Azure Function Arquitectura

Question

Azure Function Arquitectura

Sebastian Pacheco 286

Hola a todos.... estaba viendo temas de Azure Function y tengo algunas dudas de como es lo recomendado para levantar una arquitectura usando esa tecnología... por ejemplo si recibo datos de muchos dispositivos médicos (calculemos unos 8.000 dispositivos) y ademas tengo integraciones con proveedores donde quizás también me traiga información de allá.

Como debería armar algo seguro para que la información y los servicios no se vean comprometidos? debería poner como primera capa un application gateway o un api management? basta con uno de los 2 ?? o una function es medianamente segura por si sola (con sus opciones) exponiéndola al exterior ??

los datos de los dispositivos podrían llegar a un event grid o a un event bus (u otra alternativa?) y a medida que van llegando que una function detecte esto, se gatille y procede los datos ?? me refiero a algo un poco mas desacoplado para evitar colapsar la function (o no es realmente necesario?) o también podrían llegar directamente a la function que va a procesarlo la info ??

Si ponemos un event grid o a un event bus primero, este también debería estar seguro con alguna solución?

Si las function están detrás por ejemplo de un api management entonces no tiene sentido configurarla para todas las redes y lo mejor seria desactivar esta opción o dejarla solo con acceso de algunas ip y que se comuniquen internamente por el private link ?

Sorry, lo extenso... si alguien tiene alguna idea se lo agradezco.

Saludos!

Eliminado

Este comentario se ha eliminado debido a una infracción del Código de Conducta. El comentario se informó o identificó manualmente a través de la detección automatizada antes de que se realizara la acción. Consulte nuestro Código de Conducta para obtener más información.
Smaran Thoomu 25,100 Puntos de reputación Personal externo de Microsoft Moderador

2025-04-24T10:57:24.7866667+00:00

Sebastian Pacheco solo para dar seguimiento y saber si la respuesta anterior fue útil. Si resolvió tu consulta, por favor haz clic en Aceptar respuesta y en Sí donde dice si la respuesta fue útil. Y si tienes alguna otra duda, no dudes en comentárnoslo.
Smaran Thoomu 25,100 Puntos de reputación Personal externo de Microsoft Moderador

2025-04-28T07:43:59.26+00:00

Sebastian Pacheco solo para dar seguimiento y saber si la respuesta anterior fue útil. Si resolvió tu consulta, por favor haz clic en Aceptar respuesta y en Sí donde dice si la respuesta fue útil. Y si tienes alguna otra duda, no dudes en comentárnoslo.

Respuesta aceptada

1 respuesta adicional

Su respuesta

Eliminado

Este comentario se ha eliminado debido a una infracción del Código de Conducta. El comentario se informó o identificó manualmente a través de la detección automatizada antes de que se realizara la acción. Consulte nuestro Código de Conducta para obtener más información.
Smaran Thoomu 25,100 Puntos de reputación Personal externo de Microsoft Moderador

2025-04-24T10:57:24.7866667+00:00

Sebastian Pacheco solo para dar seguimiento y saber si la respuesta anterior fue útil. Si resolvió tu consulta, por favor haz clic en Aceptar respuesta y en Sí donde dice si la respuesta fue útil. Y si tienes alguna otra duda, no dudes en comentárnoslo.
Smaran Thoomu 25,100 Puntos de reputación Personal externo de Microsoft Moderador

2025-04-28T07:43:59.26+00:00

Sebastian Pacheco solo para dar seguimiento y saber si la respuesta anterior fue útil. Si resolvió tu consulta, por favor haz clic en Aceptar respuesta y en Sí donde dice si la respuesta fue útil. Y si tienes alguna otra duda, no dudes en comentárnoslo.

Answer 1

Smaran Thoomu 25,100 Personal externo de Microsoft Moderador

Hola Sebastian Pacheco
Estoy traduciendo las respuestas del inglés, así que por favor disculpa cualquier error gramatical.

Gracias por tu consulta tan detallada. Estás pensando en los aspectos correctos al considerar escalabilidad y seguridad para un escenario de ingesta masiva desde dispositivos médicos y con integraciones externas.

Te comento algunos puntos clave:

Seguridad y Capa de Exposición

Exponer Azure Functions directamente al exterior no es lo más recomendable en escenarios sensibles como el manejo de datos médicos. Aunque las funciones soportan autenticación basada en claves o identidades, no brindan un control completo.

Recomendación: Utilizar API Management (APIM) como capa frontal. APIM ofrece un control más granular: filtrado por IP, limitación de llamadas (rate limiting), autenticación (OAuth2/JWT), monitoreo centralizado, etc.

Si optas por APIM, puedes deshabilitar el acceso público de la Function App usando integración con VNet + Private Endpoints, permitiendo que solo APIM se comunique con la función de forma segura.
Application Gateway es más adecuado para aplicaciones web. Si todo es vía APIs, APIM por sí solo es suficiente.

