Einbinden von Azure Storage als lokale Freigabe in App Service

Azure Storage ist die Cloudspeicherlösung von Microsoft für moderne Datenspeicherszenarien. Azure Storage bietet hochverwendbare, massiv skalierbare, dauerhafte und sichere Speicherung für Datenobjekte in der Cloud. In diesem Leitfaden erfahren Sie, wie Sie Azure Storage-Dateien als Netzwerkfreigabe in Windows-Code (kein Container) in Azure App Service einbinden.

Azure Storage unterstützt Azure Files Shares und Premium Files Shares for App Service. Azure Storage ist nicht der Standardspeicher für App Service. Es wird separat in Rechnung gestellt. Sie können Azure Storage auch in einer ARM-Vorlage konfigurieren.

Zu den Vorteilen benutzerdefiniert bereitgestellten Speichers zählen:

• Konfigurieren Sie persistenten Speicher für Ihre App Service-App, und verwalten Sie den Speicher separat.
• Machen Sie statische Inhalte wie Videos und Bilder ohne Weiteres für Ihre App Service-App verfügbar.
• Schreiben Sie Anwendungsprotokolldateien, oder archivieren Sie ältere Anwendungsprotokolle in Azure-Dateifreigaben.
• Geben Sie Inhalte mehrere Apps übergreifend oder für andere Azure-Dienste frei.

Die folgenden Features werden für Windows-Code unterstützt:

• Gesicherter Zugriff auf Speicherkonten mit Key Vault, privaten Endpunktenund Dienstendpunkten (wenn Sie virtuelle Netzwerkintegrationverwenden).
• Azure Files (Lesen/Schreiben).
• Bis zu fünf Mountpunkte pro App.
• Binden Sie Azure Storage-Dateifreigaben mithilfe von /mounts/<path-name> ein.

Im Folgenden finden Sie die drei Optionen zum Einbinden von Azure Storage in Ihre App:

Montageoption	Verwendung
Basic	Wählen Sie diese Option aus, wenn Sie Speicher mithilfe des Azure-Portals bereitstellen. Sie können die grundlegende Option verwenden, solange das Speicherkonto keine Dienstendpunkte, privaten Endpunkteoder Azure Key Vaultverwendet. In diesem Fall ruft das Portal den Zugriffsschlüssel ab und speichert diesen für Sie.
Zugriffsschlüssel	Wenn Sie den Speicher mithilfe der Azure CLI einbinden möchten, müssen Sie einen Zugriffsschlüssel abrufen. Wählen Sie diese Option aus, wenn das Speicherkonto keine Dienstendpunkte, keine privaten Endpunkteoder keinen Azure Key Vaultverwendet.
Key Vault	Verwenden Sie diese Option auch, wenn Sie die Bereitstellung von Speicher mithilfe der Azure CLI planen, die den Zugriffsschlüssel erfordert. Wählen Sie diese Option aus, wenn Sie Azure Key Vault verwenden, um Zugriffsschlüssel sicher zu speichern und abzurufen. Azure Key Vault bietet die Vorteile des zentralen und sicheren Speicherns von Anwendungsgeheimnissen mit der Möglichkeit, andere Azure-Dienste wie Azure App Service zu überwachen, zu verwalten und in sie zu integrieren.

Voraussetzungen

Grundlegend

• Eine vorhandene Windows-Code-App in App Service.
• Eine Azure-Dateifreigabe
• In die Azure-Dateifreigabe hochgeladene Dateien

Zugriffsschlüssel

• Eine vorhandene Windows-Code-App in App Service.
• Eine Azure-Dateifreigabe
• In die Azure-Dateifreigabe hochgeladene Dateien

Key Vault

• Eine vorhandene Windows-Code-App in App Service.
• Eine Azure-Dateifreigabe
• In die Azure-Dateifreigabe hochgeladene Dateien
• Eine Azure Key Vault Instanz, die die Tresorzugriffsrichtlinie und ein Geheimnisverwendet, das erforderlich ist, um den Key Vault mit Azure Storage zu konfigurieren.

Begrenzungen

• Speicherfirewall wird nur über private Endpunkte und Dienstendpunkte unterstützt, wenn Sie die virtuelle Netzwerkintegrationverwenden.
• Azure-Blobs werden nicht unterstützt, wenn Sie Azure Storage Mounts für Windows-Code-Apps konfigurieren, die für App Service bereitgestellt werden.
• FTP/FTPS-Zugriff auf den bereitgestellten Speicher wird nicht unterstützt. Verwenden Sie Azure Storage Explorer.
• Es wird nicht unterstützt, /mounts, mounts/name1/name2, /und /mounts/name.ext/ einem benutzerdefinierten Speicher zuzuordnen. Sie können nur /mounts/pathname für die Montage von benutzerdefiniertem Speicher in Ihre Web-App verwenden.
• Speichereinbindungen sind nicht in Sicherungen enthalten. Achten Sie darauf, zum Sichern der Azure Storage-Konten bewährte Methoden zu befolgen.
• Bei der Integration des virtuellen Netzwerks in Ihre App verwendet das bereitgestellte Laufwerk eine RFC1918 IP-Adresse und keine IP-Adresse aus Ihrem virtuellen Netzwerk.

Vorbereitung zur Montage

Grundlegend

Es sind keine zusätzlichen Schritte erforderlich, da das Portal den Zugriffsschlüssel für Sie abruft und speichert.

Zugriffsschlüssel

Sie müssen den Zugriffsschlüssel aus Ihrem Speicherkonto abrufen.

Key Vault

Bevor Sie Speicher mit Key Vault Zugriff einbinden können, müssen Sie das Key Vault Geheimnis abrufen und als Anwendungseinstellung in Ihrer App hinzufügen.

1. Navigieren Sie im Azure-Portal zu Ihrem Key Vault. Wählen Sie Objekte>Geheimnisse aus. Kopieren Sie den Wert für Geheimnisbezeichner in die Zwischenablage.

   

2. Navigieren Sie zurück zu Ihrer App, und folgen Sie dem Schlüsseltresorverweis, um eine Anwendungseinstellung mithilfe des Geheimnisbezeichners zu erstellen.

