Endereços IP nas Funções do Azure

Este artigo explica os seguintes conceitos relacionados com endereços IP de aplicações de funções:

• Localizar os endereços IP atualmente em utilização por uma aplicação de funções.
• Condições que fazem com que os endereços IP da aplicação de funções mudem.
• Restringir os endereços IP que podem aceder a uma aplicação de funções.
• Definir endereços IP dedicados para uma aplicação de funções.

Os endereços IP estão associados a aplicações de funções e não a funções individuais. Os pedidos HTTP recebidos não podem utilizar o endereço IP de entrada para chamar funções individuais; têm de utilizar o nome de domínio predefinido (functionappname.azurewebsites.net) ou um nome de domínio personalizado.

Endereço IP de entrada da aplicação de funções

Cada aplicação de funções começa por utilizar um único endereço IP de entrada. Ao executar num plano De Consumo ou Premium, podem ser adicionados endereços IP de entrada adicionais à medida que ocorre o aumento horizontal orientado por eventos. Para localizar o endereço IP de entrada ou os endereços que estão a ser utilizados pela sua aplicação, utilize o nslookup utilitário do computador local, tal como no exemplo seguinte:

nslookup <APP_NAME>.azurewebsites.net

Neste exemplo, substitua pelo <APP_NAME> nome da aplicação de funções. Se a sua aplicação utilizar um nome de domínio personalizado, utilize nslookup para esse nome de domínio personalizado.

Endereços IP de saída da aplicação de funções

Cada aplicação de funções tem um conjunto de endereços IP de saída disponíveis. Qualquer ligação de saída de uma função, como uma base de dados de back-end, utiliza um dos endereços IP de saída disponíveis como o endereço IP de origem. Não pode saber antecipadamente qual o endereço IP que uma determinada ligação irá utilizar. Por este motivo, o serviço de back-end tem de abrir a firewall para todos os endereços IP de saída da aplicação de funções.

Dica

Para algumas funcionalidades ao nível da plataforma, como referências de Key Vault, o IP de origem pode não ser um dos IPs de saída e não deve configurar o recurso de destino para depender destes endereços específicos. Recomenda-se que, em vez disso, a aplicação utilize uma integração de rede virtual, uma vez que a plataforma encaminhará o tráfego para o recurso de destino através dessa rede.

Para encontrar os endereços IP de saída disponíveis para uma aplicação de funções:

Portal do Azure

1. Inicie sessão no Explorador de Recursos do Azure.
2. Selecione subscrições > {your subscription} > fornecedores > Microsoft.Web > sites.
3. No painel JSON, localize o site com uma id propriedade que termine no nome da sua aplicação de funções.
4. Veja outboundIpAddresses e possibleOutboundIpAddresses.

CLI do Azure

az functionapp show --resource-group <GROUP_NAME> --name <APP_NAME> --query outboundIpAddresses --output tsv
az functionapp show --resource-group <GROUP_NAME> --name <APP_NAME> --query possibleOutboundIpAddresses --output tsv

Azure PowerShell

$functionApp = Get-AzFunctionApp -ResourceGroupName <GROUP_NAME> -Name <APP_NAME>
$functionApp.OutboundIPAddress
$functionApp.PossibleOutboundIPAddress

O conjunto de outboundIpAddresses está atualmente disponível para a aplicação de funções. O conjunto de possibleOutboundIpAddresses inclui endereços IP que só estarão disponíveis se a aplicação de funções dimensionar para outros escalões de preço.

Nota

Quando uma aplicação de funções que é executada no plano de Consumo ou no plano Premium é dimensionada, pode ser atribuído um novo intervalo de endereços IP de saída. Ao executar qualquer um destes planos, não pode confiar nos endereços IP de saída comunicados para criar uma lista de permissões definitiva. Para poder incluir todos os endereços de saída potenciais utilizados durante o dimensionamento dinâmico, terá de adicionar todo o datacenter à lista de permissões.

Endereços IP de saída do datacenter

Se precisar de adicionar os endereços IP de saída utilizados pelas suas aplicações de funções a uma lista de permissões, outra opção é adicionar o datacenter das aplicações de funções (região do Azure) a uma lista de permissões. Pode transferir um ficheiro JSON que lista endereços IP para todos os datacenters do Azure. Em seguida, localize o fragmento JSON que se aplica à região em que a aplicação de funções é executada.

