Jak používat zabezpečený účet úložiště se službou Azure Functions

Azure Functions při vytváření instance aplikace funkcí vyžaduje účet služby Azure Storage. Tento výchozí účet úložiště používá modul runtime Služby Functions k udržování stavu vaší aplikace funkcí. Další informace najdete v tématu Důležité informace o úložišti pro službu Azure Functions. V tomto článku se dozvíte, jak jako výchozí účet úložiště použít zabezpečený účet úložiště. Podrobný kurz vytvoření aplikace funkcí s omezeními příchozího a odchozího přístupu najdete v kurzu Integrace s virtuální sítí . Další informace o azure Functions a sítích najdete v tématu Možnosti sítí Azure Functions.

Omezení účtu úložiště na virtuální síť

Když vytvoříte aplikaci funkcí, vytvoříte nový účet úložiště nebo propojíte s existujícím účtem. Při práci se zabezpečeným účtem úložiště mějte na paměti tyto aspekty.

• Pokud chcete vytvořit aplikaci funkcí, která jako výchozí účet úložiště používá existující zabezpečený účet úložiště, musíte aplikaci vytvořit buď na webu Azure Portal, nebo pomocí šablony ARM nebo nasazení Bicep.
• Pokud používáte zabezpečený účet úložiště s dynamickým plánem škálování, měli byste své funkce hostovat v plánu Flex Consumption. Tento plán podporuje zabezpečené účty úložiště i spravovaná připojení založená na identitě k úložišti, což je nejbezpečnější možnost připojení.
• Všechny úrovně plánu Dedicated (App Service) i plánu Elastic Premium také podporují účty zabezpečeného úložiště. Existují však kompromisy při použití spravovaných identit pro připojení z aplikace plánu Premium. Další informace najdete v tématu Vytvoření aplikace bez azure Files.
• Plán Consumption nepodporuje virtuální sítě, takže se nemůžete připojit k zabezpečenému účtu úložiště při spuštění v plánu Consumption. Pokud chcete využít hostování bezserverových funkcí, měli byste aplikaci znovu vytvořit, aby běžela v plánu Flex Consumption.
• Tento článek v současné době ukazuje, jak vytvořit aplikaci funkcí v plánu Premium, který se připojuje k zabezpečenému účtu úložiště pomocí účtu úložiště připojovací řetězec. Pokud chcete zajistit nejlepší ochranu přihlašovacích údajů účtu úložiště, měli byste místo toho při připojování k účtu úložiště používat spravované identity. Místo toho postupujte podle rychlého startu : Vytvoření a nasazení funkcí do Azure Functions pomocí azure Developer CLI k vytvoření aplikace funkcí v plánu Flex Consumption, který se připojuje k novému zabezpečenému účtu úložiště pomocí spravovaných identit.
• Seznam všech omezení účtů úložiště najdete v tématu Požadavky na účet úložiště.

Zabezpečené úložiště během vytváření aplikace funkcí

Můžete vytvořit aplikaci funkcí spolu s novým účtem úložiště, který je zabezpečený za virtuální sítí. Následující části ukazují, jak tyto prostředky vytvořit pomocí webu Azure Portal nebo pomocí šablon nasazení.

Azure Portal

Dokončete kroky v části Vytvoření aplikace funkcí v plánu Premium. V této části kurzu virtuální sítě se dozvíte, jak vytvořit aplikaci funkcí, která se připojuje k úložišti přes privátní koncové body.

Poznámka:

Když vytvoříte aplikaci funkcí na webu Azure Portal, můžete také zvolit existující zabezpečený účet úložiště na kartě Úložiště . Musíte ale nakonfigurovat příslušné sítě v aplikaci funkcí, aby se mohl připojit přes virtuální síť použitou k zabezpečení účtu úložiště. Pokud nemáte oprávnění ke konfiguraci sítí nebo jste síť ještě plně nepřipravili, vyberte Konfigurovat sítě po vytvoření na kartě Sítě. Sítě pro novou aplikaci funkcí můžete nakonfigurovat na portálu v části Sítě nastavení>.

Šablony nasazení

K vytvoření zabezpečené aplikace funkcí a prostředků účtu úložiště použijte soubory Bicep nebo šablony Azure Resource Manageru (ARM). Když vytvoříte zabezpečený účet úložiště v automatizovaném nasazení, musíte nastavit vnetContentShareEnabled vlastnost webu, vytvořit sdílenou složku jako součást nasazení a nastavit WEBSITE_CONTENTSHARE nastavení aplikace na název sdílené složky. Další informace, včetně odkazů na ukázková nasazení, najdete v tématu Zabezpečená nasazení.

Zabezpečené úložiště pro existující aplikaci funkcí

Pokud máte existující aplikaci funkcí, můžete přímo nakonfigurovat sítě na účtu úložiště, který aplikace používá. Výsledkem tohoto procesu je ale, že aplikace funkcí se během konfigurace sítě a restartování aplikace funkcí vypne.

Pokud chcete minimalizovat výpadky, můžete místo toho vyměnit existující účet úložiště za nový zabezpečený účet úložiště.

