Az Azure Functions hálózatkezelési lehetőségei

Ez a cikk az Azure Functions üzemeltetési lehetőségei között elérhető hálózati funkciókat ismerteti. Az alábbi hálózatkezelési lehetőségek mindegyike lehetővé teszi az erőforrások elérését internetalapú címek használata nélkül, vagy az internet-hozzáférés korlátozását egy függvényalkalmazáshoz.

Az üzemeltetési modellek különböző szintű hálózati elkülönítéssel rendelkeznek. A megfelelő kiválasztásával megfelelhet a hálózatelkülönítési követelményeknek.

A függvényalkalmazásokat többféleképpen is üzemeltetheti:

• Választhat a több-bérlős infrastruktúrán futó csomagbeállítások közül, amelyek különböző szintű virtuális hálózati kapcsolattal és skálázási lehetőségekkel működnek:
  • A használati terv dinamikusan skálázható a terhelésre válaszul, és minimális hálózati elkülönítési lehetőségeket kínál.
  • A Prémium csomag emellett dinamikusan skáláz, és átfogóbb hálózatelkülönítést biztosít.
  • Az Azure App Service-csomag rögzített léptékben működik, és a Prémium csomaghoz hasonló hálózati elkülönítést kínál.
• Függvényeket futtathat egy App Service-környezetben. Ez a módszer üzembe helyezi a függvényt a virtuális hálózatban, és teljes hálózatvezérlést és elkülönítést biztosít.

A hálózatkezelési funkciók mátrixa

Funkció	Használati terv	Prémium csomag	Dedikált terv	A Standard kiadás
Bejövő IP-korlátozások	✅Igen	✅Igen	✅Igen	✅Igen
Bejövő privát végpontok	❌Nem	✅Igen	✅Igen	✅Igen
Virtuális hálózat integrációja	❌Nem	✅Igen (regionális)	✅Igen (regionális és átjáró)	✅Igen
Virtuális hálózati eseményindítók (nem HTTP)	❌Nem	✅Igen	✅Igen	✅Igen
Hibrid kapcsolatok (csak Windows esetén)	❌Nem	✅Igen	✅Igen	✅Igen
Kimenő IP-korlátozások	❌Nem	✅Igen	✅Igen	✅Igen

Gyorskonfigurálási források

Az alábbi erőforrások segítségével gyorsan megismerkedhet az Azure Functions hálózatkezelési forgatókönyveivel. Ezekre az erőforrásokra a cikk végig hivatkozik.

• ARM-sablonok, Bicep-fájlok és Terraform-sablonok:
  • Privát HTTP által aktivált függvényalkalmazás
  • Privát Event Hubs által aktivált függvényalkalmazás
• Csak ARM-sablonok:
  • Függvényalkalmazás privát Azure Storage-végpontokkal.
  • Azure-függvényalkalmazás virtuális hálózati integrációval.
• Oktatóanyagok:
  • Az Azure Functions integrálása azure-beli virtuális hálózattal privát végpontok használatával
  • Tárfiók korlátozása virtuális hálózatra.
  • Az Azure Functions kimenő IP-címének vezérlése egy Azure-beli virtuális hálózati NAT-átjáróval.

Bejövő hálózati funkciók

Az alábbi funkciókkal szűrheti a függvényalkalmazás bejövő kéréseit.

Bejövő hozzáférési korlátozások

Hozzáférési korlátozások használatával meghatározhatja az alkalmazáshoz engedélyezett vagy megtagadott IP-címek prioritási sorrendbe rendezett listáját. A lista tartalmazhat IPv4- és IPv6-címeket, illetve szolgáltatásvégpontokat használó virtuális hálózati alhálózatokat. Egy vagy több bejegyzés esetén a lista végén egy implicit „összes letiltása” bejegyzés is szerepel a lista végén. Az IP-korlátozások az összes függvény-üzemeltetési lehetőséggel működnek.

A hozzáférési korlátozások a Premium, a Consumption és az App Service szolgáltatásban érhetők el.

Feljegyzés

Ha a hálózati korlátozások érvényben vannak, csak a virtuális hálózaton belülről telepítheti az üzembe helyezést, vagy ha a használt gép IP-címét a Széf Címzettek listájára helyezte az Azure Portal eléréséhez. A függvényt azonban továbbra is kezelheti a portálon.

További információ: Azure-alkalmazás Szolgáltatás statikus hozzáférési korlátozásai.

Privát végpontok

Az Azure privát végpont egy hálózati adapter, amely privát és biztonságos módon csatlakoztatja Önt egy Azure privát kapcsolat által működtetett szolgáltatáshoz. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így hatékonyan bekapcsolja a szolgáltatást a virtuális hálózatba.

A Privát végpontot a Prémium és az App Service-csomagokban üzemeltetett függvényekhez használhatja.

Ha privát végpontokra szeretne hívásokat kezdeményezni, győződjön meg arról, hogy a DNS-keresések feloldódnak a privát végponton. Ezt a viselkedést az alábbi módok egyikével kényszerítheti ki:

• Integrálható az Azure DNS privát zónáival. Ha a virtuális hálózat nem rendelkezik egyéni DNS-kiszolgálóval, ez automatikusan megtörténik.
• Az alkalmazás által használt DNS-kiszolgáló privát végpontjának kezelése. Ehhez ismernie kell a privát végpont címét, majd egy A rekord használatával meg kell mutatnia a címet elérni kívánt végpontot.
• Konfigurálja saját DNS-kiszolgálóját az Azure DNS privát zónáiba való továbbításhoz.

További információ: Privát végpontok használata a Web Appshez.

