Använda ett skyddat lagringskonto med Azure Functions

Den här artikeln visar hur du ansluter din funktionsapp till ett skyddat lagringskonto. En djupgående självstudie om hur du skapar din funktionsapp med begränsningar för inkommande och utgående åtkomst finns i självstudien Integrera med ett virtuellt nätverk . Mer information om Azure Functions och nätverk finns i Nätverksalternativ för Azure Functions.

Begränsa ett lagringskonto till ett virtuellt nätverk

När du skapar en funktionsapp skapar du antingen ett nytt lagringskonto eller länkar till ett befintligt. För närvarande stöder endast ARM-mallar och Bicep-distributioner funktionsappskapande med ett befintligt skyddat lagringskonto.

Kommentar

Skydd av ditt lagringskonto stöds för alla nivåer i både Dedikerade (App Service) och Elastic Premium-abonnemang. Förbrukningsplaner stöder för närvarande inte virtuella nätverk.

En lista över alla begränsningar för lagringskonton finns i Krav för lagringskonton.

Säker lagring när funktionsappen skapas

Du kan skapa en funktionsapp tillsammans med ett nytt lagringskonto som skyddas bakom ett virtuellt nätverk som är tillgängligt via privata slutpunkter. Följande länkar visar hur du skapar dessa resurser med hjälp av antingen Azure-portalen eller med hjälp av distributionsmallar:

Azure-portalen

Slutför följande självstudie för att skapa en ny funktionsapp ett skyddat lagringskonto: Använd privata slutpunkter för att integrera Azure Functions med ett virtuellt nätverk.

Distributionsmallar

Använd Bicep-filer eller ARM-mallar (Azure Resource Manager) för att skapa en säker funktionsapp och lagringskontoresurser. När du skapar ett skyddat lagringskonto i en automatiserad distribution måste du ange platsegenskapen vnetContentShareEnabled , skapa filresursen som en del av distributionen och ange WEBSITE_CONTENTSHARE appinställningen till namnet på filresursen. Mer information, inklusive länkar till exempeldistributioner, finns i Säkra distributioner.

Säker lagring för en befintlig funktionsapp

När du har en befintlig funktionsapp kan du inte skydda lagringskontot som används av appen direkt. Du måste i stället byta ut det befintliga lagringskontot för ett nytt skyddat lagringskonto.

1. Aktivera integrering av virtuella nätverk

Som en förutsättning måste du aktivera integrering av virtuella nätverk för din funktionsapp.

1. Välj en funktionsapp med ett lagringskonto som inte har tjänstslutpunkter eller privata slutpunkter aktiverade.

2. Aktivera integrering av virtuella nätverk för funktionsappen.

2. Skapa ett skyddat lagringskonto

Konfigurera ett skyddat lagringskonto för funktionsappen:

1. Skapa ett andra lagringskonto. Detta kommer att vara det skyddade lagringskontot som funktionsappen ska använda i stället. Du kan också använda ett befintligt lagringskonto som inte redan används av Functions.

2. Kopiera anslutningssträng för det här lagringskontot. Du behöver den här strängen för senare.

3. Skapa en filresurs i det nya lagringskontot. Försök att använda samma namn som filresursen i det befintliga lagringskontot. Annars måste du kopiera namnet på den nya filresursen för att konfigurera en appinställning senare.

4. Skydda det nya lagringskontot på något av följande sätt:

   • Skapa en privat slutpunkt. När du konfigurerar privata slutpunktsanslutningar skapar du privata slutpunkter för file och blob underresurserna. För Durable Functions måste du också göra queue och table underresurser tillgängliga via privata slutpunkter. Om du använder en anpassad eller lokal DNS-server kontrollerar du att du konfigurerar DNS-servern så att den matchar de nya privata slutpunkterna.

   • Begränsa trafik till specifika undernät. Kontrollera att ett av de tillåtna undernäten är det som din funktionsapp är nätverksintegrerad med. Kontrollera att undernätet har en tjänstslutpunkt till Microsoft.Storage.

5. Kopiera filen och blobinnehållet från det aktuella lagringskontot som används av funktionsappen till det nyligen skyddade lagringskontot och filresursen. AzCopy och Azure Storage Explorer är vanliga metoder. Om du använder Azure Storage Explorer kan du behöva tillåta klientens IP-adress i lagringskontots brandvägg.

Nu är du redo att konfigurera funktionsappen så att den kommunicerar med det nyligen skyddade lagringskontot.

3. Aktivera program- och konfigurationsroutning

Nu bör du dirigera funktionsappens trafik för att gå igenom det virtuella nätverket.

1. Aktivera programroutning för att dirigera appens trafik till det virtuella nätverket.

   • Gå till fliken Nätverk i funktionsappen. Under Konfiguration av utgående trafik väljer du det undernät som är associerat med integreringen av det virtuella nätverket.

   • På den nya sidan markerar du kryssrutan för Utgående Internettrafik under Programroutning.

2. Aktivera routning av innehållsresurser så att funktionsappen kommunicerar med ditt nya lagringskonto via det virtuella nätverket.

   • På samma sida markerar du kryssrutan för Innehållslagring under Konfigurationsroutning.

4. Uppdatera programinställningar

Slutligen måste du uppdatera programinställningarna så att de pekar på det nya säkra lagringskontot.

1. Uppdatera program Inställningar på fliken Konfiguration i funktionsappen till följande:

   Inställningsnamn	Värde	Kommentar
   AzureWebJobsStorage WEBSITE_CONTENTAZUREFILECONNECTIONSTRING	Lagring anslutningssträng	Båda inställningarna innehåller anslutningssträng för det nya skyddade lagringskontot, som du sparade tidigare.
   WEBSITE_CONTENTSHARE	Filresurs	Namnet på filresursen som skapades i det skyddade lagringskontot där projektdistributionsfilerna finns.

2. Välj Spara för att spara programinställningarna. Om du ändrar appinställningar startas appen om.

När funktionsappen har startats om är den nu ansluten till ett skyddat lagringskonto.

Nästa steg

Nätverksalternativ för Azure Functions