Dela via

Ansluta till Azure Blob Storage från arbetsflöden i Azure Logic Apps

Gäller för: Azure Logic Apps (Förbrukning + Standard)

Den här guiden visar hur du kommer åt ditt Azure Blob Storage-konto och din container från ett arbetsflöde i Azure Logic Apps med hjälp av Azure Blob Storage-anslutningsappen. Den här anslutningsappen innehåller utlösare och åtgärder som arbetsflödet kan använda för blobåtgärder. Du kan sedan skapa automatiserade arbetsflöden som körs när de utlöses av händelser i din lagringscontainer eller i andra system och köra åtgärder för att arbeta med data i lagringscontainern. Du kan till exempel komma åt och hantera filer som lagras som blobar i ditt Azure Storage-konto.

Du kan ansluta till Azure Blob Storage från ett arbetsflöde i en multitenant logikapplikation eller i en standard logikapplikation för enskild klient. Förbrukningsarbetsflöden erbjuder endast den hanterade anslutningsversionen, medan standardarbetsflöden erbjuder både inbyggda anslutningar och hanterade anslutningsversioner.

Teknisk referens för anslutningsprogram

Azure Blob Storage-anslutningsappen har olika versioner, baserat på logikapptyp och värdmiljö.

Logikapp Miljö Anslutningsversion
Förbrukning Azure Logic Apps med flera klientorganisationer Hanterad anslutning, som visas i anslutningsgalleriet under Delad. Mer information finns i följande dokumentation:

- Referens för hanterad Azure Blob Storage-anslutningsapp
- Hanterade anslutningsappar i Azure Logic Apps
Standard Azure Logic Apps för en klientorganisation och App Service-miljön v3 (endast Windows-abonnemang) Hanterad anslutning (Azure värdbaserad), som visas i connector gallery under Delad, och inbyggd anslutning, som är tjänstleverantörsbaserad och visas i connector gallery under Inbyggd. Den inbyggda versionen skiljer sig åt på följande sätt:

– Den inbyggda versionen ansluter direkt till ditt Azure Storage-konto som bara kräver en anslutningssträng.

– Den inbyggda versionen kan komma åt virtuella Azure-nätverk direkt.

Mer information finns i följande dokumentation:

- Referens för hanterad Azure Blob Storage-anslutningsapp
- Inbyggd anslutningsreferens för Azure Blob
- Inbyggda anslutningsappar i Azure Logic Apps

Begränsningar

  • Azure Blob Storage-hanterade anslutningsåtgärder kan läsa eller skriva filer som är 50 MB eller mindre. För att hantera filer som är större än 50 MB men upp till 1 024 MB stöder Azure Blob Storage-åtgärder segmentering av meddelanden. Blob Storage-åtgärden med namnet Hämta blobinnehåll använder implicit segmentering.

  • Azure Blob Storage-hanteradeoch inbyggda utlösare stöder inte segmentering, men de inbyggda utlösarna kan hantera filer som är 50 MB eller mer. Men när en hanterad utlösare begär filinnehåll väljer utlösaren endast filer som är 50 MB eller mindre. Om du vill hämta filer som är större än 50 MB följer du det här mönstret:

    1. Använd en Blob-utlösare som returnerar filegenskaper, till exempel När en blob läggs till eller ändras (endast egenskaper).

    2. Följ utlösaren med åtgärden Hanterad anslutningsapp i Azure Blob Storage med namnet Hämta blobinnehåll, som läser hela filen och implicit använder segmentering.

  • Azure Blob Storage-utlösargränser

    • Utlösaren för hanterad anslutningsapp är begränsad till 30 000 blobar i den virtuella avsökningsmappen.
    • Den inbyggda anslutningsutlösaren är begränsad till 10 000 blobar i hela avsökningscontainern.

    Om gränsen överskrids kan det hända att en ny blob inte kan utlösa arbetsflödet, så utlösaren hoppas över.

