Options de mise en réseau d’Azure FunctionsAzure Functions networking options

Cet article décrit les fonctionnalités de mise en réseau disponibles dans les options d’hébergement pour Azure Functions.This article describes the networking features available across the hosting options for Azure Functions. Toutes les options de mise en réseau suivantes vous permettent d’accéder à des ressources sans utiliser d’adresses routables sur Internet, ou de restreindre l’accès à Internet à une application de fonction.All the following networking options give you some ability to access resources without using internet-routable addresses or to restrict internet access to a function app.

Les modèles d’hébergement offrent différents niveaux d’isolement réseau.The hosting models have different levels of network isolation available. Le choix de l’option appropriée vous aide à répondre à vos besoins d’isolement réseau.Choosing the correct one helps you meet your network isolation requirements.

Vous pouvez héberger des applications de fonction de deux façons :You can host function apps in a couple of ways:

  • Vous avez le choix entre des plans qui s’exécutent sur une infrastructure mutualisée, avec divers niveaux de connectivité au réseau virtuel et diverses options de mise à l’échelle :You can choose from plan options that run on a multitenant infrastructure, with various levels of virtual network connectivity and scaling options:
    • Le plan Consommation, qui s’adapte de façon dynamique en réponse à la charge et offre des options d’isolement réseau minimal.The Consumption plan scales dynamically in response to load and offers minimal network isolation options.
    • Le plan Premium, qui s’adapte de façon dynamique tout en offrant un isolement réseau plus complet.The Premium plan also scales dynamically and offers more comprehensive network isolation.
    • Le plan Azure App Service opère à une échelle fixe et offre un offre isolement réseau similaire au plan Premium.The Azure App Service plan operates at a fixed scale and offers network isolation similar to the Premium plan.
  • Vous pouvez exécuter des fonctions dans un Azure App Service Environment.You can run functions in an App Service Environment. Cette méthode déploie votre fonction dans votre réseau virtuel et offre un contrôle et un isolement réseau complets.This method deploys your function into your virtual network and offers full network control and isolation.

Matrice de fonctionnalités de mise en réseauMatrix of networking features

FonctionnalitéFeature Plan ConsommationConsumption plan Plan PremiumPremium plan Plan dédiéDedicated plan ASEASE KubernetesKubernetes
Restrictions d’adresses IP entrantes et accès aux sites privésInbound IP restrictions and private site access ✅Oui✅Yes ✅Oui✅Yes ✅Oui✅Yes ✅Oui✅Yes ✅Oui✅Yes
Intégration du réseau virtuelVirtual network integration ❌Non❌No ✅Oui (Zones géographiques)✅Yes (Regional) ✅Oui (Zones géographiques et Passerelle)✅Yes (Regional and Gateway) ✅Oui✅Yes ✅Oui✅Yes
Déclencheurs de réseau virtuel (non HTTP)Virtual network triggers (non-HTTP) ❌Non❌No ✅Oui✅Yes ✅Oui✅Yes ✅Oui✅Yes ✅Oui✅Yes
Connexions hybrides (Windows uniquement)Hybrid connections (Windows only) ❌Non❌No ✅Oui✅Yes ✅Oui✅Yes ✅Oui✅Yes ✅Oui✅Yes
Restrictions d’adresse IP sortantesOutbound IP restrictions ❌Non❌No ✅Oui✅Yes ✅Oui✅Yes ✅Oui✅Yes ✅Oui✅Yes

Restrictions d’adresse IP entrantesInbound IP restrictions

Vous pouvez utiliser des restrictions d’adresse IP pour définir la liste des adresses IP classées par ordre de priorité qui sont autorisées ou non à accéder à votre application.You can use IP restrictions to define a priority-ordered list of IP addresses that are allowed or denied access to your app. La liste peut inclure des adresses IPv4 et IPv6.The list can include IPv4 and IPv6 addresses. Lorsqu’il y a une ou plusieurs entrées, une règle implicite « Tout refuser » se trouve à la fin de la liste.When there are one or more entries, an implicit "deny all" exists at the end of the list. Les restrictions d’adresse IP fonctionnent avec toutes les options d’hébergement de fonction.IP restrictions work with all function-hosting options.