Ha más privát végpontkapcsolattal rendelkező szolgáltatásokat szeretne meghívni, például a tárterületet vagy a service busot, mindenképpen konfigurálja az alkalmazást a privát végpontokra irányuló kimenő hívások indítására. A privát végpontok függvényalkalmazáshoz tartozó tárfiókkal való használatával kapcsolatos további részletekért tekintse meg a tárfiók virtuális hálózatra való korlátozását.

Szolgáltatásvégpontok

A szolgáltatásvégpontok használatával számos Azure-szolgáltatást korlátozhat a kiválasztott virtuális hálózati alhálózatokra, hogy magasabb szintű biztonságot nyújtson. A regionális virtuális hálózati integráció lehetővé teszi, hogy a függvényalkalmazás elérje a szolgáltatásvégpontokkal védett Azure-szolgáltatásokat. Ez a konfiguráció minden olyan csomagban támogatott, amely támogatja a virtuális hálózatok integrációját. A szolgáltatás végpont által védett szolgáltatásához a következőket kell tennie:

1. Konfigurálja a regionális virtuális hálózati integrációt a függvényalkalmazással egy adott alhálózathoz való csatlakozáshoz.
2. Nyissa meg a célszolgáltatást, és konfigurálja a szolgáltatásvégpontokat az integrációs alhálózaton.

További információ: Virtuális hálózati szolgáltatásvégpontok.

Szolgáltatásvégpontok használata

Egy adott alhálózathoz való hozzáférés korlátozásához hozzon létre egy virtuális hálózat típusú korlátozási szabályt. Ezután kiválaszthatja azt az előfizetést, virtuális hálózatot és alhálózatot, amelyhez engedélyezni vagy megtagadni szeretné a hozzáférést.

Ha a szolgáltatásvégpontok még nincsenek engedélyezve a kijelölt alhálózaton Microsoft.Web , azok automatikusan engedélyezve lesznek, kivéve, ha bejelöli a Hiányzó Microsoft.Web szolgáltatásvégpontok figyelmen kívül hagyása jelölőnégyzetet. Az a forgatókönyv, amelyben lehet, hogy engedélyezni szeretné a szolgáltatásvégpontokat az alkalmazásban, de az alhálózatot nem, főként attól függ, hogy rendelkezik-e az alhálózaton való engedélyezéséhez szükséges engedélyekkel.

Ha másra van szüksége a szolgáltatásvégpontok alhálózaton való engedélyezéséhez, jelölje be a Hiányzó Microsoft.Web szolgáltatásvégpontok figyelmen kívül hagyása jelölőnégyzetet. Az alkalmazás szolgáltatásvégpontokhoz van konfigurálva, annak érdekében, hogy később engedélyezve legyenek az alhálózaton.

Szolgáltatásvégpontok használatával nem korlátozhatja az App Service-környezetben futó alkalmazásokhoz való hozzáférést. Ha az alkalmazás App Service-környezetben van, IP-hozzáférési szabályok alkalmazásával szabályozhatja a hozzáférését.

A szolgáltatásvégpontok beállításáról az Azure Functions privát helyhozzáférésének létrehozásáról olvashat.

Virtuális hálózat integrációja

A virtuális hálózat integrációja lehetővé teszi, hogy a függvényalkalmazás hozzáférjen a virtuális hálózaton belüli erőforrásokhoz. Az Azure Functions kétféle virtuális hálózati integrációt támogat:

• A dedikált számítási tarifacsomagok, amelyek tartalmazzák az Alapszintű, a Standard, a Prémium, a Prémium v2 és a Premium v3 csomagokat.
• Az App Service-környezet, amely közvetlenül a virtuális hálózatba helyez üzembe dedikált támogató infrastruktúrával, és az Izolált és izolált v2 tarifacsomagokat használja.

A virtuális hálózati integrációs funkciót Azure-alkalmazás szolgáltatás dedikált számítási tarifacsomagjaiban használják. Ha az alkalmazás App Service-környezetben található, akkor már egy virtuális hálózaton van, és nem igényel virtuális hálózat integrációs funkció használatát az ugyanazon a virtuális hálózaton lévő erőforrások eléréséhez. Az összes hálózati funkcióról további információt az App Service hálózatkezelési funkcióiban talál.

A virtuális hálózati integráció hozzáférést biztosít az alkalmazásnak a virtuális hálózat erőforrásaihoz, de nem biztosít bejövő privát hozzáférést az alkalmazáshoz a virtuális hálózatról. A privát helyhozzáférés azt jelenti, hogy az alkalmazást csak magánhálózatról, például egy Azure-beli virtuális hálózatról teszi elérhetővé. A virtuális hálózat integrációja csak arra szolgál, hogy kimenő hívásokat kezdeményezz az alkalmazásból a virtuális hálózatba. A virtuális hálózati integrációs funkció másképp viselkedik, ha ugyanabban a régióban lévő virtuális hálózatokkal és más régiókban lévő virtuális hálózatokkal használja. A virtuális hálózati integrációs funkció két változatban érhető el:

• Regionális virtuális hálózat integrációja: Amikor ugyanabban a régióban lévő virtuális hálózatokhoz csatlakozik, rendelkeznie kell egy dedikált alhálózattal abban a virtuális hálózatban, amellyel integrálva van.
• Átjáróhoz szükséges virtuális hálózati integráció: Ha közvetlenül csatlakozik más régiókban lévő virtuális hálózatokhoz vagy egy klasszikus virtuális hálózathoz ugyanabban a régióban, létre kell hoznia egy Azure-beli virtuális hálózati átjárót a cél virtuális hálózaton.

A virtuális hálózat integrációs funkciója:

• Támogatott Alapszintű vagy Standard, Prémium, Prémium v2, Prémium v3 vagy Elastic Premium App Service tarifacsomagot igényel.
• Támogatja a TCP-t és az UDP-t.
• App Service-alkalmazásokkal és függvényalkalmazásokkal működik.

