Partager via


Comment utiliser un compte de stockage sécurisé avec Azure Functions

Cet article explique comment connecter votre application de fonction à un compte de stockage sécurisé. Pour obtenir un didacticiel détaillé sur la création de votre application de fonction avec des restrictions d’accès entrant et sortant, consultez le tutoriel Intégrer à un réseau virtuel. Pour en savoir plus sur Azure Functions et la mise en réseau, consultez Options de mise en réseau d’Azure Functions.

Restreindre votre compte de stockage à un réseau virtuel

Lorsque vous créez une application de fonction, vous créez un compte de stockage ou un lien vers un compte de stockage existant. Actuellement, seul le portail Azure, les déploiements de modèles ARM et les déploiements Bicep prennent en charge la création d’applications de fonction avec un compte de stockage sécurisé existant.

Remarque

Les comptes de stockage sécurisés sont pris en charge pour tous les niveaux du plan Dédié (App Service) et du plan Elastic Premium. Ils sont également pris en charge par le plan Flex Consumption. Le plans Consommation ne prend pas en charge les réseaux virtuels.

Pour obtenir la liste de toutes les restrictions sur les comptes de stockage, consultez Configuration requise pour les comptes de stockage.

Important

Le Plan de consommation flexible est actuellement en préversion.

Sécuriser le stockage pendant la création de l’application de fonction

Vous pouvez créer une application de fonction avec un compte de stockage qui est sécurisé derrière un réseau virtuel. Les sections suivants vous montrent comment créer ces ressources à l’aide du Portail Azure ou de modèles de déploiement.

Effectuez les étapes décrites dans Créer une application de fonction dans un plan Premium. Cette section du tutoriel sur la mise en réseau virtuelle vous montre comment créer une application de fonction qui se connecte à un stockage sur des points de terminaison privés.

Remarque

Quand vous créez votre application de fonction dans le portail Azure, vous pouvez également choisir un compte de stockage sécurisé existant sous l’onglet Stockage. Cependant, vous devez configurer la mise en réseau appropriée sur l’application de fonction afin qu’elle puisse se connecter via le réseau virtuel utilisé pour sécuriser le compte de stockage. Si vous n’avez pas les autorisations nécessaires pour configurer la mise en réseau ou si vous n’avez pas entièrement préparé votre réseau, sélectionnez Configurer la mise en réseau après la création sous l’onglet Mise en réseau. Vous pouvez configurer la mise en réseau pour votre nouvelle application de fonction dans le portail, sous Paramètres>Mise en réseau.

Stockage sécurisé pour une application de fonction existante

Quand vous disposez d’une application de fonction existante, vous pouvez configurer directement la mise en réseau sur le compte de stockage utilisé par l’application. Toutefois, ce processus entraîne la panne de votre application de fonction pendant la configuration de la mise en réseau et le redémarrage de votre application de fonction.

Pour réduire le temps d’arrêt, vous pouvez au lieu de cela remplacer un compte de stockage existant par un nouveau compte de stockage sécurisé.

1. Activer l’intégration de réseau virtuel

En tant que prérequis, vous devez activer l’intégration de réseau virtuel pour votre application de fonction :

  1. Choisissez une application de fonction avec un compte de stockage n’ayant pas de points de terminaison de service ou de points de terminaison privés activés.

  2. Activez l’intégration du réseau virtuel pour votre application de fonction.

2. Créer un compte de stockage sécurisé

Configurez un compte de stockage sécurisé pour votre application de fonction :

  1. Créer un deuxième compte de stockage. Ce compte de stockage est le compte de stockage sécurisé de votre application de fonction à utiliser au lieu de son compte de stockage non sécurisé d’origine. Vous pouvez également utiliser un compte de stockage existant qui n’est pas déjà utilisé par Functions.

  2. Enregistrez la chaîne de connexion pour ce compte de stockage à utiliser ultérieurement.

  3. Créer un partage de fichiers dans le nouveau compte de stockage. Pour votre commodité, vous pouvez utiliser le même nom de partage de fichiers à partir de votre compte de stockage d’origine. Sinon, si vous utilisez un nouveau nom de partage de fichiers, vous devez mettre à jour le paramètre de votre application.

