عناوين IP في Azure Functions

توضح هذه المقالة المفاهيم التالية المتعلقة بعناوين IP لتطبيقات الوظائف:

• تحديد مواقع عناوين IP المستخدمة حاليًا من قِبل تطبيق الوظائف.
• الشروط التي تتسبب في تغيير عناوين IP لتطبيق الوظائف.
• تقييد عناوين IP التي يمكنها الوصول إلى تطبيق الوظائف.
• تعريف عناوين IP مخصصة لتطبيق الوظائف.

ترتبط عناوين IP بتطبيقات الوظائف، وليس بوظائف فردية. لا يمكن أن تستخدم طلبات HTTP الواردة عنوان IP الوارد لاستدعاء الوظائف الفردية، يجب أن تستخدم اسم المجال الافتراضي (functionappname.azurewebsites.net) أو اسم مجال مخصص.

عنوان IP الوارد لتطبيق الوظائف

يبدأ كل تطبيق وظائف باستخدام عنوان IP وارد واحد. عند التشغيل في خطة Consumption أو Premium، يمكن إضافة عناوين IP واردة إضافية مع حدوث توسيع النطاق المستند إلى الحدث. للعثور على عنوان IP الوارد أو العناوين التي يستخدمها تطبيقك، استخدم nslookup الأداة المساعدة من الكمبيوتر المحلي، كما هو الحال في المثال التالي:

nslookup <APP_NAME>.azurewebsites.net

في هذا المثال، استبدل <APP_NAME> باسم تطبيق الوظائف. إذا كان تطبيقك يستخدم اسم مجال مخصص، فاستخدمه nslookup لاسم المجال المخصص هذا بدلا من ذلك.

عناوين IP الصادرة لتطبيق الوظائف

يحتوي كل تطبيق من تطبيقات الوظائف على مجموعة متوفرة من عناوين IP الصادرة. يستخدم أي اتصال صادر من وظيفة، مثل قاعدة بيانات خلفية، أحد عناوين IP الصادرة المتوفرة كعنوان IP الأصل. لا يمكنك معرفة عنوان IP الذي سيستخدمه اتصال معين مسبقًا. لهذا السبب، يجب أن تفتح الخدمة الخلفية جدار الحماية الخاص بها لكافة عناوين IP الصادرة لتطبيق الوظائف.

تلميح

بالنسبة لبعض الميزات على مستوى النظام الأساسي مثل مراجع Key Vault، قد لا يكون عنوان IP الأصل أحد عناوين IP الصادرة، ويجب عدم تكوين المورد الهدف للاعتماد على هذه العناوين المحددة. يوصى باستخدام التطبيق بدلا من ذلك تكامل شبكة ظاهرية، حيث سيوجه النظام الأساسي نسبة استخدام الشبكة إلى المورد الهدف من خلال تلك الشبكة.

للعثور على عناوين IP الصادرة المتوفرة لتطبيق الوظائف:

⁩مدخل Microsoft Azure⁧

1. تسجيل الدخول إلى Azure Resource Explorer.
2. حدد subscriptions > {your subscription} > providers > Microsoft.Web > sites.
3. في لوحة JSON، ابحث عن الموقع الذي يحتوي على خاصية idتنتهي باسم تطبيق الوظائف.
4. انظر outboundIpAddresses وpossibleOutboundIpAddresses.

Azure CLI

az functionapp show --resource-group <GROUP_NAME> --name <APP_NAME> --query outboundIpAddresses --output tsv
az functionapp show --resource-group <GROUP_NAME> --name <APP_NAME> --query possibleOutboundIpAddresses --output tsv

Azure PowerShell

$functionApp = Get-AzFunctionApp -ResourceGroupName <GROUP_NAME> -Name <APP_NAME>
$functionApp.OutboundIPAddress
$functionApp.PossibleOutboundIPAddress

تتوفر مجموعة من outboundIpAddresses حاليًا لتطبيق الوظائف. تتضمن مجموعة possibleOutboundIpAddresses عناوين IP التي لن تكون متاحة إلا إذا كان تطبيق الوظائف يتدرج إلى مستويات تسعير أخرى.

ملاحظة

عند تحجيم تطبيق الوظائف الذي يعمل على خطة الاستهلاك أو خطة Premium، قد يتم تعيين نطاق جديد من عناوين IP الصادرة. عند تشغيل أي من هذه الخطط، لا يمكنك الاعتماد على عناوين IP الصادرة التي تم الإبلاغ عنها لإنشاء قائمة السماح النهائية. لكي تتمكن من تضمين جميع العناوين المحتملة الصادرة المستخدمة في أثناء التحجيم الديناميكي، ستحتاج إلى إضافة مركز البيانات بالكامل إلى قائمة السماح.

عناوين IP الصادرة لمركز البيانات

إذا كنت بحاجة إلى إضافة عناوين IP الصادرة التي تستخدمها تطبيقات الوظائف إلى قائمة السماح، فهناك خيار آخر هو إضافة مركز بيانات الخاص بتطبيقات الوظائف (منطقة Azure) إلى قائمة السماح. يمكنك تنزيل ملف JSON يسرد عناوين IP لكافة مراكز بيانات Azure. ثم ابحث عن جزء JSON الذي ينطبق على المنطقة التي يعمل فيها تطبيق الوظائف الخاص بك.