Vannak olyan dolgok, amelyeket a virtuális hálózati integráció nem támogat, például:

• Meghajtó csatlakoztatása.
• Windows Server Active Directory-tartományhoz való csatlakozás.
• Netbios.

Az átjáróhoz szükséges virtuális hálózati integráció csak a cél virtuális hálózaton vagy a cél virtuális hálózathoz társviszony-létesítéssel vagy VPN-ekkel csatlakoztatott hálózatokban biztosít hozzáférést az erőforrásokhoz. Az átjáróhoz szükséges virtuális hálózati integráció nem teszi lehetővé az Azure ExpressRoute-kapcsolatokon keresztül elérhető erőforrások elérését, és nem működik szolgáltatásvégpontokkal.

Függetlenül attól, hogy melyik verziót használja, a virtuális hálózati integráció hozzáférést biztosít az alkalmazásnak a virtuális hálózat erőforrásaihoz, de nem biztosít bejövő privát hozzáférést az alkalmazáshoz a virtuális hálózatról. A privát webhelyhozzáférés azt jelenti, hogy az alkalmazást csak magánhálózatról, például egy Azure-beli virtuális hálózatról teszi elérhetővé. A virtuális hálózat integrációja csak arra vonatkozik, hogy kimenő hívásokat kezdeményezz az alkalmazásból a virtuális hálózatba.

Az Azure Functions virtuális hálózati integrációja megosztott infrastruktúrát használ az App Service-webalkalmazásokkal. A virtuális hálózati integráció két típusával kapcsolatos további információkért lásd:

• Regionális virtuális hálózat integrációja
• Átjáró által igényelt virtuális hálózati integráció

A virtuális hálózatok integrációjának beállításáról további információt a virtuális hálózatok integrációjának engedélyezése című témakörben talál.

Virtuális hálózati integráció engedélyezése

1. Az Azure Portal függvényalkalmazásában válassza a Hálózatkezelés lehetőséget, majd a VNet-integráció területen kattintson ide a konfiguráláshoz.

2. Válassza a Virtuális hálózat hozzáadása lehetőséget.

   

3. A legördülő lista az előfizetés összes Azure Resource Manager-virtuális hálózatát tartalmazza ugyanabban a régióban. Válassza ki azt a virtuális hálózatot, amellyel integrálni szeretné.

   

   • A Functions Premium-csomag csak a regionális virtuális hálózati integrációt támogatja. Ha a virtuális hálózat ugyanabban a régióban található, hozzon létre egy új alhálózatot, vagy válasszon egy üres, már meglévő alhálózatot.

   • Egy másik régióban lévő virtuális hálózat kiválasztásához engedélyezni kell egy virtuális hálózati átjárót, amelyen engedélyezve van a pont–hely kapcsolat. A régiók közötti virtuális hálózati integráció csak dedikált csomagok esetén támogatott, de a globális társviszony-létesítések együttműködnek a regionális virtuális hálózatok integrációjával.

Az integráció során az alkalmazás újraindul. Ha az integráció befejeződött, megjelenik az integrálva lévő virtuális hálózat részletei. Alapértelmezés szerint az Összes átirányítása engedélyezve van, és a rendszer az összes forgalmat a virtuális hálózatba irányítja.

Ha csak a privát forgalmat (RFC1918 forgalmat) szeretné átirányítani, kövesse az App Service dokumentációjának lépéseit.

Regionális virtuális hálózat integrációja

A regionális virtuális hálózati integrációval az alkalmazás hozzáférhet a következőhöz:

• Erőforrások ugyanabban a virtuális hálózatban, mint az alkalmazás.
• Az alkalmazás virtuális hálózatához társviszonyban álló virtuális hálózatok erőforrásai integrálva vannak.
• Szolgáltatásvégponttal védett szolgáltatások.
• Azure ExpressRoute-kapcsolatok erőforrásai.
• Társviszonyban lévő kapcsolatok erőforrásai, amelyek az Azure ExpressRoute-kapcsolatokat is magukban foglalják.
• Privát végpontok

Regionális virtuális hálózati integráció használata esetén a következő Azure-hálózatkezelési funkciókat használhatja:

• Hálózati biztonsági csoportok (NSG-k):: Az integrációs alhálózatra helyezett NSG-vel blokkolhatja a kimenő forgalmat. A bejövő szabályok nem érvényesek, mert nem használhat virtuális hálózati integrációt az alkalmazáshoz való bejövő hozzáférés biztosítására.
• Útvonaltáblák (UDR-ek): Az útvonaltáblát az integrációs alhálózaton helyezheti el, hogy oda küldje a kimenő forgalmat, ahová szeretné.

Feljegyzés

Amikor az összes kimenő forgalmat a virtuális hálózatba irányítja, az integrációs alhálózatra alkalmazott NSG-k és UDR-ek vonatkoznak rá. A virtuális hálózat integrálásakor a függvényalkalmazás nyilvános IP-címekre irányuló kimenő forgalmát a rendszer továbbra is az alkalmazás tulajdonságai között felsorolt címekről küldi el, kivéve, ha olyan útvonalakat ad meg, amelyek máshová irányítják a forgalmat.

A regionális virtuális hálózati integráció nem tudja használni a 25-ös portot.

