IP-adressen in Azure Functions

In dit artikel worden de volgende concepten beschreven met betrekking tot IP-adressen van functie-apps:

• De IP-adressen zoeken die momenteel worden gebruikt door een functie-app.
• Voorwaarden waardoor IP-adressen van de functie-app worden gewijzigd.
• Het beperken van de IP-adressen die toegang kunnen hebben tot een functie-applicatie.
• Toegewezen IP-adressen definiëren voor een functie-app.

IP-adressen zijn gekoppeld aan functie-apps, niet aan afzonderlijke functies. Binnenkomende HTTP-aanvragen kunnen het binnenkomende IP-adres niet gebruiken om afzonderlijke functies aan te roepen; ze moeten de standaarddomeinnaam (functionappname.azurewebsites.net) of een aangepaste domeinnaam gebruiken.

Inkomend IP-adres van functie-app

Elke functie-app begint met één inkomend IP-adres. Wanneer een functieapplicatie draait in een Verbruiks- of Premium-abonnement, kunnen er meer binnenkomende IP-adressen worden toegevoegd wanneer er een schaaluitbreiding op basis van gebeurtenissen plaatsvindt. Als u het binnenkomende IP-adres of de adressen wilt vinden die door uw app worden gebruikt, gebruikt u het nslookup hulpprogramma van uw lokale computer, zoals in het volgende voorbeeld:

nslookup <APP_NAME>.azurewebsites.net

Vervang in dit voorbeeld door <APP_NAME> de naam van uw functie-app. Als uw app een aangepaste domeinnaam gebruikt, gebruikt u in plaats daarvan nslookup voor die aangepaste domeinnaam.

Uitgaande IP-adressen van functie-applicaties

Elke functie-app heeft een set beschikbare uitgaande IP-adressen. Elke uitgaande verbinding van een functie, zoals naar een back-enddatabase, gebruikt een van de beschikbare uitgaande IP-adressen als het oorspronkelijke IP-adres. U kunt niet vooraf weten welk IP-adres een bepaalde verbinding gebruikt. Daarom moet uw back-endservice de firewall openen voor alle uitgaande IP-adressen van de functie-app.

Aanbeveling

Voor sommige functies op platformniveau, zoals Key Vault-verwijzingen, is het oorspronkelijke IP-adres mogelijk geen van de uitgaande IP-adressen en moet u de doelresource niet configureren om te vertrouwen op deze specifieke adressen. Het is raadzaam dat de app in plaats daarvan gebruikmaakt van een integratie van een virtueel netwerk, omdat het platform verkeer via dat netwerk naar de doelresource routeert.

De uitgaande IP-adressen zoeken die beschikbaar zijn voor een functie-app:

Azure-portal

1. Meld u aan bij de Azure Resource Explorer.
2. Selecteer abonnementen> {uw abonnement} >providers>Microsoft.Web>sites.
3. Zoek in het JSON-deelvenster de site met een id eigenschap die eindigt op de naam van uw functie-app.
4. Zie outboundIpAddresses en possibleOutboundIpAddresses.

Azure CLI

az functionapp show --resource-group <GROUP_NAME> --name <APP_NAME> --query outboundIpAddresses --output tsv
az functionapp show --resource-group <GROUP_NAME> --name <APP_NAME> --query possibleOutboundIpAddresses --output tsv

Azure PowerShell

$functionApp = Get-AzFunctionApp -ResourceGroupName <GROUP_NAME> -Name <APP_NAME>
$functionApp.OutboundIPAddress
$functionApp.PossibleOutboundIPAddress

De set outboundIpAddresses is momenteel beschikbaar voor de functie-app. De set possibleOutboundIpAddresses bevat IP-adressen die alleen beschikbaar zijn als de functie-app wordt geschaald naar andere prijscategorieën.

Opmerking

Wanneer een functie-app die wordt uitgevoerd op het verbruiksabonnement of het Premium-abonnement wordt geschaald, kan er een nieuw bereik van uitgaande IP-adressen worden toegewezen. Wanneer u de functie-app in een van deze abonnementen uitvoert, kunt u niet vertrouwen op de gerapporteerde uitgaande IP-adressen om een definitieve acceptatielijst te maken. Als u alle potentiële uitgaande adressen wilt kunnen opnemen die tijdens dynamische schaalaanpassing worden gebruikt, moet u het hele datacenter toevoegen aan uw acceptatielijst.

Uitgaande IP-adressen van datacentrum

Als u de uitgaande IP-adressen die door uw functie-apps worden gebruikt, wilt toevoegen aan een acceptatielijst, kunt u het datacenter van de functie-apps (Azure-regio) ook toevoegen aan een acceptatielijst. U kunt een JSON-bestand met IP-adressen voor alle Azure-datacenters downloaden. Zoek vervolgens het JSON-fragment dat van toepassing is op de regio waarin uw functie-app wordt uitgevoerd.

