.

    Observação: para localizar o nome da conta de armazenamento, abra o recurso da conta de armazenamento no portal do Azure. No menu de recursos, em Segurança + rede, selecione Chaves de acesso. Em Nome da conta de armazenamento, copie e salve o nome.
    Chave de Acesso da Conta de Armazenamento do Azure Sim, mas apenas para autenticação de chave de acesso < chave de acesso à conta de armazenamento> A chave de acesso para sua conta de armazenamento do Azure.

    Observação: para localizar a chave de acesso, abra o recurso da conta de armazenamento no portal do Azure. No menu de recursos, em Segurança + rede, selecione >> Copie e salve o valor da chave primária.

    Captura de ecrã mostrando o fluxo de trabalho de consumo, a ação do Blob do Azure e exemplo de informações de ligação.

  5. Na caixa de informações da ação, forneça as informações necessárias.

    Por exemplo, na ação Obter conteúdo de blob, forneça o nome da sua conta de armazenamento. Para o valor da propriedade Blob , selecione o ícone de pasta para procurar seu contêiner ou pasta de armazenamento. Ou insira o caminho manualmente.

    Tarefa Sintaxe do caminho do blob
    Obtenha o conteúdo de um blob específico na pasta raiz. /<container-name>/<blob-name>
    Obtenha o conteúdo de um blob específico em uma subpasta. /<container-name>/<subfolder>/<blob-name>

    O exemplo a seguir mostra a configuração da ação que obtém o conteúdo de um blob na pasta raiz:

    Captura de tela mostrando o fluxo de trabalho de consumo com a configuração da ação Blob para a pasta raiz.

    O exemplo a seguir mostra a configuração da ação que obtém o conteúdo de um blob na subpasta:

    Captura de tela mostrando o fluxo de trabalho de Consumo com a configuração da ação Blob para a subpasta.

  6. Adicione quaisquer outras ações exigidas pelo seu fluxo de trabalho.

  7. Quando tiver terminado, guarde o fluxo de trabalho. Na barra de ferramentas do estruturador, selecione Guardar.

Acesse contas de armazenamento atrás de firewalls

Pode adicionar segurança de rede a uma conta de armazenamento do Azure ao restringir o acesso com uma firewall e regras de firewall. No entanto, esta configuração cria um desafio para o Azure e outros serviços Microsoft que precisam de acesso à conta de armazenamento. A comunicação local no centro de dados abstrai os endereços IP internos, portanto, apenas permitir o tráfego através de endereços IP pode não ser suficiente para permitir com êxito a comunicação através do firewall. Com base em qual conector de Armazenamento de Blob do Azure você usa, as seguintes opções estão disponíveis:

Aceder a contas de armazenamento noutras regiões

Se você não usar a autenticação de identidade gerenciada, os fluxos de trabalho do aplicativo lógico não poderão acessar diretamente as contas de armazenamento por trás de firewalls quando o recurso do aplicativo lógico e a conta de armazenamento existirem na mesma região. Como solução alternativa, coloque o recurso do aplicativo lógico em uma região diferente da sua conta de armazenamento. Em seguida, dê acesso aos endereços IP de saída para os conectores gerenciados em sua região.

Nota

Esta solução não se aplica ao conector do Armazenamento de Tabela do Azure e ao conector do Armazenamento de Filas do Azure. Em vez disso, para acessar seu Armazenamento de Tabela ou Armazenamento de Filas, use o gatilho e a ação HTTP internos.

Para adicionar seus endereços IP de saída ao firewall da conta de armazenamento, siga estas etapas:

  1. Observe os endereços IP de saída do conector gerenciado para a região do recurso do aplicativo lógico.

  2. No portal do Azure, localize e abra o recurso da sua conta de armazenamento.

  3. No menu da barra lateral de recursos, em Segurança + rede, selecione Rede.

    1. Em Acesso à rede pública, selecione Ativado a partir de redes virtuais e endereços IP selecionados.

    2. Em Firewall, adicione os endereços IP ou intervalos que precisam de acesso. Se precisar de aceder à conta de armazenamento a partir do computador, selecione Adicionar o endereço IP do cliente.

