Oktatóanyag: Privát Azure Functions-webhelyhozzáférés létrehozása

  • Cikk

Ez az oktatóanyag bemutatja, hogyan engedélyezheti a privát webhelyek elérését az Azure Functions használatával. Privát helyhozzáférés használatával megkövetelheti, hogy a függvénykód csak egy adott virtuális hálózatról legyen aktiválva.

A privát webhelyhozzáférés akkor hasznos, ha a függvényalkalmazáshoz való hozzáférést egy adott virtuális hálózatra kell korlátozni. A függvényalkalmazás például csak egy adott szervezet alkalmazottaira vagy a megadott virtuális hálózaton belüli szolgáltatásokra (például egy másik Azure-függvényre, Azure Virtual Machine-ra vagy AKS-fürtre) alkalmazható.

Ha egy Functions-alkalmazásnak hozzá kell férnie az Azure-erőforrásokhoz a virtuális hálózaton belül, vagy szolgáltatásvégpontokon keresztül kell csatlakoznia, akkor virtuális hálózati integrációra van szükség.

Ebben az oktatóanyagban megtudhatja, hogyan konfigurálhatja a privát webhely-hozzáférést a függvényalkalmazáshoz:

  • Virtuális gép létrehozása
  • Azure Bastion-szolgáltatás létrehozása
  • Azure-függvényalkalmazás létrehozása
  • Virtuális hálózati szolgáltatásvégpont konfigurálása
  • Azure-függvény létrehozása és üzembe helyezése
  • A függvény meghívása kívülről és a virtuális hálózaton belülről

Ha nem rendelkezik Azure-előfizetéssel, mindössze néhány perc alatt létrehozhat egy ingyenes fiókot a virtuális gép létrehozásának megkezdése előtt.

Topológia

Az alábbi ábra a létrehozandó megoldás architektúráját mutatja be:

High-level architecture diagram for private site access solution

Előfeltételek

Ebben az oktatóanyagban fontos, hogy megértse az IP-címzést és a részkiosztást. Ez a cikk a címzés és a részkiosztás alapjait ismerteti. Számos további cikk és videó érhető el online.

Sign in to Azure portal

Jelentkezzen be az Azure Portalra.

Virtuális gép létrehozása

Az oktatóanyag első lépése egy új virtuális gép létrehozása egy virtuális hálózaton belül. A virtuális gép a függvény elérésére lesz használva, miután korlátozta a hozzáférését, hogy csak a virtuális hálózaton belülről legyen elérhető.

  1. Válassza az Erőforrás létrehozása gombot.

  2. A keresőmezőbe írja be a Windows Servert, és válassza a Windows Servert a keresési eredmények között.

  3. Válassza a Windows Server 2019 Datacentert a Windows Server beállításainak listájából, és nyomja le a Létrehozás gombot.

  4. Az Alapszintű beállítások lapon használja a rendszerkép alatti táblázatban megadott virtuálisgép-beállításokat:

    Basics tab for a new Windows VM

    Setting Ajánlott érték Leírás
    Előfizetés Az Ön előfizetése Az előfizetés, amely alatt az erőforrások létrejönnek.
    Erőforráscsoport myResourceGroup Válassza ki azt az erőforráscsoportot, amely az oktatóanyag összes erőforrását tartalmazza. Ugyanezzel az erőforráscsoporttal egyszerűbben törölheti az erőforrásokat, ha ezzel az oktatóanyaggal végzett.
    Virtuális gép neve myVM A virtuális gép nevének egyedinek kell lennie az erőforráscsoportban
    Region (US) USA északi középső régiója Válasszon egy Önhöz közeli vagy a elérni kívánt függvények közelében lévő régiót.
    Nyilvános bejövő portok None Válassza a Nincs lehetőséget, ha meg szeretné győződni arról, hogy nincs bejövő kapcsolat a virtuális géppel az internetről. A virtuális gép távoli elérése az Azure Bastion szolgáltatáson keresztül lesz konfigurálva.

  5. Válassza a Hálózatkezelés lapot, és válassza az Új létrehozása lehetőséget egy új virtuális hálózat konfigurálásához.

    Screenshot that shows the

  6. A Virtuális hálózat létrehozása területen használja a rendszerkép alatti táblázatban található beállításokat:

    Create a new virtual network for the new VM

    Setting Ajánlott érték Leírás
    Név myResourceGroup-vnet A virtuális hálózathoz létrehozott alapértelmezett nevet használhatja.
    Címtartomány 10.10.0.0/16 Használjon egyetlen címtartományt a virtuális hálózathoz.
    Alhálózat neve Tutorial Az alhálózat neve.
    Címtartomány (alhálózat) 10.10.1.0/24 Az alhálózat mérete határozza meg, hogy hány adapter adható hozzá az alhálózathoz. Ezt az alhálózatot a virtuális gép használja. A /24 alhálózat 254 gazdagépcímet biztosít.