Förutsättningar

Lägga till en Blob-utlösare

I ett förbrukningsarbetsflöde är endast den hanterade Azure Blob Storage-anslutningen tillgänglig. I ett Standard-arbetsflöde är både den hanterade Azure Blob Storage-anslutningsappen och den inbyggda anslutningsappen tillgängliga. Även om varje anslutningsversion endast innehåller en Azure Blob Storage-utlösare skiljer sig utlösarnamnet på följande sätt, beroende på om du har ett förbruknings- eller standardarbetsflöde:

Logikapp Anslutningsversion Utlösarnamn beskrivning
Förbrukning Endast hanterad anslutningsapp När en blob läggs till eller ändras (endast egenskaper) Utlösaren utlöses när en blobs egenskaper läggs till eller uppdateras i lagringscontainerns rotmapp. När du konfigurerar den hanterade utlösaren ignorerar den hanterade versionen befintliga blobar i lagringscontainern.
Norm Inbyggd anslutning


Hanterad anslutning		 Inbyggd: När en blob läggs till eller uppdateras

Hanterad: När en blob läggs till eller ändras (endast egenskaper)		 Inbyggd: Utlösaren utlöses när en blob läggs till eller uppdateras i lagringscontainern och utlöses för alla kapslade mappar i lagringscontainern, inte bara rotmappen. När du konfigurerar den inbyggda utlösaren bearbetar den inbyggda versionen alla befintliga blobar i lagringscontainern.

Hanterad: Utlösaren utlöses när en blobs egenskaper läggs till eller uppdateras i lagringscontainerns rotmapp. När du konfigurerar den hanterade utlösaren ignorerar den hanterade versionen befintliga blobar i lagringscontainern.

Följande steg använder Azure Portal, men med lämpligt Azure Logic Apps-tillägg kan du också använda följande verktyg för att skapa arbetsflöden för logikappar:

  1. Öppna din logikappresurs för förbrukning i Azure-portalen.

  2. På menyn på resurspanelen går du till Utvecklingsverktyg och väljer designern för att öppna det tomma arbetsflödet.

  3. Lägg till den hanterade Azure Blob Storage-trigger för ditt scenario genom att följa de allmänna stegen för att lägga till en utlösare i arbetsflödet.

    Det här exemplet fortsätter med Azure Blob Storage-utlösaren med namnet När en blob läggs till eller ändras (endast egenskaper).

  4. Om du uppmanas att göra det anger du följande information för din anslutning till ditt lagringskonto. Välj Skapa när du är klar.

    Fastighet Obligatoriskt beskrivning
    Anslutningsnamn Ja Ett namn för din anslutning.
    Autentiseringstyp Ja Autentiseringstypen för ditt lagringskonto. Mer information finns i Autentiseringstyper för utlösare och åtgärder som stöder autentisering.

    Den här anslutningen använder till exempel åtkomstnyckelautentisering och ger åtkomstnyckelvärdet för lagringskontot tillsammans med följande egenskapsvärden:

    Fastighet Obligatoriskt Värde beskrivning
    Azure Storage-kontonamn eller blobslutpunkt Ja, men bara för åtkomstnyckelautentisering < lagringskontonamn> Namnet på det Azure Storage-konto där blobcontainern finns.

    Obs! Om du vill hitta lagringskontots namn öppnar du lagringskontoresursen i Azure Portal. På resursmenyn går du till Säkerhet + nätverk och väljer Åtkomstnycklar. Under Lagringskontonamn kopierar och sparar du namnet.
    Åtkomstnyckel för Azure Storage-konto Ja, men bara för åtkomstnyckelautentisering < lagringskonto-åtkomstnyckel> Åtkomstnyckeln för ditt Azure Storage-konto.

    Obs! Om du vill hitta åtkomstnyckeln öppnar du lagringskontoresursen i Azure Portal. Välj Åtkomstnycklar1 på resursmenyn. Kopiera och spara primärnyckelvärdet.