A virtuális hálózat használatának bizonyos korlátai vannak:

• A funkció a Prémium V2 és a Premium V3 összes App Service-példányában elérhető. A Standardban is elérhető, de csak az újabb App Service-környezetekből. Ha régebbi üzemelő példányon dolgozik, csak prémium V2 App Service-csomagból használhatja a funkciót. Ha meg szeretné győződni arról, hogy használhatja a funkciót egy Standard App Service-csomagban, hozza létre az alkalmazást egy Prémium V3 App Service-csomagban. Ezek a tervek csak a legújabb üzemelő példányokon támogatottak. Leskálázhatja a skálázást, ha ezt követően szeretné.
• Az integrációs alhálózatot csak egy App Service-csomag használhatja.
• A funkciót nem használhatják az App Service-környezetben található izolált csomagalkalmazások.
• A szolgáltatáshoz egy /28 vagy annál nagyobb, nem használt alhálózatra van szükség egy Azure Resource Manager-alapú virtuális hálózatban.
• Az alkalmazásnak és a virtuális hálózatoknak ugyanabban a régióban kellett lenniük.
• Integrált alkalmazással nem törölhet virtuális hálózatot. A virtuális hálózat törlése előtt távolítsa el az integrációt.
• App Service-csomagonként csak egy regionális virtuális hálózati integrációval rendelkezhet. Ugyanazon App Service-csomagban több alkalmazás is használhatja ugyanazt az integrációs alhálózatot.
• Egy alkalmazás vagy csomag előfizetését nem módosíthatja, amíg van olyan alkalmazás, amely regionális virtuális hálózati integrációt használ.

Alhálózatok

A virtuális hálózati integráció egy dedikált alhálózattól függ. Alhálózat kiépítésekor az Azure-alhálózat kezdettől fogva öt IP-címet veszít el. Minden csomagpéldányhoz egy-egy címet használunk az integrációs alhálózatból. Ha négy példányra skálázza az alkalmazást, a rendszer négy címet használ.

A méret fel- vagy leskálázása esetén a szükséges címtér rövid ideig megduplázódik. Ez hatással van egy adott alhálózati méret valós, elérhető támogatott példányára. Az alábbi táblázat a CIDR-blokkonként elérhető maximális címeket és a horizontális skálázásra gyakorolt hatását mutatja:

CIDR-blokk mérete	Elérhető címek maximális kihasználtság	Vízszintes skálázás maximális mérete (példányok)*
/28	11	5
/27	27	13
/26	59	29

^*Feltételezi, hogy egy adott időpontban felfelé vagy lefelé kell skáláznia, akár méretben, akár termékváltozatban.

Mivel az alhálózat mérete a hozzárendelés után nem módosítható, használjon olyan alhálózatot, amely elég nagy ahhoz, hogy az alkalmazás bármilyen méretet elérjen. A Functions Premium-csomagok alhálózati kapacitásával kapcsolatos problémák elkerülése érdekében használjon egy /24-et 256-os címmel a Windowshoz, a /26-ot pedig 64 címmel Linuxhoz. Ha alhálózatokat hoz létre az Azure Portalon a virtuális hálózattal való integráció részeként, a Windows és a Linux esetében legalább a /24- és /26-os méretre van szükség.

Ha azt szeretné, hogy egy másik csomagban lévő alkalmazásai elérjenek egy olyan virtuális hálózatot, amelyhez egy másik csomagban lévő alkalmazások már csatlakoztak, válasszon egy másik alhálózatot, mint amelyet a meglévő virtuális hálózati integráció használ.

A funkció teljes mértékben támogatott Mind a Windows, mind a Linux-alkalmazások esetében, beleértve az egyéni tárolókat is. Minden viselkedés ugyanúgy működik a Windows-alkalmazások és a Linux-alkalmazások között.

Hálózati biztonsági csoportok

Hálózati biztonsági csoportokkal blokkolhatja a virtuális hálózat erőforrásainak bejövő és kimenő forgalmát. A regionális virtuális hálózati integrációt használó alkalmazások hálózati biztonsági csoportokkal blokkolhatják a virtuális hálózat vagy az internet erőforrásai felé irányuló kimenő forgalmat. A nyilvános címek felé történő forgalom letiltásához engedélyeznie kell a virtuális hálózati integrációt az Összes útvonallal. Az NSG bejövő szabályai nem vonatkoznak az alkalmazásra, mert a virtuális hálózati integráció csak az alkalmazásból érkező kimenő forgalmat érinti.

Az alkalmazás bejövő forgalmának szabályozásához használja a Hozzáférési korlátozások funkciót. Az integrációs alhálózatra alkalmazott NSG az integrációs alhálózatra alkalmazott útvonalaktól függetlenül érvényes. Ha a függvényalkalmazás az Összes útvonallal integrált virtuális hálózat, és nincs olyan útvonala, amely hatással lenne az integrációs alhálózat nyilvános címeinek forgalmára, az összes kimenő forgalom továbbra is az integrációs alhálózathoz rendelt NSG-k hatálya alá tartozik. Ha az Összes átirányítása nincs engedélyezve, a rendszer csak RFC1918 forgalomra alkalmazza az NSG-ket.

Útvonalak

Útvonaltáblák használatával átirányíthatja a kimenő forgalmat az alkalmazásból a kívánt helyre. Alapértelmezés szerint az útvonaltáblák csak a RFC1918 célforgalmát befolyásolják. Ha az Összes átirányítása engedélyezve van, a rendszer az összes kimenő hívást érinti. Ha az Összes útvonal le van tiltva, az útvonaltáblák csak a privát forgalmat (RFC1918) érintik. Az integrációs alhálózaton beállított útvonalak nem befolyásolják a bejövő alkalmazáskérésekre adott válaszokat. A gyakori célhelyek közé tartozhatnak tűzfaleszközök vagy átjárók.

Ha az összes kimenő forgalmat a helyszínen szeretné átirányítani, egy útvonaltáblával minden kimenő forgalmat elküldhet az ExpressRoute-átjárónak. Ha egy átjáró felé irányítja a forgalmat, mindenképpen állítsa be a külső hálózaton az útvonalakat, hogy visszaküldje a válaszokat.