  7. Kattintson az OK gombra a virtuális hálózat létrehozásához.

  8. A Hálózatkezelés lapra visszatérve győződjön meg arról, hogy a Nincs lehetőség ki van jelölve a nyilvános IP-címhez.

  9. Válassza a Felügyelet lapot, majd a Diagnosztikai tárfiókban válassza az Új létrehozása lehetőséget egy új tárfiók létrehozásához.

  10. Hagyja meg az Identitás, az Automatikus leállítás és a Biztonsági mentés szakasz alapértelmezett értékeit.

  11. Select Review + create. Az ellenőrzés befejezése után válassza a Létrehozás lehetőséget. A virtuális gép létrehozási folyamata néhány percet vesz igénybe.

Az Azure Bastion konfigurálása

Az Azure Bastion egy teljes körűen felügyelt Azure-szolgáltatás, amely közvetlenül az Azure Portalról biztosít biztonságos RDP- és SSH-hozzáférést a virtuális gépekhez. Az Azure Bastion szolgáltatás használata nem igényli az RDP-hozzáféréshez kapcsolódó hálózati beállítások konfigurálását.

  1. A portálon válassza a Hozzáadás lehetőséget az erőforráscsoport nézet tetején.

  2. A keresőmezőbe írja be a Bastion kifejezést.

  3. Válassza a Bastion lehetőséget a keresési eredmények között.

  4. Válassza a Létrehozás lehetőséget egy új Azure Bastion-erőforrás létrehozásának megkezdéséhez. Hibaüzenet jelenik meg a Virtuális hálózat szakaszban, mivel még nincs AzureBastionSubnet-alhálózat. Az alhálózat a következő lépésekben jön létre. Használja a rendszerkép alatti táblázatban található beállításokat:

    Start of creating Azure Bastion

    Setting Ajánlott érték Leírás
    Név myBastion Az új Bastion-erőforrás neve
    Region North Central US Válasszon egy régiót a közelben, vagy a függvények által elért más szolgáltatások közelében.
    Virtuális hálózat myResourceGroup-vnet Az a virtuális hálózat, amelyben a Bastion-erőforrás létrejön
    Alhálózat AzureBastionSubnet A virtuális hálózat azon alhálózata, amelyre az új Bastion-gazdagép-erőforrás üzembe lesz helyezve. Az AzureBastionSubnet névértékkel létre kell hoznia egy alhálózatot. Ez az érték tudatja az Azure-nal, hogy melyik alhálózaton helyezze üzembe a Bastion-erőforrásokat. Legalább /27 vagy nagyobb alhálózatot kell használnia (/27, /26 stb.).

    Megjegyzés:

    Az Azure Bastion-erőforrások létrehozásának részletes, részletes útmutatója az Azure Bastion-gazdagép létrehozása oktatóanyagban található.

  5. Hozzon létre egy alhálózatot, amelyben az Azure kiépítheti az Azure Bastion-gazdagépet. Az alhálózat-konfiguráció kezelése lehetőséget választva megnyílik egy új panel, ahol definiálhat egy új alhálózatot. Új alhálózat létrehozásához válassza a + Alhálózat lehetőséget.

  6. Az alhálózatnak AzureBastionSubnet nevűnek kell lennie, az alhálózat előtagjának pedig legalább /27-nek kell lennie. Az alhálózat létrehozásához kattintson az OK gombra .

    Create subnet for Azure Bastion host

  7. A Bastion létrehozása lapon válassza ki az újonnan létrehozott AzureBastionSubnetet az elérhető alhálózatok listájából.

    Create an Azure Bastion host with specific subnet

  8. Válassza a Véleményezés > Létrehozás lehetőséget. Ha az ellenőrzés befejeződött, válassza a Létrehozás lehetőséget. Az Azure Bastion-erőforrás létrehozása néhány percet vesz igénybe.

Azure-függvényalkalmazás létrehozása

A következő lépés egy függvényalkalmazás létrehozása az Azure-ban a Használat csomag használatával. A függvénykódot az oktatóanyag későbbi részében telepítheti erre az erőforrásra.