1. Povolení integrace virtuální sítě

Předpokladem je povolení integrace virtuální sítě pro vaši aplikaci funkcí:

1. Zvolte aplikaci funkcí s účtem úložiště, který nemá povolené koncové body služby ani privátní koncové body.

2. Povolte integraci virtuální sítě pro vaši aplikaci funkcí.

2. Vytvoření zabezpečeného účtu úložiště

Nastavení zabezpečeného účtu úložiště pro vaši aplikaci funkcí:

1. Vytvořte druhý účet úložiště. Tento účet úložiště je zabezpečený účet úložiště, který bude vaše aplikace funkcí používat místo původního nezabezpečeného účtu úložiště. Můžete také použít existující účet úložiště, který služba Functions ještě nepoužívá.

2. Uložte připojovací řetězec pro tento účet úložiště, abyste ho mohli použít později.

3. Vytvořte sdílenou složku v novém účtu úložiště. Pro usnadnění používání můžete použít stejný název sdílené složky z původního účtu úložiště. Pokud použijete nový název sdílené složky, musíte aktualizovat nastavení aplikace.

4. Nový účet úložiště zabezpečte jedním z následujících způsobů:

   • Vytvoření privátního koncového bodu Při nastavování připojení privátního koncového bodu vytvořte privátní koncové body pro file zdroje a blob podsourcy. Pro Durable Functions musíte také vytvářet queue a table podsourcy přístupné prostřednictvím privátních koncových bodů. Pokud používáte vlastní nebo místní server DNS (Domain Name System), nakonfigurujte server DNS tak, aby se přeložil na nové privátní koncové body.

   • Omezte provoz na konkrétní podsítě. Ujistěte se, že je vaše aplikace funkcí integrovaná se sítí s povolenou podsítí a že má podsíť koncový bod Microsoft.Storageslužby.

5. Zkopírujte obsah souboru a objektu blob z aktuálního účtu úložiště používaného aplikací funkcí do nově zabezpečeného účtu úložiště a sdílené složky. AzCopy a Průzkumník služby Azure Storage jsou běžné metody. Pokud používáte Průzkumník služby Azure Storage, možná budete muset povolit ip adrese klienta přístup k bráně firewall vašeho účtu úložiště.

Teď jste připraveni nakonfigurovat aplikaci funkcí tak, aby komunikovali s nově zabezpečeným účtem úložiště.

3. Povolení směrování aplikací a konfigurace

Poznámka:

Tyto kroky konfigurace se vyžadují jenom pro plány hostování Elastic Premium a Dedicated (App Service). Plán Flex Consumption nevyžaduje nastavení lokality ke konfiguraci sítí.

Teď jste připraveni směrovat provoz vaší aplikace funkcí tak, aby procházel virtuální sítí:

1. Povolte směrování aplikací pro směrování provozu vaší aplikace do virtuální sítě:

   1. V aplikaci funkcí rozbalte Nastavení a pak vyberte Sítě. Na stránce Sítě v části Konfigurace odchozího provozu vyberte podsíť přidruženou k integraci virtuální sítě.

   2. Na nové stránce v části Směrování aplikace vyberte Odchozí internetový provoz.

2. Povolte směrování sdílení obsahu, aby vaše aplikace funkcí mohla komunikovat s vaším novým účtem úložiště prostřednictvím své virtuální sítě. Na stejné stránce jako v předchozím kroku v části Směrování konfigurace vyberte Úložiště obsahu.

Poznámka:

Při směrování do sdílené složky obsahu v účtu úložiště sdíleném více aplikacemi funkcí ve stejném plánu musíte věnovat zvláštní pozornost. Další informace najdete v tématu Konzistentní směrování prostřednictvím virtuálních sítí v článku Důležité informace o úložišti.

4. Aktualizace nastavení aplikace

Nakonec musíte aktualizovat nastavení aplikace tak, aby odkazovat na nový zabezpečený účet úložiště:

1. V aplikaci funkcí rozbalte Nastavení a pak vyberte Proměnné prostředí.

2. Na kartě Nastavení aplikace aktualizujte následující nastavení tak, že vyberete jednotlivá nastavení, upravíte ho a pak vyberete Použít:

   Název nastavení	Hodnota	Komentář
   AzureWebJobsStorage	Připojovací řetězec úložiště	Použijte připojovací řetězec pro nový zabezpečený účet úložiště, který jste si uložili dříve.
   WEBSITE_CONTENTAZUREFILECONNECTIONSTRING	Připojovací řetězec úložiště	Použijte připojovací řetězec pro nový zabezpečený účet úložiště, který jste si uložili dříve.
   WEBSITE_CONTENTSHARE	Sdílená složka	Použijte název sdílené složky vytvořené v zabezpečeném účtu úložiště, ve kterém se nacházejí soubory nasazení projektu.

3. Vyberte Použít a potom potvrďte uložení nového nastavení aplikace do aplikace funkcí.

   Aplikace funkcí se restartuje.

Po restartování aplikace funkcí se připojí k zabezpečenému účtu úložiště.

Další kroky

Možnosti sítí Azure Functions