Por exemplo, o fragmento JSON seguinte é o aspeto da lista de permissões para a Europa Ocidental:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

Para obter informações sobre quando este ficheiro é atualizado e quando os endereços IP mudam, expanda a secção Detalhes da página Centro de Transferências.

Alterações ao endereço IP de entrada

O endereço IP de entrada pode ser alterado quando:

• Elimine uma aplicação de funções e recrie-a num grupo de recursos diferente.
• Elimine a última aplicação de funções numa combinação de grupo de recursos e região e recrie-a.
• Elimine um enlace TLS, como durante a renovação do certificado.

Quando a aplicação de funções é executada num plano de Consumo ou num plano Premium, o endereço IP de entrada também pode ser alterado mesmo quando não tiver realizado quaisquer ações, como as listadas acima.

Alterações ao endereço IP de saída

A estabilidade relativa do endereço IP de saída depende do plano de alojamento.

Planos De Consumo e Premium

Devido aos comportamentos de dimensionamento automático, o IP de saída pode ser alterado em qualquer altura quando é executado num plano de Consumo ou num plano Premium.

Se precisar de controlar o endereço IP de saída da sua aplicação de funções, como quando precisar de o adicionar a uma lista de permissões, considere implementar um NAT Gateway de rede virtual enquanto estiver em execução num plano de alojamento Premium. Também pode fazê-lo ao executar um plano Dedicado (Serviço de Aplicações).

Planos dedicados

Ao executar em Planos dedicados (Serviço de Aplicações), o conjunto de endereços IP de saída disponíveis para uma aplicação de funções pode ser alterado quando:

• Efetue qualquer ação que possa alterar o endereço IP de entrada.
• Altere o escalão de preço do plano Dedicado (Serviço de Aplicações). A lista de todos os endereços IP de saída possíveis que a sua aplicação pode utilizar, para todos os escalões de preço, está na possibleOutboundIPAddresses propriedade . Veja Localizar IPs de saída.

Forçar uma alteração de endereço IP de saída

Utilize o procedimento seguinte para forçar deliberadamente uma alteração de endereço IP de saída num plano Dedicado (Serviço de Aplicações):

1. Aumente ou reduza verticalmente o seu plano de Serviço de Aplicações entre os escalões de preço Standard e Premium v2.

2. Aguarde 10 minutos.

3. Volte a dimensionar para onde começou.

restrições de endereços IP

Pode configurar uma lista de endereços IP que pretende permitir ou negar o acesso a uma aplicação de funções. Para obter mais informações, veja Serviço de Aplicações do Azure Restrições de IP Estático.

Endereços IP dedicados

Existem várias estratégias para explorar quando a sua aplicação de funções requer endereços IP estáticos e dedicados.

Nat gateway de rede virtual para IP estático de saída

Pode controlar o endereço IP do tráfego de saída das suas funções através de um NAT Gateway de rede virtual para direcionar o tráfego através de um endereço IP público estático. Pode utilizar esta topologia ao executar num plano Premium ou num plano Dedicado (Serviço de Aplicações). Para saber mais, veja Tutorial: Controlar Funções do Azure IP de saída com um NAT Gateway de rede virtual do Azure.

Ambientes do App Service

Para controlo total sobre os endereços IP, tanto de entrada como de saída, recomendamos Serviço de Aplicações Ambientes (a camada isolada de planos de Serviço de Aplicações). Para obter mais informações, veja Ambiente do Serviço de Aplicações endereços IP e Como controlar o tráfego de entrada para um Ambiente do Serviço de Aplicações.

Para saber se a aplicação de funções é executada num Ambiente do Serviço de Aplicações:

Portal do Azure

1. Inicie sessão no portal do Azure.
2. Navegue para a aplicação de funções.
3. Selecione o separador Descrição Geral.
4. O escalão de plano Serviço de Aplicações é apresentado em Serviço de Aplicações plano/escalão de preço. O escalão de preço Ambiente do Serviço de Aplicações é Isolado.

CLI do Azure

az resource show --resource-group <GROUP_NAME> --name <APP_NAME> --resource-type Microsoft.Web/sites --query properties.sku --output tsv

Azure PowerShell

$functionApp = Get-AzResource -ResourceGroupName <GROUP_NAME> -ResourceName <APP_NAME> -ResourceType Microsoft.Web/sites 
$functionApp.Properties.sku

A Ambiente do Serviço de Aplicações sku é Isolated.

Passos seguintes

Uma causa comum das alterações de IP são as alterações à escala da aplicação de funções. Saiba mais sobre o dimensionamento da aplicação de funções.