Azure İşlevleri ile güvenli depolama hesabı kullanma

Bu makalede, işlev uygulamanızı güvenli bir depolama hesabına nasıl bağlayacağınız gösterilir. İşlev uygulamanızı gelen ve giden erişim kısıtlamalarıyla oluşturma hakkında ayrıntılı bir öğretici için Sanal ağ ile tümleştirme öğreticisine bakın. Azure İşlevleri ve ağ hakkında daha fazla bilgi edinmek için bkz. Azure İşlevleri ağ seçenekleri.

Depolama hesabınızı bir sanal ağ ile kısıtlama

bir işlev uygulaması oluşturduğunuzda, yeni bir depolama hesabı oluşturur veya var olan bir hesabın bağlantısını oluşturursunuz. Şu anda yalnızca ARM şablonu ve Bicep dağıtımları , mevcut bir güvenli depolama hesabıyla işlev uygulaması oluşturmayı destekler.

Not

Depolama hesabınızın güvenliğini sağlamak hem Ayrılmış (App Service) hem de Elastik Premium planlarındaki tüm katmanlar için desteklenir. Tüketim planları şu anda sanal ağları desteklemez.

Depolama hesaplarıyla ilgili tüm kısıtlamaların listesi için bkz. hesap gereksinimleri Depolama.

İşlev uygulaması oluşturma sırasında güvenli depolama

Özel uç noktalar aracılığıyla erişilebilen bir sanal ağın arkasında güvenliği sağlanan yeni bir depolama hesabıyla birlikte bir işlev uygulaması oluşturabilirsiniz. Aşağıdaki bağlantılar, Azure portalını veya dağıtım şablonlarını kullanarak bu kaynakları nasıl oluşturabileceğinizi gösterir:

Azure portalı

Yeni bir işlev uygulaması güvenli depolama hesabı oluşturmak için aşağıdaki öğreticiyi tamamlayın: Azure İşlevleri sanal ağ ile tümleştirmek için özel uç noktaları kullanın.

Dağıtım şablonları

Güvenli bir işlev uygulaması ve depolama hesabı kaynakları oluşturmak için Bicep dosyalarını veya Azure Resource Manager (ARM) şablonlarını kullanın. Otomatik dağıtımda güvenli bir depolama hesabı oluşturduğunuzda, site özelliğini ayarlamanız vnetContentShareEnabled , dağıtımınızın bir parçası olarak dosya paylaşımını oluşturmanız ve uygulama ayarını dosya paylaşımının adına ayarlamanız WEBSITE_CONTENTSHARE gerekir. Örnek dağıtımlara bağlantılar da dahil olmak üzere daha fazla bilgi için bkz . Güvenli dağıtımlar.

Mevcut bir işlev uygulaması için güvenli depolama

Mevcut bir işlev uygulamanız olduğunda, uygulama tarafından kullanılmakta olan depolama hesabının güvenliğini doğrudan sağlayamazsınız. Bunun yerine yeni, güvenli bir depolama hesabı için mevcut depolama hesabını değiştirmeniz gerekir.

1. Sanal ağ tümleştirmesini etkinleştirme

Önkoşul olarak, işlev uygulamanız için sanal ağ tümleştirmesini etkinleştirmeniz gerekir.

1. Hizmet uç noktaları veya özel uç noktaları etkin olmayan depolama hesabı olan bir işlev uygulaması seçin.

2. İşlev uygulamanız için sanal ağ tümleştirmesini etkinleştirin.

2. Güvenli depolama hesabı oluşturma

İşlev uygulamanız için güvenli bir depolama hesabı ayarlayın:

1. İkinci bir depolama hesabı oluşturun. Bu, işlev uygulamanızın kullanacağı güvenli depolama hesabı olacaktır. İşlevler tarafından henüz kullanılmayan mevcut bir depolama hesabını da kullanabilirsiniz.

