Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure 存储是微软的云存储解决方案,适用于现代数据存储场景。 Azure Storage为云中的数据对象提供高度可用、大规模可缩放、持久且安全的storage。 本指南介绍如何将 Azure Storage 文件装载为 Azure App Service 中的 Windows 代码(非容器)中的网络共享。
Azure Storage支持 Azure Files Shares 和 Premium Files Shares for App Service。 Azure Storage不是App Service的默认storage。 这是单独计费的。 还可以在 ARM 模板中配置Azure Storage。
自定义安装的存储的优点包括:
- 为您的 App Service 应用配置持久存储,并单独管理该存储。
- 使静态内容(如视频和图像)随时可用于App Service应用。
- 将应用程序日志文件或存档较旧的应用程序日志写入Azure文件共享。
- 跨多个应用或其他Azure服务共享内容。
Windows 代码支持以下功能:
- 对存储帐户的安全访问通过密钥保管库、专用终结点和服务终结点(使用虚拟网络集成时)进行保护。
- Azure Files(读/写).
- 每个应用最多 5 个装入点。
- 使用 /mounts/<path-name> 装载 Azure Storage 文件共享。
下面是将Azure storage装载到应用的三个选项:
| 装载选项 | 使用情况 |
|---|---|
| 基本 | 在使用 Azure 门户装载存储时选择此选项。 您可以使用基本选项,只要存储帐户不使用服务终结点、专用终结点或Azure Key Vault。 在这种情况下,门户会为您获取和存储访问密钥。 |
| 访问密钥 | 如果计划使用 Azure CLI 装载存储,则需要获取访问密钥。 如果storage帐户不使用 service endpoints、private endpoints 或 Azure Key Vault,请选择此选项。 |
| 密钥保管库 | 如果您计划使用 Azure CLI 挂载存储,并且需要使用访问密钥,请使用此选项。 使用Azure Key Vault安全地存储和检索access密钥时,选择此选项。 Azure Key Vault可以集中安全地存储应用程序机密,并能够监视、管理和集成其他Azure服务,例如Azure App Service。 |
先决条件
- App Service中现有的 Windows 代码应用。
- Azure 文件共享。
- 文件上传到Azure文件共享。
限制
- Storage防火墙 仅支持通过 专用终结点 和 服务终结点 使用 虚拟网络集成。
- 当您为部署到 App Service 的 Windows 代码应用配置 Azure 存储挂载时,不支持 Azure Blob。
- 不支持 FTP/FTPS 访问已挂载的存储。 使用 Azure Storage Explorer。
- 不支持将 /mounts、mounts/name1/name2、/ 和 /mounts/name.ext/ 映射到自定义装载的存储。 只能使用 /mounts/pathname 来将自定义存储装载到 Web 应用。
- 存储挂载不包括在 备份 中。 请务必遵循最佳做法来备份Azure Storage帐户。
- 在应用程序中进行虚拟网络集成后,挂载的驱动器使用的是 RFC1918 IP 地址,而不是来自虚拟网络的 IP 地址。
准备装载
无需执行额外的步骤,因为门户会为你获取和存储access密钥。
将存储装载到 Windows 代码中
若要使用 Azure portal 将存储挂载到 Windows 代码,
在 Azure portal 中,转到应用。
在左侧导航中,选择 “设置>配置”。 选择 路径映射,然后选择新建 Azure Storage 挂载。
根据下表配置存储挂载。 完成后,选择“确定”。
设置 说明 名称 装载配置的名称。 不要使用空格。 配置选项 如果存储帐户不使用专用终结点或Azure Key Vault,请选择Basic。 否则,选择“高级”。 存储帐户 Azure Storage帐户。 它必须包含 Azure Files 共享。 共享名 要装载的文件存储共享。 Storage access 为 Azure Key Vault 选择密钥保管库引用。 否则,请选择 “手动输入”。 访问密钥(仅限高级) 访问密钥为您的存储帐户。 装载路径 要挂载的应用服务中的目录。 仅支持 /mounts/pathname 。 应用程序设置 使用Azure Key Vault机密选择应用设置。 部署槽位设置 选中后,存储挂载设置也适用于部署槽位。
