Azure Functions 的存储注意事项

创建函数应用实例时，Azure Functions 需要 Azure 存储帐户。 函数应用可以使用以下存储服务：

存储服务	函数用法
Azure Blob 存储	维护绑定状态和函数密钥1。 默认用于 Durable Functions 中的任务中心。 可用于存储Linux 消耗计划远程生成或外部包 URL 部署中所用的函数应用代码。
Azure 文件存储2	文件共享，用于存储和运行消耗计划和高级计划中的函数应用代码。
Azure 队列存储	默认用于 Durable Functions 中的任务中心。 用于特定 Azure Functions 触发器中的故障和重试处理。 用于 Blob 存储触发器的对象跟踪。
Azure 表存储	默认用于 Durable Functions 中的任务中心。

¹ Blob 存储是功能密钥的默认存储，但你可以配置备用存储。

² 默认情况下会设置 Azure 文件存储，但你在某些情况下可以创建没有 Azure 文件存储的应用。

重要注意事项

有关函数应用使用的存储帐户，必须充分考虑以下事实：

• 当函数应用托管在消耗计划或高级计划上时，函数代码和配置文件将存储在链接存储帐户 Azure 文件存储中。 删除主存储帐户时，此内容将随之删除且无法恢复。 有关详细信息，请参阅存储帐户被删除

• 重要数据（如函数代码、访问密钥和其他与服务相关的重要数据）可以保留在存储帐户中。 必须通过以下方式仔细管理对函数应用使用的存储帐户的访问：

  • 根据最低特权模型审核和限制应用和用户对存储帐户的访问。 存储帐户权限可以是分配的角色中执行数据操作的权限，也可以是执行 listKeys 操作的权限。

  • 监视存储帐户中的控制平面活动 (例如检索密钥) 和数据平面操作 (如写入 blob)。 请考虑在 Azure 存储以外的位置维护存储日志。 有关详细信息，请参阅存储日志。

存储帐户要求

在 Azure 门户的函数应用创建流中创建的存储帐户确定可以使用新函数应用。 选择使用现有存储帐户时，提供的列表不包括某些不受支持的存储帐户。 以下限制适用于函数应用使用的存储帐户，因此必须确保现有存储帐户满足以下要求：

• 帐户类型必须支持 Blob、队列和表存储。 某些存储帐户不支持队列和表。 这些帐户包括仅 Blob 存储帐户和 Azure 高级存储。 若要了解存储帐户类型的详细信息，请参阅存储帐户概述。

• 在 Azure 门户中创建函数应用时，不能使用已通过防火墙或虚拟专用网络保护的存储帐户。 但是，门户当前不会筛选掉这些安全存储帐户。 若要了解如何将安全存储帐户与函数应用配合使用，请参阅如何将安全存储帐户与 Azure Functions 配合使用。

• 不能将安全存储帐户与消耗计划中托管的函数应用配合使用。

• 在门户中创建函数应用时，只能选择与要创建的函数应用位于同一区域的现有存储帐户。 这是性能优化，而不是严格的限制。 若要了解详细信息，请参阅存储帐户位置。

• 在启用了可用性区域支持的计划中创建函数应用时，仅支持区域冗余存储帐户。

可以使用部署自动化在“弹性高级”或“专用（应用服务）”计划中创建函数应用。 但是，必须在 ARM 模板或 Bicep 文件中包含特定的网络配置。 如果不包含这些设置和资源，自动部署可能会通不过验证。 有关详细信息，请参阅安全部署。

存储帐户指导

每个 Function App 都需要存储帐户才能运行。 如果该帐户已删除，则你的函数应用将不会运行。 若要对存储相关问题进行故障排除，请参阅如何对存储相关问题进行故障排除。 以下其他注意事项适用于函数应用使用的存储帐户。

存储帐户位置

为了获得最佳性能，函数应用应使用同一区域中的存储帐户，从而减少延迟。 Azure 门户强制实施此最佳做法。 如果出于某种原因，需要使用不同于函数应用所在区域的区域中的存储帐户，则必须在门户外创建函数应用。

存储帐户必须可供函数应用访问。 如果需要使用受保护的存储帐户，请考虑将存储帐户限制在虚拟网络中。

存储帐户连接设置

默认情况下，函数应用会将 AzureWebJobsStorage 连接配置为存储在 AzureWebJobsStorage 应用程序设置中的连接字符串，但你也可以将 AzureWebJobsStorage 配置为使用基于标识的连接，而无需机密。

