Подключение службы хранилища Azure как локальной общей папки - Azure App Service

Служба хранилища Azure — это облачное решение Майкрософт для современных сценариев хранения данных. Служба хранилища Azure предлагает высокодоступное, масштабируемое, устойчивое и безопасное хранилище для объектов данных в облаке. В этом руководстве показано, как подключить файлы службы хранилища Azure в качестве сетевой папки в коде Windows (неконтейнер) в Службе приложений Azure.

Служба хранилища Azure поддерживает общие папки Azure и общие папки premium для службы приложений. Служба хранилища Azure не является хранилищем по умолчанию для службы приложений. Плата взимается отдельно. Вы также можете настроить службу хранилища Azure в шаблоне ARM.

Преимущества настраиваемого хранилища включают:

Настройте постоянное хранилище для приложения Службы приложений и управляйте хранилищем отдельно.
Сделайте статический контент, например видео и изображения, доступными для приложения службы приложений.
Записывайте файлы журнала приложений или архивируйте старые журналы приложений в общие папки Azure.
Совместное использование содержимого между несколькими приложениями или другими службами Azure.

Для кода Windows поддерживаются следующие функции:

Защищенный доступ к учетным записям хранения с помощью хранилища ключей, частных конечных точек и конечных точек службы (при использовании интеграции виртуальной сети).
Файлы Azure (чтение и запись).
До пяти точек подключения для каждого приложения.
Подключение общих папок службы хранилища Azure с помощью /mounts/<path-name>.

Ниже приведены три варианта подключения хранилища Azure к приложению:

Параметр подключения	Usage
Basic	Выберите этот параметр при подключении хранилища с помощью портала Azure. Вы можете использовать базовый параметр, если учетная запись хранения не использует конечные точки службы, частные конечные точки или Azure Key Vault. В этом случае портал получает и сохраняет ключ доступа для вас.
Ключ доступа	Если вы планируете подключить хранилище с помощью Azure CLI, необходимо получить ключ доступа. Выберите этот параметр, если учетная запись хранения не использует конечные точки службы, частные конечные точки или Azure Key Vault.
Key Vault	Также используйте этот параметр при планировании подключения хранилища с помощью Azure CLI, для которого требуется ключ доступа. Выберите этот параметр при использовании Azure Key Vault для безопасного хранения и получения ключей доступа. Azure Key Vault имеет преимущества хранения секретов приложений централизованно и безопасно с возможностью мониторинга, администрирования и интеграции с другими службами Azure, такими как Служба приложений Azure.

Prerequisites

Limitations

Брандмауэр хранилища поддерживается только через частные конечные точки и конечные точки службы при использовании интеграции виртуальной сети.
Большие двоичные объекты Azure не поддерживаются при настройке подключений службы хранилища Azure для приложений кода Windows, развернутых в службе приложений.
Доступ FTP/FTPS к подключенному хранилищу не поддерживается. Используйте обозреватель службы хранилища Azure.
Сопоставление /mounts, mounts/name1/name2, /и /mounts/name.ext/ с настраиваемым хранилищем не поддерживается. Вы можете использовать только имя /mounts/pathname для подключения настраиваемого хранилища к веб-приложению.
Подключения хранилища не включаются в резервные копии. Не забудьте следовать рекомендациям по резервному копированию учетных записей хранения Azure.
При интеграции виртуальной сети с приложением подключенный диск использует RFC1918 IP-адрес, а не IP-адрес из виртуальной сети.

Подготовка к монтажу

Дополнительные шаги не требуются, так как портал получает и сохраняет ключ доступа для вас.

Прежде чем подключить хранилище с помощью доступа Key Vault, необходимо получить секрет Key Vault и добавить его в качестве параметра приложения в приложении.

На портале Azure перейдите к Key Vault. Выберите секреты объектов>. Скопируйте секретный идентификатор в буфер обмена.
Вернитесь к приложению и следуйте ссылке на хранилище ключей , чтобы создать параметр приложения с помощью секретного идентификатора.

Пример значения параметра приложения: @Microsoft.KeyVault(SecretUri=https://mykeyvault.vault.azure.net/secrets/mykeyvaultsecret/aaaaaaaa0b0b1c1c2d2d333333333333)

Теперь вы готовы использовать Key Vault для доступа к учетной записи хранения.

Подключение хранилища к коду Windows

Чтобы подключить хранилище к коду Windows с помощью портала Azure, выполните следующие действия.