    Skärmbild som visar arbetsflöde för förbrukning, Azure Blob Storage-utlösare och exempel på anslutningsinformation.

  5. När informationsrutan för utlösaren visas anger du nödvändig information.

    För egenskapsvärdet Container väljer du mappikonen för att bläddra efter blobcontainern. Eller ange sökvägen manuellt med syntaxen /<container-name>, till exempel:

    Skärmbild som visar arbetsflöde för förbrukning med Azure Blob Storage-utlösare och exempel på utlösarinformation.

  6. Om det finns andra parametrar för utlösaren öppnar du listan Avancerade parametrar och väljer de parametrar som du vill använda.

    Mer information finns i Utlösaregenskaper för azure bloblagringshanterad anslutningsapp.

  7. Lägg till andra åtgärder som krävs i arbetsflödet.

  8. Spara arbetsflödet när du är klar. I verktygsfältet för designern väljer du Spara.

Lägga till en Blob-åtgärd

I ett förbrukningsarbetsflöde är endast den hanterade Azure Blob Storage-anslutningen tillgänglig. I ett Standard-arbetsflöde är både den hanterade Azure Blob Storage-anslutningsappen och den inbyggda anslutningsappen tillgängliga. Varje version innehåller flera, olika namngivna åtgärder, baserat på om du har ett förbruknings- eller standardarbetsflöde. Till exempel har både de hanterade och inbyggda anslutningsversionerna sina egna åtgärder för att hämta filmetadata och hämta filinnehåll.

  • Åtgärder för hanterade anslutningsåtgärder är tillgängliga i konsumtions- eller standardarbetsflöden.

  • Inbyggda anslutningsåtgärder är endast tillgängliga i Standard-arbetsflöden.

Följande steg använder Azure Portal, men med rätt Azure Logic Apps-tillägg kan du också använda följande verktyg för att skapa arbetsflöden för logikappar:

  1. Öppna din logikappresurs för förbrukning i Azure-portalen.

  2. På menyn på resurspanelen går du till Utvecklingsverktyg och väljer designern för att öppna arbetsflödet.

    De här stegen förutsätter att arbetsflödet redan har en utlösare.

    I det här exemplet används upprepningsutlösaren.

  3. Lägg till den hanterade Azure Blob Storage-åtgärden för ditt scenario genom att följa de allmänna stegen för att lägga till en åtgärd i arbetsflödet.

    Det här exemplet fortsätter med åtgärden Hämta blobinnehåll.

  4. Ange följande information för anslutningen om du uppmanas att göra det. Välj Skapa när du är klar.

    Fastighet Obligatoriskt beskrivning
    Anslutningsnamn Ja Ett namn på anslutningen
    Autentiseringstyp Ja Autentiseringstypen för ditt lagringskonto. Mer information finns i Autentiseringstyper för utlösare och åtgärder som stöder autentisering.

    Den här anslutningen använder till exempel åtkomstnyckelautentisering och ger åtkomstnyckelvärdet för lagringskontot tillsammans med följande egenskapsvärden:

    Fastighet Obligatoriskt Värde beskrivning
    Azure Storage-kontonamn eller blobslutpunkt Ja, men bara för åtkomstnyckelautentisering < lagringskontonamn> Namnet på azure-lagringskontot där blobcontainern finns.

    Obs! Om du vill hitta lagringskontots namn öppnar du lagringskontoresursen i Azure Portal. På resursmenyn går du till Säkerhet + nätverk och väljer Åtkomstnycklar. Under Lagringskontonamn kopierar och sparar du namnet.
    Åtkomstnyckel för Azure Storage-konto Ja, men bara för åtkomstnyckelautentisering < lagringskonto-åtkomstnyckel> Åtkomstnyckeln för ditt Azure Storage-konto.