على سبيل المثال، جزء JSON التالي هو ما قد تبدو عليه قائمة السماح لأوروبا الغربية:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

للحصول على معلومات حول متى يتم تحديث هذا الملف ومتى تتغير عناوين IP، قم بتوسيع قسم Details في صفحة Download Center .

تغييرات عنوان IP الواردة

قد يتغير عنوان IP الوارد عند:

• حذف تطبيق الوظائف وإعادة إنشائه في مجموعة موارد مختلفة.
• حذف تطبيق الوظائف الأخير في مجموعة موارد ومجموعة المناطق، وإعادة إنشائه.
• حذف ربط TLS، كما هو الحال في أثناء تجديد الشهادة.

عند تشغيل تطبيق الوظائف في خطة استهلاك أو في خطة Premium، قد يتغير عنوان IP الوارد أيضًا حتى عندما لا تكون قد اتخذت أي إجراءات مثل تلك المذكورة أعلاه.

تغييرات عنوان IP الصادرة

يعتمد الاستقرار النسبي لعنوان IP الصادر على خطة الاستضافة.

خطط الاستهلاك وPremium

وبسبب سلوكيات التحجيم التلقائي، يمكن تغيير IP الصادر في أي وقت عند تشغيله على خطة استهلاك أو في خطة Premium.

إذا كنت بحاجة إلى التحكم في عنوان IP الصادر لتطبيق الوظائف، مثل عندما تحتاج إلى إضافته إلى قائمة السماح، ففكر في تنفيذ بوابة NAT للشبكة الظاهرية أثناء التشغيل في خطة استضافة Premium. يمكنك القيام بذلك أيضًا عن طريق تشغيل في خطة مخصصة (App Service).

خطط مخصصة

عند التشغيل على خطط مخصصة (App Service)، قد تتغير مجموعة عناوين IP الصادرة المتوفرة لتطبيق الوظائف عند:

• اتخاذ أي إجراء يمكنه تغيير عنوان IP الوارد.
• تغيير مستوى التسعير لخطة مخصصة (App Service) الخاص بك. قائمة جميع عناوين IP الصادرة الممكنة التي يمكن أن يستخدمها تطبيقك، لجميع مستويات التسعير، موجودة في خاصية possibleOutboundIPAddresses. راجع العثور على عناوين IP الصادرة.

فرض تغيير عنوان IP صادر

استخدم الإجراء التالي لفرض تغيير مقصود على عنوان IP صادر في خطة مخصصة (App Service):

1. يمكنك تغيير حجم خطة App Service بالزيادة أو النقصان بين مستويات التسعير القياسية وPremium v2.

2. انتظر 10 دقائق.

3. إعادة الحجم إلى ما كان عليه في البداية.

قيود عنوان IP

يمكنك تكوين قائمة بعناوين IP التي تريد السماح لها بالوصول إلى تطبيق الوظائف أو رفض وصولها. لمزيدٍ من المعلومات، راجع قيود على عناوين IP ثابتة لخدمة Azure App.

عناوين IP مخصصة

هناك العديد من الإستراتيجيات لاستكشافها عندما يتطلب تطبيق الوظائف عناوين IP مخصصة وثابتة.

بوابة NAT للشبكة الظاهرية لعنوان IP صادر ثابت

يمكنك التحكم في عنوان IP لنسبة استخدام الشبكة الصادرة من الوظائف الخاصة بك باستخدام بوابة NAT للشبكة الظاهرية لتوجيه نسبة استخدام الشبكة عبر عنوان IP عام ثابت. يمكنك استخدام هذه الطوبولوجيا عند تشغيل في خطة Premium أو في خطة مخصصة (App Service). لمعرفة المزيد، يُرجى الرجوع إلى البرنامج التعليمي: التحكم في عنوان بروتوكول الإنترنت الصادر لوظائف Azure مع بوابة NAT لشبكة Azure الظاهرية.

بيئات App Service

للتحكم الكامل في عناوين IP، الواردة والصادرة على حد سواء، نوصي بـ بيئات App Service (الطبقة المعزولة من خطط App Service). لمزيدٍ من المعلومات، راجع عناوين IP لبيئة App Serviceوكيفية التحكم في نسبة استخدام الشبكة الواردة إلى بيئة App Service.

لمعرفة ما إذا كان تطبيق الوظائف يعمل في بيئة App Service:

⁩مدخل Microsoft Azure⁧

1. تسجيل الدخول إلى ⁧⁩مدخل Azure⁧⁩.
2. انتقل إلى تطبيق الوظائف.
3. حدد علامة التبويب Overview.
4. يظهر مستوى خطة App Service ضمن مستوى تسعير/ وخطة App Service. يتم عزلمستوى التسعير لبيئة App Service.

Azure CLI

az resource show --resource-group <GROUP_NAME> --name <APP_NAME> --resource-type Microsoft.Web/sites --query properties.sku --output tsv

Azure PowerShell

$functionApp = Get-AzResource -ResourceGroupName <GROUP_NAME> -ResourceName <APP_NAME> -ResourceType Microsoft.Web/sites 
$functionApp.Properties.sku

بيئة App Service skuهيIsolated.

الخطوات التالية

السبب الشائع لتغييرات IP هو تغييرات حجم تطبيق الوظائف. تعرف على المزيد حول تحجيم تطبيق الوظائف.