IP adresy ve službě Azure Functions
Tento článek vysvětluje následující koncepty související s IP adresami aplikací funkcí:
- Vyhledání IP adres, které aktuálně používá aplikace funkcí
- Podmínky, které způsobují změnu IP adres aplikace funkcí.
- Omezení IP adres, které mají přístup k aplikaci funkcí
- Definování vyhrazených IP adres pro aplikaci funkcí
IP adresy jsou přidružené k aplikacím funkcí, ne k jednotlivým funkcím. Příchozí požadavky HTTP nemůžou používat příchozí IP adresu k volání jednotlivých funkcí. Musí používat výchozí název domény (functionappname.azurewebsites.net) nebo vlastní název domény.
Příchozí IP adresa aplikace funkcí
Každá aplikace funkcí začíná pomocí jedné příchozí IP adresy. Při spuštění v plánu Consumption nebo Premium se můžou přidat další příchozí IP adresy, jakmile dojde k horizontálnímu navýšení kapacity řízené událostmi. Pokud chcete zjistit příchozí IP adresu nebo adresy používané vaší aplikací, použijte nslookup
nástroj z místního počítače, jako v následujícím příkladu:
nslookup <APP_NAME>.azurewebsites.net
V tomto příkladu nahraďte <APP_NAME>
názvem vaší aplikace funkcí. Pokud vaše aplikace používá vlastní název domény, použijte nslookup
místo toho tento vlastní název domény.
Odchozí IP adresy aplikace funkcí
Každá aplikace funkcí má sadu dostupných odchozích IP adres. Jakékoli odchozí připojení z funkce, například k back-endové databázi, používá jako zdrojovou IP adresu jednu z dostupných odchozích IP adres. Nemůžete předem vědět, kterou IP adresu bude dané připojení používat. Z tohoto důvodu musí vaše back-endová služba otevřít bránu firewall pro všechny odchozí IP adresy aplikace funkcí.
Tip
U některých funkcí na úrovni platformy, jako jsou odkazy na Key Vault, nemusí být původní IP adresa jednou z odchozích IP adres a cílový prostředek byste neměli konfigurovat tak, aby se spoléhal na tyto konkrétní adresy. Doporučujeme, aby aplikace místo toho používala integraci virtuální sítě, protože platforma bude směrovat provoz do cílového prostředku přes tuto síť.
Zjištění odchozích IP adres dostupných pro aplikaci funkcí:
- Přihlaste se k Azure Resource Exploreru.
- Vyberte předplatná > {vaše předplatné} > zprostředkovatele > Microsoft.Web > sites.
- Na panelu JSON vyhledejte web s
id
vlastností, která končí názvem vaší aplikace funkcí. - Viz
outboundIpAddresses
apossibleOutboundIpAddresses
.
Sada je outboundIpAddresses
aktuálně dostupná pro aplikaci funkcí. Sada possibleOutboundIpAddresses
zahrnuje IP adresy, které budou dostupné jenom v případě, že se aplikace funkcí škáluje na jiné cenové úrovně.
Poznámka
Při škálování aplikace funkcí, která běží v plánu Consumption nebo Premium , je možné přiřadit nový rozsah odchozích IP adres. Při spuštění v některém z těchto plánů se při vytváření konečného seznamu povolených nemůžete spoléhat na nahlášené odchozí IP adresy. Abyste mohli zahrnout všechny potenciální odchozí adresy použité během dynamického škálování, budete muset do seznamu povolených přidat celé datové centrum.
Odchozí IP adresy datacentra
Pokud potřebujete přidat odchozí IP adresy používané vašimi aplikacemi funkcí do seznamu povolených, další možností je přidat do seznamu povolených datové centrum aplikací funkcí (oblast Azure). Můžete si stáhnout soubor JSON se seznamem IP adres pro všechna datacentra Azure. Pak vyhledejte fragment JSON, který se vztahuje na oblast, ve které běží vaše aplikace funkcí.