На портале Azure перейдите к приложению.
В областинавигации> слева выберите "Конфигурация параметров". Выберите сопоставления путей, а затем подключитесь к службе хранилища Azure.

Настройте подключение хранилища в соответствии со следующей таблицей. По завершении выберите ОК.

Setting	Description
Name	Имя конфигурации подключения. Пробелы не допускаются.
Варианты конфигурации	Выберите "Базовый", если учетная запись хранения не использует частные конечные точки или Azure Key Vault. В противном случае нажмите кнопку "Дополнительно".
Учетные записи хранения	Учетная запись хранения Azure. Он должен содержать общую папку Файлов Azure.
Имя общего ресурса	Общий доступ к файлам для подключения.
Доступ к хранилищу	Выберите справочник по хранилищу ключей для Azure Key Vault. В противном случае выберите входные данные вручную
Ключ доступа (только расширенный)	Ключ доступа для учетной записи хранения.
Путь монтирования	Каталог внутри службы приложений, который требуется подключить. Поддерживается только имя /mounts/pathname .
Параметры приложения	Выберите параметр приложения с помощью секрета Azure Key Vault.
Параметр слота развертывания	При выборе параметры подключения хранилища также применяются к слотам развертывания.

На портале Azure перейдите к приложению.
В областинавигации> слева выберите "Конфигурация параметров". Выберите сопоставления путей, а затем подключитесь к службе хранилища Azure.

Настройте подключение хранилища в соответствии со следующей таблицей. По завершении выберите ОК.

Setting	Description
Name	Имя конфигурации подключения. Пробелы не допускаются.
Варианты конфигурации	Выберите Дополнительно.
Учетные записи хранения	Учетная запись хранения Azure.
Тип хранилища	Выберите тип на основе хранилища, которое требуется подключить. BLOB-объекты Azure поддерживают доступ только на чтение.
Контейнер хранилища или имя общего ресурса	Для подключения к общей папке или контейнеру BLOB-объектов.
Доступ к хранилищу	Выберите ручной ввод.
Ключ доступа	Введите ключ доступа для учетной записи хранения.
Путь монтирования	Каталог внутри контейнера Linux для подключения к службе хранилища Azure. Не используйте / или /home.
Параметр слота развертывания	При выборе параметры подключения хранилища также применяются к слотам развертывания.

На портале Azure перейдите к приложению.
В областинавигации> слева выберите "Конфигурация параметров". Выберите сопоставления путей, а затем подключитесь к службе хранилища Azure.

Настройте подключение хранилища в соответствии со следующей таблицей. По завершении выберите ОК.

Setting	Description
Name	Имя конфигурации подключения. Пробелы не допускаются.
Варианты конфигурации	Выберите "Базовый", если учетная запись хранения не использует конечные точки службы, частные конечные точки или Azure Key Vault. В противном случае нажмите кнопку "Дополнительно".
Учетные записи хранения	Учетная запись хранения Azure.
Тип хранилища	Выберите тип на основе хранилища, которое требуется подключить. BLOB-объекты Azure поддерживают доступ только на чтение.
Контейнер хранилища или имя общего ресурса	Для подключения к общей папке или контейнеру BLOB-объектов.
Доступ к хранилищу	Выберите ссылку на хранилище ключей.
Параметры приложения	Выберите существующий параметр приложения с помощью секрета Azure Key Vault.
Путь монтирования	Каталог внутри контейнера Linux для подключения к службе хранилища Azure. Не используйте / или /home.
Параметр слота развертывания	При проверке параметры подключения хранилища также применяются к слотам развертывания.

Чтобы получить доступ к подключению хранилища, предоставьте приложению доступ к Key Vault.

Используйте команду добавления учетной записи хранения az webapp config . Рассмотрим пример.

az webapp config storage-account add --resource-group <group-name> --name <app-name> --custom-id <custom-id> --storage-type AzureFiles --share-name <share-name> --account-name <storage-account-name> --access-key "<access-key>" --mount-path <mount-path-directory>

Убедитесь, что хранилище подключено, выполнив следующую команду:

az webapp config storage-account list --resource-group <resource-group> --name <app-name>

Note

Добавление, редактирование или удаление подключения хранилища приводит к перезапуску приложения.