在消耗计划（仅限 Windows）或弹性高级计划（Windows 或 Linux）中运行的函数应用可以使用 Azure 文件存储以存储启用动态缩放所需的映像。 对于这些计划，在WEBSITE_CONTENTAZUREFILECONNECTIONSTRING设置中设置存储帐户的连接字符串，并在WEBSITE_CONTENTSHARE设置中设置文件共享的名称。 这通常是用于AzureWebJobsStorage的同一帐户。 还可以创建不使用 Azure 文件存储的函数应用，但缩放可能受到限制。

共享存储帐户

多个函数应用可以共享同一个存储帐户，而不会出现任何问题。 例如，在 Visual Studio 中，可以使用 Azurite 存储模拟器开发多个应用。 在这种情况下，仿真器的作用类似于单个存储帐户。 函数应用使用的同一个存储帐户也可用于存储应用程序数据。 但是在生产环境中，这种方法并不总是个好主意。

可能需要使用单独的存储帐户以避免主机 ID 冲突。

生命周期管理策略注意事项

不应将生命周期管理策略应用于函数应用使用的 Blob 存储帐户。 函数使用 Blob 存储来保存重要信息（如函数访问密钥），策略可能会删除 Functions 主机所需的 blob（例如密钥）。 如果必须使用策略，请排除 Functions 使用的容器，这些容器的前缀为 azure-webjobs 或 scm。

存储日志

由于函数代码和密钥可能保留在存储帐户中，因此针对存储帐户记录活动是监视未经授权的访问的好方法。 Azure Monitor 资源日志可用于跟踪针对存储数据平面的事件。 有关如何配置和检查这些日志的详细信息，请参阅监视 Azure 存储。

Azure Monitor 活动日志显示控制平面事件，包括 listKeys 操作。 但是，还应为存储帐户配置资源日志，以跟踪密钥的后续使用或其他基于标识的数据平面操作。 至少启用 StorageWrite 日志类别，以便识别正常 Functions 操作之外的数据修改。

若要限制任何范围广泛的存储权限的潜在影响，请考虑对这些日志使用非存储目标，例如 Log Analytics。 有关详细信息，请参阅监视 Azure Blob 存储。

优化存储性能

若要最大程度地提高性能，请对每个函数应用使用单独的存储帐户。 如果有 Durable Functions 或事件中心触发的函数，则请注意，这两种函数都会产生大量存储事务，这一点特别重要。 当应用程序逻辑与 Azure 存储交互时，无论是直接（使用存储 SDK）交互还是通过某个存储绑定进行交互，都应使用专用存储帐户。 例如，如果有事件中心触发的函数将一些数据写入 Blob 存储，请使用两个存储帐户，一个用于函数应用，另一个用于由函数存储的 Blob。

使用 Blob

Functions 的一个关键方案是对 Blob 容器中的文件进行文件处理，例如图像处理或情绪分析。 要了解详细信息，请参阅处理文件上传。

在 Blob 容器上触发

根据存储容器中 blob 的更改，可通过多种方法执行函数代码。 使用下表确定最适合你需求的函数触发器：

注意事项	Blob 存储（轮询）	Blob 存储（基于事件）	队列存储	事件网格
延迟	高（最多 10 分钟）	低	中等	低
存储帐户限制	不支持仅限 Blob 的帐户¹	不支持常规用途 v1	无	不支持常规用途 v1
扩展版本	任意	存储 v5.x+	任意	任意
处理现有 Blob	是	否	No	否
筛选器	Blob 名称模式	事件筛选器	不适用	事件筛选器
需要事件订阅	否	是	No	是
支持大规模²	否	是	是	是
说明	默认触发器行为，即依赖于轮询容器获得更新。 有关详细信息，请查看 Blob 存储触发器参考中的示例。	使用事件订阅中的 Blob 存储事件。 需要 EventGrid 的 Source 参数值。 有关详细信息，请参阅教程：使用事件订阅在 Blob 容器上触发 Azure Functions。	将 Blob 添加到容器时，会手动将 Blob 名称字符串添加到存储队列中。 此值由队列存储触发器直接传递到同一函数上的 Blob 存储输入绑定。	除了提供这些来自存储容器的事件之外，还提供了基于事件触发的灵活性。 需要同时让非存储事件触发函数时使用。 有关详细信息，请参阅如何在 Azure Functions 中使用事件网格触发器和绑定。

¹ Blob 存储输入和输出绑定支持仅 Blob 帐户。
² 大规模可以宽松地定义为包含 100,000 个以上的 blob 的容器，或者定义为每秒进行 100 个以上 blob 更新的存储帐户。