Například následující fragment JSON by mohl vypadat jako seznam povolených pro západní Evropu:
{
"name": "AzureCloud.westeurope",
"id": "AzureCloud.westeurope",
"properties": {
"changeNumber": 9,
"region": "westeurope",
"platform": "Azure",
"systemService": "",
"addressPrefixes": [
"13.69.0.0/17",
"13.73.128.0/18",
... Some IP addresses not shown here
"213.199.180.192/27",
"213.199.183.0/24"
]
}
}
Informace o tom, kdy se tento soubor aktualizuje a kdy se změní IP adresy, najdete na stránce Download Center v části Podrobnosti.
Změny příchozíCH IP adres
Příchozí IP adresa se může změnit, když:
- Odstraňte aplikaci funkcí a vytvořte ji znovu v jiné skupině prostředků.
- Odstraňte poslední aplikaci funkcí v kombinaci skupiny prostředků a oblasti a vytvořte ji znovu.
- Odstraňte vazbu TLS, například během prodlužování platnosti certifikátu.
Když vaše aplikace funkcí běží v plánu Consumption nebo v plánu Premium, příchozí IP adresa se může změnit i v případě, že jste neprovedli žádné akce, jako jsou ty uvedené výše.
Odchozí změny IP adres
Relativní stabilita odchozí IP adresy závisí na plánu hostování.
Plány Consumption a Premium
Kvůli chování automatického škálování se odchozí IP adresa může kdykoli změnit při spuštění v plánu Consumption nebo v plánu Premium.
Pokud potřebujete řídit odchozí IP adresu vaší aplikace funkcí, například když ji potřebujete přidat na seznam povolených, zvažte implementaci služby NAT Gateway virtuální sítě při spuštění v plánu hostování Premium. Můžete to také provést spuštěním v plánu Dedicated (App Service).
Vyhrazené plány
Při spuštění v plánech Dedicated (App Service) se sada dostupných odchozích IP adres pro aplikaci funkcí může změnit, když:
- Proveďte jakoukoli akci, která může změnit příchozí IP adresu.
- Změňte cenovou úroveň plánu Dedicated (App Service). Seznam všech možných odchozích IP adres, které vaše aplikace může používat pro všechny cenové úrovně, najdete ve
possibleOutboundIPAddresses
vlastnosti . Viz Vyhledání odchozích IP adres.
Vynucení změny odchozíCH IP adres
Pomocí následujícího postupu záměrně vynutíte změnu odchozí IP adresy v plánu Dedicated (App Service):
Vertikálně navyšte nebo snižte kapacitu plánu App Service mezi cenovými úrovněmi Standard a Premium v2.
Počkejte 10 minut.
Škálujte zpět na místo, kde jste začali.
omezení IP adresy
Můžete nakonfigurovat seznam IP adres, kterým chcete povolit nebo odepřít přístup k aplikaci funkcí. Další informace najdete v tématu Azure App Service omezení statické IP adresy.
Vyhrazené IP adresy
Existuje několik strategií, které je potřeba prozkoumat, když vaše aplikace funkcí vyžaduje statické vyhrazené IP adresy.
Služba NAT Gateway virtuální sítě pro odchozí statickou IP adresu
IP adresu odchozího provozu z vašich funkcí můžete řídit pomocí služby NAT Gateway virtuální sítě, která směruje provoz přes statickou veřejnou IP adresu. Tuto topologii můžete použít při spuštění v plánu Premium nebo v plánu Dedicated (App Service). Další informace najdete v tématu Kurz: Řízení Azure Functions odchozí IP adresy pomocí služby NAT Gateway virtuální sítě Azure.
Prostředí App Service
Pokud chcete mít plnou kontrolu nad IP adresami, příchozími i odchozími, doporučujeme App Service Prostředí (izolovaná úroveň plánů App Service). Další informace najdete v tématech App Service Environment IP adres a Jak řídit příchozí provoz do App Service Environment.
Pokud chcete zjistit, jestli vaše aplikace funkcí běží v App Service Environment:
- Přihlaste se k webu Azure Portal.
- Přejděte do aplikace funkcí.
- Vyberte kartu Přehled.
- Úroveň plánu App Service se zobrazí v části App Service plán nebo cenová úroveň. Cenová úroveň App Service Environment je Izolovaná.
App Service Environment sku
je Isolated
.
Další kroky
Běžnou příčinou změn IP adres jsou změny škálování aplikace funkcí. Přečtěte si další informace o škálování aplikace funkcí.