Лучшие практики

Подключения службы хранилища Azure можно настроить как виртуальный каталог для обслуживания статического содержимого. Чтобы настроить виртуальный каталог, в левой области навигации> выберите"Конфигурация параметров". Затем выберите сопоставления пути, а затем — новое виртуальное приложение или каталог. Задайте физический путь к пути подключения , определенному в подключении службы хранилища Azure.
Чтобы избежать проблем с задержками, поместите приложение и учетную запись хранения Azure в том же регионе. Если вы предоставляете доступ из IP-адресов службы приложений в конфигурации брандмауэра службы хранилища Azure , когда приложение и учетная запись хранения Azure находятся в одном регионе, эти ограничения IP-адресов не учитываются.
В учетной записи хранения Azure не создавайте ключ доступа , используемый для подключения хранилища в приложении. Учетная запись хранения содержит два ключа. Службы приложений Azure хранят ключ учетной записи хранения Azure. Используйте пошаговый подход, чтобы убедиться, что подключение хранилища остается доступным для приложения во время восстановления ключей. Например, предположим, что вы использовали ключ 1 для настройки подключения хранилища в приложении:
1. Повторно создайте ключ2.
2. В конфигурации подключения хранилища обновите ключ доступа, чтобы использовать повторно созданный ключ key2.
3. Повторно создайте ключ1.
Если удалить учетную запись хранения Azure, контейнер или общий ресурс, удалите соответствующую конфигурацию подключения хранилища в приложении, чтобы избежать возможных сценариев ошибок.
Подключенная учетная запись хранения Azure может быть ценовой категории "Стандартный" или "Премиум". В зависимости от требований к емкости и пропускной способности приложения выберите соответствующий уровень производительности для учетной записи хранения. См. целевые показатели масштабируемости и производительности файлов.
Если приложение масштабируется до нескольких экземпляров, все экземпляры подключаются к одной подключенной учетной записи хранения Azure. Чтобы избежать узких мест производительности и проблем с пропускной способностью, выберите соответствующий уровень производительности для учетной записи хранения.
Не рекомендуется использовать подключения хранилища для локальных баз данных, таких как SQLite, или для других приложений и компонентов, использующих дескрипторы файлов и блокировки.
Если вы инициируете отработку отказа хранилища при подключении учетной записи хранения к приложению, подключение не подключается, пока приложение не будет перезапущено или подключение хранилища будет удалено и добавлено еще раз.
Если используется интеграция виртуальной сети, WEBSITE_CONTENTOVERVNET убедитесь, что для параметра приложения заданы 1 следующие порты: файлы Azure: 80 и 445.
Подключенная учетная запись хранения Azure может быть ценовой категории "Стандартный" или "Премиум". В зависимости от требований к емкости и пропускной способности приложения выберите соответствующий уровень производительности для учетной записи хранения. См. целевые показатели масштабируемости и производительности файлов.

Следующий шаг

Перенос приложений .NET в Службу приложений Azure

Служба хранилища Azure — это облачное решение Майкрософт для современных сценариев хранения данных. Служба хранилища Azure предлагает высокодоступное, масштабируемое, устойчивое и безопасное хранилище для объектов данных в облаке. В этом руководстве показано, как подключить файлы хранилища Azure как сетевую папку в контейнере Windows в службе приложений.

Служба хранилища Azure поддерживает общие папки Azure и общие папки premium. Служба хранилища Azure не является хранилищем по умолчанию для службы приложений. Плата взимается отдельно. Вы также можете настроить службу хранилища Azure в шаблоне ARM.

Преимущества настраиваемого хранилища включают:

Настройте постоянное хранилище для приложения Службы приложений и управляйте хранилищем отдельно.
Сделайте статический контент, например видео и изображения, доступными для приложения службы приложений.
Запись файлов журналов приложений или архивирование более старых журналов приложений в общие папки Azure.
Совместное использование содержимого между несколькими приложениями или другими службами Azure.
Подключите службу хранилища Azure в контейнере Windows, включая изолированный. Дополнительные сведения см. в разделе "Среда службы приложений" версии 3.

Для контейнеров Windows поддерживаются следующие функции:

Защищенный доступ к учетным записям хранения с помощью хранилища ключей, частных конечных точек и конечных точек службы при использовании интеграции виртуальной сети.
Файлы Azure (чтение и запись).
До пяти точек подключения для каждого приложения.
Назначение букв диска (C: до Z:).

