Использование защищенной учетной записи хранения с Функции Azure

  • Статья

В этой статье показано, как подключить приложение-функцию к защищенной учетной записи хранения. Подробное руководство по созданию приложения-функции с ограничениями для входящего и исходящего доступа см. в руководстве по интеграции с виртуальной сетью . Дополнительные сведения см. в статье Параметры сети для Функций Azure.

Ограничьте учетную запись хранения виртуальной сети

При создании приложения-функции создается новая учетная запись хранения или ссылка на существующую. В настоящее время только портал Azure, развертывания шаблонов ARM и развертывания Bicep поддерживают создание приложений-функций с существующей защищенной учетной записью хранения.

Примечание.

Защищенные учетные записи хранения поддерживаются для всех уровней плана выделенных (Служба приложений) и плана Elastic Premium. Они также поддерживаются планом потребления Flex. План потребления не поддерживает виртуальные сети.

Список всех ограничений для учетных записей хранения см. в разделе "Требования к учетной записи хранения".

Внимание

План потребления Flex в настоящее время находится в предварительной версии.

Безопасное хранилище во время создания приложения-функции

Вы можете создать приложение-функцию вместе с новой учетной записью хранения, защищенной за виртуальной сетью. В следующих разделах показано, как создать эти ресурсы с помощью портал Azure или с помощью шаблонов развертывания.

Выполните действия, описанные в разделе "Создание приложения-функции" в плане "Премиум". В этом разделе руководства по виртуальной сети показано, как создать приложение-функцию, которое подключается к хранилищу через частные конечные точки.

Примечание.

При создании приложения-функции в портал Azure можно также выбрать существующую защищенную учетную запись хранения на вкладке хранилища. Однако необходимо настроить соответствующую сеть в приложении-функции, чтобы он смог подключиться через виртуальную сеть, используемую для защиты учетной записи хранения. Если у вас нет разрешений на настройку сети или вы еще не подготовили сеть, выберите "Настройка сети" после создания на вкладке "Сеть". Вы можете настроить сеть для нового приложения-функции на портале в разделе "Параметры>сети".

Безопасное хранилище для существующего приложения-функции

При наличии существующего приложения-функции можно напрямую настроить сеть в учетной записи хранения, используемой приложением. Однако этот процесс приводит к отключению приложения-функции во время настройки сети и перезапуска приложения-функции.

Чтобы свести к минимуму время простоя, можно вместо этого переключить существующую учетную запись хранения для новой защищенной учетной записи хранения.

1. Включение интеграции виртуальной сети

Необходимо включить интеграцию виртуальной сети для приложения-функции.

  1. Выберите приложение-функцию с учетной записью хранения, которая не имеет конечных точек службы или частных конечных точек.

  2. Включите интеграцию виртуальной сети для приложения-функции.

2. Создание защищенной учетной записи хранения

Настройте безопасную учетную запись хранения для приложения-функции:

  1. Создайте вторую учетную запись хранения. Эта учетная запись хранения является защищенной учетной записью хранения для приложения-функции, используемой вместо исходной незащищенной учетной записи хранения. Вы также можете использовать существующую учетную запись хранения, которая еще не используется функциями.

  2. Сохраните строка подключения для этой учетной записи хранения, чтобы использовать ее позже.

  3. Создайте общую папку в новой учетной записи хранения. Для удобства можно использовать то же имя общей папки из исходной учетной записи хранения. В противном случае, если вы используете новое имя общей папки, необходимо обновить параметр приложения.

  4. Обеспечьте защиту новой учетной записи хранения одним из следующих способов:

    • Создайте частную конечную точку. При настройке подключения к частной конечной точке создайте частные конечные точки для file подресурсов и blob подресурсов. Для Устойчивые функции необходимо также создавать queue и table подресурсы, доступные через частные конечные точки. Если вы используете пользовательский или локальный dns-сервер, настройте DNS-сервер для разрешения новых частных конечных точек.

    • Ограничить трафик определенными подсетями. Убедитесь, что ваше приложение-функция интегрировано с разрешенной подсетью и что подсеть имеет конечную точку Microsoft.Storageслужбы.

  5. Скопируйте содержимое файла и большого двоичного объекта из текущей учетной записи хранения, используемой приложением-функцией, в только что защищенную учетную запись хранения и общую папку. AzCopy и служба хранилища Azure Explorer являются общими методами. Если вы используете обозреватель служба хранилища Azure, возможно, потребуется разрешить ip-адрес клиента брандмауэру учетной записи хранения.

Теперь вы готовы настроить приложение-функцию для взаимодействия с новой защищенной учетной записью хранения.

3. Включение маршрутизации приложений и конфигурации

Примечание.

Эти действия конфигурации необходимы только для планов размещения Elastic Premium и выделенных (Служба приложений). План потребления Flex не требует настройки параметров сайта для настройки сети.

Теперь вы готовы маршрутизировать трафик приложения-функции для передачи через виртуальную сеть:

  1. Включите маршрутизацию приложений для маршрутизации трафика приложения в виртуальную сеть:

    1. В приложении-функции разверните узел "Параметры" и выберите "Сеть". На странице "Сеть" в разделе "Конфигурация исходящего трафика" выберите подсеть, связанную с интеграцией виртуальной сети.

    2. На новой странице в разделе "Маршрутизация приложений" выберите исходящий интернет-трафик.

  2. Включите маршрутизацию общего ресурса содержимого, чтобы приложение-функция могли взаимодействовать с новой учетной записью хранения через свою виртуальную сеть. На той же странице, что и на предыдущем шаге, в разделе "Маршрутизация конфигурации" выберите хранилище контента.

Примечание.

При маршрутизации в общую папку содержимого в учетной записи хранения, к которой используются несколько приложений-функций в одном плане, необходимо особое внимание. Дополнительные сведения см. в статье о согласованной маршрутизации через виртуальные сети в статье "Рекомендации по хранилищу".

4. Обновление параметров приложения

Наконец, необходимо обновить параметры приложения, чтобы указать новую безопасную учетную запись хранения:

  1. В приложении-функции разверните узел "Параметры" и выберите переменные среды.

  2. На вкладке "Параметры приложения" обновите следующие параметры, выбрав каждый параметр, редактируя его, а затем нажмите кнопку "Применить".

    Имя настройки Значение Комментарии
    AzureWebJobsStorage строка подключения к хранилищу; Используйте строка подключения для новой защищенной учетной записи хранения, которую вы сохранили ранее.
    WEBSITE_CONTENTAZUREFILECONNECTIONSTRING строка подключения к хранилищу; Используйте строка подключения для новой защищенной учетной записи хранения, которую вы сохранили ранее.
    WEBSITE_CONTENTSHARE Общая папка Используйте имя общей папки, созданной в защищенной учетной записи хранения, в которой находятся файлы развертывания проекта.

  3. Нажмите кнопку "Применить", а затем подтвердите сохранение новых параметров приложения в приложении-функции.

    Приложение-функция перезапускается.

После завершения перезапуска приложения-функции он подключается к защищенной учетной записи хранения.

Следующие шаги

Параметры сети для Функций Azure