Verwenden eines geschützten Speicherkontos mit Azure Functions

In diesem Artikel erfahren Sie, wie Sie Ihre Funktions-App mit einem geschützten Speicherkonto verbinden. Ein ausführliches Tutorial zum Erstellen Ihrer Funktions-App mit Einschränkungen für den eingehenden und ausgehenden Zugriff finden Sie im Tutorial Integrieren von Azure Functions in ein virtuelles Azure-Netzwerk mithilfe privater Endpunkte. Weitere Informationen zu Azure Functions und Netzwerken erhalten Sie unter Netzwerkoptionen von Azure Functions.

Einschränken Ihres Speicherkontos auf ein virtuelles Netzwerk

Wenn Sie eine Funktions-App erstellen, erstellen Sie entweder ein neues Speicherkonto oder stellen eine Verknüpfung mit einem vorhandenen Speicherkonto her. Derzeit unterstützen nur ARM-Vorlagen und Bicep-Bereitstellungen die Erstellung von Funktions-Apps mit einem vorhandenen geschützten Speicherkonto.

Hinweis

Das Sichern Ihres Speicherkontos wird für alle Tarife in dedizierten (App Service) und Elastic Premium-Plänen unterstützt. Verbrauchspläne unterstützen derzeit keine virtuellen Netzwerke.

Eine Liste aller Einschränkungen für Speicherkonten finden Sie unter Speicherkontoanforderungen.

Schützen des Speichers während der Erstellung von Funktions-Apps

Sie können eine Funktions-App zusammen mit einem neuen Speicherkonto erstellen, das hinter einem virtuellen Netzwerk geschützt ist, auf das über private Endpunkte zugegriffen werden kann. Die folgenden Links zeigen, wie Sie diese Ressourcen entweder mithilfe des Azure-Portals oder mithilfe von Bereitstellungsvorlagen erstellen:

Azure portal

Führen Sie das folgende Tutorial aus, um eine neue Funktions-App mit einem gesicherten Speicherkonto zu erstellen: Verwenden privater Endpunkte zum Integrieren von Azure Functions in ein virtuelles Netzwerk.

Bereitstellungsvorlagen

Verwenden Sie Bicep-Dateien oder ARM-Vorlagen (Azure Resource Manager), um eine geschützte Funktions-App und Speicherkontoressourcen zu erstellen. Wenn Sie ein geschütztes Speicherkonto in einer automatisierten Bereitstellung erstellen, müssen Sie die Siteeigenschaft vnetContentShareEnabled festlegen, die Dateifreigabe als Teil Ihrer Bereitstellung erstellen und die App-Einstellung WEBSITE_CONTENTSHARE auf den Namen der Dateifreigabe festlegen. Weitere Informationen, einschließlich Links zu Beispielbereitstellungen, finden Sie unter Geschützte Bereitstellungen.

Schützen des Speichers für eine vorhandene Funktions-App

Wenn Sie über eine vorhandene Funktions-App verfügen, können Sie das Speicherkonto, das derzeit von der App verwendet wird, nicht direkt sichern. Stattdessen müssen Sie das vorhandene Speicherkonto gegen ein neues, gesichertes Speicherkonto austauschen.

1. Aktivieren der Integration virtueller Netzwerke

Sie müssen als Voraussetzung die Integration virtueller Netzwerke für die Funktions-App aktivieren.

1. Wählen Sie eine Funktions-App mit einem Speicherkonto aus, für das keine Dienstendpunkte oder privaten Endpunkte aktiviert sind.

2. Aktivieren Sie die Integration virtueller Netzwerke für die Funktions-App.

2. Erstellen eines geschützten Speicherkontos

Richten Sie ein geschütztes Speicherkonto für Ihre Funktions-App ein:

1. Erstellen Sie ein zweites Speicherkonto. Dies ist das geschützte Speicherkonto, das Ihre Funktions-App stattdessen verwendet. Sie können auch ein vorhandenes Speicherkonto verwenden, das noch nicht von Functions genutzt wird.