A Border Gateway Protocol (BGP) útvonalai az alkalmazás forgalmát is befolyásolják. Ha az ExpressRoute-átjáróhoz hasonló BGP-útvonalokkal rendelkezik, az alkalmazás kimenő forgalmára is hatással van. Alapértelmezés szerint a BGP-útvonalak csak a RFC1918 célforgalmát érintik. Ha a függvényalkalmazás virtuális hálózatba van integrálva az Összes útválasztás funkcióval, a BGP-útvonalak minden kimenő forgalmat érinthetnek.

Azure DNS private zones

Miután az alkalmazás integrálva van a virtuális hálózattal, ugyanazt a DNS-kiszolgálót használja, amellyel a virtuális hálózat konfigurálva van, és a virtuális hálózathoz társított Azure DNS privát zónákkal fog működni.

Tárfiók korlátozása virtuális hálózatra

Feljegyzés

Ha gyorsan üzembe szeretne helyezni egy függvényalkalmazást a tárfiókban engedélyezett privát végpontokkal, tekintse meg a következő sablont: Függvényalkalmazás az Azure Storage privát végpontjaival.

Függvényalkalmazás létrehozásakor létre kell hoznia egy általános célú Azure Storage-fiókot, amely támogatja a Blob, a Queue és a Table Storage szolgáltatást. Ezt a tárfiókot lecserélheti egy olyan fiókra, amely szolgáltatásvégpontokkal vagy privát végpontokkal van védve.

Ez a funkció a Dedikált (App Service) csomagban és a Prémium csomagokban támogatott összes Windows és Linux rendszerű virtuális hálózat által támogatott termékváltozat esetében támogatott. A használatalapú csomag nem támogatott. Ha szeretné megtudni, hogyan állíthat be egy függvényt egy privát hálózatra korlátozott tárfiókkal, olvassa el a tárfiók virtuális hálózatra való korlátozása című témakört.

Key Vault-referenciák használata

Az Azure Key Vault-hivatkozások használatával kódmódosítások nélkül használhatja az Azure Key Vault titkos kulcsait az Azure Functions-alkalmazásban. Az Azure Key Vault a titkos kódok központi kezelését biztosító szolgáltatás, a hozzáférési szabályzatok és naplóelőzmények teljes szabályozásával.

Ha a virtuális hálózati integráció konfigurálva van az alkalmazáshoz, a Key Vault-hivatkozások segítségével titkos kulcsokat kérhet le egy hálózat által korlátozott tárolóból.

Virtuális hálózati eseményindítók (nem HTTP)

Jelenleg a virtuális hálózaton belülről használhat nem HTTP-eseményindító függvényeket a következő két módszer egyikével:

• Futtassa a függvényalkalmazást egy Prémium csomagban, és engedélyezze a virtuális hálózati eseményindító támogatását.
• Futtassa a függvényalkalmazást App Service-csomagban vagy App Service-környezetben.

Prémium csomag virtuális hálózati eseményindítókkal

A Prémium csomag lehetővé teszi a virtuális hálózaton belüli szolgáltatások által aktivált függvények létrehozását. Ezeket a nem HTTP-eseményindítókat virtuális hálózati eseményindítóknak nevezzük.

A virtuális hálózati eseményindítók alapértelmezés szerint nem okozzák, hogy a függvényalkalmazás mérete meghaladja az előre felmelegített példányok számát. Bizonyos bővítmények azonban támogatják a virtuális hálózati eseményindítókat, amelyek miatt a függvényalkalmazás dinamikusan skálázható. Ezt a dinamikus skálázási monitorozást a függvényalkalmazásban az alábbi módokon engedélyezheti támogatott bővítményekhez:

Azure Portal

1. Az Azure Portalon keresse meg a függvényalkalmazást.

2. A Gépház válassza a Konfiguráció lehetőséget, majd a Függvény futtatókörnyezet beállításai lapon állítsa be a futtatókörnyezet skálázásának figyelését Be értékre.

3. Válassza a Mentés lehetőséget a függvényalkalmazás konfigurációjának frissítéséhez és az alkalmazás újraindításához.

Azure CLI

az resource update -g <resource_group> -n <function_app_name>/config/web --set properties.functionsRuntimeScaleMonitoringEnabled=1 --resource-type Microsoft.Web/sites

Azure PowerShell

$Resource = Get-AzResource -ResourceGroupName <resource_group> -ResourceName <function_app_name>/config/web -ResourceType Microsoft.Web/sites
$Resource.Properties.functionsRuntimeScaleMonitoringEnabled = $true
$Resource | Set-AzResource -Force

Tipp.

A virtuális hálózati eseményindítók monitorozásának engedélyezése hatással lehet az alkalmazás teljesítményére, bár ez a hatás valószínűleg nagyon kicsi.

A virtuális hálózati eseményindítók dinamikus skálázási monitorozásának támogatása nem érhető el a Functions-futtatókörnyezet 1.x verziójában.

A táblázat bővítményei támogatják a virtuális hálózati eseményindítók dinamikus skálázási monitorozását. A legjobb skálázási teljesítmény érdekében olyan verziókra kell frissítenie, amelyek támogatják a célalapú skálázást is.

Bővítmény (minimális verzió)	Csak futtatókörnyezeti méretezés monitorozása	Célalapú skálázással
Microsoft.Azure.WebJobs.Extensions.CosmosDB	> 3.0.5	> 4.1.0
Microsoft.Azure.WebJobs.Extensions.DurableTask	> 2.0.0	n.a.
Microsoft.Azure.WebJobs.Extensions.EventHubs	> 4.1.0	> 5.2.0
Microsoft.Azure.WebJobs.Extensions.ServiceBus	> 3.2.0	> 5.9.0
Microsoft.Azure.WebJobs.Extensions.Storage	> 3.0.10	> 5.1.0*

^* Csak üzenetsor-tároló.

