Безопасность сети учетной записи хранения функций Azure

Question

В настоящее время я работаю с клиентом, которому требуется максимально возможный доступ ко всем ресурсам Azure, и у меня возникают проблемы с учетной записью хранения, которая используется нашими функциями Azure.

С брандмауэрами иБлэйд виртуальных сетей в портале, установленном на «Все сети», я могу развернуть в приложении Function, и оно работает без проблем.

Однако, как только явключите ограничение доступа, установив флажок «Выбранные сети» независимо от того, какие подсети виртуальных сетей я ввожу или IP-адреса. Я не могу заставить работать соединение

Я ввел исходящие IP-адреса нашего приложения-функции, основанного на потреблении, а также проверяю, что дополнительные IP-адреса из Powershell и все они были добавлены в белый список.Я также добавил все диапазоны CIDR IP локального центра обработки данных Azure, но опять-таки он не работает.

Проблема, с которой мы столкнулись, заключается в том, что после введения ограничений доступа мы не можем развернуть функциюПриложение и приложение больше не работает.Поддерживается ли этот сценарий и каков механизм для ограничения доступа к учетной записи хранения, чтобы его мог использовать только приложение Function.

Answer 1

Насколько я знаю, у вас есть две возможности ограничить доступ к вашей учетной записи хранения из вашего функционального приложения или веб-приложения.

1. Белый список outboundIpAddresses и possibleOutboundIpAddresses приложения функции в брандмауэре учетной записи хранения. Однако это не работает, если приложение-функция Azure и хранилище Azure, расположенные в одном регионе, ссылаются на ответ Сэма .

когда вы нажали на учетную запись хранения из своей функции, потому что они в том же регионе, что и друг с другом, весь трафик проходит через внутренняя сеть Azure для внутренних IP-адресов, а не для публичных IP-адресов, перечисленных в веб-приложение и т. д. через брандмауэр запрещено.

2. Если ваши ресурсы находятся в разных регионах, вы можете использовать сетевой раздел приложения-функции, чтобы позволить приложению-функции получать доступ к ресурсам в виртуальной сети, а затем включить конечную точку службы для Microsoft.Storage в этой подсети интеграции приложения. Но вам нужен план Azure Functions Premium со ссылкой на это руководство: интеграция функций с виртуальной сетью Azure.

Иногда порядок развертывания сети важен. В этом случае вы развернете следующее:

Во-первых, вы можете развернуть новую интеграцию VNet с неиспользуемой подсетью. После завершения интеграции VNet и перезапуска приложения функции можно включить конечную точку службы для этой подсети. В конце вы можете добавить подсеть в брандмауэр учетной записи хранения.

Обратите внимание, что новая версия в настоящее время находится в режиме предварительного просмотра. Вы также можете проверить эти характеристики и получить больше ссылок из этой темы .