      Captura de ecrã da página de rede da conta de armazenamento de blob no portal do Azure, mostrando as definições da firewall para adicionar endereços IP e intervalos à lista de permissões.

    3. Quando tiver terminado, selecione Guardar.

Aceda a contas de armazenamento através de uma rede virtual fidedigna

  • Se o aplicativo lógico e a conta de armazenamento existirem na mesma região:

    Você pode colocar sua conta de armazenamento em uma rede virtual do Azure criando um ponto de extremidade privado e, em seguida, adicionar essa rede virtual à lista de redes virtuais confiáveis. Para dar ao seu aplicativo lógico acesso à conta de armazenamento por meio de uma rede virtual confiável, você precisa criar um aplicativo lógico padrão, que possa se conectar a recursos em uma rede virtual.

  • Se o aplicativo lógico e a conta de armazenamento existirem em regiões diferentes :

    Crie um ponto de extremidade privado em sua conta de armazenamento para acesso.

Acessar contas de armazenamento por meio da integração de rede virtual

  • Se o aplicativo lógico e a conta de armazenamento existirem na mesma região:

    Você pode colocar a conta de armazenamento em uma rede virtual do Azure criando um ponto de extremidade privado e, em seguida, adicionar essa rede virtual à lista de redes virtuais confiáveis. Para dar ao seu aplicativo lógico acesso à conta de armazenamento, você precisa configurar o tráfego de saída usando a integração de rede virtual para permitir a conexão com recursos em uma rede virtual. Em seguida, você pode adicionar a rede virtual à lista de redes virtuais confiáveis da conta de armazenamento.

  • Se o aplicativo lógico e a conta de armazenamento existirem em regiões diferentes :

    Crie um ponto de extremidade privado em sua conta de armazenamento para acesso.

Acesse o armazenamento de Blob na mesma região com identidades gerenciadas pelo sistema

Para se conectar ao Armazenamento de Blobs do Azure em qualquer região, você pode usar identidades gerenciadas para autenticação. Você pode criar uma exceção que conceda aos serviços confiáveis do Azure, como uma identidade gerenciada, acesso à sua conta de armazenamento por meio de um firewall.

Nota

Esta solução não se aplica a aplicativos lógicos padrão. Mesmo se você usar uma identidade gerenciada atribuída ao sistema com um aplicativo lógico Padrão, o conector gerenciado do Armazenamento de Blobs do Azure não poderá se conectar a uma conta de armazenamento na mesma região.

Para usar identidades gerenciadas em seu aplicativo lógico para acessar o Armazenamento de Blob, siga estas etapas:

  1. Configurar o acesso à sua conta de armazenamento

  2. Criar uma atribuição de função para seu aplicativo lógico

  3. Habilite o suporte para a identidade gerenciada em seu aplicativo lógico

Nota

Esta solução tem as seguintes limitações:

Para autenticar a conexão da sua conta de armazenamento, você precisa configurar uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída pelo usuário não funcionará.

Configurar o acesso à conta de armazenamento

Para configurar a exceção e o suporte de identidade gerenciada, primeiro configure o acesso apropriado à sua conta de armazenamento:

  1. No portal do Azure, localize e abra o recurso da sua conta de armazenamento.

  2. No menu de navegação da conta de armazenamento, em Segurança + rede, selecione Rede.

    1. Em Acesso à rede pública, selecione Ativado a partir de redes virtuais e endereços IP selecionados.

    2. Se precisar de aceder à conta de armazenamento a partir do computador, em Firewall, selecione Adicionar o endereço IP do cliente.

    3. Em Exceções, selecione Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento.

      Captura de ecrã a mostrar o portal do Azure e a seção de rede da conta de Armazenamento de Blobs com definições de autorização.

    4. Quando tiver terminado, selecione Guardar.

Nota

Se você receber um erro 403 Forbidden ao tentar se conectar à conta de armazenamento do seu fluxo de trabalho, existem várias causas possíveis. Tente a seguinte resolução antes de passar para etapas adicionais. Primeiro, desative a configuração Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento e salvem suas alterações. Em seguida, reative a configuração e salve as alterações novamente.