Ниже приведены три варианта подключения хранилища Azure к приложению:

Параметр подключения	Usage
Basic	Выберите этот параметр при подключении хранилища с помощью портала Azure. Вы можете использовать базовый параметр, если учетная запись хранения не использует конечные точки службы, частные конечные точки или Azure Key Vault. В этом случае портал получает и сохраняет ключ доступа для вас.
Ключ доступа	Если вы планируете подключить хранилище с помощью Azure CLI, необходимо получить ключ доступа. Выберите этот параметр, если учетная запись хранения не использует конечные точки службы, частные конечные точки или Azure Key Vault.
Key Vault	Также используйте этот параметр при планировании подключения хранилища с помощью Azure CLI, для которого требуется ключ доступа. Выберите этот параметр при использовании Azure Key Vault для безопасного хранения и получения ключей доступа. Azure Key Vault имеет преимущества хранения секретов приложений централизованно и безопасно с возможностью мониторинга, администрирования и интеграции с другими службами Azure, такими как Служба приложений Azure.

Prerequisites

Limitations

Большие двоичные объекты Azure не поддерживаются.
Брандмауэр хранилища поддерживается только через частные конечные точки и конечные точки службы при использовании интеграции виртуальной сети.
Доступ FTP/FTPS к подключенному хранилищу не поддерживается (используйте обозреватель службы хранилища Azure).
Сопоставление [C-Z]:\, [C-Z]:\home, /и /home к пользовательскому хранилищу не поддерживается.
Подключения хранилища не резервируются при резервном копировании приложения. Обязательно следуйте рекомендациям по резервному копированию учетных записей хранения Azure.
При интеграции виртуальной сети с приложением подключенный диск использует RFC1918 IP-адрес, а не IP-адрес из виртуальной сети.

Подготовка к монтажу

Дополнительные шаги не требуются, так как портал получает и сохраняет ключ доступа для вас.

Прежде чем подключить хранилище с помощью доступа Key Vault, необходимо получить секрет Key Vault и добавить его в качестве параметра приложения в приложении.

На портале Azure перейдите к Key Vault. Выберите секреты объектов>. Скопируйте секретный идентификатор в буфер обмена.
Вернитесь к приложению и следуйте ссылке на хранилище ключей , чтобы создать параметр приложения с помощью секретного идентификатора.

Пример значения параметра приложения: @Microsoft.KeyVault(SecretUri=https://mykeyvault.vault.azure.net/secrets/mykeyvaultsecret/aaaaaaaa0b0b1c1c2d2d333333333333)

Теперь вы готовы использовать Key Vault для доступа к учетной записи хранения.

Подключение хранилища к контейнеру Windows

Чтобы подключить хранилище к контейнеру Windows с помощью портала Azure, выполните следующие действия.

На портале Azure перейдите к приложению.
В областинавигации> слева выберите "Конфигурация параметров". Выберите сопоставления путей, а затем подключитесь к службе хранилища Azure.

Настройте подключение хранилища в соответствии со следующей таблицей. По завершении выберите ОК.

Setting	Description
Name	Имя конфигурации подключения. Пробелы не допускаются.
Варианты конфигурации	Выберите Базовый.
Учетные записи хранения	Учетная запись хранения Azure. Он должен содержать общую папку Файлов Azure.
Имя общего ресурса	Общий доступ к файлам для подключения.
Путь монтирования	Каталог внутри контейнера Windows, который требуется подключить. Не используйте корневой каталог ([C-Z]: или /домашний каталог ([C-Z]:\home или /home).
Параметр слота развертывания	При выборе параметры подключения хранилища также применяются к слотам развертывания.

На портале Azure перейдите к приложению.
В областинавигации> слева выберите "Конфигурация параметров". Выберите сопоставления путей, а затем подключитесь к службе хранилища Azure.

Настройте подключение хранилища в соответствии со следующей таблицей. По завершении выберите ОК.

Setting	Description
Name	Имя конфигурации подключения. Пробелы не допускаются.
Варианты конфигурации	Выберите Дополнительно.
Учетные записи хранения	Учетная запись хранения Azure. Он должен содержать общую папку Файлов Azure.
Имя общего ресурса	Общий доступ к файлам для подключения.
Ключ доступа (только расширенный)	Ключ доступа для учетной записи хранения.
Путь монтирования	Каталог внутри контейнера Windows, который требуется подключить. Не используйте корневой каталог ([C-Z]: или /домашний каталог ([C-Z]:\home или /home).
Параметры приложения	Выберите параметр приложения с помощью секрета Azure Key Vault.
Параметр слота развертывания	При выборе параметры подключения хранилища также применяются к слотам развертывания.

