IP-címek az Azure Functionsben

  • Cikk

Ez a cikk a függvényalkalmazások IP-címével kapcsolatos alábbi fogalmakat ismerteti:

  • A függvényalkalmazás által jelenleg használt IP-címek keresése.
  • Olyan feltételek, amelyek miatt a függvényalkalmazás IP-címei megváltoznak.
  • A függvényalkalmazásokhoz hozzáférő IP-címek korlátozása.
  • Dedikált IP-címek definiálása függvényalkalmazáshoz.

Az IP-címek függvényalkalmazásokhoz vannak társítva, nem az egyes függvényekhez. A bejövő HTTP-kérések nem használhatják a bejövő IP-címet az egyes függvények hívásához; az alapértelmezett tartománynevet (functionappname.azurewebsites.net) vagy egy egyéni tartománynevet kell használniuk.

Függvényalkalmazás bejövő IP-címe

Minden függvényalkalmazás egyetlen bejövő IP-címmel indul. Ha használatalapú vagy prémium csomagban fut, további bejövő IP-címek is hozzáadhatók az eseményvezérelt vertikális felskálázás során. Az alkalmazás által használt bejövő IP-cím vagy címek megkereséséhez használja a nslookup helyi számítógép segédprogramját, ahogyan az alábbi példában is látható:

nslookup <APP_NAME>.azurewebsites.net

Ebben a példában cserélje le a elemet <APP_NAME> a függvényalkalmazás nevére. Ha az alkalmazás egyéni tartománynevet használ, használja nslookup inkább az egyéni tartománynevet.

Függvényalkalmazás kimenő IP-címei

Minden függvényalkalmazás rendelkezik elérhető kimenő IP-címkészlettel. A függvényekből( például egy háttéradatbázisból) érkező kimenő kapcsolatok a rendelkezésre álló kimenő IP-címek egyikét használják forrás IP-címként. Nem tudhatja előre, hogy egy adott kapcsolat melyik IP-címet fogja használni. Ezért a háttérszolgáltatásnak meg kell nyitnia a tűzfalát a függvényalkalmazás összes kimenő IP-címére.

Tipp

Egyes platformszintű szolgáltatások, például Key Vault hivatkozások esetében előfordulhat, hogy a forrás IP-címe nem az egyik kimenő IP-cím, és nem érdemes úgy konfigurálni a célerőforrást, hogy ezekre a címekre támaszkodjon. Javasoljuk, hogy az alkalmazás inkább virtuális hálózati integrációt használjon, mivel a platform az adott hálózaton keresztül irányítja a forgalmat a célerőforráshoz.

A függvényalkalmazások számára elérhető kimenő IP-címek megkeresése:

  1. Jelentkezzen be az Azure Resource Explorerbe.
  2. Válassza ki a(z) > {your subscription} > szolgáltatói > Microsoft.Web-webhelyeket>.
  3. A JSON panelen keresse meg a függvényalkalmazás nevével végződő tulajdonsággal rendelkező id webhelyet.
  4. Lásd: outboundIpAddresses és possibleOutboundIpAddresses.

A készlet outboundIpAddresses jelenleg elérhető a függvényalkalmazás számára. A készlet olyan possibleOutboundIpAddresses IP-címeket tartalmaz, amelyek csak akkor lesznek elérhetők, ha a függvényalkalmazás más tarifacsomagokra skálázható.

Megjegyzés

Ha egy, a Használat vagy a Prémium csomagon futó függvényalkalmazás skálázva van, a kimenő IP-címek új tartománya rendelhető hozzá. Ha ezen csomagok bármelyikén fut, nem támaszkodhat a jelentett kimenő IP-címekre, hogy végleges engedélyezési listát hozzon létre. Ahhoz, hogy a dinamikus skálázás során használt összes lehetséges kimenő cím szerepelhessen, hozzá kell adnia a teljes adatközpontot az engedélyezési listához.

Adatközpont kimenő IP-címei

Ha hozzá kell adnia a függvényalkalmazások által használt kimenő IP-címeket egy engedélyezési listához, egy másik lehetőség a függvényalkalmazások adatközpontjának (Azure-régió) hozzáadása egy engedélyezési listához. Letölthet egy JSON-fájlt, amely felsorolja az összes Azure-adatközpont IP-címét. Ezután keresse meg a függvényalkalmazás által futtatott régióra vonatkozó JSON-töredéket.