Het volgende JSON-fragment is bijvoorbeeld hoe de acceptatielijst voor West-Europa eruit kan zien:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

Vouw de sectie Details van de pagina Downloadcentrum uit voor informatie over wanneer dit bestand wordt bijgewerkt en wanneer de IP-adressen worden gewijzigd.

Wijzigingen in inkomend IP-adres

Het binnenkomende IP-adres kan veranderen wanneer u:

• Een functie-app verwijdert en deze opnieuw maakt in een andere resourcegroep.
• De laatste functie-app in een combinatie van resourcegroep en regio verwijdert en deze opnieuw maakt.
• Verwijder een TLS-binding, zoals tijdens het vernieuwen van certificaten.

Wanneer uw functie-app wordt uitgevoerd in een verbruiksabonnement of in een Premium-abonnement, kan het binnenkomende IP-adres ook veranderen, zelfs wanneer u hier geen acties hebt ondernomen, zoals deze.

Wijzigingen in uitgaande IP-adressen

De relatieve stabiliteit van het uitgaande IP-adres is afhankelijk van het hostingplan.

Verbruiks- en Premium-abonnementen

Vanwege autoschaalgedrag kan het uitgaande IP-adres op elk willekeurig moment worden gewijzigd wanneer het wordt uitgevoerd op een verbruiksabonnement of in een Premium-abonnement.

Als u het uitgaande IP-adres van uw functie-app wilt beheren, bijvoorbeeld wanneer u deze wilt toevoegen aan een acceptatielijst, kunt u overwegen om een nat-gateway voor een virtueel netwerk te implementeren terwijl deze wordt uitgevoerd in een Premium-hostingabonnement. U kunt dit ook doen door een Dedicated (App Service)-abonnement te gebruiken.

Specifieke abonnementen

Wanneer een functie-app wordt uitgevoerd op toegewezen (App Service)-abonnementen, kan de set beschikbare uitgaande IP-adressen voor een functie-app veranderen wanneer u:

• Voer een actie uit waarmee het binnenkomende IP-adres kan worden gewijzigd.
• Wijzig de prijscategorie van uw Dedicated (App Service)-abonnement. De lijst met alle mogelijke uitgaande IP-adressen die uw app kan gebruiken, voor alle prijscategorieën, bevindt zich in de possibleOutboundIPAddresses eigenschap. Zie Uitgaande IP-adressen zoeken.

Een uitgaande IP-adreswijziging afdwingen

Gebruik de volgende procedure om opzettelijk een wijziging van het uitgaande IP-adres in een Toegewezen (App Service)-plan af te dwingen:

1. Schaal uw App Service-plan omhoog of omlaag tussen de prijscategorieën Standard en Premium v2.

2. Wacht tien minuten.

3. Schaal terug naar de locatie waar u bent begonnen.

IP-adresbeperkingen

U kunt een lijst met IP-adressen configureren die u toegang tot een functie-app wilt toestaan of weigeren. Zie Azure-app Service-toegangsbeperkingen voor meer informatie.

Toegewezen IP-adressen

Er zijn verschillende strategieën om te verkennen wanneer uw functie-app statische, toegewezen IP-adressen vereist.

NAT-gateway van virtueel netwerk voor uitgaand statisch IP-adres

U kunt het IP-adres van uitgaand verkeer van uw functies beheren door een NAT-gateway van een virtueel netwerk te gebruiken om verkeer via een statisch openbaar IP-adres te leiden. U kunt deze topologie gebruiken bij het uitvoeren in een Premium-abonnement of in een Dedicated-hostingabonnement. Zie zelfstudie: Uitgaande IP-adressen van Azure Functions beheren met een NAT-gateway van een virtueel Azure-netwerk voor meer informatie.

App Service-omgevingen

Voor volledige controle over de IP-adressen, zowel inkomend als uitgaand, raden we App Service-omgevingen aan (de geïsoleerde laag van App Service-plannen). Zie het overzicht van App Service Environment voor meer informatie.

Als u wilt controleren of uw functie-app wordt uitgevoerd in een App Service-omgeving:

Azure-portal

1. Meld u aan bij het Azure-portaal.
2. Navigeer naar de functie-app.
3. Selecteer het tabblad Overzicht.
4. De laag van het App Service-plan wordt weergegeven onder App Service-plan/prijscategorie. De prijscategorie App Service Environment is geïsoleerd.

Azure CLI

az resource show --resource-group <GROUP_NAME> --name <APP_NAME> --resource-type Microsoft.Web/sites --query properties.sku --output tsv

Azure PowerShell

$functionApp = Get-AzResource -ResourceGroupName <GROUP_NAME> -ResourceName <APP_NAME> -ResourceType Microsoft.Web/sites 
$functionApp.Properties.sku

De App Service-omgeving sku is Isolated.

Volgende stappen

Een veelvoorkomende oorzaak van IP-wijzigingen is wijzigingen in de schaal van de functie-app. Meer informatie over het schalen van functie-apps.