   Beispielwert für die App-Einstellung: @Microsoft.KeyVault(SecretUri=https://mykeyvault.vault.azure.net/secrets/mykeyvaultsecret/aaaaaaaa0b0b1c1c2d2d333333333333)

Jetzt können Sie Key Vault für den Zugriff auf Ihr Speicherkonto verwenden.

Speicher in Windows-Code einbinden

Azure portal

1. Navigieren Sie im Azure-Portal zur App.

2. Wählen Sie auf der linken Navigationsleiste Einstellungen>Konfiguration aus. Wählen Sie Pfadzuordnungen und dann Neue Azure-Speicherbereitstellung aus.

3. Konfigurieren Sie die Speichermontage gemäß der folgenden Tabelle. Wenn Sie fertig sind, wählen Sie OKaus.

   Einstellung	BESCHREIBUNG
   Name	Name der Einbindungskonfiguration. Leerzeichen sind nicht zulässig.
   Konfigurationsoptionen	Wählen Sie Basic aus, wenn das Speicherkonto keine privaten Endpunkte und nicht Azure Key Vault verwendet. Wählen Sie andernfalls Erweitert aus.
   Speicherkonten	Azure Storage-Konto. Es muss eine Azure Files-Freigabe enthalten sein.
   Freigabename	Die einzubindende Dateifreigabe.
   Speicherzugriff	Wählen Sie Schlüsseltresorreferenz für Azure Key Vault aus. Wählen Sie andernfalls Manuelle Eingabe aus
   Zugriffsschlüssel (nur „Erweitert“)	Zugriffsschlüssel für Ihr Speicherkonto.
   Einbindungspfad	Verzeichnis in Ihrem App-Dienst, das Sie einbinden möchten. Es wird nur /mounts/pathname unterstützt.
   Anwendungseinstellungen	Wählen Sie die App-Einstellung mit dem geheimen Azure Key Vault-Schlüssel aus.
   Bereitstellungssloteinstellung	Wenn ausgewählt, gelten die Speichermontageeinstellungen auch für die Deployment-Slots.

Azure portal

1. Navigieren Sie im Azure-Portal zur App.

2. Wählen Sie auf der linken Navigationsleiste Einstellungen>Konfiguration aus. Wählen Sie Pfadzuordnungen und dann Neue Azure-Speicherbereitstellung aus.

3. Konfigurieren Sie die Speichermontage gemäß der folgenden Tabelle. Wenn Sie fertig sind, wählen Sie OKaus.

   Einstellung	BESCHREIBUNG
   Name	Name der Einbindungskonfiguration. Leerzeichen sind nicht zulässig.
   Konfigurationsoptionen	Wählen Sie Erweitertaus.
   Speicherkonten	Azure Storage-Konto.
   Speichertyp	Wählen Sie den Typ basierend auf dem Speicher aus, den Sie bereitstellen möchten. Azure Blobs unterstützen nur schreibgeschützten Zugriff.
   Speichercontainer oder Freigabename	Dateifreigabe oder Blobscontainer, die/der eingebunden werden soll.
   Speicherzugriff	Wählen Sie Manuelle Eingabe aus.
   Zugriffsschlüssel	Geben Sie den Zugriffsschlüssel für Ihr Speicherkonto ein.
   Einbindungspfad	Verzeichnis innerhalb des Linux-Containers für die Bereitstellung in Azure Storage. Verwenden Sie / oder /homenicht.
   Bereitstellungssloteinstellung	Wenn ausgewählt, gelten die Speicher-Mount-Einstellungen auch für Bereitstellungs-Slots.

Azure portal

1. Navigieren Sie im Azure-Portal zur App.

2. Wählen Sie auf der linken Navigationsleiste Einstellungen>Konfiguration aus. Wählen Sie Pfadzuordnungen und dann Neue Azure-Speicherbereitstellung aus.

3. Konfigurieren Sie die Speichermontage gemäß der folgenden Tabelle. Wenn Sie fertig sind, wählen Sie OKaus.

   Einstellung	BESCHREIBUNG
   Name	Name der Einbindungskonfiguration. Leerzeichen sind nicht zulässig.
   Konfigurationsoptionen	Wählen Sie Basic- aus, wenn das Speicherkonto keine Dienstendpunkte, privaten Endpunkteoder Azure Key Vaultverwendet. Wählen Sie andernfalls Erweitert aus.
   Speicherkonten	Azure Storage-Konto.
   Speichertyp	Wählen Sie den Typ basierend auf dem Speicher aus, den Sie bereitstellen möchten. Azure-Blobs unterstützen nur schreibgeschützten Zugriff.
   Speichercontainer oder Freigabename	Dateifreigabe oder Blobscontainer, die/der eingebunden werden soll.
   Speicherzugriff	Wählen Sie Schlüsseltresorverweis aus.
   Anwendungseinstellungen	Wählen Sie die vorhandene App-Einstellung mit dem geheimen Azure Key Vault-Schlüssel aus.
   Einbindungspfad	Verzeichnis innerhalb des Linux-Containers für die Bereitstellung in Azure Storage. Verwenden Sie / oder /homenicht.
   Bereitstellungssloteinstellung	Bei Aktivierung dieser Einstellung gelten die Speichereinbindungseinstellungen auch für Bereitstellungsslots.

4. Gewähren Sie Ihrer App Zugriff auf Key Vault, um auf die Speichereinbindung zuzugreifen.

Azure-Befehlszeilenschnittstelle

Wenn Sie die Azure CLI zum Einbinden von Speicher verwenden, müssen Sie den Speicherzugriffsschlüssel bereitstellen.

Azure-Befehlszeilenschnittstelle

Verwenden Sie den Befehl az webapp config storage-account add. Beispiel:

az webapp config storage-account add --resource-group <group-name> --name <app-name> --custom-id <custom-id> --storage-type AzureFiles --share-name <share-name> --account-name <storage-account-name> --access-key "<access-key>" --mount-path <mount-path-directory>

Vergewissern Sie sich, dass Ihr Speicher bereitgestellt ist, indem Sie den folgenden Befehl ausführen:

az webapp config storage-account list --resource-group <resource-group> --name <app-name>

Azure-Befehlszeilenschnittstelle

Die Azure CLI unterstützt derzeit keinen Montagespeicher mit Key Vault-Zugriff. Verwenden Sie stattdessen das Azure-Portal.