    Obs! Om du vill hitta åtkomstnyckeln öppnar du lagringskontoresursen i Azure Portal. Välj Åtkomstnycklar1 på resursmenyn. Kopiera och spara primärnyckelvärdet.

    Skärmbild som visar arbetsflöde för förbrukning, Azure Blob-åtgärd och exempel på anslutningsinformation.

  5. Ange nödvändig information i åtgärdsinformationsrutan.

    I åtgärden Hämta blobinnehåll anger du till exempel lagringskontots namn. För egenskapen Blob väljer du mappikonen för att bläddra efter din lagringscontainer eller mapp. Eller ange sökvägen manuellt.

    Uppgift Syntax för blobsökväg
    Hämta innehållet från en specifik blob i rotmappen. /<container-name>/<blob-name>
    Hämta innehållet från en specifik blob i en undermapp. /<container-name>/<subfolder>/<blob-name>

    I följande exempel visas den åtgärdskonfiguration som hämtar innehållet från en blob i rotmappen:

    Skärmbild som visar förbrukningsarbetsflödet med konfiguration av blobåtgärder för rotmappen.

    I följande exempel visas den åtgärdskonfiguration som hämtar innehållet från en blob i undermappen:

    Skärmbild som visar arbetsflödet Konsumtion med blobåtgärdsinställningar för undermapp.

  6. Lägg till andra åtgärder som krävs i arbetsflödet.

  7. Spara arbetsflödet när du är klar. I verktygsfältet för designern väljer du Spara.

Få åtkomst till lagringskonton bakom brandväggar

Du kan lägga till nätverkssäkerhet i ett Azure Storage-konto genom att begränsa åtkomsten med en brandvägg och brandväggsregler. Den här konfigurationen skapar dock en utmaning för Azure och andra Microsoft-tjänster som behöver åtkomst till lagringskontot. Lokal kommunikation i datacentret abstraherar de interna IP-adresserna, så att bara tillåta trafik via IP-adresser kanske inte räcker för att tillåta kommunikation över brandväggen. Baserat på vilken Azure Blob Storage-anslutning du använder är följande alternativ tillgängliga:

Få åtkomst till lagringskonton i andra regioner

Om du inte använder hanterad identitetsautentisering kan logikappens arbetsflöden inte direkt komma åt lagringskonton bakom brandväggar när både logikappresursen och lagringskontot finns i samma region. Som en lösning placerar du logikappresursen i en annan region än ditt lagringskonto. Ge sedan åtkomst till de utgående IP-adresserna för de hanterade anslutningsprogrammen i din region.

Kommentar

Den här lösningen gäller inte för Azure Table Storage-anslutningsappen och Azure Queue Storage-anslutningsappen. Använd i stället den inbyggda HTTP-utlösaren och åtgärden för att komma åt din Table Storage eller Queue Storage.

Följ dessa steg för att lägga till dina utgående IP-adresser i brandväggen för lagringskontot:

  1. Observera utgående IP-adresser för den hanterade anslutningsappen för logikappresursens region.

  2. I Azure Portal letar du upp och öppnar lagringskontoresursen.

  3. Välj Nätverk under Säkerhet + nätverk på menyn på sidomenyn för resursen.

    1. Under Åtkomst till offentligt nätverk väljer du Aktiverad från valda virtuella nätverk och IP-adresser.

    2. Under Brandvägg lägger du till DE IP-adresser eller intervall som behöver åtkomst. Om du behöver komma åt lagringskontot från datorn väljer du Lägg till klientens IP-adress.

      Skärmbild av nätverkssidan för bloblagringskontot i Azure-portalen som visar brandväggsinställningar för att lägga till IP-adresser och intervall i listan över tillåtna.

