Freigeben über


Verwenden eines geschützten Speicherkontos mit Azure Functions

In diesem Artikel erfahren Sie, wie Sie Ihre Funktions-App mit einem geschützten Speicherkonto verbinden. Ein ausführliches Tutorial zum Erstellen Ihrer Funktions-App mit Einschränkungen für den ein- und ausgehenden Zugriff finden Sie im Tutorial Integrieren von Azure Functions in ein virtuelles Azure-Netzwerk mithilfe privater Endpunkte. Weitere Informationen zu Azure Functions und Netzwerken erhalten Sie unter Netzwerkoptionen von Azure Functions.

Einschränken Ihres Speicherkontos auf ein virtuelles Netzwerk

Wenn Sie eine Funktions-App erstellen, erstellen Sie entweder ein neues Speicherkonto oder stellen eine Verknüpfung mit einem vorhandenen Speicherkonto her. Derzeit unterstützen nur das Azure-Portal, ARM-Vorlagenbereitstellungen und Bicep-Bereitstellungen die Erstellung von Funktions-Apps mit einem vorhandenen geschützten Speicherkonto.

Hinweis

Geschützte Speicherkonten werden für alle Ebenen der Pläne Dedicated (App Service) und Elastisch Premium unterstützt. Sie werden auch vom Plan Flex-Verbrauch unterstützt. Der Verbrauchsplan unterstützt keine virtuellen Netzwerke.

Eine Liste aller Einschränkungen für Speicherkonten finden Sie unter Speicherkontoanforderungen.

Schützen des Speichers während der Erstellung von Funktions-Apps

Sie können eine Funktions-App zusammen mit einem neuen Speicherkonto erstellen, das hinter einem virtuellen Netzwerk geschützt ist. In den folgenden Abschnitten wird gezeigt, wie Sie diese Ressourcen entweder mithilfe des Azure-Portals oder mithilfe von Bereitstellungsvorlagen erstellen.

Führen Sie die Schritte unter Erstellen einer Funktions-App in einem Premium-Tarif aus. In diesem Abschnitt des Tutorials für virtuelle Netzwerke erfahren Sie, wie Sie eine Funktions-App erstellen, die über private Endpunkte eine Verbindung mit dem Speicher herstellt.

Hinweis

Wenn Sie Ihre Funktions-App im Azure-Portal erstellen, können Sie auch ein vorhandenes geschütztes Speicherkonto auf der Registerkarte Speicher auswählen. Sie müssen jedoch das entsprechende Netzwerk in der Funktions-App so konfigurieren, dass sie eine Verbindung über das virtuelle Netzwerk herstellen kann, das zum Schützen des Speicherkontos verwendet wird. Wenn Sie nicht über Berechtigungen zum Konfigurieren von Netzwerken verfügen oder Ihr Netzwerk noch nicht vollständig vorbereitet haben, wählen Sie auf der Registerkarte Netzwerk die Option Netzwerk nach der Erstellung konfigurieren aus. Sie können das Netzwerk für Ihre neue Funktions-App im Portal unter Einstellungen>Netzwerk konfigurieren.

Schützen des Speichers für eine vorhandene Funktions-App

Wenn Sie über eine vorhandene Funktions-App verfügen, können Sie das Netzwerk für das Speicherkonto, das von der App verwendet wird, direkt konfigurieren. Dieser Prozess führt jedoch dazu, dass die Funktions-App während der Konfiguration des Netzwerks und während des Neustarts der Funktions-App ausfällt.

Zum Minimieren der Downtime können Sie stattdessen ein vorhandenes Speicherkonto gegen ein neues, geschütztes Speicherkonto austauschen.

1. Aktivieren der Integration virtueller Netzwerke

Sie müssen als Voraussetzung die Integration virtueller Netzwerke für die Funktions-App aktivieren:

  1. Wählen Sie eine Funktions-App mit einem Speicherkonto aus, für das keine Dienstendpunkte oder privaten Endpunkte aktiviert sind.

  2. Aktivieren Sie die Integration virtueller Netzwerke für die Funktions-App.

2. Erstellen eines geschützten Speicherkontos

Richten Sie ein geschütztes Speicherkonto für Ihre Funktions-App ein:

  1. Erstellen Sie ein zweites Speicherkonto. Dieses Speicherkonto ist das geschützte Speicherkonto für Ihre Funktions-App, das anstelle des ursprünglichen ungeschützten Speicherkontos verwendet werden soll. Sie können auch ein vorhandenes Speicherkonto verwenden, das noch nicht von Functions genutzt wird.

  2. Speichern Sie die Verbindungszeichenfolge für dieses Speicherkonto für die spätere Verwendung.

  3. Erstellen Sie eine Dateifreigabe im neuen Speicherkonto. Aus Gründen der Einfachheit können Sie denselben Dateifreigabenamen aus Ihrem ursprünglichen Speicherkonto verwenden. Wenn Sie einen neuen Dateifreigabenamen verwenden möchten, müssen Sie die App-Einstellung aktualisieren.