Hinweis

Das Hinzufügen, Bearbeiten oder Löschen eines Speichermounts bewirkt, dass die App neu gestartet wird.

Bewährte Methoden

• Azure Storage-Einbindungen können als virtuelles Verzeichnis für die Bereitstellung statischer Inhalte konfiguriert werden. Um das virtuelle Verzeichnis zu konfigurieren, wählen Sie im linken Navigationsbereich Einstellungen>Konfigurationaus. Wählen Sie dann Pfadzuordnungenaus, dann Neue virtuelle Anwendung oder Verzeichnis. Legen Sie den physischen Pfad auf den Einbindungspfad fest, der auf der Azure Storage-Einbindung definiert ist.

• Um Latenzprobleme zu vermeiden, platzieren Sie die App und das Azure Storage-Konto in derselben Region. Wenn Sie den Zugriff von App Service-IP-Adressen in der Azure Storage-Firewallkonfiguration gewähren, wenn sich die App und das Azure Storage-Konto in derselben Region befinden, werden diese IP-Einschränkungen nicht berücksichtigt.

• Vermeiden Sie im Azure Storage-Konto das erneute Generieren des Zugriffsschlüssels, der zum Einbinden des Speichers in der App verwendet wird. Das Speicherkonto enthält zwei Schlüssel. Azure App Services speichert einen Azure-Speicherkontoschlüssel. Stellen Sie in einem schrittweisen Ansatz sicher, dass die Speichereinbindung während der erneuten Schlüsselgenerierung für die App verfügbar bleibt. Nehmen wir zum Beispiel an, dass Sie mit key1 die Speicherbereitstellung in Ihrer Anwendung konfiguriert haben:

  1. Generieren Sie key2 neu.
  2. Aktualisieren Sie in der Konfiguration der Speichereinbindung den Zugriff auf den Schlüssel, um den neu generierten Schlüssel key2 zu verwenden.
  3. Generieren Sie key1 neu.

• Wenn Sie ein Azure Storage-Konto, einen Container oder eine Freigabe löschen, entfernen Sie die entsprechende Speicherbereitstellungskonfiguration in der App, um mögliche Fehlerszenarien zu vermeiden.

• Die Leistungsstufe des bereitgestellten Azure Storage-Kontos kann Standard oder Premium sein. Wählen Sie die entsprechende Leistungsstufe für das Speicherkonto nach den Kapazität- und Durchsatzanforderungen der App aus. Weitere Informationen finden Sie unter Skalierbarkeits- und Leistungsziele für Files.

• Wenn Ihre App auf mehrere Instanzen skaliert wird, wird für alle Instanzen eine Verbindung mit demselben bereitgestellten Azure Storage-Konto hergestellt. Um Leistungsengpässe und Durchsatzprobleme zu vermeiden, wählen Sie die entsprechende Leistungsstufe für das Speicherkonto aus.

• Sie sollten Speichereinbindungen nicht für lokale Datenbanken (z. B. SQLite) oder andere Anwendungen und Komponenten verwenden, die auf Dateihandles und -sperren basieren.

• Wenn Sie ein Speicherfailover initiieren, wenn das Speicherkonto in die App eingebunden ist, stellt die Einbindung erst eine Verbindung her, wenn die App neu gestartet oder die Speichereinbindung entfernt und wieder hinzugefügt wird.

• Stellen Sie beim Verwenden der Integration des virtuellen Netzwerks sicher, dass die App-Einstellung WEBSITE_CONTENTOVERVNET auf 1 festgelegt ist und die folgenden Ports geöffnet sind: Azure Files: 80 und 445.

• Die Leistungsstufe des bereitgestellten Azure Storage-Kontos kann Standard oder Premium sein. Wählen Sie die entsprechende Leistungsstufe für das Speicherkonto nach den Kapazität- und Durchsatzanforderungen der App aus. Siehe die Skalierbarkeits- und Leistungsziele für Dateien.

Nächster Schritt

• Migrieren von .NET-Apps zu Azure App Service

Azure Storage ist die Cloudspeicherlösung von Microsoft für moderne Datenspeicherszenarien. Azure Storage bietet hochverwendbare, massiv skalierbare, dauerhafte und sichere Speicherung für Datenobjekte in der Cloud. In diesem Leitfaden erfahren Sie, wie Sie Azure Storage-Dateien als Netzwerkfreigabe in einem Windows-Container in App Service einbinden.

Azure Storage unterstützt Azure Files Shares und Premium Files Shares. Azure Storage ist nicht der Standardspeicher für App Service. Es wird separat in Rechnung gestellt. Sie können Azure Storage auch in einer ARM-Vorlage konfigurieren.

Zu den Vorteilen benutzerdefiniert bereitgestellten Speichers zählen:

• Konfigurieren Sie persistenten Speicher für Ihre App Service-App, und verwalten Sie den Speicher separat.
• Machen Sie statische Inhalte wie Videos und Bilder ohne Weiteres für Ihre App Service-App verfügbar.
• Schreiben Sie Anwendungsprotokolldateien oder archivieren Sie ältere Anwendungsprotokolle in Azure-Dateifreigaben.
• Geben Sie Inhalte mehrere Apps übergreifend oder für andere Azure-Dienste frei.
• Bereitstellen von Azure Storage in einem Windows-Container, einschließlich „App Service (isoliert)“. Weitere Informationen finden Sie unter der App Service-Umgebung v3.