Fontos

Ha engedélyezi a virtuális hálózat eseményindítóinak monitorozását, csak az ilyen bővítmények eseményindítói okozhatják az alkalmazás dinamikus skálázását. Továbbra is használhat olyan bővítményekből származó eseményindítókat, amelyek nem szerepelnek ebben a táblában, de nem okoznak skálázást az előre felmelegített példányok számán túl. Az összes eseményindító és kötésbővítmény teljes listáját az Eseményindítók és kötések című témakörben találja.

App Service-csomag és App Service-környezet virtuális hálózati eseményindítókkal

Ha a függvényalkalmazás App Service-csomagban vagy App Service-környezetben fut, használhat nem HTTP-eseményindító függvényeket. Ahhoz, hogy a függvények megfelelően aktiválódjanak, egy olyan virtuális hálózathoz kell csatlakoznia, amely hozzáfér az eseményindító-kapcsolatban meghatározott erőforráshoz.

Tegyük fel például, hogy az Azure Cosmos DB-t úgy szeretné konfigurálni, hogy csak egy virtuális hálózatról fogadja el a forgalmat. Ebben az esetben a függvényalkalmazást olyan App Service-csomagban kell üzembe helyeznie, amely virtuális hálózati integrációt biztosít az adott virtuális hálózattal. Az integráció lehetővé teszi, hogy az Azure Cosmos DB-erőforrás aktiváljon egy függvényt.

Hibrid kapcsolatok

A hibrid Csatlakozás ions az Azure Relay egyik funkciója, amellyel más hálózatokban lévő alkalmazáserőforrásokat érhet el. Hozzáférést biztosít az alkalmazásból egy alkalmazásvégponthoz. Nem használhatja az alkalmazás eléréséhez. A hibrid Csatlakozás ionok a Windows rendszeren futó függvények számára érhetők el, a Használat csomagon kikapcsolva.

Az Azure Functionsben használt módon minden hibrid kapcsolat egyetlen TCP-gazdagéphez és portkombinációhoz kapcsolódik. Ez azt jelenti, hogy a hibrid kapcsolat végpontja bármely operációs rendszeren és bármely alkalmazásban lehet, amíg egy TCP-figyelési porthoz fér hozzá. A hibrid Csatlakozás ions funkció nem tudja vagy nem érdekli, hogy mi az alkalmazásprotokoll, vagy mit ér el. Csak hálózati hozzáférést biztosít.

További információkért tekintse meg az App Service hibrid Csatlakozás ionsra vonatkozó dokumentációját. Ugyanezek a konfigurációs lépések támogatják az Azure Functionst.

Fontos

A hibrid Csatlakozás ionok csak Windows-csomagokban támogatottak. A Linux nem támogatott.

Kimenő IP-korlátozások

A kimenő IP-korlátozások prémium csomagban, App Service-csomagban vagy App Service-környezetben érhetők el. Konfigurálhat kimenő korlátozásokat arra a virtuális hálózatra, amelyen az App Service-környezet telepítve van.

Ha egy függvényalkalmazást prémium csomagba vagy App Service-csomagba integrál egy virtuális hálózattal, az alkalmazás alapértelmezés szerint továbbra is kezdeményezhet kimenő hívásokat az internetre. Ha a függvényalkalmazást egy virtuális hálózattal integrálja az Összes útválasztás funkcióval, kényszeríti az összes kimenő forgalmat a virtuális hálózatba, ahol a hálózati biztonsági csoport szabályaival korlátozhatja a forgalmat.

A kimenő IP-cím virtuális hálózattal való vezérléséről az Oktatóanyag: Az Azure Functions kimenő IP-címének szabályozása azure-beli virtuális hálózati NAT-átjáróval.

Automatizálás

A következő API-k segítségével programozott módon kezelheti a regionális virtuális hálózati integrációkat:

• Azure CLI: A az functionapp vnet-integration parancsokkal regionális virtuális hálózati integrációt vehet fel, listázhat vagy távolíthat el.
• ARM-sablonok: A regionális virtuális hálózati integráció azure Resource Manager-sablonnal engedélyezhető. Teljes példáért tekintse meg ezt a Functions gyorsútmutató-sablont.

Tesztelési szempontok

Ha privát végpontokkal rendelkező függvényalkalmazásban teszteli a függvényeket, a tesztelést ugyanazon a virtuális hálózaton belül kell elvégeznie, például egy virtuális gépen (virtuális gépen) az adott hálózaton. Ha a virtuális gépről a portálon a Code + Test lehetőséget szeretné használni, az alábbi CORS-forrásokat kell hozzáadnia a függvényalkalmazáshoz:

• https://functions-next.azure.com
• https://functions-staging.azure.com
• https://functions.azure.com
• https://portal.azure.com

Hibaelhárítás

A funkció egyszerűen beállítható, de ez nem jelenti azt, hogy a felhasználói élmény problémamentes lesz. Ha problémákba ütközik a kívánt végpont elérésekor, az alkalmazáskonzolon keresztüli kapcsolat teszteléséhez használhat néhány segédprogramot. Két konzol használható. Az egyik a Kudu konzol, a másik pedig az Azure Portal konzolja. Ha el szeretné érni a Kudu-konzolt az alkalmazásból, nyissa meg a Tools>Kudu eszközt. A Kudo-konzolt a [sitename].scm.azurewebsites.net címen is elérheti. A webhely betöltése után lépjen a Hibakeresési konzol lapra. Ha az alkalmazásból szeretné elérni az Azure Portal által üzemeltetett konzolt, nyissa meg az Eszközök>konzolt.