    3. När du är klar väljer du Spara.

Få åtkomst till lagringskonton via ett betrott virtuellt nätverk

  • Om logikappen och lagringskontot finns i samma region:

    Du kan placera ditt lagringskonto i ett virtuellt Azure-nätverk genom att skapa en privat slutpunkt och sedan lägga till det virtuella nätverket i listan över betrodda virtuella nätverk. För att ge logikappen åtkomst till lagringskontot via ett betrott virtuellt nätverk måste du skapa en standardlogikapp som kan ansluta till resurser i ett virtuellt nätverk.

  • Om logikappen och lagringskontot finns i olika regioner:

    Skapa en privat slutpunkt på ditt lagringskonto för åtkomst.

Få åtkomst till lagringskonton via integrering av virtuella nätverk

  • Om logikappen och lagringskontot finns i samma region:

    Du kan placera lagringskontot i ett virtuellt Azure-nätverk genom att skapa en privat slutpunkt och sedan lägga till det virtuella nätverket i listan över betrodda virtuella nätverk. För att ge logikappen åtkomst till lagringskontot måste du konfigurera utgående trafik med hjälp av integrering av virtuella nätverk för att aktivera anslutning till resurser i ett virtuellt nätverk. Du kan sedan lägga till det virtuella nätverket i lagringskontots lista över betrodda virtuella nätverk.

  • Om logikappen och lagringskontot finns i olika regioner:

    Skapa en privat slutpunkt på ditt lagringskonto för åtkomst.

Få åtkomst till Blob Storage i samma region med systemhanterade identiteter

Om du vill ansluta till Azure Blob Storage i valfri region kan du använda hanterade identiteter för autentisering. Du kan skapa ett undantag som ger Azure betrodda tjänster, till exempel en hanterad identitet, åtkomst till ditt lagringskonto via en brandvägg.

Kommentar

Den här lösningen gäller inte för standardlogikappar. Även om du använder en systemtilldelad hanterad identitet med en standardlogikapp kan den hanterade Azure Blob Storage-anslutningsappen inte ansluta till ett lagringskonto i samma region.

Följ dessa steg om du vill använda hanterade identiteter i logikappen för att få åtkomst till Blob Storage:

  1. Konfigurera åtkomst till ditt lagringskonto

  2. Skapa en rolltilldelning för logikappen

  3. Aktivera stöd för den hanterade identiteten i logikappen

Kommentar

Den här lösningen har följande begränsningar:

Om du vill autentisera anslutningen till lagringskontot måste du konfigurera en systemtilldelad hanterad identitet. En användartilldelad hanterad identitet fungerar inte.

Konfigurera åtkomst till lagringskonto

Konfigurera stöd för undantag och hanterad identitet genom att först konfigurera lämplig åtkomst till ditt lagringskonto:

  1. I Azure Portal letar du upp och öppnar lagringskontoresursen.

  2. På navigeringsmenyn för lagringskontot går du till Säkerhet + nätverk och väljer Nätverk.

    1. Under Åtkomst till offentligt nätverk väljer du Aktiverad från valda virtuella nätverk och IP-adresser.

    2. Om du behöver komma åt lagringskontot från datorn går du till Brandvägg och väljer Lägg till klientens IP-adress.

    3. Under Undantag väljer du Tillåt Att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot.

      Skärmbild som visar nätverksfönstret för Azure-portalen och Blob Storage-kontot med tillåtna inställningar.

    4. När du är klar väljer du Spara.

Kommentar

Om du får ett 403 Forbidden-fel när du försöker ansluta till lagringskontot från arbetsflödet finns det flera möjliga orsaker. Prova följande lösning innan du går vidare till ytterligare steg. Inaktivera först inställningen Tillåt att Azure-tjänster i listan över betrodda tjänster får åtkomst till det här lagringskontot och sparar ändringarna. Aktivera sedan inställningen igen och spara ändringarna igen.

Skapa rolltilldelning för logikapp

Aktivera sedan stöd för hanterad identitet på logikappresursen.