Die folgenden Features werden für Windows-Container unterstützt:

• Gesicherter Zugriff auf Speicherkonten mit Schlüsseltresor, privaten Endpunkten und Dienstendpunkten (bei Verwendung der Integration des virtuellen Netzwerks).
• Azure Files (Lesen/Schreiben).
• Bis zu fünf Einbindungspunkte pro App
• Zuordnung von Laufwerkbuchstaben (C: bis Z:)

Im Folgenden finden Sie die drei Optionen zum Einbinden von Azure Storage in Ihre App:

Montageoption	Verwendung
Basic	Wählen Sie diese Option beim Einbinden von Speicher mithilfe des Azure-Portal aus. Sie können die Basisoption verwenden, solange das Speicherkonto nicht Dienstendpunkte, private Endpunkteoder Azure Key Vaultnutzt. In diesem Fall ruft das Portal den Zugriffsschlüssel ab und speichert diesen für Sie.
Zugriffsschlüssel	Wenn Sie den Speicher mithilfe der Azure CLI einbinden möchten, müssen Sie einen Zugriffsschlüssel abrufen. Wählen Sie diese Option aus, wenn das Speicherkonto keine Dienstendpunkte, privaten Endpunkteoder Azure Key Vaultverwendet.
Key Vault	Verwenden Sie diese Option auch, wenn Sie die Bereitstellung von Speicher mithilfe der Azure CLI planen, die den Zugriffsschlüssel erfordert. Wählen Sie diese Option aus, wenn Sie Azure Key Vault verwenden, um Zugriffsschlüssel sicher zu speichern und abzurufen. Azure Key Vault bietet die Vorteile des zentralen und sicheren Speicherns von Anwendungsgeheimnissen mit der Möglichkeit, andere Azure-Dienste wie Azure App Service zu überwachen, zu verwalten und in sie zu integrieren.

Voraussetzungen

Grundlegend

• Eine vorhandene Windows-Container-App in App Service.
• Eine Azure-Dateifreigabe
• In die Azure-Dateifreigabe hochgeladene Dateien

Zugriffsschlüssel

• Eine vorhandene Windows-Container-App in App Service.
• Eine Azure-Dateifreigabe
• In die Azure-Dateifreigabe hochgeladene Dateien

Key Vault

• Eine vorhandene Windows-Container-App in App Service.
• Eine Azure-Dateifreigabe
• In die Azure-Dateifreigabe hochgeladene Dateien
• Eine Azure Key Vault-Instanz, die die Tresorzugriffsrichtlinie und ein Geheimnis verwendet, das zum Konfigurieren von Key Vault mit Azure Storage erforderlich ist.

Begrenzungen

• Azure-Blobs werden nicht unterstützt.
• Speicherfirewall wird nur über private Endpunkte und Dienstendpunkte unterstützt, wenn Sie die virtuelle Netzwerkintegrationverwenden.
• FTP/FTPS-Zugriff auf bereitgestellten Speicher wird nicht unterstützt (verwenden Sie den Azure Storage-Explorer).
• Zuordnung von [C-Z]:\, [C-Z]:\home, /und /home zu benutzerdefiniert gemountetem Speicher wird nicht unterstützt.
• Speichereinbindungen werden nicht gesichert, wenn Sie Ihre App sichern. Achten Sie darauf, zum Sichern der Azure Storage-Konten bewährte Methoden zu befolgen.
• Bei der Integration des virtuellen Netzwerks in Ihre App verwendet das bereitgestellte Laufwerk eine RFC1918 IP-Adresse und keine IP-Adresse aus Ihrem virtuellen Netzwerk.

Vorbereitung für die Montage

Grundlegend

Es sind keine zusätzlichen Schritte erforderlich, da das Portal den Zugriffsschlüssel für Sie abruft und speichert.

Zugriffsschlüssel

Sie müssen den Zugriffsschlüssel aus Ihrem Speicherkonto abrufen.

Key Vault

Bevor Sie Speicher mit Key Vault Zugriff einbinden können, müssen Sie das Key Vault Geheimnis abrufen und als Anwendungseinstellung in Ihrer App hinzufügen.

1. Navigieren Sie im Azure-Portal zu Ihrem Key Vault. Wählen Sie Objekte>Geheimnisse aus. Kopieren Sie den Wert für Geheimnisbezeichner in die Zwischenablage.

   

2. Navigieren Sie zurück zu Ihrer App, und folgen Sie dem Schlüsseltresorverweis, um eine Anwendungseinstellung mithilfe des Geheimnisbezeichners zu erstellen.

   Beispielwert für die App-Einstellung: @Microsoft.KeyVault(SecretUri=https://mykeyvault.vault.azure.net/secrets/mykeyvaultsecret/aaaaaaaa0b0b1c1c2d2d333333333333)

Jetzt können Sie Key Vault für den Zugriff auf Ihr Speicherkonto verwenden.

Speicher in Windows-Container einhängen

Azure portal

1. Navigieren Sie im Azure-Portal zur App.

2. Wählen Sie auf der linken Navigationsleiste Einstellungen>Konfiguration aus. Wählen Sie Pfadzuordnungen und dann Neue Azure-Speicherbereitstellung aus.

3. Konfigurieren Sie die Speichermontage entsprechend der folgenden Tabelle. Wenn Sie fertig sind, wählen Sie OKaus.

   Einstellung	BESCHREIBUNG
   Name	Name der Einbindungskonfiguration. Leerzeichen sind nicht zulässig.
   Konfigurationsoptionen	Wählen Sie Basic aus.
   Speicherkonten	Azure Storage-Konto. Es muss eine Azure Files-Freigabe enthalten sein.
   Freigabename	Die einzubindende Dateifreigabe.
   Einbindungspfad	Verzeichnis in Ihrem Windows-Container, das Sie einbinden möchten. Verwenden Sie kein Stammverzeichnis ([C-Z]:* oder /) oder das Home Verzeichnis ([C-Z]:\home* oder /home).
   Bereitstellungssloteinstellung	Bei Aktivierung dieser Einstellung gelten die Speichereinbindungseinstellungen auch für Bereitstellungsslots.

Azure portal

1. Navigieren Sie im Azure-Portal zur App.

2. Wählen Sie auf der linken Navigationsleiste Einstellungen>Konfiguration aus. Wählen Sie Pfadzuordnungen und dann Neue Azure-Speicherbereitstellung aus.

