我们目前正在尝试使用C#编译的功能应用程序(v2)创建一个处理Azure中敏感数据的解决方案。由于应用程序服务环境对于我们需要的解决方案而言代价高昂,我们尝试在我们的功能和通用blob存储(v1)队列和表之间保持通信,首先使用vnet集成然后使用IP限制。不幸的是,试图从该函数IP限制对blob存储的访问不起作用 - 当我们尝试连接时,它似乎总是以'Forbidden'失败,即使将函数的外部IP的完整列表添加到blob存储的允许IP中也是如此名单。并且blob存储将不允许将函数的内部IP(Kudu中的LOCAL_ADDR)添加到“允许的IP”列表中,因为它是内部IP,甚至将整个Azure区域的IP地址添加到blob存储中仍然不会似乎允许该功能连接。唯一有效的方法是完全关闭IP限制,这使整个解决方案在安全方面处于不稳定状态(例如GDPR)。
有没有人设法找到这个问题的解决方案?实际上是否可能以及任何我们可能出错的想法如果是的话?
我找到的最接近的解决方案是将您的Functions App连接到VNET,然后将您的存储帐户连接到同一个VNET,然后您可以根据该VNET配置限制。存储特别不支持函数和异常安全性,因为查看“允许azure可信服务”不包括函数产品。
我建议检查this document的第二部分以帮助将您的功能应用配置为VNET,然后this one使用相同的vnet配置您的存储帐户,然后在存储防火墙上添加限制。