Notes

Une fois les restrictions réseau en place, vous ne pouvez utiliser l'éditeur du portail qu'à partir de votre réseau virtuel ou après avoir ajouté l'adresse IP de la machine que vous utilisez pour accéder au Portail Azure sur la liste des destinataires approuvés.With network restrictions in place, you can use the portal editor only from within your virtual network, or when you've put the IP address of the machine you're using to access the Azure portal on the Safe Recipients list. Néanmoins, vous pouvez aussi accéder aux fonctionnalités à partir de l'onglet Fonctionnalités de la plateforme de n'importe quel ordinateur.However, you can still access any features on the Platform features tab from any machine.

Pour en savoir plus, consultez Restrictions d’accès statique Azure App Service.To learn more, see Azure App Service static access restrictions.

Accès aux sites privésPrivate site access

L’accès aux sites privés fait référence au fait de rendre votre application accessible uniquement à partir d’un réseau privé, par exemple, à partir d’un réseau virtuel Azure.Private site access refers to making your app accessible only from a private network, such as an Azure virtual network.

  • L’accès aux sites privés est disponible dans les plans Premium, Consommation et App Service quand des points de terminaison de service sont configurés.Private site access is available in the Premium, Consumption, and App Service plans when service endpoints are configured.
    • Les points de terminaison de service peuvent être configurés pour chaque application, sous Fonctionnalités de la plateforme > Mise en réseau > Configurer des restrictions d’accès > Ajouter une règle.Service endpoints can be configured on a per-app basis under Platform features > Networking > Configure Access Restrictions > Add Rule. Les réseaux virtuels peuvent maintenant être sélectionnés comme un type de règle.Virtual networks can now be selected as a rule type.
    • Pour plus d’informations, consultez Points de terminaison de service de réseau virtuel.For more information, see Virtual network service endpoints.
    • N'oubliez pas qu'avec les points de terminaison de service, votre fonction dispose toujours d'un accès sortant complet à Internet, même si l'intégration au réseau virtuel est configurée.Keep in mind that with service endpoints, your function still has full outbound access to the internet, even with virtual network integration configured.
  • L'accès aux sites privés est également disponible via une instance d'Azure App Service Environment configurée avec un équilibreur de charge interne (ILB).Private site access is also available within an App Service Environment that's configured with an internal load balancer (ILB). Pour plus d’informations, consultez Créer et utiliser un équilibreur de charge interne avec un Azure App Service Environment.For more information, see Create and use an internal load balancer with an App Service Environment.

Pour apprendre à configurer l’accès privé aux site, consultez Établir l’accès privé aux sites avec Azure Functions.To learn how to set up private site access, see Establish Azure Functions private site access.

Intégration du réseau virtuelVirtual network integration

L’intégration de réseau virtuel permet à votre Function App d’accéder aux ressources au sein d’un réseau virtuel.Virtual network integration allows your function app to access resources inside a virtual network. Azure Functions prend en charge deux types d’intégration de réseau virtuel :Azure Functions supports two kinds of virtual network integration:

  • Les systèmes multilocataires qui prennent en charge l’ensemble des plans de tarification, excepté « Isolé ».The multitenant systems that support the full range of pricing plans except Isolated.
  • La fonctionnalité App Service Environment qui opère un déploiement dans votre réseau virtuel et prend en charge les applications à plan tarifaire Isolé.The App Service Environment, which deploys into your VNet and supports Isolated pricing plan apps.

La fonctionnalité d’intégration au réseau virtuel est utilisée dans les applications mutualisées.The VNet Integration feature is used in multitenant apps. Si votre application se trouve dans Azure App Service Environment, elle est déjà dans un réseau virtuel et ne nécessite pas l’utilisation de la fonctionnalité d’intégration au réseau virtuel pour accéder aux ressources du même réseau virtuel.If your app is in App Service Environment, then it's already in a VNet and doesn't require use of the VNet Integration feature to reach resources in the same VNet. Pour plus d’informations sur toutes les fonctionnalités de mise en réseau, consultez Fonctionnalités de mise en réseau App Service.For more information on all of the networking features, see App Service networking features.