3. Konfigurieren Sie die Speichereinbindung gemäß der folgenden Tabelle. Wenn Sie fertig sind, wählen Sie OKaus.

   Einstellung	BESCHREIBUNG
   Name	Name der Einbindungskonfiguration. Leerzeichen sind nicht zulässig.
   Konfigurationsoptionen	Wählen Sie Erweitertaus.
   Speicherkonten	Azure Storage-Konto. Es muss eine Azure Files-Freigabe enthalten sein.
   Freigabename	Die einzubindende Dateifreigabe.
   Zugriffsschlüssel (nur „Erweitert“)	Zugriffsschlüssel für Ihr Speicherkonto.
   Einbindungspfad	Verzeichnis in Ihrem Windows-Container, das Sie einbinden möchten. Verwenden Sie kein Stammverzeichnis ([C-Z]:* oder /) oder das Home Verzeichnis ([C-Z]:\home* oder /home).
   Anwendungseinstellungen	Wählen Sie die App-Einstellung mit dem geheimen Azure Key Vault-Schlüssel aus.
   Bereitstellungssloteinstellung	Wenn ausgewählt, gelten die Speichermonteinstellungen auch für Bereitstellungsplätze.

Azure portal

1. Navigieren Sie im Azure-Portal zur App.

2. Wählen Sie auf der linken Navigationsleiste Einstellungen>Konfiguration aus. Wählen Sie Pfadzuordnungen und dann Neue Azure-Speicherbereitstellung aus.

3. Konfigurieren Sie die Speichereinbindung gemäß der folgenden Tabelle. Wenn Sie fertig sind, wählen Sie OKaus.

   Einstellung	BESCHREIBUNG
   Name	Name der Montagekonfiguration. Leerzeichen sind nicht zulässig.
   Konfigurationsoptionen	Wenn das Speicherkonto keine Dienstendpunkte, private Endpunkteoder Azure Key Vaultverwendet, wählen Sie Basicaus. Wählen Sie andernfalls Erweitert aus.
   Speicherkonten	Azure Storage-Konto.
   Speichertyp	Wählen Sie den Typ basierend auf dem Speicher aus, den Sie bereitstellen möchten. Azure-Blobs unterstützen nur schreibgeschützten Zugriff.
   Speichercontainer oder Freigabename	Dateifreigabe oder Blobscontainer, die/der eingebunden werden soll.
   Speicherzugriff	Wählen Sie Schlüsseltresorverweis aus.
   Anwendungseinstellungen	Wählen Sie die vorhandene App-Einstellung aus, die mit dem Azure Key Vault Geheimnis konfiguriert ist.
   Einbindungspfad	Verzeichnis innerhalb des Linux-Containers für die Bereitstellung in Azure Storage. Verwenden Sie / oder /homenicht.
   Bereitstellungssloteinstellung	Bei ausgewählter Option gelten die Speichermonteinstellungen auch für Bereitstellungsplätze.

4. Gewähren Sie Ihrer App Zugriff auf Key Vault, um auf die Speichereinbindung zuzugreifen.

Azure-Befehlszeilenschnittstelle

Wenn Sie die Azure CLI zum Einbinden von Speicher verwenden, müssen Sie den Speicherzugriffsschlüssel bereitstellen.

Azure-Befehlszeilenschnittstelle

Verwenden Sie den Befehl az webapp config storage-account add. Beispiel:

az webapp config storage-account add --resource-group <group-name> --name <app-name> --custom-id <custom-id> --storage-type AzureFiles --share-name <share-name> --account-name <storage-account-name> --access-key "<access-key>" --mount-path <mount-path-directory>

• --storage-type muss für Windows-Container AzureFiles sein.
• mount-path-directory muss sich im Format /path/to/dir oder [C-Z]:\path\to\dirbefinden.

Vergewissern Sie sich, dass Ihr Speicher bereitgestellt ist, indem Sie den folgenden Befehl ausführen:

az webapp config storage-account list --resource-group <resource-group> --name <app-name>

Azure-Befehlszeilenschnittstelle

Die Azure CLI unterstützt derzeit keinen Montagespeicher mit Key Vault-Zugriff. Verwenden Sie stattdessen das Portal.

Hinweis

Das Hinzufügen, Bearbeiten oder Löschen eines Speichermounts bewirkt, dass die App neu gestartet wird.

Bewährte Methoden

• Um Latenzprobleme zu vermeiden, platzieren Sie die App und das Azure Storage-Konto in derselben Region. Wenn Sie den Zugriff von App Service-IP-Adressen in der Azure Storage-Firewallkonfiguration gewähren, wenn sich die App und das Azure Storage-Konto in derselben Region befinden, werden diese IP-Einschränkungen nicht berücksichtigt.

• Vermeiden Sie im Azure Storage-Konto das erneute Generieren des Zugriffsschlüssels, der zum Einbinden des Speichers in der App verwendet wird. Das Speicherkonto enthält zwei Schlüssel. Azure App Services speichert einen Azure-Speicherkontoschlüssel. Verwenden Sie einen schrittweisen Ansatz, um sicherzustellen, dass die Speichermontage während der Schlüsselerneuerung für die App verfügbar bleibt. Nehmen wir zum Beispiel an, dass Sie mit key1 die Speicherbereitstellung in Ihrer Anwendung konfiguriert haben:

  1. Generieren Sie key2 neu.
  2. Aktualisieren Sie in der Speichermontagekonfiguration den Zugriffsschlüssel, um den neu generierten key2 zu verwenden.
  3. Generieren Sie key1 neu.

• Wenn Sie ein Azure Storage-Konto, einen Container oder eine Freigabe löschen, entfernen Sie die entsprechende Speicherbereitstellungskonfiguration in der App, um mögliche Fehlerszenarien zu vermeiden.

• Die Leistungsstufe des bereitgestellten Azure Storage-Kontos kann Standard oder Premium sein. Wählen Sie die entsprechende Leistungsstufe für das Speicherkonto nach den Kapazität- und Durchsatzanforderungen der App aus. Weitere Informationen finden Sie unter Skalierbarkeits- und Leistungsziele für Files.

• Wenn Ihre App auf mehrere Instanzen skaliert wird, wird für alle Instanzen eine Verbindung mit demselben bereitgestellten Azure Storage-Konto hergestellt. Um Leistungsengpässe und Durchsatzprobleme zu vermeiden, wählen Sie die entsprechende Leistungsstufe für das Speicherkonto aus.

