Azure İşlevleri ile güvenli depolama hesabı kullanma

Bu makalede, işlev uygulamanızı güvenli bir depolama hesabına nasıl bağlayacağınız gösterilir. İşlev uygulamanızı gelen ve giden erişim kısıtlamalarıyla oluşturma hakkında ayrıntılı bir öğretici için bkz . Sanal ağ ile tümleştirme öğreticisi. Azure İşlevleri ve ağ hakkında daha fazla bilgi edinmek için bkz. Azure İşlevleri ağ seçenekleri.

Depolama hesabınızı bir sanal ağ ile kısıtlama

bir işlev uygulaması oluşturduğunuzda, yeni bir depolama hesabı oluşturur veya var olan bir hesabın bağlantısını oluşturursunuz. Şu anda yalnızca Azure portalı, ARM şablonu dağıtımları ve Bicep dağıtımları , mevcut bir güvenli depolama hesabıyla işlev uygulaması oluşturmayı destekler.

Not

Güvenli depolama hesapları Ayrılmış (App Service) planının ve Elastik Premium planının tüm katmanları için desteklenir. Bunlar Flex Consumption planı tarafından da desteklenir. Tüketim planı sanal ağları desteklemez.

Depolama hesaplarıyla ilgili tüm kısıtlamaların listesi için bkz . Depolama hesabı gereksinimleri.

Önemli

Flex Consumption planı şu anda önizleme aşamasındadır.

İşlev uygulaması oluşturma sırasında güvenli depolama

Sanal ağın arkasında güvenliği sağlanan yeni bir depolama hesabıyla birlikte bir işlev uygulaması oluşturabilirsiniz. Aşağıdaki bölümlerde, Azure portalını veya dağıtım şablonlarını kullanarak bu kaynakların nasıl oluşturulacağı gösterilmektedir.

Azure portalı

Premium planda işlev uygulaması oluşturma bölümünde yer alan adımları tamamlayın. Sanal ağ öğreticisinin bu bölümünde, özel uç noktalar üzerinden depolamaya bağlanan bir işlev uygulamasının nasıl oluşturulacağı gösterilmektedir.

Not

İşlev uygulamanızı Azure portalında oluşturduğunuzda, Depolama sekmesinde mevcut bir güvenli depolama hesabını da seçebilirsiniz. Ancak, depolama hesabının güvenliğini sağlamak için kullanılan sanal ağ üzerinden bağlanabilmesi için işlev uygulamasında uygun ağı yapılandırmanız gerekir. Ağı yapılandırma izinleriniz yoksa veya ağınızı tam olarak hazırlamadıysanız Ağ sekmesinde Oluşturmadan sonra ağı yapılandır'ı seçin. Yeni işlev uygulamanız için ağı portalda Ayarlar>Ağ İletişimi altında yapılandırabilirsiniz.

Dağıtım şablonları

Güvenli bir işlev uygulaması ve depolama hesabı kaynakları oluşturmak için Bicep dosyalarını veya Azure Resource Manager (ARM) şablonlarını kullanın. Otomatik dağıtımda güvenli bir depolama hesabı oluşturduğunuzda, site özelliğini ayarlamanız vnetContentShareEnabled , dağıtımınızın bir parçası olarak dosya paylaşımını oluşturmanız ve uygulama ayarını dosya paylaşımının adına ayarlamanız WEBSITE_CONTENTSHARE gerekir. Örnek dağıtımlara bağlantılar da dahil olmak üzere daha fazla bilgi için bkz . Güvenli dağıtımlar.

Mevcut bir işlev uygulaması için güvenli depolama

Mevcut bir işlev uygulamanız olduğunda, uygulama tarafından kullanılan depolama hesabında ağı doğrudan yapılandırabilirsiniz. Ancak bu işlem, siz ağı yapılandırırken ve işlev uygulamanız yeniden başlatılırken işlev uygulamanızın devre dışı olmasına neden olur.

Kapalı kalma süresini en aza indirmek için, mevcut depolama hesabını yeni ve güvenli bir depolama hesabıyla değiştirebilirsiniz.

1. Sanal ağ tümleştirmesini etkinleştirme

Önkoşul olarak, işlev uygulamanız için sanal ağ tümleştirmesini etkinleştirmeniz gerekir:

1. Hizmet uç noktaları veya özel uç noktaları etkin olmayan depolama hesabı olan bir işlev uygulaması seçin.

2. İşlev uygulamanız için sanal ağ tümleştirmesini etkinleştirin.

2. Güvenli depolama hesabı oluşturma

İşlev uygulamanız için güvenli bir depolama hesabı ayarlayın:

1. İkinci bir depolama hesabı oluşturun. Bu depolama hesabı, işlev uygulamanızın özgün güvenli olmayan depolama hesabı yerine kullanması için güvenli depolama hesabıdır. İşlevler tarafından henüz kullanılmayan mevcut bir depolama hesabını da kullanabilirsiniz.