Följande steg är desamma för förbrukningslogikappar i miljöer med flera klienter och standardlogikappar i miljöer med en enda klientorganisation.

  1. Öppna logikappresursen i Azure Portal.

  2. På logikappens resursnavigeringsmeny går du till Inställningar och väljer Identitet.

  3. I fönstret Systemtilldelat anger du Status till , om den inte redan är aktiverad väljer du Spara och bekräftar ändringarna. Under Behörigheter väljer du Azure-rolltilldelningar.

    Skärmbild som visar resursmenyn för Azure-portalen och logikappen med inställningsfönstret Identitet och knappen Behörigheter för Azure-rolltilldelning.

  4. I fönstret Azure-rolltilldelningar väljer du Lägg till rolltilldelning.

    Skärmbild som visar fönstret rolltilldelningar för logikappen med den valda prenumerationen och knappen för att lägga till en ny rolltilldelning.

  5. I fönstret Lägg till rolltilldelningar konfigurerar du den nya rolltilldelningen med följande värden:

    Fastighet Värde beskrivning
    Definitionsområde < resursomfång> Resursuppsättningen där du vill tillämpa rolltilldelningen. I det här exemplet väljer du Lagring.
    Abonnemang < Azure-prenumeration> Azure-prenumerationen för ditt lagringskonto.
    Resurs < lagringskontonamn> Namnet på det lagringskonto som du vill komma åt från logikappens arbetsflöde.
    Roll < roll-till-tilldela> Den roll som ditt scenario kräver för att arbetsflödet ska fungera med resursen. Det här exemplet kräver Storage Blob Data Contributor, som tillåter läs-, skriv- och borttagningsåtkomst till blobcontainrar och datum. Om du vill ha behörighetsinformation flyttar du musen över informationsikonen bredvid en roll i den nedrullningsbara menyn.

    Skärmbild av konfigurationsfönstret för rolltilldelning som visar inställningar för omfång, prenumeration, resurs och roll.

  6. När du är klar väljer du Spara för att slutföra skapandet av rolltilldelningen.

Aktivera stöd för hanterad identitet i logikappen

Slutför sedan följande steg:

  1. Om du har ett tomt arbetsflöde lägger du till en Azure Blob Storage-anslutningsutlösare. Annars lägger du till en Azure Blob Storage-anslutningsåtgärd. Se till att du skapar en ny anslutning för utlösaren eller åtgärden i stället för att använda en befintlig anslutning.

  2. Kontrollera att du anger autentiseringstypen så att den hanterade identiteten används.

  3. När du har konfigurerat utlösaren eller åtgärden kan du spara arbetsflödet och testa utlösaren eller åtgärden.

Felsöka problem med åtkomst till lagringskonton

  • Fel: Den här begäran har inte behörighet att utföra den här åtgärden.

    Följande fel är ett vanligt rapporterat problem som inträffar när logikappen och lagringskontot finns i samma region. Det finns dock alternativ för att lösa den här begränsningen enligt beskrivningen i avsnittet Åtkomst till lagringskonton bakom brandväggar.

    {
   "status": 403,
   "message": "This request is not authorized to perform this operation.\\r\\nclientRequestId: a3da2269-7120-44b4-9fe5-ede7a9b0fbb8",
   "error": {
      "message": "This request is not authorized to perform this operation."
   },
   "source": "azureblob-ase.azconn-ase.p.azurewebsites.net"
}

Application Insights-fel

  • 404 - och 409-fel :

    Om standardarbetsflödet använder en inbyggd Azure Blob-åtgärd som lägger till en blob i lagringscontainern kan du få 404 - och 409-fel i Application Insights för misslyckade begäranden. Dessa fel förväntas eftersom anslutningsappen kontrollerar om blobfilen finns innan bloben läggs till. Felen uppstår när filen inte finns. Trots dessa fel lägger den inbyggda åtgärden till bloben.

Relaterat innehåll