2. Bu depolama hesabının bağlantı dizesi kopyalayın. Bu dizeye daha sonra ihtiyacınız olacak.

3. Yeni depolama hesabında bir dosya paylaşımı oluşturun. Mevcut depolama hesabındaki dosya paylaşımıyla aynı adı kullanmayı deneyin. Aksi takdirde, daha sonra bir uygulama ayarı yapılandırmak için yeni dosya paylaşımının adını kopyalamanız gerekir.

4. Yeni depolama hesabının güvenliğini aşağıdaki yollardan biriyle sağlayın:

   • Özel uç nokta oluşturma. Özel uç nokta bağlantıları ayarladığınızda ve blob alt kaynakları için file özel uç noktalar oluşturun. Dayanıklı İşlevler için ve table alt kaynaklarını özel uç noktalar aracılığıyla da erişilebilir hale getirmeniz queue gerekir. Özel veya şirket içi DNS sunucusu kullanıyorsanız, DNS sunucunuzu yeni özel uç noktalara çözümlenmesi için yapılandırdığınızdan emin olun.

   • Trafiği belirli alt ağlarla kısıtlayın. İzin verilen alt ağlardan birinin işlev uygulamanızın ağ ile tümleşik olduğu alt ağ olduğundan emin olun. Alt ağın Microsoft için bir hizmet uç noktası olup olmadığını bir kez daha denetleyin. Depolama.

5. İşlev uygulaması tarafından kullanılan geçerli depolama hesabından dosya ve blob içeriğini yeni güvenli depolama hesabına ve dosya paylaşımına kopyalayın. AzCopy ve Azure Depolama Gezgini yaygın yöntemlerdir. Azure Depolama Gezgini kullanıyorsanız, depolama hesabınızın güvenlik duvarında istemci IP adresinize izin vermeniz gerekebilir.

Artık işlev uygulamanızı yeni güvenli depolama hesabıyla iletişim kuracak şekilde yapılandırmaya hazırsınız.

3. Uygulama ve yapılandırma yönlendirmesini etkinleştirme

Şimdi işlev uygulamanızın trafiğini sanal ağ üzerinden geçecek şekilde yönlendirmeniz gerekir.

1. Uygulamanızın trafiğini sanal ağa yönlendirmek için uygulama yönlendirmeyi etkinleştirin.

   • İşlev uygulamanızın Ağ sekmesine gidin. Giden trafik yapılandırması'nın altında sanal ağ tümleştirmenizle ilişkili alt ağı seçin.

   • Yeni sayfada, Uygulama yönlendirme altında Giden İnternet trafiği kutusunu işaretleyin.

2. İşlev uygulamanızın sanal ağı üzerinden yeni depolama hesabınızla iletişim kurmasını sağlamak için içerik paylaşımı yönlendirmesini etkinleştirin.

   • Aynı sayfada, Yapılandırma yönlendirmesi altındaki İçerik depolama kutusunu işaretleyin.

4. Uygulama ayarlarını güncelleştirme

Son olarak, uygulama ayarlarınızı yeni güvenli depolama hesabına işaret eden şekilde güncelleştirmeniz gerekir.

1. İşlev uygulamanızın Yapılandırma sekmesindeki Uygulama Ayarlar aşağıdaki şekilde güncelleştirin:

   Ayar adı	Değer	Açıklama
   AzureWebJobsStorage WEBSITE_CONTENTAZUREFILECONNECTIONSTRING	Depolama bağlantı dizesi	Her iki ayar da daha önce kaydettiğiniz yeni güvenli depolama hesabının bağlantı dizesi içerir.
   WEBSITE_CONTENTSHARE	Dosya paylaşımı	Proje dağıtım dosyalarının bulunduğu güvenli depolama hesabında oluşturulan dosya paylaşımının adı.

2. Uygulama ayarlarını kaydetmek için Kaydet'i seçin. Uygulama ayarlarının değiştirilmesi, uygulamanın yeniden başlatılmasına neden olur.

İşlev uygulaması yeniden başlatıldıktan sonra güvenli bir depolama hesabına bağlanır.

Sonraki adımlar

Azure İşlevleri ağ seçenekleri