2. Bu depolama hesabının bağlantı dizesi daha sonra kullanmak üzere kaydedin.

3. Yeni depolama hesabında bir dosya paylaşımı oluşturun. Size kolaylık sağlamak için, özgün depolama hesabınızdan aynı dosya paylaşımı adını kullanabilirsiniz. Aksi takdirde, yeni bir dosya paylaşımı adı kullanıyorsanız uygulama ayarınızı güncelleştirmeniz gerekir.

4. Yeni depolama hesabının güvenliğini aşağıdaki yollardan biriyle sağlayın:

   • Özel uç nokta oluşturma. Özel uç nokta bağlantınızı ayarlarken ve blob alt kaynakları için file özel uç noktalar oluşturun. Dayanıklı İşlevler için ve table alt kaynaklarını özel uç noktalar aracılığıyla da erişilebilir hale getirmeniz queue gerekir. Özel veya şirket içi Etki Alanı Adı Sistemi (DNS) sunucusu kullanıyorsanız, DNS sunucunuzu yeni özel uç noktalara çözüm olacak şekilde yapılandırın.

   • Trafiği belirli alt ağlarla kısıtlayın. İşlev uygulamanızın izin verilen bir alt ağ ile tümleştirilmiş bir ağ olduğundan ve alt ağın için Microsoft.Storagebir hizmet uç noktası olduğundan emin olun.

5. İşlev uygulaması tarafından kullanılan geçerli depolama hesabından dosya ve blob içeriğini yeni güvenli depolama hesabına ve dosya paylaşımına kopyalayın. AzCopy ve Azure Depolama Gezgini yaygın yöntemlerdir. Azure Depolama Gezgini kullanıyorsanız, istemci IP adresinizin depolama hesabınızın güvenlik duvarına erişmesine izin vermeniz gerekebilir.

Artık işlev uygulamanızı yeni güvenli depolama hesabıyla iletişim kuracak şekilde yapılandırmaya hazırsınız.

3. Uygulama ve yapılandırma yönlendirmesini etkinleştirme

Not

Bu yapılandırma adımları yalnızca Elastik Premium ve Ayrılmış (App Service) barındırma planları için gereklidir. Esnek Tüketim planı, ağı yapılandırmak için site ayarlarını gerektirmez.

Artık işlev uygulamanızın trafiğini sanal ağ üzerinden geçecek şekilde yönlendirmeye hazırsınız:

1. Uygulamanızın trafiğini sanal ağa yönlendirmek için uygulama yönlendirmeyi etkinleştirin:

   1. İşlev uygulamanızda Ayarlar'ı genişletin ve ardından Ağ'ı seçin. Ağ sayfasındaki Giden trafik yapılandırması'nın altında sanal ağ tümleştirmenizle ilişkili alt ağı seçin.

   2. Yeni sayfada, Uygulama yönlendirme'nin altında Giden İnternet trafiği'ni seçin.

2. İşlev uygulamanızın sanal ağı üzerinden yeni depolama hesabınızla iletişim kurmasını sağlamak için içerik paylaşımı yönlendirmesini etkinleştirin. Önceki adımla aynı sayfada, Yapılandırma yönlendirmesi'nin altında İçerik depolama'yı seçin.

4. Uygulama ayarlarını güncelleştirme

Son olarak, uygulama ayarlarınızı yeni güvenli depolama hesabına işaret eden şekilde güncelleştirmeniz gerekir:

1. İşlev uygulamanızda Ayarlar'ı genişletin ve ortam değişkenleri'ne tıklayın.

2. Uygulama ayarları sekmesinde, her ayarı seçip düzenleyip Uygula'yı seçerek aşağıdaki ayarları güncelleştirin:

   Ayar adı	Değer	Açıklama
   AzureWebJobsStorage	Depolama bağlantı dizesi	Daha önce kaydettiğiniz yeni güvenli depolama hesabınız için bağlantı dizesi kullanın.
   WEBSITE_CONTENTAZUREFILECONNECTIONSTRING	Depolama bağlantı dizesi	Daha önce kaydettiğiniz yeni güvenli depolama hesabınız için bağlantı dizesi kullanın.
   WEBSITE_CONTENTSHARE	Dosya paylaşımı	Proje dağıtım dosyalarının bulunduğu güvenli depolama hesabında oluşturulan dosya paylaşımının adını kullanın.

3. Uygula'yı seçin ve ardından yeni uygulama ayarlarını işlev uygulamasına kaydetmek için Onayla'yı seçin.

   İşlev uygulaması yeniden başlatılır.

İşlev uygulaması yeniden başlatmayı tamamladıktan sonra güvenli depolama hesabına bağlanır.

Sonraki adımlar

Azure İşlevleri ağ seçenekleri