• Sie sollten Speichereinbindungen nicht für lokale Datenbanken (z. B. SQLite) oder andere Anwendungen und Komponenten verwenden, die auf Dateihandles und -sperren basieren.

• Stellen Sie sicher, dass die Ports 80 und 445 geöffnet sind, wenn Sie Azure Files mit der Integration des virtuellen Netzwerks verwenden.

• Wenn Sie ein Speicherfailover initiieren, wenn das Speicherkonto in die App eingebunden ist, stellt die Einbindung erst eine Verbindung her, wenn die App neu gestartet oder die Speichereinbindung entfernt und wieder hinzugefügt wird.

Nächster Schritt

• Migrieren benutzerdefinierter Software zu Azure App Service mithilfe eines benutzerdefinierten Containers

Hinweis

NFS-Support ist jetzt für App Service für Linux verfügbar.

In diesem Leitfaden wird gezeigt, wie Sie Azure Storage als Netzwerkfreigabe in einem integrierten Linux-Container oder einem benutzerdefinierten Linux-Container in App Service einbinden. Azure Storage ist die Cloudspeicherlösung von Microsoft für moderne Datenspeicherszenarien. Azure Storage bietet hochverwendbare, massiv skalierbare, dauerhafte und sichere Speicherung für Datenobjekte in der Cloud. Azure Storage ist nicht der Standardspeicher für App Service. Es wird separat in Rechnung gestellt. Sie können Azure Storage auch in einer ARM-Vorlage konfigurieren.

Zu den Vorteilen benutzerdefiniert bereitgestellten Speichers zählen:

• Konfigurieren Sie persistenten Speicher für Ihre App Service-App, und verwalten Sie den Speicher separat.
• Machen Sie statische Inhalte wie Videos und Bilder ohne Weiteres für Ihre App Service-App verfügbar.
• Schreiben Sie Anwendungsprotokolldateien oder archivieren Sie ältere Anwendungsprotokolle in Azure-Dateifreigaben.
• Geben Sie Inhalte mehrere Apps übergreifend oder für andere Azure-Dienste frei.
• Unterstützt Azure Files NFS und Azure Files SMB.
• Unterstützt Azure Blobs (nur lesend).
• Unterstützt bis zu fünf Bereitstellungspunkte pro App.

Zu den Einschränkungen benutzerspezifisch bereitgestellter Speicher gehören:

• Speicherfirewall wird nur dann über Dienstendpunkte und private Endpunkte unterstützt, wenn Sie die virtuelle Netzwerkintegrationverwenden.
• FTP/FTPS-Zugriff auf benutzerdefinierten Speicher wird nicht unterstützt. Verwenden Sie Azure Storage Explorer.
• Gemeinsam genutzte Speicherkonto-Zugriffsschlüssel sind die einzigen unterstützten Authentifizierungsarten. Entra ID- und RBAC-Rollen werden nicht unterstützt.
• Die Unterstützung von Azure CLI, Azure PowerShell und Azure SDK befindet sich in der Vorschau.
• Die Zuordnung von / oder /home zu benutzerdefiniert eingebundenem Speicher wird nicht unterstützt.
• Ordnen Sie die Speichereinbindung nicht /tmp oder dessen Unterverzeichnisse zu. Diese Aktion kann während des App-Starts zu einem Timeout führen.
• Azure Storage wird in Docker Compose-Szenarien nicht unterstützt.
• Speichereinbindungen sind nicht in Sicherungen enthalten. Achten Sie darauf, zum Sichern der Azure Storage-Konten bewährte Methoden zu befolgen.
• NFS-Support ist nur für App Service für Linux verfügbar. Für Windows-Code und Windows-Container wird NFS nicht unterstützt. Die Web-App und das Speicherkonto müssen im selben virtuellen Netzwerk für NFS konfiguriert werden. Das für die Dateifreigabe verwendete Speicherkonto sollte die Leistungsstufe Premium und den Kontotyp Dateispeicher aufweisen. Azure Key Vault gilt nicht bei Verwendung des NFS-Protokolls.
• Bei der Integration des virtuellen Netzwerks in Ihre App verwendet das bereitgestellte Laufwerk eine RFC1918 IP-Adresse und keine IP-Adresse aus Ihrem virtuellen Netzwerk.

Montageoptionen

Sie müssen den Speicher an die App bereitstellen. Im Folgenden finden Sie drei Bereitstellungsoptionen für Azure-Speicher:

Montageoption	Verwendung
Basic	Wählen Sie diese Option aus, um Speicher über das Azure-Portal bereitzustellen. Sie können die Basisoption verwenden, solange das Speicherkonto keine Dienstendpunkte, privaten Endpunkte oder Azure Key Vault-Instanz verwendet. In diesem Fall ruft das Portal den Zugriffsschlüssel ab und speichert diesen für Sie.
Zugriffsschlüssel	Wenn Sie den Speicher mithilfe der Azure CLI einbinden möchten, müssen Sie einen Zugriffsschlüssel abrufen. Wählen Sie diese Option aus, wenn das Speicherkonto keine Dienstendpunkte, private Endpunkteoder Azure Key Vaultverwendet.
Key Vault	Verwenden Sie diese Option auch, wenn Sie die Bereitstellung von Speicher mithilfe der Azure CLI planen, die den Zugriffsschlüssel erfordert. Wählen Sie diese Option aus, wenn Sie Azure Key Vault verwenden, um Zugriffstasten sicher zu speichern und abzurufen. Azure Key Vault bietet die Vorteile des zentralen und sicheren Speicherns von Anwendungsgeheimnissen mit der Möglichkeit, andere Azure-Dienste wie Azure App Service zu überwachen, zu verwalten und in sie zu integrieren.

Voraussetzungen

Grundlegend

• Eine vorhandene App Service für Linux-App.
• Ein Azure Storage-Konto
• Azure-Dateifreigabe und -Verzeichnis.

Zugriffsschlüssel

• Eine vorhandene App Service für Linux-App.
• Ein Azure Storage-Konto
• Azure-Dateifreigabe und -Verzeichnis.

Key Vault

• Eine vorhandene App Service für Linux-App.
• Ein Azure Storage-Konto
• Azure-Dateifreigabe und -Verzeichnis.
• Eine Azure Key Vault Instanz, die die Tresorzugriffsrichtlinie und ein Secretbenötigt, um das Key Vault mit Azure Storage zu konfigurieren.