Eszközök

Natív Windows-alkalmazásokban az eszközök pingelése, nslookup és tracert használata biztonsági korlátozások miatt nem működik a konzolon (egyéni Windows-tárolókban működnek). Az üresség kitöltéséhez két külön eszközt adunk hozzá. A DNS-funkciók teszteléséhez hozzáadtunk egy nameresolver.exe nevű eszközt. A szintaxis a következő:

nameresolver.exe hostname [optional: DNS Server]

A nameresolver használatával ellenőrizheti az alkalmazás által használt gazdagépneveket. Így tesztelheti, hogy van-e valami helytelenül konfigurálva a DNS-ével, vagy esetleg nincs hozzáférése a DNS-kiszolgálóhoz. Az alkalmazás által a konzolon használt DNS-kiszolgálót a WEBSITE_DNS_Standard kiadás RVER és a WEBSITE_DNS_ALT_Standard kiadás RVER környezeti változóinak megtekintésével tekintheti meg.

Feljegyzés

A nameresolver.exe eszköz jelenleg nem működik egyéni Windows-tárolókban.

A következő eszközzel tesztelheti, hogy van-e TCP-kapcsolat egy gazdagéphez és portkombinációhoz. Ezt az eszközt tcpping-nek nevezzük, a szintaxis pedig a következő:

tcpping.exe hostname [optional: port]

A tcpping segédprogram jelzi, hogy el tud-e érni egy adott gazdagépet és portot. Csak akkor lehet sikeres, ha egy alkalmazás figyeli a gazdagépet és a portkombinációt, és az alkalmazás hálózati hozzáféréssel rendelkezik a megadott gazdagéphez és porthoz.

Virtuális hálózat által üzemeltetett erőforrásokhoz való hozzáférés hibakeresése

Számos dolog megakadályozhatja, hogy az alkalmazás elérjen egy adott gazdagépet és portot. Legtöbbször ez a következő dolgok egyike:

• A tűzfal útban van. Ha tűzfallal rendelkezik, akkor a TCP időtúllépését kell megadnia. Ebben az esetben a TCP időtúllépése 21 másodperc. A tcpping eszközzel tesztelje a kapcsolatot. A TCP-időtúllépéseket a tűzfalakon kívül sok dolog okozhatja, de kezdjen ott.
• A DNS nem érhető el. A DNS-időtúllépés DNS-kiszolgálónként 3 másodperc. Ha két DNS-kiszolgálóval rendelkezik, az időtúllépés 6 másodperc. A nameresolver használatával ellenőrizze, hogy működik-e a DNS. Az nslookup nem használható, mert ez nem azt a DNS-t használja, amellyel a virtuális hálózat konfigurálva van. Ha nem érhető el, előfordulhat, hogy tűzfal vagy NSG blokkolja a DNS-hozzáférését, vagy leállhat.

Ha ezek az elemek nem válaszolnak a problémákra, először keresse meg a következőket:

Regionális virtuális hálózat integrációja

• A cél nem RFC1918 cím, és nincs engedélyezve az Összes útvonal?
• Van egy NSG, amely blokkolja a kimenő forgalmat az integrációs alhálózatról?
• Ha az Azure ExpressRoute-on vagy VPN-en halad át, a helyszíni átjáró úgy van konfigurálva, hogy a forgalmat visszairányíthassa az Azure-ba? Ha elérheti a végpontokat a virtuális hálózaton, de nem a helyszínen, ellenőrizze az útvonalakat.
• Rendelkezik elegendő engedéllyel ahhoz, hogy delegálást állítson be az integrációs alhálózaton? A regionális virtuális hálózati integráció konfigurálása során az integrációs alhálózat delegálva lesz a Microsoft.Web/serverFarms szolgáltatásba. A virtuális hálózatok integrációs felhasználói felülete automatikusan delegálja az alhálózatot a Microsoft.Web/serverFarms szolgáltatásba. Ha a fiókja nem rendelkezik megfelelő hálózati engedélyekkel a delegálás beállításához, szüksége lesz valakire, aki attribútumokat állíthat be az integrációs alhálózaton az alhálózat delegálásához. Az integrációs alhálózat manuális delegálásához lépjen az Azure Virtual Network alhálózat felhasználói felületére, és állítsa be a Microsoft.Web/serverFarms delegálását.

Átjáró által igényelt virtuális hálózati integráció

• A pont–hely címtartomány az RFC 1918-tartományokban (10.0.0.0-10.255.255.255 / 172.16.16.1 0.0-172.31.255.255 / 192.168.0.0-192.168.255.255)?
• Megjelenik az átjáró a portálon? Ha az átjáró le van állítva, hozza vissza.
• A tanúsítványok szinkronizáltként jelennek meg, vagy azt gyanítja, hogy a hálózati konfiguráció megváltozott? Ha a tanúsítványok nincsenek szinkronizálva, vagy azt gyanítja, hogy a virtuális hálózat konfigurációjában olyan módosítás történt, amelyet nem szinkronizáltak az ASP-kkel, válassza a Hálózat szinkronizálása lehetőséget.
• Ha VPN-en halad át, a helyszíni átjáró úgy van konfigurálva, hogy a forgalmat visszairányíthassa az Azure-ba? Ha elérheti a végpontokat a virtuális hálózaton, de nem a helyszínen, ellenőrizze az útvonalakat.
• Olyan párhuzamos átjárót próbál használni, amely támogatja a pont–hely és az ExpressRoute használatát? Az egyidejű átjárók nem támogatottak a virtuális hálózati integrációban.