注意
当您添加、编辑或删除存储挂载时,应用将会重启。
最佳实践
Azure Storage挂载可以配置为虚拟目录,以提供静态内容。 若要配置虚拟目录,请在左侧导航中选择 “设置>配置”。 然后选择 “路径映射”,然后选择 “新建虚拟应用程序”或“目录”。 将 物理路径 设置为在 Azure Storage 装载中定义的 挂载路径。
若要避免延迟问题,请将应用和Azure Storage帐户置于同一区域。 如果应用和 Azure Storage 帐户位于同一区域,在 Azure Storage 防火墙配置中授予 App Service IP 地址访问权限时,这些 IP 限制将不被遵循。
在 Azure Storage 帐户中,请避免 重新生成用于在应用中装载存储的访问密钥。 存储帐户包含两个密钥。 Azure App服务存储Azure storage帐户密钥。 使用分步方法确保存储挂载在密钥重建期间应用程序仍可使用。 例如,假设你使用了 key1 在应用中配置存储挂载:
- 重新生成“密钥 2”。
- 在存储挂载配置中,更新访问密钥以使用重新生成的 key2。
- 重新生成“密钥1”。
如果删除Azure Storage帐户、容器或共享,请删除应用中相应的storage装载配置,以避免可能出现的错误情况。
装载Azure Storage帐户可以是标准层或高级性能层。 根据应用容量和吞吐量要求,为storage帐户选择适当的性能层。 请参阅 文件的可拓展性和性能目标。
如果应用缩放到多个实例,则所有实例都连接到同一装载Azure Storage帐户。 若要避免性能瓶颈和吞吐量问题,请为storage帐户选择适当的性能层。
我们不建议对本地数据库(如 SQLite)或任何其他依赖文件句柄和锁的应用程序和组件使用存储挂载。
如果在存储帐户挂载到应用时进行存储故障转移,则需要重新启动应用或移除并重新添加存储挂载后,挂载才会连接。
使用具有virtual network集成的Azure Files时,请确保端口 445 处于打开状态。 此外,请确保将应用设置
WEBSITE_CONTENTOVERVNET设置为1。装载Azure Storage帐户可以是标准层或高级性能层。 根据应用容量和吞吐量要求,为storage帐户选择适当的性能层。 请参阅 Files 的可伸缩性和性能目标。
Azure Storage是微软的云存储解决方案,适用于现代数据存储场景。 Azure Storage为云中的数据对象提供高度可用、大规模可缩放、持久且安全的storage。 本指南介绍如何将 Azure Storage 文件装载为 App Service Windows 容器中的网络共享。
Azure Storage支持 Azure Files Shares 和 Premium Files Shares。 Azure Storage不是App Service的默认storage。 这是单独计费的。 还可以在 ARM 模板中配置Azure Storage。
自定义安装存储的优点包括:
- 为应用服务的应用配置持久性存储,并分别管理存储。
- 使静态内容(如视频和图像)随时可用于App Service应用。
- 将应用程序日志文件或存档较旧的应用程序日志写入Azure文件共享。
- 跨多个应用或其他Azure服务共享内容。
- 在 Windows 容器(包括隔离容器)中装载 Azure Storage。 有关详细信息,请参阅 App Service environment v3。
Windows 容器支持以下功能:
- 使用 key vault、private endpoints 和 service endpoints,在应用 virtual network integration 时保护存储帐户的访问。
- Azure Files(读/写)。
- 每个应用最多 5 个装入点。
- 驱动器号分配(C: 到 Z:)。
下面是将Azure storage装载到应用的三个选项:
| 装载选项 | 使用情况 |
|---|---|
| 基本 | 在使用 Azure 门户挂载存储时选择此选项。 只要存储帐户不使用 service endpoints、private endpoints 或 Azure Key Vault,就可以使用基本选项。 在这种情况下,门户会为你获取和存储访问密钥。 |
| 访问密钥 | 如果计划使用Azure CLI装载存储,则需要获取访问密钥。 如果存储帐户不使用 服务端点、私有端点 或 Azure Key Vault,请选择此选项。 |
| 密钥保管库 | 如果计划使用 Azure CLI 挂载存储,需要访问密钥,请使用此选项。 使用Azure Key Vault安全地存储和检索access密钥时,选择此选项。 Azure Key Vault可以集中安全地存储应用程序机密,并能够监视、管理和集成其他Azure服务,例如Azure App Service。 |