Vorbereiten der Einbindung

Grundlegend

Es sind keine zusätzlichen Schritte erforderlich, da das Portal den Zugriffsschlüssel für Sie abruft und speichert.

Zugriffsschlüssel

Sie müssen den Zugriffsschlüssel aus Ihrem Speicherkonto abrufen.

Key Vault

Bevor Sie Speicher mit Key Vault Zugriff einbinden können, müssen Sie das Key Vault Geheimnis abrufen und als Anwendungseinstellung in Ihrer App hinzufügen.

1. Navigieren Sie im Azure-Portal zu Ihrem Key Vault. Wählen Sie Objekte>Geheimnisse aus. Kopieren Sie den Wert für Geheimnisbezeichner in die Zwischenablage.

   

2. Folgen Sie in Ihrer App dem Schlüsseltresorverweis, um eine Anwendungseinstellung mithilfe des Geheimnisbezeichners zu erstellen.

   Beispielwert für die App-Einstellung: @Microsoft.KeyVault(SecretUri=https://mykeyvault.vault.azure.net/secrets/mykeyvaultsecret/aaaaaaaa0b0b1c1c2d2d333333333333)

Jetzt können Sie Key Vault für den Zugriff auf Ihr Speicherkonto verwenden.

Speicher für Linux-Container einbinden

Die Art und Weise, wie Sie Den Speicher bereitstellen, hängt von Ihrer Speicherzugriffsoption und davon ab, ob Sie das Portal oder die Azure CLI verwenden.

Azure portal

1. Navigieren Sie im Azure-Portal zur App.

2. Wählen Sie auf der linken Navigationsleiste Einstellungen>Konfiguration aus. Wählen Sie Pfadzuordnungen und dann Neue Azure-Speicherbereitstellung aus.

3. Konfigurieren Sie die Speichereinbindung gemäß der folgenden Tabelle. Wenn Sie fertig sind, wählen Sie OKaus.

   Einstellung	BESCHREIBUNG
   Name	Name der Einbindungskonfiguration. Leerzeichen sind nicht zulässig.
   Konfigurationsoptionen	Wählen Sie Basic- aus, wenn das Speicherkonto keine Dienstendpunkte, privaten Endpunkteoder Azure Key Vaultverwendet. Wählen Sie andernfalls Erweitert aus.
   Speicherkonten	Azure Storage-Konto.
   Speichertyp	Wählen Sie den Typ basierend auf dem Speicher aus, den Sie bereitstellen möchten. Azure Blobs unterstützen nur schreibgeschützten Zugriff.
   Speichercontainer oder Freigabename	Dateifreigabe oder Blobscontainer, die/der eingebunden werden soll.
   Einbindungspfad	Verzeichnis innerhalb des Linux-Containers für die Bereitstellung in Azure Storage. Verwenden Sie / oder /homenicht.
   Bereitstellungssloteinstellung	Bei Aktivierung dieser Einstellung gelten die Speichereinbindungseinstellungen auch für Bereitstellungsslots.

Azure portal

1. Navigieren Sie im Azure-Portal zur App.

2. Wählen Sie auf der linken Navigationsleiste Einstellungen>Konfiguration aus. Wählen Sie Pfadzuordnungen und dann Neue Azure-Speicherbereitstellung aus.

3. Konfigurieren Sie die Speichereinbindung gemäß der folgenden Tabelle. Wenn Sie fertig sind, wählen Sie OKaus.

   Einstellung	BESCHREIBUNG
   Name	Name der Mount-Konfiguration. Leerzeichen sind nicht zulässig.
   Konfigurationsoptionen	Wählen Sie Erweitertaus.
   Speicherkonten	Azure Storage-Konto.
   Speichertyp	Wählen Sie den Typ basierend auf dem Speicher aus, den Sie bereitstellen möchten. Azure-Blobs unterstützen nur schreibgeschützten Zugriff.
   Speichercontainer oder Freigabename	Dateifreigabe oder Blobscontainer, die/der eingebunden werden soll.
   Speicherzugriff	Wählen Sie Manuelle Eingabe aus.
   Zugriffsschlüssel	Geben Sie den Zugriffsschlüssel für Ihr Speicherkonto ein.
   Einbindungspfad	Verzeichnis innerhalb des Linux-Containers für die Bereitstellung in Azure Storage. Verwenden Sie / oder /homenicht.
   Bereitstellungssloteinstellung	Bei Aktivierung dieser Einstellung gelten die Speichereinbindungseinstellungen auch für Bereitstellungsslots.

Azure portal

1. Navigieren Sie im Azure-Portal zur App.

2. Wählen Sie auf der linken Navigationsleiste Einstellungen>Konfiguration aus. Wählen Sie Pfadzuordnungen und dann Neue Azure-Speicherbereitstellung aus.

3. Konfigurieren Sie die Speicheranbindung entsprechend der folgenden Tabelle. Wenn Sie fertig sind, wählen Sie OKaus.

   Einstellung	BESCHREIBUNG
   Name	Name der Montagekonfiguration. Leerzeichen sind nicht zulässig.
   Konfigurationsoptionen	Wählen Sie Erweitertaus.
   Speicherkonten	Azure Storage-Konto.
   Speichertyp	Wählen Sie den Typ basierend auf dem Speicher aus, den Sie bereitstellen möchten. Azure-Blobs unterstützen nur schreibgeschützten Zugriff.
   Speichercontainer oder Freigabename	Dateifreigabe oder Blobscontainer, die/der eingebunden werden soll.
   Speicherzugriff	Wählen Sie Schlüsseltresorverweis aus.
   Anwendungseinstellungen	Wählen Sie die vorhandene App-Einstellung aus, die mit dem Azure Key Vault Geheimnis konfiguriert ist.
   Einbindungspfad	Verzeichnis innerhalb des Linux-Containers für die Bereitstellung in Azure Storage. Verwenden Sie / oder /homenicht.
   Bereitstellungssloteinstellung	Bei Aktivierung dieser Einstellung gelten die Speichereinbindungseinstellungen auch für Bereitstellungsslots.