Ingesta de Eventos

Dado que mencionas aproximadamente 8,000 dispositivos, es muy recomendable desacoplar la ingesta del procesamiento para evitar cuellos de botella y asegurar durabilidad.

Event Hubs (o IoT Hub, si necesitas identificar y gestionar dispositivos individualmente) es la mejor opción. Estas soluciones están preparadas para manejar millones de eventos por segundo.

Las Azure Functions pueden suscribirse a estos eventos y escalar automáticamente según la carga. Este patrón es común en escenarios de IoT o telemetría.

También podrías implementar procesamiento por lotes o aplicar lógica de control de flujo dentro de las funciones si es necesario.

Recomendaciones:

Para integraciones con proveedores externos, nuevamente APIM es una buena opción si el intercambio es vía REST.
Asegura todos los puntos de entrada (Event Hub, APIM, Azure Functions) usando identidad administrada, RBAC y reglas de red.
Asegúrate de centralizar los logs (por ejemplo, en Azure Monitor o Log Analytics) para trazabilidad y generación de alertas.

Hazme saber si tienes alguna pregunta y estaré encantado de ayudarte.

Si la información proporcionada fue útil, no olvide “Aceptar respuesta” y “Votar”, esto también será útil para otros miembros de la comunidad

Sebastian Pacheco 286 Puntos de reputación

2025-04-22T15:57:17.8666667+00:00

Hola @Smaran Thoomu gracias por tu ayuda, se entiende perfecto... entonces como punto de entrada lo recomendado cuando se trabaja con datos sensibles (y no hay una web) es agregar un APIM (punto de entrada de todas las comunicaciones). Luego APIM envía la data a un Event Hubs o IoT Hub y a medida que llega la data a estos servicios una o mas Azure Function se van gatillando para el proceso o si la data es poca puede ir de la APIM directa a la Function.

Preguntas:

1.- La comunicación entre APIM y por ejemplo Event Hub debería ser mediante una identidad administrada y lo mismo la azure function con el Event hub ??

APIM -> Event Hub <- Azure Function (entre estos 3 servicios el acceso debe ser con identidad administrada?)

2.- Si tengo varias Azure Function, es normal que estén todas en la misma vNet para que la comunicación sea mas fácil y mas económica??

Gracias!
Smaran Thoomu 25,100 Puntos de reputación Personal externo de Microsoft Moderador

2025-04-22T17:52:28.1966667+00:00
Hola Sebastian Pacheco

Gracias por continuar la conversación y por plantear tus dudas de forma tan clara. Te comento a continuación en base a tus preguntas:

¿Comunicación entre APIM – Event Hub – Azure Functions con Identidad Administrada?

Sí, es totalmente recomendable utilizar identidades administradas (Managed Identity) para la autenticación entre estos servicios. Esto permite prescindir de secretos o claves estáticas, mejorando la seguridad y facilitando la administración.

La arquitectura quedaría así:

APIM ➝ Event Hub ➝ Azure Function ↘ ↗ Managed Identity (RBAC)

APIM puede usar una identidad administrada para enviar eventos al Event Hub (por ejemplo, vía REST API o mediante Azure Event Grid si lo integras).

Azure Functions debe tener asignada una identidad administrada y permisos de lectura (por ejemplo: Azure Event Hubs Data Receiver) sobre el Event Hub.

Define los roles adecuados a nivel de RBAC y limita accesos por red (por ejemplo, con Private Endpoints si es necesario).

¿Agrupar Azure Functions en la misma VNet?

Sí, es una práctica común y recomendable:

Colocar varias Azure Function Apps dentro de la misma VNet facilita la comunicación entre ellas usando Private Endpoints o incluso DNS privado.

Ayuda a simplificar reglas NSG, políticas de acceso y configuración de recursos compartidos (como acceso a bases de datos, storage, etc.).

También puede ayudar a reducir costos si evitas tránsito por endpoints públicos o uso de firewalls complejos.

Ten en cuenta que debes usar Azure Functions en plan Premium o App Service Environment (ASE) para habilitar integración con VNet.

Hazme saber si tienes alguna pregunta y estaré encantado de ayudarte.

Si la información proporcionada fue útil, no olvide “Aceptar respuesta” y “Votar”, esto también será útil para otros miembros de la comunidad
Sebastian Pacheco 286 Puntos de reputación

2025-04-23T13:14:03.9466667+00:00

Gracias @Smaran Thoomu , estaba probando con el plan "Flex Consumption" y también tiene la opción de vnet, private endpoint, integration, etc.