先决条件
- App Service中现有的 Windows 容器应用。
- 一个 Azure 文件共享。
- 文件上传到Azure文件共享。
限制
- 不支持Azure缓存。
- Storage防火墙仅在使用虚拟网络集成时通过私人终结点和服务终结点支持。
- 不支持对挂载的存储进行 FTP/FTPS 访问(请使用 Azure Storage Explorer)。
- 不支持将 [C-Z]:\、[C-Z]:\home、/ 和 /home 映射到自定义挂载存储。
- 备份应用时,不会备份存储挂载。 请务必遵循最佳做法来备份Azure Storage帐户。
- 在应用程序中集成虚拟网络后,挂载的驱动器使用RFC1918 IP地址,而不是来自虚拟网络的IP地址。
准备装载
无需执行额外的步骤,因为门户会为你获取和存储access密钥。
将存储挂载到 Windows 容器
若要使用 Azure portal 将存储挂载到 Windows 容器,
在 Azure portal 中,转到应用。
在左侧导航中,选择 “设置>配置”。 选择 路径映射,然后选择新建 Azure Storage 挂载。
根据下表配置存储挂载。 完成后,选择“确定”。
设置 说明 名称 装载配置的名称。 不要使用空格。 配置选项 选择基本。 存储帐户 Azure Storage帐户。 它必须包含 Azure Files 共享。 共享名 要装载的文件存储共享。 装载路径 要装载的 Windows 容器内的目录。 请勿使用根目录([C-Z]:*或) 或/主目录([C-Z]:\home* 或 /home)。 部署槽位设置 选定时,存储挂载设置也适用于部署插槽。
注意
添加、编辑或删除存储挂载将重启应用。
最佳实践
若要避免延迟问题,请将应用和Azure Storage帐户置于同一区域。 如果应用和 Azure Storage 帐户位于同一区域,而从 Azure Storage 防火墙配置 为 App Service IP 地址授予访问权限,则这些 IP 限制将不生效。
请避免重新生成用于在应用中挂载存储的访问密钥,在Azure Storage帐户中。 存储帐户包含两个访问密钥。 Azure App Service存储Azure storage帐户密钥。 使用分步方法确保挂载在密钥重新生成期间仍可供应用使用。 例如,假定你在应用中使用key1配置存储挂载:
- 重新生成“密钥 2”。
- 在存储挂载配置中,更新访问密钥以使用重新生成的 key2。
- 重新生成“密钥1”。
如果删除Azure Storage帐户、容器或共享,请删除应用中相应的storage装载配置,以避免可能出现的错误情况。
装载Azure Storage帐户可以是标准层或高级性能层。 根据应用容量和吞吐量要求,为storage帐户选择适当的性能层。 请参阅 Files 的可缩放性和性能目标。
如果应用缩放到多个实例,则所有实例都连接到同一装载Azure Storage帐户。 若要避免性能瓶颈和吞吐量问题,请为storage帐户选择适当的性能层。
不要将存储挂载用于本地数据库(例如 SQLite),也不要用于依赖文件句柄和锁定的任何其他应用程序和组件。
使用具有virtual network集成的Azure Files时,请确保端口 445 处于打开状态。
如果在存储帐户装载到应用时进行存储故障转移,则只有在应用重新启动或删除并重新添加存储装载后,装载才能连接。
后续步骤
注意
NFS 支持现已可用于App Service on Linux。
本指南介绍如何将Azure Storage装载为内置 Linux 容器中的网络共享或App Service中的自定义 Linux 容器。 Azure 存储是微软的云存储解决方案,适用于现代数据存储场景。 Azure Storage为云中的数据对象提供高度可用、大规模可缩放、持久且安全的storage。 Azure Storage不是App Service的默认storage。 这是单独计费的。 还可以在 ARM 模板中配置Azure Storage。
自定义安装的存储的优点包括:
- 为您的 App Service 应用配置持久存储,并单独管理该存储。
- 使静态内容(如视频和图像)随时可用于App Service应用。
- 将应用程序日志文件或存档较旧的应用程序日志写入Azure文件共享。
- 跨多个应用或其他Azure服务共享内容。
- 支持 Azure Files NFS 和 Azure Files SMB。
- 支持 Azure Blob 存储(只读访问)。
- 每个应用最多支持五个装入点。
自定义安装存储的限制包括:
- 存储防火墙仅在使用虚拟网络集成时,通过服务端点和私有端点支持。
- 不支持 FTP/FTPS 访问权限到自定义挂载的存储。 使用 Azure Storage Explorer。
- 存储帐户共享访问密钥是唯一受到支持的身份验证方法。 不支持 Entra ID 和 RBAC 角色。
- Azure CLI、Azure PowerShell和Azure SDK 支持处于预览状态。
- 不支持将 / 或 /home 映射到自定义挂载的存储。
- 不要将存储装载映射到 /tmp 或其子目录。 此操作可能会导致应用启动时超时。
- Azure Storage 不支持 Docker Compose 方案。
- 存储挂载不包括在 备份 中。 请务必遵循最佳做法来备份Azure Storage帐户。
- NFS 支持仅适用于App Service on Linux。 Windows 代码和 Windows 容器不支持 NFS。 需要在 NFS 的同一虚拟网络上配置网络应用和存储帐户。 用于文件共享的storage帐户应具有 Premium 性能层,并将 File storage 用作帐户类型。 使用 NFS 协议时,Azure Key Vault不适用。
- 在应用程序中进行虚拟网络集成后,挂载的驱动器使用的是 RFC1918 IP 地址,而不是来自虚拟网络的 IP 地址。
装载选项
需要将存储装载到应用。 下面是三个用于Azure storage的装载选项:
| 装载选项 | 使用情况 |
|---|---|
| 基本 | 选择此选项可以通过 Azure 门户装载存储。 您可以使用基本选项,只要存储帐户不使用服务终结点、专用终结点或Azure Key Vault。 在这种情况下,门户会为您获取和存储访问密钥。 |
| 访问密钥 | 如果计划使用 Azure CLI 装载存储,则需要获取访问密钥。 如果存储帐户不使用service endpoints、private endpoints 或 Azure Key Vault,请选择此选项。 |
| 密钥保管库 | 如果计划通过 Azure CLI 来装载存储,且这需要访问密钥,请使用此选项。 使用Azure Key Vault安全地存储和检索access密钥时,请选择此选项。 Azure Key Vault可以集中安全地存储应用程序机密,并能够监视、管理和集成其他Azure服务,例如Azure App Service。 |
先决条件
准备装载
无需执行额外的步骤,因为门户会为你获取和存储access密钥。
将存储装载到 Linux 容器
挂载存储的方式取决于存储访问选项,以及您是使用门户还是Azure CLI。
在 Azure portal 中,转到应用。
在左侧导航中,选择 “设置>配置”。 选择 路径映射,然后选择新建 Azure 存储挂载。
根据下表配置存储挂载。 完成后,选择“确定”。
设置 说明 名称 装载配置的名称。 不要使用空格。 配置选项 如果存储帐户未使用 服务终结点、私有终结点 或 Azure 密钥保管库,请选择 Basic。 否则,选择“高级”。 存储帐户 Azure Storage帐户。 存储类型 根据要装载的storage选择类型。 Azure Blobs 仅支持只读访问。 Storage container 或 Share name 要装载的文件存储共享或 Blob 容器。 装载路径 要装载到 Azure Storage 的 Linux 容器内的目录。 请勿使用 / 或 /home。 部署槽位设置 选中后,存储挂载设置也应用于部署槽位。
注意
添加、编辑或删除存储挂载将重启应用。
验证已挂载的存储
若要验证是否已为应用成功装载Azure Storage,请执行以下作:
在容器中打开 SSH 会话。
在 SSH 终端中执行以下命令:
df –h检查是否已挂载存储共享。 如果不存在,则说明在装载存储共享时出现问题。
使用以下命令检查该存储挂载的延迟或一般可达性:
tcpping Storageaccount.file.core.chinacloudapi.cn
存储装载点健康检查和自动恢复
Azure App Service 包括内置的健康检查机制,以确保挂载的 Azure Storage 卷(Azure Files 或 Azure Blob)保持可访问且响应迅速。 此系统有助于防止因存储挂载过时或断开连接而导致的应用程序挂起。
运行状况检查的工作原理
定期 I/O 测试
App Service定期对名为__lastCheckTime.txt的标记文件执行文件 I/O。-
位置:
LogFiles装载路径下的子目录(例如/mount/path/LogFiles/__lastCheckTime.txt)。 -
行为:
- 尝试对此文件执行读取操作。