  4. Sécurisez le nouveau compte de stockage de l’une des manières suivantes :

    • Créez un point de terminaison privé. Lorsque vous configurez vos connexions de point de terminaison privé, créez des points de terminaison privés pour les sous-ressources file et blob. Pour Durable Functions, vous devez également rendre les sous-ressources queue et table accessibles via des points de terminaison privés. Si vous utilisez un serveur DNS (Domain Name System) personnalisé ou sur site, configurez votre serveur DNS pour qu'il résolve les nouveaux points de terminaison privés.

    • Restreindre le trafic vers des sous-réseaux spécifiques. Vérifiez que votre application de fonction est intégrée à un sous-réseau autorisé et que le sous-réseau a un point de terminaison de service sur Microsoft.Storage.

  5. Copiez le fichier et le contenu de l’objet blob à partir du compte de stockage actuel utilisé par l’application de fonction vers le nouveau compte de stockage sécurisé et le partage de fichiers. AzCopy et l’Explorateur Stockage Azure sont des méthodes courantes. Si vous utilisez l’Explorateur Stockage Azure, vous devrez peut-être autoriser votre adresse IP cliente dans le pare-feu de votre compte de stockage.

Vous êtes maintenant prêt à configurer votre application de fonction pour communiquer avec le compte de stockage nouvellement sécurisé.

3. Activer le routage des applications et de la configuration

Remarque

Ces étapes de configuration sont requises seulement pour les plans d’hébergement Élastique Premium et Dédié (App Service). Le plan Consommation flexible ne nécessite pas de paramètres de site pour configurer la mise en réseau.

Vous êtes maintenant prêt à acheminer le trafic de votre application fonctionnelle à travers le réseau virtuel :

  1. Activez le routage des applications pour acheminer le trafic de votre application vers le réseau virtuel :

    1. Dans votre application de fonction, développez Paramètres, puis sélectionnez Mise en réseau. Dans la page Mise en réseau, sous Configuration du trafic sortant, sélectionnez le sous-réseau associé à l'intégration de votre réseau virtuel.

    2. Dans la nouvelle page, sous Routage d’application, sélectionnez Trafic Internet sortant.

  2. Activez routage de partage de contenu pour activer votre application de fonction communique avec votre nouveau compte de stockage via son réseau virtuel. Dans la même page que l’étape précédente, sous Routage de configuration, sélectionnez Stockage de contenu.

Remarque

Vous devez prendre des précautions particulières lors du routage vers le partage de contenu dans un compte de stockage partagé par plusieurs applications de fonction dans le même plan. Pour plus d’informations, consultez Routage cohérent à travers les réseaux virtuels dans l’article considérations relatives au stockage.

4. Mettre à jour les paramètres de l’application

Enfin, vous devez mettre à jour les paramètres de votre application pour qu’elle pointe vers le nouveau compte de stockage sécurisé :

  1. Dans votre application de fonction, développez Paramètres, puis sélectionnez Variables d’environnement.

  2. Sous l’onglet Paramètres de l’application, mettez à jour les paramètres suivants en sélectionnant chaque paramètre, en le modifiant, puis en sélectionnant Appliquer :

    Nom du paramètre Valeur Commentaire
    AzureWebJobsStorage Chaîne de connexion de stockage Utilisez la chaîne de connexion pour votre nouveau compte de stockage sécurisé, que vous avez enregistré précédemment.
    WEBSITE_CONTENTAZUREFILECONNECTIONSTRING Chaîne de connexion de stockage Utilisez la chaîne de connexion pour votre nouveau compte de stockage sécurisé, que vous avez enregistré précédemment.
    WEBSITE_CONTENTSHARE Partage de fichiers utilisez le nom du partage de fichiers créé dans le compte de stockage sécurisé où résident les fichiers de déploiement du projet.
  3. Sélectionnez Appliquer, puis Confirmez pour enregistrer les nouveaux paramètres d’application dans l’application de fonction.

    L’application de fonction redémarre.

Une fois que l’application de fonction a terminé le redémarrage, elle se connecte au compte de stockage sécurisé.

Étapes suivantes