Сетевая безопасность учетной записи хранения функций Azure

В настоящее время я работаю с клиентом, которому требуется максимально доступ ко всем ресурсам Azure, и у меня возникают проблемы с учетной записью хранения, которая используется нашими функциями Azure.

Когда в колонке «Брандмауэры и виртуальные сети» на портале установлено значение «Все сети», я могу выполнить развертывание в функциональном приложении, и оно работает без проблем.

Сетевая безопасность учетной записи хранения функций Azure

Однако, как только я включу ограничение доступа, проверив «Выбранные сети», независимо от того, какие подсети виртуальной сети я ввожу или IP-адреса, я не могу заставить связь работать

Сетевая безопасность учетной записи хранения функций Azure

Я ввел исходящие IP-адреса нашего функционального приложения на основе потребления, а также проверил, что дополнительные IP-адреса из Powershell и все они были добавлены в белый список. Я также добавил все диапазоны IP-адресов CIDR локального центра обработки данных Azure, но это снова не работает.

Наша проблема заключается в том, что после введения ограничений доступа мы не можем выполнить развертывание в приложении-функции, и приложение больше не работает. Поддерживается ли этот сценарий и каков механизм привязки доступа к учетной записи хранения, чтобы ее могло использовать только приложение-функция.

Находятся ли приложение-функция Azure и хранилище Azure в одном регионе? Если нет, вы можете внести в белый список исходящий IP-адрес из приложения-функции в брандмауэре хранилища.

Nancy Xiong 22.05.2019 09:27

Да, они находятся в одном регионе и группе ресурсов. Я внес в белый список исходящие IP-адреса, но не могу опубликовать или запустить функцию.

Phil Murray 22.05.2019 09:57
Как установить LAMP Stack - Security 5/5 на виртуальную машину Azure Linux VM
Как установить LAMP Stack - Security 5/5 на виртуальную машину Azure Linux VM
В предыдущей статье мы завершили установку базы данных, для тех, кто не знает.
Как установить LAMP Stack 1/2 на Azure Linux VM
Как установить LAMP Stack 1/2 на Azure Linux VM
В дополнение к нашему предыдущему сообщению о намерении Azure прекратить поддержку Azure Database для MySQL в качестве единого сервера после 16...
5
2
2 272
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Насколько мне известно, у вас есть два варианта ограничения доступа к вашей учетной записи хранения из приложения-функции или веб-приложения.

  1. Внесите в белый список outboundIpAddresses и possibleOutboundIpAddresses приложения-функции в брандмауэре учетной записи хранения. Однако это не работает, если приложение-функция Azure и хранилище Azure, расположенные в одном регионе, ссылаются на ответ Сэма.

when you hit the storage account from your function, because they are in the same region as each other, all the traffic goes over the internal Azure network on internal IP's, not the public IPs listed in the web app, and so is not allowed over the firewall.

  1. Если ваши ресурсы находятся в разных регионах, вы можете использовать сетевой раздел приложения-функции, чтобы разрешить приложению-функции доступ к ресурсам в виртуальной сети, а затем включить конечную точку службы для Microsoft.Storage в этой подсети интеграции приложений. Но вам нужен план "Премиум" для Функций Azure со ссылкой на этот учебник: интегрировать Функции с виртуальной сетью Azure..

Иногда важен порядок развертывания сети. В этом случае вы развернете следующее:

Во-первых, вы можете развернуть новая интеграция виртуальной сети с неиспользуемой подсетью. После завершения интеграции виртуальной сети и перезапуска приложения-функции вы можете включить конечную точку службы для этой подсети. В конце концов, вы можете добавить подсеть в брандмауэр учетной записи хранения.

Обратите внимание, что новая версия в настоящее время находится в предварительной версии. Вы также можете проверить эти характеристики и получить больше ссылок из этого нить.

Таким образом, в основном вам приходится платить за дополнительную пропускную способность, размещая ваше функциональное приложение в другом регионе...

jjxtra 10.11.2019 23:22

Я попробовал сегодня вариант 2 с приложением func в том же регионе, что и хранилище, и сработало, но увеличение стоимости до премиум-класса огромно ...

Sergio Solorzano 08.03.2020 10:18

Sergio Solorzano, У нас была такая же проблема, но вариант 2 у нас не работает. Можете ли вы помочь нам узнать шаги, которые вы выполнили. что действительно полезно

nagesh bandaru 21.04.2020 17:11

Другие вопросы по теме