Dela via


Använda ett skyddat lagringskonto med Azure Functions

Den här artikeln visar hur du ansluter din funktionsapp till ett skyddat lagringskonto. En djupgående självstudie om hur du skapar din funktionsapp med begränsningar för inkommande och utgående åtkomst finns i självstudien Integrera med ett virtuellt nätverk . Mer information om Azure Functions och nätverk finns i Nätverksalternativ för Azure Functions.

Begränsa ett lagringskonto till ett virtuellt nätverk

När du skapar en funktionsapp skapar du antingen ett nytt lagringskonto eller länkar till ett befintligt. För närvarande har endast Azure Portal, ARM-malldistributioner och Bicep-distributioner stöd för att skapa funktionsappar med ett befintligt skyddat lagringskonto.

Kommentar

Skyddade lagringskonton stöds för alla nivåer i den dedikerade planen (App Service) och Elastic Premium-planen. De stöds också av Flex Consumption-planen. Förbrukningsplanen stöder inte virtuella nätverk.

En lista över alla begränsningar för lagringskonton finns i Krav för lagringskonton.

Säker lagring när funktionsappen skapas

Du kan skapa en funktionsapp tillsammans med ett nytt lagringskonto som skyddas bakom ett virtuellt nätverk. I följande avsnitt visas hur du skapar dessa resurser med hjälp av antingen Azure Portal eller med hjälp av distributionsmallar.

Slutför stegen i Skapa en funktionsapp i en Premium-plan. I det här avsnittet i självstudien om virtuella nätverk visas hur du skapar en funktionsapp som ansluter till lagring via privata slutpunkter.

Kommentar

När du skapar din funktionsapp i Azure Portal kan du också välja ett befintligt skyddat lagringskonto på fliken Lagring. Du måste dock konfigurera rätt nätverk i funktionsappen så att den kan ansluta via det virtuella nätverk som används för att skydda lagringskontot. Om du inte har behörighet att konfigurera nätverk eller om du inte har förberett nätverket helt väljer du Konfigurera nätverk när du har skapat det på fliken Nätverk. Du kan konfigurera nätverk för din nya funktionsapp i portalen under Inställningar>Nätverk.

Säker lagring för en befintlig funktionsapp

När du har en befintlig funktionsapp kan du konfigurera nätverk direkt på det lagringskonto som används av appen. Den här processen resulterar dock i att funktionsappen är nere när du konfigurerar nätverk och medan funktionsappen startas om.

För att minimera stilleståndstiden kan du i stället växla ut ett befintligt lagringskonto mot ett nytt, skyddat lagringskonto.

1. Aktivera integrering av virtuella nätverk

Som en förutsättning måste du aktivera integrering av virtuella nätverk för funktionsappen:

  1. Välj en funktionsapp med ett lagringskonto som inte har tjänstslutpunkter eller privata slutpunkter aktiverade.

  2. Aktivera integrering av virtuella nätverk för funktionsappen.

2. Skapa ett skyddat lagringskonto

Konfigurera ett skyddat lagringskonto för funktionsappen:

  1. Skapa ett andra lagringskonto. Det här lagringskontot är det skyddade lagringskontot som funktionsappen ska använda i stället för det ursprungliga oskyddade lagringskontot. Du kan också använda ett befintligt lagringskonto som inte redan används av Functions.

  2. Spara anslutningssträng för det här lagringskontot som ska användas senare.

  3. Skapa en filresurs i det nya lagringskontot. För din bekvämlighet kan du använda samma filresursnamn från ditt ursprungliga lagringskonto. Annars måste du uppdatera appinställningen om du använder ett nytt filresursnamn.

  4. Skydda det nya lagringskontot på något av följande sätt:

    • Skapa en privat slutpunkt. När du konfigurerar din privata slutpunktsanslutning skapar du privata slutpunkter för file och blob underresurserna. För Durable Functions måste du också göra queue och table underresurser tillgängliga via privata slutpunkter. Om du använder en anpassad eller lokal DNS-server (Domain Name System) konfigurerar du DNS-servern så att den matchar de nya privata slutpunkterna.

    • Begränsa trafik till specifika undernät. Kontrollera att funktionsappen är nätverksintegrerad med ett tillåtet undernät och att undernätet har en tjänstslutpunkt till Microsoft.Storage.

  5. Kopiera filen och blobinnehållet från det aktuella lagringskontot som används av funktionsappen till det nyligen skyddade lagringskontot och filresursen. AzCopy och Azure Storage Explorer är vanliga metoder. Om du använder Azure Storage Explorer kan du behöva ge klientens IP-adress åtkomst till lagringskontots brandvägg.

Nu är du redo att konfigurera funktionsappen så att den kommunicerar med det nyligen skyddade lagringskontot.

3. Aktivera program- och konfigurationsroutning

Kommentar

De här konfigurationsstegen krävs endast för värdplanerna Elastic Premium och Dedicated (App Service). Flex Consumption-planen kräver inte platsinställningar för att konfigurera nätverk.

Nu är du redo att dirigera funktionsappens trafik för att gå igenom det virtuella nätverket:

  1. Aktivera programroutning för att dirigera appens trafik till det virtuella nätverket:

    1. I funktionsappen expanderar du Inställningar och väljer sedan Nätverk. På sidan Nätverk går du till Konfiguration av utgående trafik och väljer det undernät som är associerat med integreringen av det virtuella nätverket.

    2. På den nya sidan går du till Programroutning och väljer Utgående Internettrafik.

  2. Aktivera routning av innehållsresurser så att funktionsappen kan kommunicera med ditt nya lagringskonto via det virtuella nätverket. På samma sida som föregående steg går du till Konfigurationsroutning och väljer Innehållslagring.

Kommentar

Du måste vara särskilt försiktig när du dirigerar till innehållsresursen i ett lagringskonto som delas av flera funktionsappar i samma plan. Mer information finns i Artikeln Om konsekvent routning via virtuella nätverk i artikeln Om lagringsöverväganden.

4. Uppdatera programinställningar

Slutligen måste du uppdatera programinställningarna så att de pekar på det nya säkra lagringskontot:

  1. I funktionsappen expanderar du Inställningar och väljer sedan Miljövariabler.

  2. På fliken Appinställningar uppdaterar du följande inställningar genom att välja varje inställning, redigera den och sedan välja Använd:

    Inställningsnamn Värde Kommentar
    AzureWebJobsStorage Lagring anslutningssträng Använd anslutningssträng för ditt nya skyddade lagringskonto, som du sparade tidigare.
    WEBSITE_CONTENTAZUREFILECONNECTIONSTRING Lagring anslutningssträng Använd anslutningssträng för ditt nya skyddade lagringskonto, som du sparade tidigare.
    WEBSITE_CONTENTSHARE Filresurs Använd namnet på filresursen som skapades i det skyddade lagringskontot där projektdistributionsfilerna finns.
  3. Välj Använd och sedan Bekräfta för att spara de nya programinställningarna i funktionsappen.

    Funktionsappen startas om.

När funktionsappen har startats om ansluter den till det skyddade lagringskontot.

Nästa steg