L’intégration au réseau virtuel permet à votre application d’accéder aux ressources de votre réseau virtuel, sans pour autant accorder d’accès privé entrant à votre application à partir du réseau virtuel.VNet Integration gives your app access to resources in your VNet, but it doesn't grant inbound private access to your app from the VNet. L’accès aux sites privés fait référence au fait de rendre une application accessible uniquement à partir d’un réseau privé, par exemple à partir d’un réseau virtuel Azure.Private site access refers to making an app accessible only from a private network, such as from within an Azure virtual network. L’intégration au réseau virtuel sert uniquement à passer des appels sortants de votre application vers votre réseau virtuel.VNet Integration is used only to make outbound calls from your app into your VNet. La fonctionnalité d’intégration au réseau virtuel se comporte différemment lorsqu’elle est utilisée avec un réseau virtuel situé dans la même région et dans d’autres régions.The VNet Integration feature behaves differently when it's used with VNet in the same region and with VNet in other regions. La fonctionnalité d’intégration au réseau virtuel présente deux variantes :The VNet Integration feature has two variations:

  • Intégration au réseau virtuel régional : Quand vous vous connectez à des réseaux virtuels Azure Resource Manager dans la même région, vous devez disposer d’un sous-réseau dédié dans le réseau virtuel avec lequel vous vous intégrez.Regional VNet Integration: When you connect to Azure Resource Manager virtual networks in the same region, you must have a dedicated subnet in the VNet you're integrating with.
  • Intégration au réseau virtuel avec passerelle obligatoire : Lors de la connexion à des réseaux virtuels dans d’autres régions ou à un réseau virtuel classique dans la même région, vous avez besoin d’une passerelle de réseau virtuel Azure approvisionnée dans le réseau virtuel cible.Gateway-required VNet Integration: When you connect to VNet in other regions or to a classic virtual network in the same region, you need an Azure Virtual Network gateway provisioned in the target VNet.

Les fonctionnalités d’intégration au réseau virtuel :The VNet Integration features:

  • Nécessitent un plan tarifaire Standard, Premium, PremiumV2 ou Élastique Premium.Require a Standard, Premium, PremiumV2, or Elastic Premium pricing plan.
  • Prennent en charge les protocoles TCP et UDP.Support TCP and UDP.
  • Fonctionnent avec les applications Azure App Service et les applications de fonction.Work with Azure App Service apps and function apps.

L’intégration au réseau virtuel ne prend pas en charge certaines choses, notamment :There are some things that VNet Integration doesn't support, like:

  • Montage d’un lecteur.Mounting a drive.
  • Intégration d’Active Directory.Active Directory integration.
  • NetBIOS.NetBIOS.

L’intégration au réseau virtuel avec passerelle obligatoire fournit un accès aux ressources uniquement du réseau virtuel cible, ou des réseaux connectés au réseau virtuel cible avec un peering ou des réseaux privés virtuels.Gateway-required VNet Integration provides access to resources only in the target VNet or in networks connected to the target VNet with peering or VPNs. L’intégration au réseau virtuel avec passerelle obligatoire n’autorise pas l’accès aux ressources disponibles sur les connexions ExpressRoute Azure ou fonctionne avec des points de terminaison de service.Gateway-required VNet Integration doesn't enable access to resources available across Azure ExpressRoute connections or works with service endpoints.

Quelle que soit la version utilisée, l’intégration au réseau virtuel permet à votre application d’accéder aux ressources de votre réseau virtuel, mais n’accorde pas d’accès privé entrant à votre application à partir du réseau virtuel.Regardless of the version used, VNet Integration gives your app access to resources in your VNet, but it doesn't grant inbound private access to your app from the VNet. L’accès à un site privé fait référence au fait de rendre votre application accessible uniquement à partir d’un réseau privé tel qu’un réseau virtuel Azure.Private site access refers to making your app accessible only from a private network, such as from within an Azure VNet. L'intégration au réseau virtuel sert uniquement à passer des appels sortants de votre application vers votre réseau virtuel.VNet Integration is only for making outbound calls from your app into your VNet.