- 该文件不需要存在 - “找不到文件”被视为成功检查。
-
位置:
频率
默认情况下,检查每 5 秒 运行一次。失败处理
- 每个失败或超时的检查会增加故障 ping 计数器的数值。
- 失败超过配置的阈值时:
- Azure Files: 18 次 ping 失败
- Azure Blob: 15 次 ping 失败
- 装载标记为发生故障,App Service会自动重启应用以恢复与共享的连接。
通过应用设置进行配置
可以使用以下应用设置自定义健康检查行为。
| 存储类型 | 设置名称 | 默认值 | 说明 |
|---|---|---|---|
| Azure Files | WEBSITE_BYOS_FILES_HEALTH_CHECK_FREQUENCY |
5 |
健康检查的时间间隔(以秒为单位)。 |
| Azure Files | WEBSITE_BYOS_FILES_MAX_FAILED_PINGS |
18 |
将卷标记为故障前的连续失败次数。 |
| Azure Files | WEBSITE_BYOS_FILES_AUTO_RECOVERY_ENABLED |
true |
设置为 false 禁用自动恢复逻辑。 |
| Azure Blob | WEBSITE_BYOS_BLOB_HEALTH_CHECK_FREQUENCY |
5 |
健康检查的时间间隔(以秒为单位)。 |
| Azure Blob | WEBSITE_BYOS_BLOB_MAX_FAILED_PINGS |
15 |
将卷标记为故障前的连续失败次数。 |
| Azure Blob | WEBSITE_BYOS_BLOB_AUTO_RECOVERY_ENABLED |
true |
设置为 false 禁用自动恢复逻辑。 |
| Azure Blob | WEBSITE_BYOS_BLOB_DIRECT_IO |
false |
如果启用该功能,所有事务将直接查询远程存储,并且将绕过缓存。 此设置在应用程序级别应用,因此会影响应用程序装载的所有 Blob 共享。 |
注释
- 自动恢复功能有助于防止由存储路径无响应引起的长时间运行应用程序挂起。
- 除非对特定的装载行为进行故障排除,否则不要禁用自动恢复。
最佳实践
性能
若要避免延迟问题,请将应用和Azure Storage帐户置于同一区域。 如果应用和 Azure Storage 帐户位于同一区域,而从 Azure Storage 防火墙配置 为 App Service IP 地址授予访问权限,则这些 IP 限制将不生效。
装载Azure Storage帐户可以是标准层或高级性能层。 根据应用容量和吞吐量要求,为storage帐户选择适当的性能层。 请参阅对应于storage类型的可伸缩性和性能目标:Files 和 Blobs。
如果应用缩放到多个实例,则所有实例都连接到同一装载Azure Storage帐户。 若要避免性能瓶颈和吞吐量问题,请为storage帐户选择适当的性能层。
安全性
请避免重新生成用于在应用中挂载存储的访问密钥,在Azure Storage帐户中。 存储帐户包含两个访问密钥。 Azure App服务存储Azure storage帐户密钥。 使用分步方法确保挂载在密钥重新生成期间仍可供应用使用。 例如,假定你在应用中使用key1配置存储挂载:
- 重新生成“密钥 2”。
- 在存储挂载配置中,更新访问密钥以使用重新生成的 key2。
- 重新生成“密钥1”。
配置
- 如果需要使用实时文件系统(希望快速更改、添加或删除文件),请在装载storage时使用Azure Files作为storage类型。 当文件是静态的并且你不希望它们发生更改时,请使用 Azure Blob。
故障排除
- 自定义容器中的装载目录应为空。 例如,如果指定/home下的目录,则装载Azure Storage时,将删除存储在此路径上的任何内容。 如果迁移现有应用的文件,请在开始之前备份应用及其内容。
- 装载 NFS 共享时,需要在 storage 帐户上禁用安全传输要求。 启用此设置时,App Service不支持装载 NFS 共享。 它使用端口 2409 以及虚拟网络集成和专用终结点作为安全措施。
- 如果删除Azure Storage帐户、容器或共享,请删除应用中相应的storage装载配置,以避免可能出现的错误情况。
- 不要将存储挂载点用于本地数据库(例如 SQLite),也不要用于依赖文件句柄和锁的其他应用程序和组件。
- 使用virtual network集成时,请确保打开以下端口:Azure Files:80 和 445。 Azure Blob:80 和 443。
- 如果在将存储帐户装载到应用程序时,初始化存储故障转移,则装载在重新启动应用程序或删除并重新添加存储装载之前不会连接。