Criar atribuição de função para aplicativo lógico

Em seguida, habilite o suporte a identidades gerenciadas em seu recurso de aplicativo lógico.

As etapas a seguir são as mesmas para aplicativos lógicos de consumo em ambientes multilocatários e aplicativos lógicos padrão em ambientes de locatário único.

  1. No portal do Azure, abra seu recurso de aplicativo lógico.

  2. No menu de navegação de recursos do aplicativo lógico, em Configurações, selecione Identidade.

  3. No painel Sistema atribuído, defina Status como Ativado, se ainda não estiver habilitado, selecione Salvar e confirme as alterações. Em Permissões, selecione Atribuições de funções do Azure.

    Captura de ecrã a mostrar o portal do Azure e o menu de recursos da aplicação lógica com o painel de definições 'Identidade' e o botão 'Permissões de atribuição de função do Azure'.

  4. No painel Atribuições de função do Azure, selecione Adicionar atribuição de função.

    Captura de tela mostrando o painel de atribuições de função do aplicativo lógico com a assinatura selecionada e o botão para adicionar uma nova atribuição de função.

  5. No painel Adicionar atribuições de função, configure a nova atribuição de função com os seguintes valores:

    Propriedade Valor Descrição
    Âmbito de aplicação < âmbito dos recursos> O conjunto de recursos onde você deseja aplicar a atribuição de função. Para este exemplo, selecione Armazenamento.
    Subscrição < Subscrição do Azure> A assinatura do Azure para sua conta de armazenamento.
    Recurso < nome da conta de armazenamento> O nome da conta de armazenamento que você deseja acessar a partir do fluxo de trabalho do aplicativo lógico.
    Função < função-a-atribuir> A função que o cenário requer para que o fluxo de trabalho funcione com o recurso. Este exemplo requer o Storage Blob Data Contributor, que permite ler, gravar e excluir acesso a contêineres de blob e data. Para obter detalhes sobre permissões, mova o mouse sobre o ícone de informações ao lado de uma função no menu suspenso.

    Captura de tela do painel de configuração de atribuição de função, mostrando as configurações de escopo, assinatura, recurso e função.

  6. Quando terminar, selecione Salvar para concluir a criação da atribuição de função.

Habilite o suporte a identidades gerenciadas no aplicativo lógico

Em seguida, conclua as seguintes etapas:

  1. Se você tiver um fluxo de trabalho em branco, adicione um gatilho de conector do Armazenamento de Blob do Azure. Caso contrário, adicione uma ação do conector do Armazenamento de Blobs do Azure. Certifique-se de criar uma nova conexão para o gatilho ou ação, em vez de usar uma conexão existente.

  2. Certifique-se de definir o tipo de autenticação para usar a identidade gerenciada.

  3. Depois de configurar o gatilho ou ação, você pode salvar o fluxo de trabalho e testar o gatilho ou ação.

Solucionar problemas de acesso a contas de armazenamento

  • Erro: Esta solicitação não está autorizada a executar esta operação.

    O erro a seguir é um problema comumente relatado que acontece quando seu aplicativo lógico e sua conta de armazenamento existem na mesma região. No entanto, estão disponíveis opções para resolver esta limitação, conforme descrito na secção Aceder a contas de armazenamento protegidas por firewalls.

    {
   "status": 403,
   "message": "This request is not authorized to perform this operation.\\r\\nclientRequestId: a3da2269-7120-44b4-9fe5-ede7a9b0fbb8",
   "error": {
      "message": "This request is not authorized to perform this operation."
   },
   "source": "azureblob-ase.azconn-ase.p.azurewebsites.net"
}

Erros do Application Insights

  • 404 e 409 erros:

    Se seu fluxo de trabalho padrão usa uma ação interna de Blob do Azure que adiciona um blob ao contêiner de armazenamento, você pode obter erros 404 e 409 no Application Insights para solicitações com falha. Esses erros são esperados porque o conector verifica se o arquivo de blob existe antes de adicionar o blob. Os erros resultam quando o arquivo não existe. Apesar desses erros, a ação interna adiciona com êxito o blob.

Conteúdo relacionado