На портале Azure перейдите к приложению.
В областинавигации> слева выберите "Конфигурация параметров". Выберите сопоставления путей, а затем подключитесь к службе хранилища Azure.

Настройте подключение хранилища в соответствии со следующей таблицей. По завершении выберите ОК.

Setting	Description
Name	Имя конфигурации подключения. Пробелы не допускаются.
Варианты конфигурации	Если учетная запись хранения не использует конечные точки службы, частные конечные точки или Azure Key Vault, выберите "Базовый". В противном случае нажмите кнопку "Дополнительно".
Учетные записи хранения	Учетная запись хранения Azure.
Тип хранилища	Выберите тип на основе хранилища, которое требуется подключить. BLOB-объекты Azure поддерживают доступ только на чтение.
Контейнер хранилища или имя общего ресурса	Для подключения к общей папке или контейнеру BLOB-объектов.
Доступ к хранилищу	Выберите ссылку на хранилище ключей.
Параметры приложения	Выберите существующий параметр приложения, настроенный с помощью секрета Azure Key Vault.
Путь монтирования	Каталог внутри контейнера Linux для подключения к службе хранилища Azure. Не используйте / или /home.
Параметр слота развертывания	При выборе параметры подключения хранилища также применяются к слотам развертывания.

Чтобы получить доступ к подключению хранилища, предоставьте приложению доступ к Key Vault.

Используйте команду добавления учетной записи хранения az webapp config . Рассмотрим пример.

az webapp config storage-account add --resource-group <group-name> --name <app-name> --custom-id <custom-id> --storage-type AzureFiles --share-name <share-name> --account-name <storage-account-name> --access-key "<access-key>" --mount-path <mount-path-directory>

--storage-type должен быть AzureFiles для контейнеров Windows.
mount-path-directory должен находиться в форме /path/to/dir или [C-Z]:\path\to\dir.

Убедитесь, что хранилище подключено, выполнив следующую команду:

az webapp config storage-account list --resource-group <resource-group> --name <app-name>

Note

Добавление, редактирование или удаление подключения хранилища приводит к перезапуску приложения.

Лучшие практики

Чтобы избежать проблем с задержками, поместите приложение и учетную запись хранения Azure в том же регионе. Если вы предоставляете доступ из IP-адресов службы приложений в конфигурации брандмауэра службы хранилища Azure , когда приложение и учетная запись хранения Azure находятся в одном регионе, эти ограничения IP-адресов не учитываются.
В учетной записи хранения Azure не создавайте ключ доступа , используемый для подключения хранилища в приложении. Учетная запись хранения содержит два ключа. Службы приложений Azure хранят ключ учетной записи хранения Azure. Используйте пошаговый подход, чтобы убедиться, что подключение хранилища остается доступным для приложения во время восстановления ключей. Например, предположим, что вы использовали ключ 1 для настройки подключения хранилища в приложении:
1. Повторно создайте ключ2.
2. В конфигурации подключения хранилища обновите ключ доступа, чтобы использовать повторно созданный ключ key2.
3. Повторно создайте ключ1.
Если удалить учетную запись хранения Azure, контейнер или общий ресурс, удалите соответствующую конфигурацию подключения хранилища в приложении, чтобы избежать возможных сценариев ошибок.
Подключенная учетная запись хранения Azure может быть ценовой категории "Стандартный" или "Премиум". В зависимости от требований к емкости и пропускной способности приложения выберите соответствующий уровень производительности для учетной записи хранения. См. целевые показатели масштабируемости и производительности файлов.
Если приложение масштабируется до нескольких экземпляров, все экземпляры подключаются к одной подключенной учетной записи хранения Azure. Чтобы избежать узких мест производительности и проблем с пропускной способностью, выберите соответствующий уровень производительности для учетной записи хранения.
Не рекомендуется использовать подключения хранилища для локальных баз данных, таких как SQLite, или для других приложений и компонентов, использующих дескрипторы файлов и блокировки.
Убедитесь, что порты 80 и 445 открыты при использовании файлов Azure с интеграцией виртуальной сети.
Если вы инициируете отработку отказа хранилища при подключении учетной записи хранения к приложению, подключение не подключается, пока приложение не будет перезапущено или подключение хранилища будет удалено и добавлено еще раз.

Следующий шаг

Перенос пользовательского программного обеспечения в Службу приложений Azure с помощью пользовательского контейнера

Note

Поддержка NFS теперь доступна для службы приложений в Linux.