  1. A portálon válassza a Hozzáadás lehetőséget az erőforráscsoport nézet tetején.

  2. A Számítási > függvény alkalmazás kiválasztása

  3. Az Alapok szakaszban használja az alábbi táblázatban megadott függvényalkalmazás-beállításokat.

    Setting Ajánlott érték Leírás
    Erőforráscsoport myResourceGroup Válassza ki azt az erőforráscsoportot, amely az oktatóanyag összes erőforrását tartalmazza. Ha ugyanazt az erőforráscsoportot használja a függvényalkalmazáshoz és a virtuális géphez, egyszerűbben törölheti az erőforrásokat, ha ezzel az oktatóanyaggal végzett.
    Függvényalkalmazás neve Globálisan egyedi név Az új függvényalkalmazást azonosító név. Az érvényes karakterek a-z (kis- és nagybetűk érzéketlenek), 0-9 és -.
    Közzététel Kód Kódfájlok közzétételét teszi lehetővé egy Docker-tárolóban.
    Futtatókörnyezeti verem Elsődleges nyelv Válasszon egy olyan futtatókörnyezetet, amely támogatja a kedvenc függvényprogramozási nyelvét.
    Region North Central US Válasszon egy régiót a közelben, vagy a függvények által elért más szolgáltatások közelében.

    Válassza a Tovább: Üzemeltetés > gombot.

  4. Az Üzemeltetés szakaszban válassza ki a megfelelő tárfiókot, operációs rendszert és tervet az alábbi táblázatban leírtak szerint.

    Setting Ajánlott érték Leírás
    Storage account Globálisan egyedi név Hozzon létre egy tárfiókot a függvényalkalmazás számára. A tárfiókok neve 3–24 karakter hosszúságú lehet, és csak számokból és kisbetűkből állhat. Használhat egy meglévő fiókot is, amelynek meg kell felelnie a tárfiók követelményeinek.
    Operációs rendszer Előnyben részesített operációs rendszer A futtatókörnyezeti verem kiválasztása alapján előre ki van jelölve egy operációs rendszer, de szükség esetén módosíthatja a beállítást.
    Terv Consumption Az üzemeltetési terv határozza meg a függvényalkalmazás méretezését és az egyes példányok számára elérhető erőforrásokat.

  5. Válassza a Véleményezés + Létrehozás lehetőséget az alkalmazáskonfiguráció-beállítások áttekintéséhez.

  6. Kattintson a Létrehozás elemre a függvényalkalmazás kiépítéséhez és üzembe helyezéséhez.

Hozzáférési korlátozások konfigurálása

A következő lépés a hozzáférési korlátozások konfigurálása annak biztosítása érdekében, hogy csak a virtuális hálózaton lévő erőforrások hívhassák meg a függvényt.

A privát helyhozzáférés egy Azure Virtual Network-szolgáltatásvégpontlétrehozásával engedélyezve van a függvényalkalmazás és a megadott virtuális hálózat között. A hozzáférési korlátozások szolgáltatásvégpontokon keresztül vannak implementálva. A szolgáltatásvégpontok biztosítják, hogy csak a megadott virtuális hálózatból származó forgalom férhessen hozzá a kijelölt erőforráshoz. Ebben az esetben a kijelölt erőforrás az Azure-függvény.

  1. A függvényalkalmazásban válassza a hálózatkezelési hivatkozást a Gépház szakasz fejléce alatt.

  2. A hálózatkezelési oldal a kiindulópont az Azure Front Door, az Azure CDN és a hozzáférési korlátozások konfigurálásához.

  3. Válassza a Hozzáférési korlátozások konfigurálása lehetőséget a privát webhelyhozzáférés konfigurálásához.

  4. A Hozzáférési korlátozások lapon csak az alapértelmezett korlátozás jelenik meg. Az alapértelmezett beállítás nem korlátozza a függvényalkalmazáshoz való hozzáférést. Válassza a Szabály hozzáadása lehetőséget a privát webhelyhozzáférés-korlátozás konfigurációjának létrehozásához.

  5. A Hozzáférés-korlátozás hozzáadása panelen adja meg az új szabály nevét, prioritását és leírását.

  6. Válassza a Virtuális hálózat lehetőséget a Típus legördülő listában, majd válassza ki a korábban létrehozott virtuális hálózatot, majd válassza az Oktatóanyag alhálózatot.

    Megjegyzés:

    A szolgáltatásvégpont engedélyezése több percet is igénybe vehet.

