Aracılığıyla paylaş

Azure İşlevleri ile güvenli depolama hesabı kullanma

  • Makale

İşlev uygulaması örneği oluştururken, Azure İşlevleri bir Azure Depolama hesabı gerektirir. Bu varsayılan depolama hesabı, İşlevler çalışma zamanı tarafından işlev uygulamanızın durumunu korumak için kullanılır. Daha fazla bilgi için bkz. Azure İşlevleri için depolama hakkında dikkat edilmesi gerekenler. Bu makalede, güvenli depolama hesabının varsayılan depolama hesabı olarak nasıl kullanılacağı gösterilmektedir. İşlev uygulamanızı gelen ve giden erişim kısıtlamalarıyla oluşturma hakkında ayrıntılı bir öğretici için bkz . Sanal ağ ile tümleştirme öğreticisi. Azure İşlevleri ve ağ hakkında daha fazla bilgi edinmek için bkz. Azure İşlevleri ağ seçenekleri.

Depolama hesabınızı bir sanal ağ ile kısıtlama

bir işlev uygulaması oluşturduğunuzda, yeni bir depolama hesabı oluşturur veya var olan bir hesabın bağlantısını oluşturursunuz. Güvenli depolama hesabıyla çalışırken bu konuları göz önünde bulundurun.

  • Varsayılan depolama hesabı olarak mevcut bir güvenli depolama hesabını kullanan bir işlev uygulaması oluşturmak için uygulamanızı Azure portalında veya ARM şablonu veya Bicep dağıtımlarını kullanarak oluşturmanız gerekir.
  • Dinamik ölçek planıyla güvenli bir depolama hesabı kullanırken işlevlerinizi Esnek Tüketim planında barındırmanız gerekir. Bu plan hem güvenli depolama hesaplarını hem de en güvenli bağlantı seçeneği olan depolamaya yönelik yönetilen kimlik tabanlı bağlantıları destekler.
  • Hem Ayrılmış (App Service) planının hem de Elastik Premium planının tüm katmanları güvenli depolama hesaplarını da destekler. Ancak, premium plan uygulamasından bağlanmak için yönetilen kimlikler kullanılırken bazı avantajlar vardır. Daha fazla bilgi için bkz. Azure Dosyalar olmadan uygulama oluşturma.
  • Tüketim planı sanal ağları desteklemediğinden, Tüketim planında çalışırken güvenli bir depolama hesabına bağlanamazsınız. Sunucusuz işlev barındırma özelliğinden yararlanmak için bunun yerine uygulamanızı Flex Consumption planında çalışacak şekilde yeniden oluşturmanız gerekir.
  • Bu makalede şu anda bağlantı dizesi depolama hesabını kullanarak güvenli bir depolama hesabına bağlanan premium planda işlev uygulamasının nasıl oluşturulacağı gösterilmektedir. Depolama hesabı kimlik bilgilerinin en iyi şekilde korunmasını sağlamak için, bunun yerine bir depolama hesabına bağlanırken yönetilen kimlikleri kullanmanız gerekir. Bunun yerine Hızlı Başlangıç: Yönetilen kimlikleri kullanarak yeni bir güvenli depolama hesabına bağlanan Flex Tüketim planında işlev uygulaması oluşturmak için Azure Geliştirici CLI'sini kullanarak işlevleri oluşturma ve Azure İşlevleri dağıtma adımlarını izleyin.
  • Depolama hesaplarıyla ilgili tüm kısıtlamaların listesi için bkz . Depolama hesabı gereksinimleri.

İşlev uygulaması oluşturma sırasında güvenli depolama

Sanal ağın arkasında güvenliği sağlanan yeni bir depolama hesabıyla birlikte bir işlev uygulaması oluşturabilirsiniz. Aşağıdaki bölümlerde, Azure portalını veya dağıtım şablonlarını kullanarak bu kaynakların nasıl oluşturulacağı gösterilmektedir.

Premium planda işlev uygulaması oluşturma bölümünde yer alan adımları tamamlayın. Sanal ağ öğreticisinin bu bölümünde, özel uç noktalar üzerinden depolamaya bağlanan bir işlev uygulamasının nasıl oluşturulacağı gösterilmektedir.

Not

İşlev uygulamanızı Azure portalında oluşturduğunuzda, Depolama sekmesinde mevcut bir güvenli depolama hesabını da seçebilirsiniz. Ancak, depolama hesabının güvenliğini sağlamak için kullanılan sanal ağ üzerinden bağlanabilmesi için işlev uygulamasında uygun ağı yapılandırmanız gerekir. Ağı yapılandırma izinleriniz yoksa veya ağınızı tam olarak hazırlamadıysanız Ağ sekmesinde Oluşturmadan sonra ağı yapılandır'ıseçin. Yeni işlev uygulamanız için ağı portalda Ayarlar>Ağ İletişimi altında yapılandırabilirsiniz.

Mevcut bir işlev uygulaması için güvenli depolama

Mevcut bir işlev uygulamanız olduğunda, uygulama tarafından kullanılan depolama hesabında ağı doğrudan yapılandırabilirsiniz. Ancak bu işlem, siz ağı yapılandırırken ve işlev uygulamanız yeniden başlatılırken işlev uygulamanızın devre dışı olmasına neden olur.

Kapalı kalma süresini en aza indirmek için, mevcut depolama hesabını yeni ve güvenli bir depolama hesabıyla değiştirebilirsiniz.

1. Sanal ağ tümleştirmesini etkinleştirme

Önkoşul olarak, işlev uygulamanız için sanal ağ tümleştirmesini etkinleştirmeniz gerekir:

  1. Hizmet uç noktaları veya özel uç noktaları etkin olmayan depolama hesabı olan bir işlev uygulaması seçin.

  2. İşlev uygulamanız için sanal ağ tümleştirmesini etkinleştirin.