В этом руководстве показано, как подключить службу хранилища Azure как сетевую папку в встроенном контейнере Linux или пользовательском контейнере Linux в службе приложений. Служба хранилища Azure — это облачное решение Майкрософт для современных сценариев хранения данных. Служба хранилища Azure предлагает высокодоступное, масштабируемое, устойчивое и безопасное хранилище для объектов данных в облаке. Служба хранилища Azure не является хранилищем по умолчанию для службы приложений. Плата взимается отдельно. Вы также можете настроить службу хранилища Azure в шаблоне ARM.

Преимущества настраиваемого хранилища включают:

Настройте постоянное хранилище для приложения Службы приложений и управляйте хранилищем отдельно.
Сделайте статический контент, например видео и изображения, доступными для приложения службы приложений.
Запись файлов журналов приложений или архивирование более старых журналов приложений в общие папки Azure.
Совместное использование содержимого между несколькими приложениями или другими службами Azure.
Поддерживает azure Files NFS и SMB файлов Azure.
Поддерживает большие двоичные объекты Azure (только для чтения).
Поддерживает до пяти точек подключения для каждого приложения.

Ограничения настраиваемого хранилища включают:

Брандмауэр хранилища поддерживается только через конечные точки службы и частные конечные точки при использовании интеграции виртуальной сети.
Доступ FTP/FTPS к пользовательскому подключенному хранилищу не поддерживается. Используйте обозреватель службы хранилища Azure.
Ключи общего доступа учетной записи хранения являются единственным средством проверки подлинности, которые поддерживаются. Идентификатор записи и роли RBAC не поддерживаются.
Поддержка Azure CLI, Azure PowerShell и Azure SDK доступна в предварительной версии.
Сопоставление / или /home с пользовательским хранилищем не поддерживается.
Не сопоставляйте подключение хранилища с /tmp или его подкаталогами. Это действие может привести к истечении времени ожидания во время запуска приложения.
Служба хранилища Azure не поддерживается в сценариях Docker Compose .
Подключения хранилища не включаются в резервные копии. Обязательно следуйте рекомендациям по резервному копированию учетных записей хранения Azure.
Поддержка NFS доступна только для службы приложений в Linux. NFS не поддерживается для кода Windows и контейнеров Windows. Веб-приложение и учетная запись хранения должны быть настроены в одной виртуальной сети для NFS. Учетная запись хранения, используемая для общей папки, должна иметь уровень производительности Premium и хранилище файлов в качестве типа учетной записи. Azure Key Vault неприменимо при использовании протокола NFS.
При интеграции виртуальной сети с приложением подключенный диск использует RFC1918 IP-адрес, а не IP-адрес из виртуальной сети.

Параметры подключения

Необходимо подключить хранилище к приложению. Ниже приведены три варианта подключения для хранилища Azure:

Параметр подключения	Usage
Basic	Выберите этот параметр, чтобы подключить хранилище с помощью портала Azure. Вы можете использовать базовый параметр, если учетная запись хранения не использует конечные точки службы, частные конечные точки или Azure Key Vault. В этом случае портал получает и сохраняет ключ доступа для вас.
Ключ доступа	Если вы планируете подключить хранилище с помощью Azure CLI, необходимо получить ключ доступа. Выберите этот параметр, если учетная запись хранения не использует конечные точки службы, частные конечные точки или Azure Key Vault.
Key Vault	Также используйте этот параметр при планировании подключения хранилища с помощью Azure CLI, для которого требуется ключ доступа. Выберите этот параметр при использовании Azure Key Vault для безопасного хранения и получения ключей доступа. Azure Key Vault имеет преимущества хранения секретов приложений централизованно и безопасно с возможностью мониторинга, администрирования и интеграции с другими службами Azure, такими как Служба приложений Azure.

Prerequisites

Существующая служба приложений в приложении Linux.
Учетная запись хранения Azure.
Общая папка и каталог Azure.

Подготовка к монтажу

Дополнительные шаги не требуются, так как портал получает и сохраняет ключ доступа для вас.

Прежде чем подключить хранилище с помощью доступа Key Vault, необходимо получить секрет Key Vault и добавить его в качестве параметра приложения в приложении.

На портале Azure перейдите к Key Vault. Выберите секреты объектов>. Скопируйте секретный идентификатор в буфер обмена.
Вернитесь в приложение, следуйте ссылке на хранилище ключей , чтобы создать параметр приложения с помощью идентификатора секрета.