4. Gewähren Sie Ihrer App Zugriff auf Key Vault, um auf die Speichereinbindung zuzugreifen.

Azure-Befehlszeilenschnittstelle

Wenn Sie die Azure CLI zum Einbinden von Speicher verwenden, müssen Sie den Speicherzugriffsschlüssel bereitstellen.

Azure-Befehlszeilenschnittstelle

Verwenden Sie den Befehl az webapp config storage-account add. Beispiel:

az webapp config storage-account add --resource-group <group-name> --name <app-name> --custom-id <custom-id> --storage-type AzureFiles --share-name <share-name> --account-name <storage-account-name> --access-key "<access-key>" --mount-path <mount-path-directory>

• --storage-type kann AzureBlob oder AzureFiles sein. AzureBlob ist schreibgeschützt.
• --mount-path ist das Verzeichnis innerhalb des Linux-Containers für die Bereitstellung in Azure Storage. Verwenden Sie nicht /, das Stammverzeichnis.

Vergewissern Sie sich, dass Ihr Speicher bereitgestellt ist, indem Sie den folgenden Befehl ausführen:

az webapp config storage-account list --resource-group <resource-group> --name <app-name>

Azure-Befehlszeilenschnittstelle

Die Azure CLI unterstützt derzeit keinen Montagespeicher mit Key Vault-Zugriff. Verwenden Sie stattdessen das Portal.

Hinweis

Das Hinzufügen, Bearbeiten oder Löschen eines Speichermounts bewirkt, dass die App neu gestartet wird.

Überprüfen des eingebundenen Speichers

So überprüfen Sie, ob Azure Storage erfolgreich für die App bereitgestellt wurde:

1. Öffnen Sie eine SSH-Sitzung im Container.

2. Führen Sie dann im SSH-Terminal folgenden Befehl aus:

   df –h 
   

3. Überprüfen Sie, ob die Speicherfreigabe eingebunden wurde. Wenn sie nicht vorhanden ist, liegt ein Problem beim Einbinden der Speicherfreigabe vor.

4. Überprüfen Sie die Latenz oder die allgemeine Erreichbarkeit der Speichermenge mit folgendem Befehl:

   tcpping Storageaccount.file.core.windows.net 
   

Bewährte Methoden

Leistung

• Um Latenzprobleme zu vermeiden, platzieren Sie die App und das Azure Storage-Konto in derselben Region. Wenn Sie in der Azure Storage-Firewall-Konfiguration den Zugriff von IP-Adressen des App-Dienstes gewähren, während sich die App und das Azure Storage-Konto in derselben Region befinden, werden diese IP-Beschränkungen nicht beachtet.

• Die Leistungsstufe des bereitgestellten Azure Storage-Kontos kann Standard oder Premium sein. Wählen Sie die entsprechende Leistungsstufe für das Speicherkonto nach den Kapazität- und Durchsatzanforderungen der App aus. Betrachten Sie die Skalierbarkeits- und Leistungsziele, die dem Speichertyp entsprechen:Dateien und Blobs.

• Wenn Ihre App auf mehrere Instanzen skaliert wird, wird für alle Instanzen eine Verbindung mit demselben bereitgestellten Azure Storage-Konto hergestellt. Um Leistungsengpässe und Durchsatzprobleme zu vermeiden, wählen Sie die entsprechende Leistungsstufe für das Speicherkonto aus.

Sicherheit

• Vermeiden Sie im Azure Storage-Konto das erneute Generieren des Zugriffsschlüssels, der zum Einbinden des Speichers in der App verwendet wird. Das Speicherkonto enthält zwei Schlüssel. Azure App Services speichert einen Azure-Speicherkontoschlüssel. Stellen Sie Schritt für Schritt sicher, dass die Speichermontage während der Schlüsselneugenerierung für die App verfügbar bleibt. Nehmen wir zum Beispiel an, dass Sie mit key1 die Speicherbereitstellung in Ihrer Anwendung konfiguriert haben:

  1. Generieren Sie key2 neu.
  2. Aktualisieren Sie in der Speicherbereitstellungskonfiguration den Zugriffsschlüssel, um den neu generierten key2 zu verwenden.
  3. Generieren Sie key1 neu.

Konfiguration

• Wenn Sie ein Echtzeitdateisystem verwenden müssen, bei dem Sie davon ausgehen, dass Änderungen schnell geändert, hinzugefügt oder entfernt werden, verwenden Sie Azure Files als Speichertyp, wenn Sie den Speicher bereitstellen. Wenn Dateien statisch sind und Sie nicht erwarten, dass sie sich ändern, verwenden Sie Azure Blob.

Problembehandlung

• Das Einbindungsverzeichnis im benutzerdefinierten Container sollte leer sein. Alle an diesem Pfad gespeicherten Inhalte werden gelöscht, wenn der Azure Storage bereitgestellt wird, wenn Sie beispielsweise ein Verzeichnis unter /homeangeben. Wenn Sie Dateien für eine vorhandene App migrieren, erstellen Sie eine Sicherung der App und des zugehörigen Inhalts, bevor Sie beginnen.
• Wenn Sie ein Azure Storage-Konto, einen Container oder eine Freigabe löschen, entfernen Sie die entsprechende Speicherbereitstellungskonfiguration in der App, um mögliche Fehlerszenarien zu vermeiden.
• Wir empfehlen nicht, Speichermounts für lokale Datenbanken wie SQLite oder für andere Anwendungen und Komponenten zu verwenden, die auf Dateigriffe und -sperren basieren.
• Stellen Sie sicher, dass die folgenden Ports geöffnet sind, wenn Sie die Integration des virtuellen Netzwerks verwenden: Azure Files: 80 und 445. Azure Blobs: 80 und 443
• Wenn Sie ein Speicherfailover initiieren, wenn das Speicherkonto in die App eingebunden ist, stellt die Einbindung erst eine Verbindung her, wenn die App neu gestartet oder die Speichereinbindung entfernt und wieder hinzugefügt wird.

Nächster Schritt

• Konfigurieren eines benutzerdefinierten Containers
• Video: Einbinden von Azure Storage als lokale Freigabe