Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Enclave ist ein Cloud-Netzwerkdienst, der es Organisationen mit hochsensiblen Daten ermöglicht, Workloads in kommerziellen und isolierten Azure-Clouds schnell und in großem Maßstab bereitzustellen und zu verwalten. In diesem Artikel erfahren Sie:
- Stellen Sie über das Portal eine Dienstkatalogvorlage für eine App Service Function App in eine vorhandene Workload bereit.
Note
Diese Beispielbereitstellung dient nur zu Demozwecken und stellt nicht alle bewährten Methoden für die Verwaltung von Netzwerken, Systemen oder Anwendungen dar.
Bevor Sie anfangen
In diesem Artikel wird ein grundlegendes Verständnis von Netzwerk- und Azure Enklavenkonzepten vorausgesetzt. Weitere Informationen finden Sie unter Bewährte Methoden für Azure Enklave.
Sie benötigen ein Azure-Konto mit einem aktiven Abonnement. Wenn Sie kein Konto besitzen, erstellen Sie kostenlos ein Konto.
Sie benötigen eine Community, Enklave, Workload und mindestens eine Workload-Ressourcengruppe und Berechtigungen zum Erstellen von Ressourcen innerhalb der Workload-Ressourcengruppe.
Aktivieren Sie
Advancedden Wartungsmodus für Ihre Enklave, damit Sie die Private Link Ressourcen zu Ihrer verwalteten Ressourcengruppe hinzufügen können.
Voraussetzungen
Für die Enklaven gelten Schutzvorgaben, um sicherzustellen, dass die Ressourcen in den Enklaven mit kundenseitig verwalteten Schlüsseln (CMK) verschlüsselt werden. Dies erfordert einen Schlüssel und eine Identität, um auf den Schlüssel zuzugreifen, der in der Enklave zugänglich ist. Erstellen Sie den CMK (optionaler Key Vault) und die verwaltete Identität in der Dienstkatalogvorlage „Allgemeine Abhängigkeiten“
- Subnetz für private Endpunkte: Sie hatten die Möglichkeit, Subnetze während der Enklavenerstellung zu erstellen, oder Sie können nach der Erstellung von Enklaven neue Subnetze erstellen . Das subnetz des privaten Endpunkts sollte keine Subnetzdelegierung haben, damit die privaten Endpunkte ordnungsgemäß funktionieren.
- Verwenden Sie das Subnetzverwaltungsfeature der Enklave, sodass Sie zwei Subnetze mit Größe
/26haben (z. B. 10.0.2.0/26 [10.0.2.0 - 10.0.2.63] und 10.0.2.128/26 [10.0.2.128 - 10.0.2.191]) - Das erste Subnetz wird für den Vorlagenparameter "Subnetzname" verwendet. Erstellen Sie einen Subnetz-Namen wie
FunctionAppSubnetund verwenden Sie diesen Namen im Bereitstellungsschritt 5 unten.- Subnetzdelegierung hinzufügen
Microsoft.Web/serverFarms
- Subnetzdelegierung hinzufügen
- Das zweite Subnetz wird für den Vorlagenparameter "Private Link Subnetzname" verwendet. Erstellen Sie einen Subnetznamen wie
PrivateLinkSubnetund verwenden Sie den Namen in Schritt 5 der Bereitstellung unten.
Note
Sie können die Größe eines Subnetzes nicht ändern, sobald Ressourcen im Subnetz bereitgestellt werden. Zwei „/26“-Subnetze lassen im Enklavensubnetz noch Platz für weitere Subnetze (z. B. ein weiteres „/26“). Wenn diese beiden Subnetze die einzigen Subnetze sind, die in der Enklave benötigt werden, können sie entsprechend Ihren Anforderungen angepasst werden.
- Erstellen Sie diese Privates DNS Zonen schnell basierend auf dem, was Sie als Nächstes erstellen:
-
Key VaultErforderlich beim Erstellen einer Key Vault aus dieser Vorlage oder der anpassbareren Key Vault Vorlage. -
Storage File,Storage Queue,Storage BlobundStorage Tablesind erforderlich, wenn Sie ein Speicherkonto aus dieser Vorlage oder die anpassbarere Speicherkontovorlage erstellen. -
privatelink.azurewebsites.netunterAdditional Privates DNS Zone names, was für den privaten Zugriff auf Funktions-Apps erforderlich ist.