Пример значения параметра приложения: @Microsoft.KeyVault(SecretUri=https://mykeyvault.vault.azure.net/secrets/mykeyvaultsecret/aaaaaaaa0b0b1c1c2d2d333333333333)

Теперь вы готовы использовать Key Vault для доступа к учетной записи хранения.

Подключение хранилища к контейнеру Linux

Способ подключения хранилища зависит от параметра доступа к хранилищу и использования портала или Azure CLI.

На портале Azure перейдите к приложению.
В областинавигации> слева выберите "Конфигурация параметров". Выберите сопоставления путей, а затем подключитесь к службе хранилища Azure.

Настройте подключение хранилища в соответствии со следующей таблицей. По завершении выберите ОК.

Setting	Description
Name	Имя конфигурации подключения. Пробелы не допускаются.
Варианты конфигурации	Выберите "Базовый", если учетная запись хранения не использует конечные точки службы, частные конечные точки или Azure Key Vault. В противном случае нажмите кнопку "Дополнительно".
Учетные записи хранения	Учетная запись хранения Azure.
Тип хранилища	Выберите тип на основе хранилища, которое требуется подключить. BLOB-объекты Azure поддерживают доступ только на чтение.
Контейнер хранилища или имя общего ресурса	Для подключения к общей папке или контейнеру BLOB-объектов.
Путь монтирования	Каталог внутри контейнера Linux для подключения к службе хранилища Azure. Не используйте / или /home.
Параметр слота развертывания	При проверке параметры подключения хранилища также применяются к слотам развертывания.

На портале Azure перейдите к приложению.
В областинавигации> слева выберите "Конфигурация параметров". Выберите сопоставления путей, а затем подключитесь к службе хранилища Azure.

Настройте подключение хранилища в соответствии со следующей таблицей. По завершении выберите ОК.

Setting	Description
Name	Имя конфигурации подключения. Пробелы не допускаются.
Варианты конфигурации	Выберите Дополнительно.
Учетные записи хранения	Учетная запись хранения Azure.
Тип хранилища	Выберите тип на основе хранилища, которое требуется подключить. BLOB-объекты Azure поддерживают доступ только на чтение.
Контейнер хранилища или имя общего ресурса	Для подключения к общей папке или контейнеру BLOB-объектов.
Доступ к хранилищу	Выберите ручной ввод.
Ключ доступа	Введите ключ доступа для учетной записи хранения.
Путь монтирования	Каталог внутри контейнера Linux для подключения к службе хранилища Azure. Не используйте / или /home.
Параметр слота развертывания	При выборе параметры подключения хранилища также применяются к слотам развертывания.

На портале Azure перейдите к приложению.
В областинавигации> слева выберите "Конфигурация параметров". Выберите сопоставления путей, а затем подключитесь к службе хранилища Azure.

Настройте подключение хранилища в соответствии со следующей таблицей. По завершении выберите ОК.

Setting	Description
Name	Имя конфигурации подключения. Пробелы не допускаются.
Варианты конфигурации	Выберите Дополнительно.
Учетные записи хранения	Учетная запись хранения Azure.
Тип хранилища	Выберите тип на основе хранилища, которое требуется подключить. BLOB-объекты Azure поддерживают доступ только на чтение.
Контейнер хранилища или имя общего ресурса	Для подключения к общей папке или контейнеру BLOB-объектов.
Доступ к хранилищу	Выберите ссылку на хранилище ключей.
Параметры приложения	Выберите существующий параметр приложения, настроенный с помощью секрета Azure Key Vault.
Путь монтирования	Каталог внутри контейнера Linux для подключения к службе хранилища Azure. Не используйте / или /home.
Параметр слота развертывания	При выборе параметры подключения хранилища также применяются к слотам развертывания.

Чтобы получить доступ к подключению хранилища, предоставьте приложению доступ к Key Vault.

Используйте команду добавления учетной записи хранения az webapp config . Рассмотрим пример.

az webapp config storage-account add --resource-group <group-name> --name <app-name> --custom-id <custom-id> --storage-type AzureFiles --share-name <share-name> --account-name <storage-account-name> --access-key "<access-key>" --mount-path <mount-path-directory>

--storage-type может иметь значение AzureBlob или AzureFiles. AzureBlob доступен только для чтения.
--mount-path — это каталог в контейнере Linux для подключения к службе хранилища Azure. Не используйте /корневой каталог.