  7. A Hozzáférési korlátozások lapon most egy új korlátozás látható. Eltarthat néhány másodpercig, hogy a végpont állapota le van tiltva a kiépítéstől az engedélyezve állapotig.

    Fontos

    Minden függvényalkalmazáshoz tartozik egy Speciális eszköz (Kudu) webhely , amely a függvényalkalmazások üzembe helyezésének kezelésére szolgál. Ez a webhely a következő URL-címről érhető el: <FUNCTION_APP_NAME>.scm.azurewebsites.net. A Kudu-hely hozzáférési korlátozásainak engedélyezése megakadályozza a projektkód helyi fejlesztői munkaállomáson való üzembe helyezését, majd a virtuális hálózaton belül egy ügynökre van szükség az üzembe helyezés végrehajtásához.

A függvényalkalmazás elérése

  1. Térjen vissza a korábban létrehozott függvényalkalmazáshoz. Az Áttekintés szakaszban másolja ki az URL-címet.

    Get the Function app URL

    Ha most a virtuális hálózaton kívüli számítógépről próbál hozzáférni a függvényalkalmazáshoz, egy HTTP 403-oldal jelenik meg, amely azt jelzi, hogy a hozzáférés tiltott.

  2. Térjen vissza az erőforráscsoporthoz, és válassza ki a korábban létrehozott virtuális gépet. Ahhoz, hogy a webhelyet a virtuális gépről elérhesse, az Azure Bastion szolgáltatáson keresztül kell csatlakoznia a virtuális géphez.

  3. Válassza a Csatlakozás, majd a Bastion lehetőséget.

  4. Adja meg a virtuális gépre való bejelentkezéshez szükséges felhasználónevet és jelszót.

  5. Válassza a Kapcsolódás lehetőséget. Ekkor megjelenik egy új böngészőablak, amely lehetővé teszi a virtuális géppel való interakciót. A webhelyet a virtuális gépen található webböngészőből lehet elérni, mert a virtuális gép a virtuális hálózaton keresztül fér hozzá a webhelyhez. Bár a hely csak a kijelölt virtuális hálózaton belülről érhető el, a nyilvános DNS-bejegyzés megmarad.

Függvény létrehozása

Az oktatóanyag következő lépése egy HTTP által aktivált Azure-függvény létrehozása. A függvény HTTP GET vagy POST használatával történő meghívásának "Hello, {name}" választ kell eredményeznie.

  1. Kövesse az alábbi rövid útmutatók egyikét az Azure Functions-alkalmazás létrehozásához és üzembe helyezéséhez.

  2. Az Azure Functions-projekt közzétételekor válassza ki az oktatóanyag korábbi részében létrehozott függvényalkalmazás-erőforrást.

  3. Ellenőrizze, hogy a függvény telepítve van-e.

    Deployed function in list of functions

A függvény meghívása közvetlenül

  1. A függvényhez való hozzáférés teszteléséhez ki kell másolnia a függvény URL-címét. Válassza ki az üzembe helyezett függvényt, majd válassza a Függvény URL-címének lekérése lehetőséget. Ezután a Másolás gombra kattintva másolja az URL-címet a vágólapra.

    Copy the function URL

  2. Illessze be az URL-címet egy webböngészőbe. Amikor most a virtuális hálózaton kívüli számítógépről próbálja elérni a függvényalkalmazást, egy HTTP 403-válasz jelenik meg, amely azt jelzi, hogy az alkalmazáshoz való hozzáférés tiltott.

A függvény meghívása a virtuális hálózatról

A függvény elérése webböngészőn keresztül (az Azure Bastion szolgáltatás használatával) a virtuális hálózaton konfigurált virtuális gépen sikeres lesz!

Access the Azure Function via Azure Bastion

Clean up resources

Az előző lépésekben Azure-erőforrásokat hozott létre egy erőforráscsoportban. Ha várhatóan nincs szüksége ezekre az erőforrásokra a későbbiekben, az erőforráscsoport eltávolításával törölheti őket.

Az Azure Portal menüjében vagy kezdőlapján válassza az Erőforráscsoportok lehetőséget. Ezután az Erőforráscsoportok lapon válassza a myResourceGroup lehetőséget.

A myResourceGroup lapon győződjön meg arról, hogy a felsorolt erőforrásokat törölni szeretné.

Válassza az Erőforráscsoport törlése lehetőséget, írja be a myResourceGroup kifejezést a szövegmezőbe a megerősítéshez, majd válassza a Törlés lehetőséget.

További lépések

További információ a Functions hálózatkezelési lehetőségeiről