Come usare un account di archiviazione protetto con Funzioni di Azure
Questo articolo illustra come connettere l'app per le funzioni a un account di archiviazione protetto. Per un'esercitazione approfondita su come creare l'app per le funzioni con restrizioni di accesso in ingresso e in uscita, vedere l'esercitazione Sull'integrazione con una rete virtuale. Per altre informazioni sulle Funzioni di Azure e sulla rete, vedere Funzioni di Azure opzioni di rete.
Limitare l'account di archiviazione a una rete virtuale
Quando si crea un'app per le funzioni, si crea un nuovo account di archiviazione o si collega a un account esistente. Attualmente, solo il modello arm e le distribuzioni Bicep supportano la creazione di app per le funzioni con un account di archiviazione protetto esistente.
Nota
La protezione dell'account di archiviazione è supportata per tutti i livelli nei piani Dedicato (servizio app) e Elastic Premium. Attualmente i piani a consumo non supportano le reti virtuali.
Per un elenco di tutte le restrizioni relative agli account di archiviazione, vedere Archiviazione requisiti dell'account.
Archiviazione sicura durante la creazione dell'app per le funzioni
È possibile creare un'app per le funzioni insieme a un nuovo account di archiviazione protetto dietro una rete virtuale accessibile tramite endpoint privati. I collegamenti seguenti illustrano come creare queste risorse usando il portale di Azure o usando i modelli di distribuzione:
Completare l'esercitazione seguente per creare una nuova app per le funzioni con un account di archiviazione protetto: usare gli endpoint privati per integrare Funzioni di Azure con una rete virtuale.
Archiviazione sicura per un'app per le funzioni esistente
Quando si dispone di un'app per le funzioni esistente, non è possibile proteggere direttamente l'account di archiviazione attualmente usato dall'app. È invece necessario scambiare l'account di archiviazione esistente per un nuovo account di archiviazione protetto.
1. Abilitare l'integrazione della rete virtuale
Come prerequisito, è necessario abilitare l'integrazione della rete virtuale per l'app per le funzioni.
Scegliere un'app per le funzioni con un account di archiviazione che non dispone di endpoint di servizio o endpoint privati abilitati.
Abilitare l'integrazione della rete virtuale per l'app per le funzioni.
2. Creare un account di archiviazione protetto
Configurare un account di archiviazione protetto per l'app per le funzioni:
Creare un secondo account di archiviazione. Si tratta dell'account di archiviazione protetto che verrà usato dall'app per le funzioni. È anche possibile usare un account di archiviazione esistente non già usato da Funzioni.
Copiare il stringa di connessione per questo account di archiviazione. Questa stringa è necessaria per un secondo momento.
Creare una condivisione file nel nuovo account di archiviazione. Provare a usare lo stesso nome della condivisione file nell'account di archiviazione esistente. In caso contrario, sarà necessario copiare il nome della nuova condivisione file per configurare un'impostazione dell'app in un secondo momento.
Proteggere il nuovo account di archiviazione in uno dei modi seguenti:
Creare un endpoint privato. Quando si configurano le connessioni endpoint private, creare endpoint privati per le
filesottorisorse eblob. Per Durable Functions, è necessario renderequeueaccessibili etablesottorisorse anche tramite endpoint privati. Se si usa un server DNS personalizzato o locale, assicurarsi di configurare il server DNS per risolvere i nuovi endpoint privati.Limitare il traffico a subnet specifiche. Assicurarsi che una delle subnet consentite sia quella con cui l'app per le funzioni è integrata. Verificare che la subnet disponga di un endpoint di servizio per Microsoft. Archiviazione.
Copiare il contenuto di file e BLOB dall'account di archiviazione corrente usato dall'app per le funzioni nell'account di archiviazione e nella condivisione file appena protetta. AzCopy e Archiviazione di Azure Explorer sono metodi comuni. Se si usa Archiviazione di Azure Explorer, potrebbe essere necessario consentire l'indirizzo IP client nel firewall dell'account di archiviazione.
A questo momento è possibile configurare l'app per le funzioni per comunicare con l'account di archiviazione appena protetto.
3. Abilitare il routing dell'applicazione e della configurazione
È ora necessario instradare il traffico dell'app per le funzioni per passare attraverso la rete virtuale.
Abilitare il routing delle applicazioni per instradare il traffico dell'app alla rete virtuale.
Passare alla scheda Rete dell'app per le funzioni. In Configurazione del traffico in uscita selezionare la subnet associata all'integrazione della rete virtuale.
Nella nuova pagina selezionare la casella Traffico Internet in uscita in Routing delle applicazioni.
Abilitare il routing della condivisione contenuto per far comunicare l'app per le funzioni con il nuovo account di archiviazione tramite la relativa rete virtuale.
- Nella stessa pagina selezionare la casella Archiviazione contenuto in Routing della configurazione.
4. Aggiornare le impostazioni dell'applicazione
Infine, è necessario aggiornare le impostazioni dell'applicazione in modo che puntino al nuovo account di archiviazione protetto.
Aggiornare il Impostazioni dell'applicazione nella scheda Configurazione dell'app per le funzioni nel modo seguente:
Nome impostazione Valore Commento AzureWebJobsStorageWEBSITE_CONTENTAZUREFILECONNECTIONSTRINGStringa di connessione di archiviazione Entrambe le impostazioni contengono il stringa di connessione per il nuovo account di archiviazione protetto salvato in precedenza. WEBSITE_CONTENTSHARECondivisione file Nome della condivisione file creata nell'account di archiviazione protetto in cui risiedono i file di distribuzione del progetto. Selezionare Salva per salvare le impostazioni dell'applicazione. La modifica delle impostazioni dell'app determina il riavvio dell'app.
Dopo il riavvio dell'app per le funzioni, è ora connessa a un account di archiviazione protetto.