  4. Sichern Sie das neue Speicherkonto auf eine der folgenden Arten:

    • Erstellen Sie einen privaten Endpunkt. Wenn Sie Verbindungen mit privaten Endpunkten einrichten, erstellen Sie private Endpunkte für die Unterressourcen file und blob. Für Durable Functions müssen Sie auch die Unterressourcen queue und table über private Endpunkte zugänglich machen. Wenn Sie einen benutzerdefinierten oder lokalen DNS-Server (Domain Name System) verwenden, stellen Sie sicher, dass Sie Ihren DNS-Server so konfigurieren, dass er in die neuen privaten Endpunkte aufgelöst wird.

    • Schränken Sie den Datenverkehr auf bestimmte Subnetze ein. Stellen Sie sicher, dass Ihre Funktions-App mit einem zulässigen Subnetz integriert ist und das Subnetz über einen Dienstendpunkt für Microsoft.Storage verfügt.

  5. Kopieren Sie die Datei und den Blobinhalt aus dem aktuellen Speicherkonto, das von der Funktions-App verwendet wird, in das neu gesicherte Speicherkonto und die Dateifreigabe. AzCopy und Azure Storage-Explorer sind gängige Methoden. Wenn Sie den Azure Storage-Explorer verwenden, müssen Sie möglicherweise Ihrer Client-IP-Adresse in der Firewall Zugriff auf Ihr Speicherkonto gewähren.

Jetzt können Sie Ihre Funktions-App so konfigurieren, dass sie mit dem neu geschützten Speicherkonto kommuniziert.

3. Aktivieren des Anwendungs- und Konfigurationsroutings

Hinweis

Diese Konfigurationsschritte sind nur für die Hostingpläne Elastisch Premium und Dedicated (App Service) erforderlich. Der Flex-Verbrauchsplan erfordert keine Standorteinstellungen zum Konfigurieren des Netzwerks.

Sie können nun den Datenverkehr Ihrer Funktions-App über das virtuelle Netzwerk leiten:

  1. Aktivieren Sie Anwendungsrouting, um den Datenverkehr Ihrer App an das virtuelle Netzwerk weiterzuleiten:

    1. Erweitern Sie in Ihrer Funktions-App Einstellungen, und wählen Sie dann Netzwerk aus. Wählen Sie auf der Seite Netzwerk unter Konfiguration für ausgehenden Datenverkehr das Subnetz aus, das Ihrer VNet-Integration zugeordnet ist.

    2. Wählen Sie auf der neuen Seite unter Anwendungsrouting die Option Ausgehender Internetdatenverkehr aus.

  2. Aktivieren Sie Routing für die Inhaltsfreigabe, damit Ihre Funktions-App über das virtuelle Netzwerk mit Ihrem neuen Speicherkonto kommunizieren kann. Wählen Sie auf derselben Seite wie im vorherigen Schritt unter Konfigurationsrouting die Option Inhaltsspeicher aus.

Hinweis

Sie müssen beim Weiterleiten an die Inhaltsfreigabe in einem Speicherkonto, das von mehreren Funktions-Apps unter demselben Plan gemeinsam genutzt wird, besondere Sorgfalt anwenden. Weitere Informationen finden Sie im Artikel zu Speicherüberlegungen unter Konsistentes Routing über virtuelle Netzwerke.

4. Aktualisieren der Anwendungseinstellungen

Schließlich müssen Sie Ihre Anwendungseinstellungen aktualisieren, um auf das neue geschützte Speicherkonto zu verweisen:

  1. Erweitern Sie in Ihrer Funktions-App Einstellungen, und wählen Sie dann Umgebungsvariablen aus.

  2. Aktualisieren Sie auf der Registerkarte App-Einstellungen die folgenden Einstellungen, indem Sie jede Einstellung auswählen und bearbeiten und danach Übernehmen auswählen:

    Einstellungsname Wert Comment
    AzureWebJobsStorage Speicherverbindungszeichenfolge Verwenden Sie die Verbindungszeichenfolge für Ihr neues geschütztes Speicherkonto, das Sie zuvor gespeichert haben.
    WEBSITE_CONTENTAZUREFILECONNECTIONSTRING Speicherverbindungszeichenfolge Verwenden Sie die Verbindungszeichenfolge für Ihr neues geschütztes Speicherkonto, das Sie zuvor gespeichert haben.
    WEBSITE_CONTENTSHARE Dateifreigabe Verwenden Sie den Namen der Dateifreigabe, die im geschützten Speicherkonto erstellt wurde und in der sich die Projektbereitstellungsdateien befinden.
  3. Wählen Sie Übernehmenund dann Bestätigen aus, um die neuen Anwendungseinstellungen in der Funktions-App zu speichern.

    Die Funktions-App wird neu gestartet.

Nachdem der Neustart der Funktions-App abgeschlossen wurde, stellt sie eine Verbindung mit dem geschützten Speicherkonto her.

Nächste Schritte