Una consulta quizás un poco básica, pero si tengo las Function privadas entonces como me conecto desde mi "vs code" para subirlas?
Smaran Thoomu 25,100 Puntos de reputación Personal externo de Microsoft Moderador

2025-04-23T13:57:09.11+00:00
Hola Sebastian Pacheco

¡Buena observación! Efectivamente, el plan Flex Consumption ya soporta integración con VNet, endpoints privados, etc., lo cual es excelente para asegurar tus Azure Functions.

Respecto a tu consulta:

“Si tengo las Functions privadas, ¿cómo me conecto desde VS Code para subirlas?”

Cuando tus Function Apps están en una red privada (es decir, sin acceso público), necesitas que tu entorno de desarrollo tenga conectividad a esa red para poder publicar desde Visual Studio Code. Aquí algunas opciones:

Opciones para publicar Functions privadas desde VS Code

Usar VPN (Point-to-Site)

Conecta tu equipo local a la VNet a través de una VPN de punto a sitio. De esta forma, tu máquina tendrá acceso a los endpoints privados y podrás publicar desde VS Code sin problemas.

Usar una máquina dentro de la VNet (Jumpbox)

Puedes conectarte a una máquina virtual dentro de la VNet (por ejemplo, mediante Azure Bastion o RDP) y desde allí ejecutar Visual Studio Code o Azure CLI para hacer el despliegue.

Usar un pipeline CI/CD (recomendado para entornos productivos)

Configura una canalización en Azure DevOps o GitHub Actions que haga el despliegue desde dentro de Azure (o desde una VNet). Así aseguras una publicación automatizada y segura.Hazme saber si tienes alguna pregunta y estaré encantado de ayudarte.

Si la información proporcionada fue útil, no olvide “Aceptar respuesta” y “Votar”, esto también será útil para otros miembros de la comunidad
Smaran Thoomu 25,100 Puntos de reputación Personal externo de Microsoft Moderador

2025-04-25T14:07:56.13+00:00
Hola Sebastian Pacheco
¡gracias nuevamente por tus preguntas tan bien planteadas!

Sobre la ubicación de APIM en la misma VNet que las Functions:

Tienes dos opciones, y ambas son válidas dependiendo del escenario:

Opción 1: Misma VNet

Es más simple a nivel de configuración y acceso.

No necesitas emparejamientos de red (VNet Peering).

Útil si todo tu backend (Functions, bases de datos, etc.) está en esa misma red.

Opción 2: VNet diferente con peering

Más flexible si manejas múltiples entornos (por ejemplo, una VNet por dominio funcional).

Puedes separar la capa de exposición (APIM) del procesamiento.

Recomendación: Si estás comenzando, usar la misma VNet suele ser más práctico y reduce complejidad.

Sobre el uso de APIM en plan de consumo ("Consumption") y acceso a backends privados:

Es correcto lo que observaste: el plan de consumo no soporta integración con VNet, por lo tanto no puede acceder directamente a servicios internos como Functions con Private Endpoint.

¿Qué hacer si necesitas conectar desde un APIM en consumo a un backend privado?

Tienes 3 alternativas:

Exponer el backend (Functions) de forma temporal con IP restringida (por ejemplo, sólo permitir la IP pública de APIM).

Hacer el backend accesible vía alguna API pública segura, hasta escales a un plan APIM que soporte redes privadas.

Usar un APIM Standard o Premium, que ya permite integración con VNet y puede comunicarse directamente con servicios internos.

Recomendación: Para producción o ambientes con datos sensibles, el plan Standard o Premium de APIM es lo ideal, aunque más costoso.

¡Me alegra que estés considerando CI/CD con Azure DevOps o GitHub Actions! Es una gran forma de escalar y asegurar tu arquitectura desde el inicio.

Si la información proporcionada fue útil, no olvide “Aceptar respuesta” y “Votar”, esto también será útil para otros miembros de la comunidad
Sebastian Pacheco 286 Puntos de reputación

2025-04-28T18:23:32.8866667+00:00

Muchas gracias @Smaran Thoomu .... creo que ya tengo la idea bastante mas clara, cualquier otra consulta por ultimo abro un hilo nuevo, este lo daré por cerrado, y gracias nuevamente!

Saludos,

Answer 2

Gracias @Smaran Thoomu por los Tips ... son de gran ayuda para clarificar un poco este tema! el tema de Azure DevOps o GitHub Actions para desplegar Function suena interesante.

La APIM también debería ir en la misma vNet que las Function o en una vNet diferente y luego se emparejan?? que se recomienda en este caso ?

De todas formas estaba viendo y el costo de una APIM es bastante elevado, quizás en el nivel de "Consumo" al comienzo sirva, pero este nivel no tiene Virtual Network, por lo tanto habría que irse si o si por el plan "Standar" o "Premium". Si el "Custom" no tiene vNet como le manda entonces las request a los backend, si los backend no están públicos?

Gracias!

Compartir a través de

Azure Function Arquitectura

1 respuesta adicional

Su respuesta