存储数据加密

Azure 存储可对存储帐户中的所有数据进行静态加密。 有关详细信息，请参阅静态数据的 Azure 存储加密。

默认情况下，数据使用 Microsoft 管理的密钥进行加密。 为了进一步控制加密密钥，可以提供客户管理的密钥，用于对 blob 和文件数据进行加密。 这些密钥必须存在于 Azure Key Vault 中，以便 Functions 能够访问存储帐户。 若要了解详细信息，请参阅使用客户管理的密钥进行静态加密。

区域内数据驻留

当必须将所有客户数据保留在单个区域内时，与函数应用关联的存储帐户必须是具有区域内冗余的存储帐户。 区域内冗余存储帐户还必须与 Azure Durable Functions 一起使用。

主机 ID 注意事项

Functions 使用主机 ID 值作为唯一标识存储项目中特定函数应用的方法。 默认情况下，此 ID 是根据函数应用的名称自动生成的，截断到前 32 个字符。 然后会在链接存储帐户中存储每应用关联和跟踪信息时使用此 ID。 如果多个函数应用的名称超过 32 个字符，并且其前 32 个字符相同，则此截断可能会导致重复的主机 ID 值。 当两个具有相同主机 ID 的函数应用使用相同的存储帐户时，你会遇到主机 ID 冲突，因为存储的数据不能唯一链接到正确的函数应用。

从 Functions 运行时版本 3.x 开始，会检测主机 ID 冲突并记录警告。 在版本 4.x 中会记录一个错误并停止主机，从而导致硬故障。 有关主机 ID 冲突的更多详细信息，请参阅此问题。

避免主机 ID 冲突

可以使用以下策略来避免主机 ID 冲突：

• 对冲突涉及的每个函数应用或槽使用单独的存储帐户。
• 将其中一个函数应用重命名为长度小于 32 个字符的值，这会更改该应用的计算主机 ID 并去除冲突。
• 为一个或多个发生冲突的应用设置显式主机 ID。 若要了解详细信息，请参阅主机 ID 替代。

替代主机 ID

可以使用 AzureFunctionsWebHost__hostid 设置在应用程序设置中为函数应用显式设置特定主机 ID。 有关详细信息，请参阅 AzureFunctionsWebHost__hostid。

当槽之间发生冲突时，必须为每个槽（包括生产槽）设置特定的主机 ID。 还必须将这些设置标记为部署设置，以免它们进行交换。 若要了解如何创建应用设置，请参阅使用应用程序设置。

创建不使用 Azure 文件存储的应用

默认情况下会为弹性高级计划和非 Linux 消耗计划设置 Azure 文件存储，用作大规模方案中的共享文件系统。 该文件系统供平台用来实现某些功能（例如日志流式处理），但它的主要用途是确保已部署的函数有效负载的一致性。 使用外部包 URL 来部署应用时，是从单独的只读文件系统处理应用内容。 这意味着无需 Azure 文件存储即可创建函数应用。 如果使用 Azure 文件存储创建函数应用，仍会提供可写文件系统。 但是，此文件系统可能并非适用于所有函数应用实例。

如果不使用 Azure 文件存储，则必须满足以下要求：

• 必须从外部包 URL 进行部署。
• 应用不能依赖于共享的可写入文件系统。
• 应用不能使用 1.x 版的 Functions 运行时。
• 客户端（例如 Azure 门户）中的日志流式处理体验默认使用文件系统日志。 你应该改为依赖 Application Insights 日志。

如果正确了解了上述内容，可以创建没有 Azure 文件存储的应用。 在不指定 WEBSITE_CONTENTAZUREFILECONNECTIONSTRING 和 WEBSITE_CONTENTSHARE 应用程序设置的情况下创建函数应用。 可以通过为标准部署生成 ARM 模板，删除这两个设置，然后部署模板来避免这些设置。

由于 Functions 在动态横向扩展过程中使用 Azure 文件存储，因此在消耗计划和弹性高级计划中不使用 Azure 文件存储来运行时，缩放可能会受到限制。

装载文件共享

目前仅当在 Linux 上运行时，此功能才可用。

可以将现有 Azure 文件共享装载到 Linux 函数应用。 通过将共享装载到 Linux 函数应用，可以在函数中使用现有的机器学习模型或其他数据。 可以使用以下命令将现有共享装载到 Linux 函数应用。

目前仅支持 AzureFiles 的 storage-type。 只能将五个共享装载到给定函数应用。 装载文件共享可能会至少将冷启动时间增加 200-300 毫秒，当存储帐户处于不同区域时甚至会更多。

装载的共享可供处于指定 mount-path 的函数代码使用。 例如，当 mount-path 为 /path/to/mount 时，可以通过文件系统 API 访问目标目录，如下面的 Python 示例所示：

import os
...

files_in_share = os.listdir("/path/to/mount")

后续步骤

详细了解 Azure Functions 托管选项。