Использование защищенной учетной записи хранения с Функции Azure

  • Статья

В этой статье показано, как подключить приложение-функцию к защищенной учетной записи хранения. Подробное руководство по созданию приложения-функции с ограничениями для входящего и исходящего доступа см . в руководстве по интеграции с виртуальной сетью . Дополнительные сведения см. в статье Параметры сети для Функций Azure.

Ограничьте учетную запись хранения виртуальной сети

При создании приложения-функции создается новая учетная запись хранения или ссылка на существующую. В настоящее время только шаблон ARM и развертывания Bicep поддерживают создание приложения-функции с существующей защищенной учетной записью хранения.

Примечание.

Защита учетной записи хранения поддерживается для всех уровней в выделенных планах (Служба приложений) и Elastic Premium. Планы потребления в настоящее время не поддерживают виртуальные сети.

Список всех ограничений для учетных записей хранения см. в разделе служба хранилища требования к учетной записи.

Безопасное хранилище во время создания приложения-функции

Вы можете создать приложение-функцию вместе с новой учетной записью хранения, защищенной за виртуальной сетью, доступной через частные конечные точки. В следующих ссылках показано, как создать эти ресурсы с помощью портал Azure или с помощью шаблонов развертывания:

Выполните следующее руководство, чтобы создать приложение-функцию защищенной учетной записи хранения: используйте частные конечные точки для интеграции Функции Azure с виртуальной сетью.

Безопасное хранилище для существующего приложения-функции

При наличии существующего приложения-функции вы не можете напрямую защитить учетную запись хранения, используемую приложением. Вместо этого необходимо переключить существующую учетную запись хранения для новой защищенной учетной записи хранения.

1. Включение интеграции виртуальной сети

Необходимо включить интеграцию виртуальной сети для приложения-функции.

  1. Выберите приложение-функцию с учетной записью хранения, которая не имеет конечных точек службы или частных конечных точек.

  2. Включите интеграцию виртуальной сети для приложения-функции.

2. Создание защищенной учетной записи хранения

Настройте безопасную учетную запись хранения для приложения-функции:

  1. Создайте вторую учетную запись хранения. Это будет безопасная учетная запись хранения, которую будет использовать приложение-функция. Вы также можете использовать существующую учетную запись хранения, которая еще не используется функциями.

  2. Скопируйте строку подключения для этой учетной записи хранения. Эта строка понадобится позже.

  3. Создайте общую папку в новой учетной записи хранения. Попробуйте использовать то же имя, что и общая папка в существующей учетной записи хранения. В противном случае потребуется скопировать имя новой общей папки, чтобы настроить параметр приложения позже.

  4. Обеспечьте защиту новой учетной записи хранения одним из следующих способов:

    • Создайте частную конечную точку. При настройке подключений к частной конечной точке создайте частные конечные точки для file подресурсов и blob подресурсов. Для Устойчивые функции необходимо также создавать queue и table подресурсы, доступные через частные конечные точки. Если вы используете пользовательский или локальный DNS-сервер, убедитесь, что DNS-сервер настроен для разрешения новых частных конечных точек.

    • Ограничить трафик определенными подсетями. Убедитесь, что одна из разрешенных подсетей — это приложение-функция, интегрированная с сетью. Дважды проверка, что подсеть имеет конечную точку службы в Microsoft.служба хранилища.

  5. Скопируйте содержимое файла и большого двоичного объекта из текущей учетной записи хранения, используемой приложением-функцией, в только что защищенную учетную запись хранения и общую папку. AzCopy и служба хранилища Azure Обозреватель являются общими методами. Если вы используете служба хранилища Azure Обозреватель, возможно, потребуется разрешить IP-адрес клиента брандмауэру учетной записи хранения.

Теперь вы готовы настроить приложение-функцию для взаимодействия с новой защищенной учетной записью хранения.

3. Включение маршрутизации приложений и конфигурации

Теперь необходимо перенаправить трафик приложения-функции для передачи через виртуальную сеть.

  1. Включите маршрутизацию приложений для маршрутизации трафика приложения в виртуальную сеть.

    • Перейдите на вкладку "Сеть" приложения-функции. В разделе "Конфигурация исходящего трафика" выберите подсеть, связанную с интеграцией виртуальной сети.

    • На новой странице проверка поле для исходящего интернет-трафика в разделе маршрутизации приложений.

  2. Включите маршрутизацию общего ресурса содержимого, чтобы приложение-функция взаимодействовала с новой учетной записью хранения через свою виртуальную сеть.

    • На той же странице проверка поле хранилища содержимого в разделе маршрутизации конфигурации.

4. Обновление параметров приложения

Наконец, необходимо обновить параметры приложения, чтобы указать новую безопасную учетную запись хранения.

  1. Обновите приложение Параметры на вкладке "Конфигурация" приложения-функции следующим образом:

    Имя настройки Значение Комментарии
    AzureWebJobsStorage
    WEBSITE_CONTENTAZUREFILECONNECTIONSTRING    		 строка подключения к хранилищу; Оба параметра содержат строка подключения для новой защищенной учетной записи хранения, которую вы сохранили ранее.
    WEBSITE_CONTENTSHARE Общая папка Имя общей папки, созданной в защищенной учетной записи хранения, где находятся файлы развертывания проекта.

  2. Нажмите кнопку Сохранить, чтобы сохранить параметры приложения. После изменения параметров приложения оно будет перезапущено.

После перезапуска приложение-функция будет подключено к защищенной учетной записи хранения.

Следующие шаги

Параметры сети для Функций Azure