2. Güvenli depolama hesabı oluşturma

İşlev uygulamanız için güvenli bir depolama hesabı ayarlayın:

  1. İkinci bir depolama hesabı oluşturun. Bu depolama hesabı, işlev uygulamanızın özgün güvenli olmayan depolama hesabı yerine kullanması için güvenli depolama hesabıdır. İşlevler tarafından henüz kullanılmayan mevcut bir depolama hesabını da kullanabilirsiniz.

  2. Bu depolama hesabının bağlantı dizesi daha sonra kullanmak üzere kaydedin.

  3. Yeni depolama hesabında bir dosya paylaşımı oluşturun. Size kolaylık sağlamak için, özgün depolama hesabınızdan aynı dosya paylaşımı adını kullanabilirsiniz. Aksi takdirde, yeni bir dosya paylaşımı adı kullanıyorsanız uygulama ayarınızı güncelleştirmeniz gerekir.

  4. Yeni depolama hesabının güvenliğini aşağıdaki yollardan biriyle sağlayın:

    • Özel uç nokta oluşturma. Özel uç nokta bağlantınızı ayarlarken ve blob alt kaynakları için file özel uç noktalar oluşturun. Dayanıklı İşlevler için ve table alt kaynaklarını özel uç noktalar aracılığıyla da erişilebilir hale getirmeniz queue gerekir. Özel veya şirket içi Etki Alanı Adı Sistemi (DNS) sunucusu kullanıyorsanız, DNS sunucunuzu yeni özel uç noktalara çözüm olacak şekilde yapılandırın.

    • Trafiği belirli alt ağlarla kısıtlayın. İşlev uygulamanızın izin verilen bir alt ağ ile tümleştirilmiş bir ağ olduğundan ve alt ağın için Microsoft.Storagebir hizmet uç noktası olduğundan emin olun.

  5. İşlev uygulaması tarafından kullanılan geçerli depolama hesabından dosya ve blob içeriğini yeni güvenli depolama hesabına ve dosya paylaşımına kopyalayın. AzCopy ve Azure Depolama Gezgini yaygın yöntemlerdir. Azure Depolama Gezgini kullanıyorsanız, istemci IP adresinizin depolama hesabınızın güvenlik duvarına erişmesine izin vermeniz gerekebilir.

Artık işlev uygulamanızı yeni güvenli depolama hesabıyla iletişim kuracak şekilde yapılandırmaya hazırsınız.

3. Uygulama ve yapılandırma yönlendirmesini etkinleştirme

Not

Bu yapılandırma adımları yalnızca Elastik Premium ve Ayrılmış (App Service) barındırma planları için gereklidir. Esnek Tüketim planı, ağı yapılandırmak için site ayarlarını gerektirmez.

Artık işlev uygulamanızın trafiğini sanal ağ üzerinden geçecek şekilde yönlendirmeye hazırsınız:

  1. Uygulamanızın trafiğini sanal ağa yönlendirmek için uygulama yönlendirmeyi etkinleştirin:

    1. İşlev uygulamanızda Ayarlar'ı genişletin ve ardından Ağ'ı seçin. sayfasındaki Giden trafik yapılandırması'nın altında sanal ağ tümleştirmenizle ilişkili alt ağı seçin.

    2. Yeni sayfada, Uygulama yönlendirme'nin altında Giden İnternet trafiği'ni seçin.

  2. İşlev uygulamanızın sanal ağı üzerinden yeni depolama hesabınızla iletişim kurmasını sağlamak için içerik paylaşımı yönlendirmesini etkinleştirin. Önceki adımla aynı sayfada, Yapılandırma yönlendirmesi'nin altında İçerik depolama'yı seçin.

Not

Aynı planda birden çok işlev uygulaması tarafından paylaşılan bir depolama hesabında içerik paylaşımına yönlendirme yaparken özel bir özen göstermelisiniz. Daha fazla bilgi için Depolama ile ilgili dikkat edilmesi gerekenler makalesindeki Sanal ağlar üzerinden tutarlı yönlendirme makalesine bakın.

4. Uygulama ayarlarını güncelleştirme

Son olarak, uygulama ayarlarınızı yeni güvenli depolama hesabına işaret eden şekilde güncelleştirmeniz gerekir:

  1. İşlev uygulamanızda Ayarlar'ı genişletin ve ortam değişkenleri'ne tıklayın.

  2. Uygulama ayarları sekmesinde, her ayarı seçip düzenleyip Uygula'yı seçerek aşağıdaki ayarları güncelleştirin:

    Ayar adı Değer Açıklama
    AzureWebJobsStorage Depolama bağlantı dizesi Daha önce kaydettiğiniz yeni güvenli depolama hesabınız için bağlantı dizesi kullanın.
    WEBSITE_CONTENTAZUREFILECONNECTIONSTRING Depolama bağlantı dizesi Daha önce kaydettiğiniz yeni güvenli depolama hesabınız için bağlantı dizesi kullanın.
    WEBSITE_CONTENTSHARE Dosya paylaşımı Proje dağıtım dosyalarının bulunduğu güvenli depolama hesabında oluşturulan dosya paylaşımının adını kullanın.

  3. Uygula'yı seçin ve ardından yeni uygulama ayarlarını işlev uygulamasına kaydetmek için Onayla'yı seçin.

    İşlev uygulaması yeniden başlatılır.

İşlev uygulaması yeniden başlatmayı tamamladıktan sonra güvenli depolama hesabına bağlanır.

Sonraki adımlar

Azure İşlevleri ağ seçenekleri