A következő JSON-töredék például a Nyugat-Európa engedélyezési listája:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

A fájl frissítésével és az IP-címek változásával kapcsolatos információkért bontsa ki a Letöltőközpont lapRészletek szakaszát.

Bejövő IP-címek változásai

A bejövő IP-cím a következő esetekben változhat:

  • Töröljön egy függvényalkalmazást, és hozza létre újra egy másik erőforráscsoportban.
  • Törölje az erőforráscsoport- és régiókombináció utolsó függvényalkalmazását, és hozza létre újra.
  • TLS-kötés törlése, például tanúsítványmegújítás közben.

Ha a függvényalkalmazás használatalapú csomagban vagy prémium csomagban fut, a bejövő IP-cím akkor is megváltozhat, ha nem hajtott végre olyan műveleteket, mint a fent felsoroltak.

Kimenő IP-címek változásai

A kimenő IP-cím relatív stabilitása az üzemeltetési tervtől függ.

Használati és prémium csomagok

Az automatikus skálázási viselkedés miatt a kimenő IP-cím bármikor megváltozhat, ha használatalapú csomagban vagy prémium csomagban fut.

Ha szabályoznia kell a függvényalkalmazás kimenő IP-címét, például amikor fel kell vennie egy engedélyezési listára, fontolja meg egy virtuális hálózati NAT Gateway implementálását egy Prémium szintű üzemeltetési csomagban való futtatás során. Ezt dedikált (App Service) csomagban futtatva is megteheti.

Dedikált csomagok

Dedikált (App Service) csomagokon való futtatáskor a függvényalkalmazás rendelkezésre álló kimenő IP-címeinek készlete megváltozhat, ha:

  • Végezze el azokat a műveletet, amelyek módosíthatják a bejövő IP-címet.
  • Módosítsa a dedikált (App Service) csomag tarifacsomagját. Az alkalmazás által használható összes lehetséges kimenő IP-cím listája az összes tarifacsomaghoz a possibleOutboundIPAddresses tulajdonságban található. Lásd: Kimenő IP-címek keresése.

Kimenő IP-cím módosításának kényszerítése

A következő eljárással szándékosan kényszerítse ki a kimenő IP-címek módosítását egy dedikált (App Service) csomagban:

  1. A App Service csomag vertikális fel- vagy leskálázása Standard és Premium v2 tarifacsomagok között.

  2. Várjon 10 percet.

  3. Skálázás vissza a kezdő helyre.

IP-címekre vonatkozó korlátozások

Konfigurálhatja azon IP-címek listáját, amelyekhez engedélyezni vagy megtagadni szeretné a függvényalkalmazáshoz való hozzáférést. További információ: Azure App Service statikus IP-korlátozások.

Dedikált IP-címek

A függvényalkalmazás statikus, dedikált IP-címeket igényel.

Virtuális hálózati NAT Gateway kimenő statikus IP-címhez

A függvények kimenő forgalmának IP-címét egy virtuális hálózati NAT-átjáróval vezérelheti, a forgalmat statikus nyilvános IP-címen keresztül irányíthatja. Ezt a topológiát prémium csomagban vagy dedikált (App Service) csomagban futtatva használhatja. További információ: Oktatóanyag: Kimenő IP-cím vezérlése Azure Functions Azure-beli virtuális hálózati NAT-átjáróval.

App Service-környezetek

A bejövő és a kimenő IP-címek teljes körű vezérléséhez javasoljuk, hogy App Service Környezetek (a App Service csomagok elkülönített szintje). További információ: App Service Environment IP-címek és az App Service Environment bejövő forgalmának szabályozása.

Annak kiderítése, hogy a függvényalkalmazás egy App Service Environment fut-e:

  1. Jelentkezzen be az Azure Portalra.
  2. Lépjen a függvényalkalmazáshoz.
  3. Válassza az Áttekintés lapot.
  4. A App Service csomagszint App Service csomag/tarifacsomag alatt jelenik meg. A App Service Environment tarifacsomag izolált.

A App Service Environment sku .Isolated

Következő lépések

Az IP-változások gyakori oka a függvényalkalmazások méretezési változásai. További információ a függvényalkalmazások méretezéséről.