A hálózatkezelési problémák hibakeresése kihívást jelent, mert nem látja, mi blokkolja az adott gazdagép:port kombinációhoz való hozzáférést. Néhány ok:

• Van egy tűzfal a gazdagépen, amely megakadályozza az alkalmazásport elérését a pont–hely IP-tartományból. Az alhálózatok keresztezéséhez gyakran van szükség nyilvános hozzáférésre.
• A cél gazdagép leállt.
• Az alkalmazás leállt.
• Rossz IP-címet vagy gazdagépnevet kapott.
• Az alkalmazás a várttól eltérő porton figyel. A folyamatazonosítót egyeztetheti a figyelési porttal a végpontgazda "netstat -aon" használatával.
• A hálózati biztonsági csoportok úgy vannak konfigurálva, hogy megakadályozzák az alkalmazás gazdagépéhez és portjához való hozzáférést a pont–hely IP-tartományból.

Nem tudja, hogy az alkalmazás valójában milyen címet használ. Az integrációs alhálózat vagy a pont–hely címtartomány bármely címe lehet, ezért engedélyeznie kell a hozzáférést a teljes címtartományból.

További hibakeresési lépések:

• Csatlakozás egy virtuális gépre a virtuális hálózatban, és onnan próbálja meg elérni az erőforrás-gazdagépet:portot. A TCP-hozzáférés teszteléséhez használja a Test-Net PowerShell-parancsot Csatlakozás ion. A szintaxis a következő:

Test-NetConnection hostname [optional: -Port]

• Hozzon létre egy alkalmazást egy virtuális gépen, és tcpping használatával tesztelje az adott gazdagéphez és porthoz való hozzáférést a konzolról az alkalmazásból.

Helyszíni erőforrások

Ha az alkalmazás nem tud helyszíni erőforrást elérni, ellenőrizze, hogy el tudja-e érni az erőforrást a virtuális hálózatról. A Test-Net Csatlakozás ion PowerShell-paranccsal ellenőrizze a TCP-hozzáférést. Ha a virtuális gép nem éri el a helyszíni erőforrást, előfordulhat, hogy a VPN- vagy az ExpressRoute-kapcsolat nincs megfelelően konfigurálva.

Ha a virtuális hálózat által üzemeltetett virtuális gép eléri a helyszíni rendszert, de az alkalmazás nem, az ok valószínűleg az alábbi okok egyike:

• Az útvonalak nincsenek konfigurálva az alhálózattal vagy a pont–hely címtartományokkal a helyszíni átjáróban.
• A hálózati biztonsági csoportok blokkolják a pont–hely IP-tartomány elérését.
• A helyszíni tűzfalak blokkolják a pont–hely IP-tartományból érkező forgalmat.
• Nem RFC 1918-címet próbál elérni a regionális virtuális hálózati integrációs funkcióval.

Az App Service-csomag vagy a webalkalmazás törlése a virtuális hálózat integrációjának leválasztása előtt

Ha a virtuális hálózat integrációjának leválasztása nélkül törölte a webalkalmazást vagy az App Service-csomagot, a törölt erőforrással való integrációhoz használt virtuális hálózaton vagy alhálózaton nem hajthat végre frissítési/törlési műveleteket. A "Microsoft.Web/serverFarms" alhálózat-delegálás továbbra is az alhálózathoz lesz rendelve, és megakadályozza a frissítési/törlési műveleteket.

Az alhálózat vagy a virtuális hálózat ismételt frissítéséhez/törléséhez újra létre kell hoznia a virtuális hálózat integrációját, majd le kell választania:

1. Hozza létre újra az App Service-csomagot és a webalkalmazást (a korábban használt webalkalmazás-név megadása kötelező).
2. Lépjen a webalkalmazás Hálózatkezelés paneljére, és konfigurálja a virtuális hálózatok integrációját.
3. A VNet-integráció konfigurálása után válassza a "Kapcsolat bontása" gombot.
4. Törölje az App Service-csomagot vagy a webalkalmazást.
5. Az alhálózat vagy a virtuális hálózat frissítése/törlése.

Ha a fenti lépéseket követve továbbra is problémákba ütközik a virtuális hálózatok integrációjával kapcsolatban, forduljon Microsoft ügyfélszolgálata.

Hálózati hibaelhárító

A hálózati hibaelhárítóval is megoldhatja a csatlakozási problémákat. A hálózati hibaelhárító megnyitásához nyissa meg az alkalmazást az Azure Portalon. Válassza a Diagnosztikát és a probléma megoldását, majd keresse meg a hálózati hibaelhárítót.

Csatlakozás-problémák – Ellenőrzi a virtuális hálózat integrációjának állapotát, beleértve annak ellenőrzését, hogy a magánhálózati IP-cím hozzá lett-e rendelve a terv összes példányához és a DNS-beállításokhoz. Ha az egyéni DNS nincs konfigurálva, az alapértelmezett Azure DNS lesz alkalmazva. A hibaelhárító emellett ellenőrzi a függvényalkalmazások gyakori függőségeit is, beleértve az Azure Storage és más kötési függőségek kapcsolatát.

Konfigurációs problémák – Ez a hibaelhárító ellenőrzi, hogy az alhálózat érvényes-e a virtuális hálózati integrációra.

Alhálózat/virtuális hálózat törlésével kapcsolatos probléma – Ez a hibaelhárító ellenőrzi, hogy az alhálózat rendelkezik-e zárolásokkal, és hogy vannak-e nem használt szolgáltatástársítási hivatkozásai, amelyek blokkolhatják a virtuális hálózat/alhálózat törlését.

Következő lépések

További információ a hálózatkezelésről és az Azure Functionsről:

• Kövesse az oktatóanyagot a virtuális hálózati integráció első lépéseiről
• Olvassa el a Functions hálózatkezelésével kapcsolatos gyakori kérdéseket
• További információ az App Service/Functions virtuális hálózatának integrációjáról
• További információ az Azure-beli virtuális hálózatokról
• További hálózati funkciók engedélyezése és vezérlés az App Service-környezetekkel
• Csatlakozás az egyes helyszíni erőforrásokhoz tűzfalmódosítások nélkül hibrid Csatlakozás ions használatával