-
- Für diese Vorlage sind Key Vault, vom Kunden verwalteter Schlüssel (Customer Managed Key, CMK) und verwaltete Identität erforderlich. Erstellen Sie einen Key Vault, einen CMK und eine verwaltete Identität im Schnellstart des Dienstkatalogs „Common Dependencies“, oder erstellen Sie eigene.
- Diese Ressourcen sollten in einer Ressourcengruppe für Workloads erstellt werden.
- Stellen Sie nach dem Erstellen der vom Benutzer verwalteten Identität sicher, dass sie Zugriff auf den CMK-Schlüssel hat.
- Weisen Sie der verwalteten Identität mit Geltungsbereich für den Key Vault die
Key Vault Crypto Service Encryption UserRBAC-Rolle gemäß diesen Anweisungen zu. Auf diese Weise können Sie dann die verwaltete Identität einer anderen Ressource, z. B. einem virtuellen Computer, zuweisen, und dieser virtuelle Computer kann den Betriebssystemdatenträger mit dem CMK im Schlüsseltresor verschlüsseln, ohne über Berechtigungen zum Ausführen anderer Vorgänge im Schlüsseltresor nach den geringsten Berechtigungen verfügen zu müssen.
- Weisen Sie der verwalteten Identität mit Geltungsbereich für den Key Vault die
Implementieren der Vorlage
- Navigieren Sie zum Workload für die vorgesehene Bereitstellung.
-
Add ServiceSchaltfläche auswählen. - Wählen Sie die
Function AppDienstvorlage aus der Dropdownliste des Dienstkatalogs aus, bestätigen Sie die benötigte Version (Standard:latest), und wählen Sie dann ausNext.
- Geben Sie auf der Registerkarte "Grundlagen" alle erforderlichen Parameter ein. Der Speicherkontoname ist der Name des neuen Speicherkontos.
- Sobald die beiden Subnetze erstellt wurden, geben Sie die neuen Subnetznamen auf der Registerkarte "Netzwerk" ein.
- Geben Sie auf der Registerkarte "Verschlüsselung" den Namen des neuen Schlüssels ein, der dem Key Vault für das Setup des vom Kunden verwalteten Schlüssels (CUSTOMER Managed Key, CMK) hinzugefügt wurde.
- Geben Sie den Namen der benutzerverwalteten Identität ein, die beim CMK-Setup erstellt wurde.
- Passen Sie alle vorab aufgefüllten oder Standardparameter nach Bedarf an.
- Wählen Sie
Review + CreatedannCreateaus.
Es kann 10 Minuten dauern, bis alle Ressourcen erstellt wurden. Warten Sie, bis die Bereitstellung erfolgreich abgeschlossen wurde, bevor Sie Aktionen innerhalb Der bereitgestellten Ressourcen ausführen.
Validierung der Bereitstellung
Wechseln Sie zur angegebenen Ressourcengruppe, um zu bestätigen, dass die vorgesehenen Ressourcen erstellt wurden. Einschließlich: Funktions-App und neues Speicherkonto
Öffnen Sie die Ressource der Function App.
- Öffnen Sie die Function App-Ressource
- Überprüfen von Funktionen auf der Übersichtsseite
Löschen der Bereitstellung
Wenn Sie nicht planen, diese Ressourcen beizubehalten, bereinigen Sie unnötige Ressourcen, um Azure Gebühren zu vermeiden. Wenn in der Ressourcengruppe keine anderen Bereitstellungen vorhanden sind, kann die gesamte Ressourcengruppe gelöscht werden.
Empfehlungen
-
Fügen Sie Tags zu Dienstkatalogbereitstellungen hinzu, um wichtige Informationen für diese Ressource nachzuverfolgen, z. B.:
- Besitzer:
<main POC> - Bereitsteller:
<yourName> - Zweck:
<automation function> - Dienstkatalogname:
<App Service Function App> - Version des Dienstkatalogs:
<version you deployed>
- Besitzer:
- Erwägen Sie das Hinzufügen einer Azure Policy zum Erzwingen und Vererben von Tags