Indirizzi IP in Funzioni di Azure
Questo articolo illustra i concetti seguenti relativi agli indirizzi IP delle app per le funzioni:
- Individuazione degli indirizzi IP attualmente in uso da un'app per le funzioni.
- Condizioni che causano la modifica degli indirizzi IP dell'app per le funzioni.
- Limitare gli indirizzi IP che possono accedere a un'app per le funzioni.
- Definizione di indirizzi IP dedicati per un'app per le funzioni.
Gli indirizzi IP sono associati alle app per le funzioni, non alle singole funzioni. Le richieste HTTP in ingresso non possono usare l'indirizzo IP in ingresso per chiamare le singole funzioni: devono usare il nome di dominio predefinito (functionappname.azurewebsites.net) o un nome di dominio personalizzato.
Indirizzo IP in ingresso delle app per le funzioni
Ogni app per le funzioni inizia usando un singolo indirizzo IP in ingresso. Quando si esegue in un piano Consumo o Premium, è possibile aggiungere altri indirizzi IP in ingresso quando si verifica una scalabilità orizzontale basata su eventi. Per trovare l'indirizzo IP in ingresso o gli indirizzi usati dall'app, usare l'utilità nslookup
dal computer locale, come nell'esempio seguente:
nslookup <APP_NAME>.azurewebsites.net
In questo esempio sostituire <APP_NAME>
con il nome dell'app per le funzioni. Se l'app usa un nome di dominio personalizzato, usare nslookup
invece per tale nome di dominio personalizzato.
Indirizzi IP in uscita delle app per le funzioni
Ogni app per le funzioni ha un set di indirizzi IP in uscita disponibili. Qualsiasi connessione in uscita da una funzione, ad esempio un database back-end, usa uno degli indirizzi IP in uscita disponibili come indirizzo IP di origine. Non è possibile sapere in anticipo quale indirizzo IP verrà usato da una determinata connessione. Per questo motivo, il servizio back-end deve aprire il firewall a tutti gli indirizzi IP in uscita dell'app per le funzioni.
Suggerimento
Per alcune funzionalità a livello di piattaforma, ad esempio Key Vault riferimenti, l'INDIRIZZO IP di origine potrebbe non essere uno degli indirizzi IP in uscita e non è consigliabile configurare la risorsa di destinazione per basarsi su questi indirizzi specifici. È consigliabile che l'app usi invece un'integrazione di rete virtuale, poiché la piattaforma instrada il traffico alla risorsa di destinazione tramite tale rete.
Per trovare gli indirizzi IP in uscita disponibili per un'app per le funzioni:
- Accedere ad Azure Resource Explorer.
- Selezionare le sottoscrizioni > {your subscription} > providers > Microsoft.Web > sites.
- Nel pannello JSON individuare il sito con una proprietà
id
che termina con il nome dell'app per le funzioni. - Controllare
outboundIpAddresses
epossibleOutboundIpAddresses
.
Il set outboundIpAddresses
è attualmente disponibile per l'app per le funzioni. Il set possibleOutboundIpAddresses
include gli indirizzi IP che saranno disponibili solo se l'app per le funzioni è adattabile ad altri piani tariffari.
Nota
Quando un'app per le funzioni eseguita nel piano di consumo o nel piano Premium viene ridimensionata, è possibile assegnare una nuova gamma di indirizzi IP in uscita. Quando si esegue in uno di questi piani, non è possibile basarsi sugli indirizzi IP in uscita segnalati per creare un elenco consentito definitivo. Per includere tutti gli indirizzi in uscita potenziali usati durante il ridimensionamento dinamico, è necessario aggiungere l'intero data center all'elenco consentito.
Indirizzi IP in uscita del data center
Se è necessario aggiungere gli indirizzi IP in uscita usati dalle app per le funzioni a un elenco consentito, un'altra opzione consiste nell'aggiungere il data center delle app per le funzioni (area di Azure) a un elenco consentito. È possibile scaricare un file JSON che elenca gli indirizzi IP per tutti i data center di Azure. Trovare quindi l'elemento JSON applicabile per l'area in cui viene eseguita l'app per le funzioni.
Ad esempio, il frammento JSON seguente è quello che potrebbe essere simile all'elenco allowlist per l'Europa occidentale:
{
"name": "AzureCloud.westeurope",
"id": "AzureCloud.westeurope",
"properties": {
"changeNumber": 9,
"region": "westeurope",
"platform": "Azure",
"systemService": "",
"addressPrefixes": [
"13.69.0.0/17",
"13.73.128.0/18",
... Some IP addresses not shown here
"213.199.180.192/27",
"213.199.183.0/24"
]
}
}
Per informazioni sull'aggiornamento di questo file e la modifica degli indirizzi IP, espandere la sezione Dettagli della pagina dell'Area download.