Убедитесь, что хранилище подключено, выполнив следующую команду:

az webapp config storage-account list --resource-group <resource-group> --name <app-name>

Note

Добавление, редактирование или удаление подключения хранилища приводит к перезапуску приложения.

Проверка подключенного хранилища

Чтобы убедиться, что служба хранилища Azure успешно подключена к приложению:

Откройте сеанс SSH в контейнере.
В терминале SSH выполните следующую команду:
```
df –h 
```
Проверьте, подключен ли общий ресурс хранилища. Если он отсутствует, возникла проблема с подключением общей папки хранилища.
Проверьте задержку или общую доступность подключения хранилища с помощью следующей команды:
```
tcpping Storageaccount.file.core.windows.net 
```

Лучшие практики

Performance

Чтобы избежать проблем с задержками, поместите приложение и учетную запись хранения Azure в том же регионе. Если вы предоставляете доступ из IP-адресов службы приложений в конфигурации брандмауэра службы хранилища Azure , когда приложение и учетная запись хранения Azure находятся в одном регионе, эти ограничения IP-адресов не учитываются.
Подключенная учетная запись хранения Azure может быть ценовой категории "Стандартный" или "Премиум". В зависимости от требований к емкости и пропускной способности приложения выберите соответствующий уровень производительности для учетной записи хранения. См. целевые показатели масштабируемости и производительности, соответствующие типу хранилища: файлы и большие двоичные объекты.
Если приложение масштабируется до нескольких экземпляров, все экземпляры подключаются к одной подключенной учетной записи хранения Azure. Чтобы избежать узких мест производительности и проблем с пропускной способностью, выберите соответствующий уровень производительности для учетной записи хранения.

Security

В учетной записи хранения Azure не создавайте ключ доступа , используемый для подключения хранилища в приложении. Учетная запись хранения содержит два ключа. Службы приложений Azure хранят ключ учетной записи хранения Azure. Используйте пошаговый подход, чтобы убедиться, что подключение хранилища остается доступным для приложения во время восстановления ключей. Например, предположим, что вы использовали ключ 1 для настройки подключения хранилища в приложении:
1. Повторно создайте ключ2.
2. В конфигурации подключения хранилища обновите ключ доступа, чтобы использовать повторно созданный ключ key2.
3. Повторно создайте ключ1.

Configuration

Если вам нужно использовать файловую систему в режиме реального времени, где при подключении хранилища необходимо быстро изменять, добавлять или удалять файлы, используйте файлы Azure в качестве типа хранилища. Если файлы являются статическими и не ожидают их изменения, используйте большой двоичный объект Azure.

Troubleshooting

Каталог подключения в пользовательском контейнере должен быть пустым. Любое содержимое, хранящееся по этому пути, удаляется при подключении службы хранилища Azure, если указать каталог в /home, например. При переносе файлов для существующего приложения создайте резервную копию приложения и его содержимого перед началом работы.
При подключении общей папки NFS необходимо убедиться, что требуется безопасная передача в учетной записи хранения. Служба приложений не поддерживает подключение общих папок NFS, если это включено. Он использует порт 2409 и интеграцию виртуальных сетей и частные конечные точки в качестве меры безопасности.
Если удалить учетную запись хранения Azure, контейнер или общий ресурс, удалите соответствующую конфигурацию подключения хранилища в приложении, чтобы избежать возможных сценариев ошибок.
Не рекомендуется использовать подключения хранилища для локальных баз данных, таких как SQLite, или для других приложений и компонентов, использующих дескрипторы файлов и блокировки.
Убедитесь, что при использовании интеграции виртуальной сети открыты следующие порты: файлы Azure: 80 и 445. Большие двоичные объекты Azure: 80 и 443.
Если вы инициируете отработку отказа хранилища при подключении учетной записи хранения к приложению, подключение не подключается, пока приложение не будет перезапущено или подключение хранилища будет удалено и добавлено еще раз.

Поделиться через

Подключение службы хранилища Azure в качестве локальной общей папки в службе приложений

Prerequisites

Limitations

Подготовка к монтажу

Подключение хранилища к коду Windows

Лучшие практики

Следующий шаг

Prerequisites

Limitations

Подготовка к монтажу

Подключение хранилища к контейнеру Windows

Лучшие практики

Следующий шаг

Параметры подключения

Prerequisites

Подготовка к монтажу

Подключение хранилища к контейнеру Linux

Проверка подключенного хранилища

Лучшие практики

Performance

Security

Configuration

Troubleshooting

Связанный контент

Обратная связь

Дополнительные ресурсы