В настоящее время я работаю с клиентом, которому требуется максимально доступ ко всем ресурсам Azure, и у меня возникают проблемы с учетной записью хранения, которая используется нашими функциями Azure.
Когда в колонке «Брандмауэры и виртуальные сети» на портале установлено значение «Все сети», я могу выполнить развертывание в функциональном приложении, и оно работает без проблем.
Однако, как только я включу ограничение доступа, проверив «Выбранные сети», независимо от того, какие подсети виртуальной сети я ввожу или IP-адреса, я не могу заставить связь работать
Я ввел исходящие IP-адреса нашего функционального приложения на основе потребления, а также проверил, что дополнительные IP-адреса из Powershell и все они были добавлены в белый список. Я также добавил все диапазоны IP-адресов CIDR локального центра обработки данных Azure, но это снова не работает.
Наша проблема заключается в том, что после введения ограничений доступа мы не можем выполнить развертывание в приложении-функции, и приложение больше не работает. Поддерживается ли этот сценарий и каков механизм привязки доступа к учетной записи хранения, чтобы ее могло использовать только приложение-функция.
Да, они находятся в одном регионе и группе ресурсов. Я внес в белый список исходящие IP-адреса, но не могу опубликовать или запустить функцию.
Насколько мне известно, у вас есть два варианта ограничения доступа к вашей учетной записи хранения из приложения-функции или веб-приложения.
outboundIpAddresses
и possibleOutboundIpAddresses
приложения-функции в брандмауэре учетной записи хранения. Однако это не работает, если приложение-функция Azure и хранилище Azure, расположенные в одном регионе, ссылаются на ответ Сэма.when you hit the storage account from your function, because they are in the same region as each other, all the traffic goes over the internal Azure network on internal IP's, not the public IPs listed in the web app, and so is not allowed over the firewall.
Microsoft.Storage
в этой подсети интеграции приложений. Но вам нужен план "Премиум" для Функций Azure со ссылкой на этот учебник: интегрировать Функции с виртуальной сетью Azure..Иногда важен порядок развертывания сети. В этом случае вы развернете следующее:
Во-первых, вы можете развернуть новая интеграция виртуальной сети с неиспользуемой подсетью. После завершения интеграции виртуальной сети и перезапуска приложения-функции вы можете включить конечную точку службы для этой подсети. В конце концов, вы можете добавить подсеть в брандмауэр учетной записи хранения.
Обратите внимание, что новая версия в настоящее время находится в предварительной версии. Вы также можете проверить эти характеристики и получить больше ссылок из этого нить.
Таким образом, в основном вам приходится платить за дополнительную пропускную способность, размещая ваше функциональное приложение в другом регионе...
Я попробовал сегодня вариант 2 с приложением func в том же регионе, что и хранилище, и сработало, но увеличение стоимости до премиум-класса огромно ...
Sergio Solorzano, У нас была такая же проблема, но вариант 2 у нас не работает. Можете ли вы помочь нам узнать шаги, которые вы выполнили. что действительно полезно
Находятся ли приложение-функция Azure и хранилище Azure в одном регионе? Если нет, вы можете внести в белый список исходящий IP-адрес из приложения-функции в брандмауэре хранилища.