2. Kopieren Sie die Verbindungszeichenfolge für dieses Speicherkonto. Sie benötigen diese Zeichenfolge später.

3. Erstellen Sie eine Dateifreigabe im neuen Speicherkonto. Versuchen Sie, denselben Namen wie für die Dateifreigabe im vorhandenen Speicherkonto zu verwenden. Andernfalls müssen Sie den Namen der neuen Dateifreigabe kopieren, um später eine App-Einstellung zu konfigurieren.

4. Sichern Sie das neue Speicherkonto auf eine der folgenden Arten:

   • Erstellen Sie einen privaten Endpunkt. Wenn Sie Verbindungen mit privaten Endpunkten einrichten, erstellen Sie private Endpunkte für die Unterressourcen file und blob. Für Durable Functions müssen Sie auch die Unterressourcen queue und table über private Endpunkte zugänglich machen. Wenn Sie einen benutzerdefinierten oder lokalen DNS-Server verwenden, stellen Sie sicher, dass Sie Ihren DNS-Server so konfigurieren, dass er in die neuen privaten Endpunkte aufgelöst wird.

   • Schränken Sie den Datenverkehr auf bestimmte Subnetze ein. Vergewissern Sie sich, dass eins der zulässigen Subnetze dasjenige ist, in das Ihre Funktions-App im Netzwerk integriert ist. Überprüfen Sie, ob das Subnetz über einen Dienstendpunkt für Microsoft.Storage verfügt.

5. Kopieren Sie die Datei und den Blobinhalt aus dem aktuellen Speicherkonto, das von der Funktions-App verwendet wird, in das neu gesicherte Speicherkonto und die Dateifreigabe. AzCopy und Azure Storage-Explorer sind gängige Methoden. Wenn Sie den Azure Storage-Explorer verwenden, müssen Sie möglicherweise Ihre Client-IP-Adresse in der Firewall Ihres Speicherkontos zulassen.

Jetzt können Sie Ihre Funktions-App so konfigurieren, dass sie mit dem neu geschützten Speicherkonto kommuniziert.

3. Aktivieren des Anwendungs- und Konfigurationsroutings

Sie sollten nun den Datenverkehr Ihrer Funktions-App über das virtuelle Netzwerk leiten.

1. Aktivieren Sie Anwendungsrouting, um den Datenverkehr Ihrer App an das virtuelle Netzwerk weiterzuleiten.

   • Wechseln Sie zur Registerkarte Netzwerk Ihrer Funktions-App. Wählen Sie unter Konfiguration für ausgehenden Datenverkehr das Subnetz aus, das der Integration virtueller Netzwerke zugeordnet ist.

   • Aktivieren Sie auf der neuen Seite unter Anwendungsrouting das Kontrollkästchen Ausgehender Internetdatenverkehr.

2. Aktivieren Sie Routing für die Inhaltsfreigabe, damit Ihre Funktions-App über das virtuelle Netzwerk mit Ihrem neuen Speicherkonto kommunizieren kann.

   • Aktivieren Sie auf derselben Seite unter Konfigurationsrouting das Kontrollkästchen für Inhaltsspeicher.

4. Aktualisieren der Anwendungseinstellungen

Schließlich müssen Sie Ihre Anwendungseinstellungen aktualisieren, um auf das neue geschützte Speicherkonto zu verweisen.

1. Aktualisieren Sie die Anwendungseinstellungen auf der Registerkarte Konfiguration der Funktions-App folgendermaßen:

   Einstellungsname	Wert	Comment
   AzureWebJobsStorage WEBSITE_CONTENTAZUREFILECONNECTIONSTRING	Speicherverbindungszeichenfolge	Beide Einstellungen enthalten die Verbindungszeichenfolge für das neue geschützte Speicherkonto, das Sie zuvor gespeichert haben.
   WEBSITE_CONTENTSHARE	Dateifreigabe	Der Name der Dateifreigabe, die im gesicherten Speicherkonto erstellt wurde und in der sich die Projektbereitstellungsdateien befinden.

2. Wählen Sie Speichern, um die Anwendungseinstellungen zu speichern. Das Ändern von App-Einstellungen führt zu einem Neustart der App.

Nachdem die Funktions-App neu gestartet wurde, ist sie nun mit einem gesicherten Speicherkonto verbunden.

Nächste Schritte

Netzwerkoptionen von Azure Functions