Modifiche degli indirizzi IP in ingresso
L'indirizzo IP in ingresso potrebbe cambiare in caso di:
- Eliminazione di un'app per le funzioni e successiva ricreazione in un gruppo di risorse diverso.
- Eliminazione dell'ultima app per le funzioni in una combinazione di gruppo di risorse e area e successiva ricreazione.
- Eliminare un'associazione TLS, ad esempio durante il rinnovo del certificato.
Quando l'app per le funzioni viene eseguita in un piano di consumo o in un piano Premium, l'indirizzo IP in ingresso potrebbe anche cambiare anche quando non sono state eseguite azioni come quelle elencate sopra.
Modifiche degli indirizzi IP in uscita
La stabilità relativa dell'indirizzo IP in uscita dipende dal piano di hosting.
Piani a consumo e Premium
A causa dei comportamenti di scalabilità automatica, l'INDIRIZZO IP in uscita può cambiare in qualsiasi momento durante l'esecuzione in un piano a consumo o in un piano Premium.
Se è necessario controllare l'indirizzo IP in uscita dell'app per le funzioni, ad esempio quando è necessario aggiungerlo a un elenco consentito, è consigliabile implementare un gateway NAT di rete virtuale durante l'esecuzione in un piano di hosting Premium. È anche possibile eseguire questa operazione eseguendo in un piano dedicato (servizio app).
Piani dedicati
Quando si esegue su piani dedicati (servizio app), il set di indirizzi IP in uscita disponibili per un'app per le funzioni potrebbe cambiare quando si:
- Esecuzione di un'azione che può modificare l'indirizzo IP in ingresso.
- Modificare il piano tariffario dedicato (servizio app). L'elenco di tutti i possibili indirizzi IP in uscita utilizzabili dall'app, per tutti i piani tariffari, è disponibile nella proprietà
possibleOutboundIPAddresses
. Vedere Trovare gli indirizzi IP in uscita.
Forzare una modifica dell'indirizzo IP in uscita
Usare la procedura seguente per forzare intenzionalmente una modifica dell'indirizzo IP in uscita in un piano dedicato (servizio app):
Aumentare o ridurre il piano di servizio app tra i piani tariffari Standard e Premium v2.
Attendere 10 minuti.
Ridurre di nuovo il piano al livello iniziale.
Restrizioni degli indirizzi IP
È possibile configurare un elenco di indirizzi IP per cui si vuole concedere o negare l'accesso a un'app per le funzioni. Per altre informazioni, vedere Restrizioni IP statico del Servizio app di Azure.
Indirizzi IP dedicati
Esistono diverse strategie da esplorare quando l'app per le funzioni richiede indirizzi IP statici e dedicati.
Gateway NAT di rete virtuale per l'INDIRIZZO IP statico in uscita
È possibile controllare l'indirizzo IP del traffico in uscita dalle funzioni usando un gateway NAT di rete virtuale per indirizzare il traffico tramite un indirizzo IP pubblico statico. È possibile usare questa topologia durante l'esecuzione in un piano Premium o in un piano dedicato (servizio app). Per altre informazioni, vedere Esercitazione: Controllare l'indirizzo IP in uscita di Funzioni di Azure con un gateway NAT di rete virtuale di Azure.
Ambienti del servizio app
Per il controllo completo sugli indirizzi IP, sia in ingresso che in uscita, è consigliabile servizio app Ambienti (livello isolato di piani di servizio app). Per altre informazioni, vedere Indirizzi IP dell'ambiente del servizio app e Come controllare il traffico in ingresso a un ambiente del servizio app.
Per scoprire se l'app per le funzioni viene eseguita in un ambiente del servizio app:
- Accedere al portale di Azure.
- Passare all'app per le funzioni.
- Selezionare la scheda Panoramica.
- Il livello del piano di servizio app viene visualizzato in Piano di servizio app/piano tariffario. Il piano tariffario dell'ambiente del servizio app è Isolato.
Lo sku
dell'ambiente del servizio app è Isolated
.
Passaggi successivi
Una causa comune della modifica degli indirizzi IP è il ridimensionamento delle app per le funzioni. Altre informazioni sul ridimensionamento delle app per le funzioni.