Dans Azure Functions, l'intégration au réseau virtuel utilise une infrastructure partagée avec les applications Web App Service.Virtual network integration in Azure Functions uses shared infrastructure with App Service web apps. Pour en savoir plus sur les deux types d'intégration au réseau virtuel, consultez :To learn more about the two types of virtual network integration, see:

Pour savoir comment configurer l’intégration au réseau virtuel, consultez Intégrer une application de fonction à un réseau virtuel Azure.To learn how to set up virtual network integration, see Integrate a function app with an Azure virtual network.

Intégration du réseau virtuel régionalRegional virtual network integration

L’utilisation de l’intégration au réseau virtuel régional permet à votre application d’accéder aux :Using regional VNet Integration enables your app to access:

  • Ressources d’un réseau virtuel dans la même région que votre application.Resources in a VNet in the same region as your app.
  • Ressources de réseaux virtuels appairés au réseau virtuel auquel votre application est intégrée.Resources in VNets peered to the VNet your app is integrated with.
  • Services sécurisés des points de terminaison de service.Service endpoint secured services.
  • Ressources sur des connexions Azure ExpressRoute.Resources across Azure ExpressRoute connections.
  • Ressources dans le réseau virtuel auquel vous êtes intégré.Resources in the VNet you're integrated with.
  • Ressources sur des connexions appairées, notamment des connexions Azure ExpressRoute.Resources across peered connections, which includes Azure ExpressRoute connections.
  • Instances Private EndpointPrivate endpoints

Lorsque vous utilisez l’intégration au réseau virtuel avec des réseaux virtuels d’une même région, vous pouvez utiliser les fonctionnalités de même en réseau Azure suivantes :When you use VNet Integration with VNets in the same region, you can use the following Azure networking features:

  • Groupes de sécurité réseau (NSG)  : Vous pouvez bloquer le trafic sortant avec un groupe de sécurité réseau placé sur votre sous-réseau d’intégration.Network security groups (NSGs): You can block outbound traffic with an NSG that's placed on your integration subnet. Les règles de trafic entrant ne s’appliquent pas, car vous ne pouvez pas utiliser l’intégration au réseau virtuel pour fournir un accès entrant à votre application.The inbound rules don't apply because you can't use VNet Integration to provide inbound access to your app.
  • Tables de routage (Routes définies par l’utilisateur)  : Vous pouvez placer une table de routage sur le sous-réseau d’intégration pour envoyer le trafic sortant où vous voulez.Route tables (UDRs): You can place a route table on the integration subnet to send outbound traffic where you want.

Par défaut, votre application route seulement le trafic RFC1918 vers votre réseau virtuel.By default, your app routes only RFC1918 traffic into your VNet. Si vous voulez router tout le trafic sortant vers votre réseau virtuel, appliquez le paramètre d’application WEBSITE_VNET_ROUTE_ALL à votre application.If you want to route all of your outbound traffic into your VNet, apply the app setting WEBSITE_VNET_ROUTE_ALL to your app. Pour configurer le paramètre d’application :To configure the app setting:

  1. Accédez à l’interface utilisateur Configuration dans votre portail d’application.Go to the Configuration UI in your app portal. Sélectionnez Nouveau paramètre d’application.Select New application setting.

  2. Entrez WEBSITE_VNET_ROUTE_ALL dans la zone Nom et 1 dans la zone Valeur.Enter WEBSITE_VNET_ROUTE_ALL in the Name box, and enter 1 in the Value box.

    Fournir le paramètre d’application

  3. Sélectionnez OK.Select OK.

  4. Sélectionnez Enregistrer.Select Save.

Si vous routez tout le trafic sortant vers votre réseau virtuel, il est soumis aux groupes de sécurité réseau et aux routes définies par l’utilisateur appliqués à votre sous-réseau d’intégration.If you route all of your outbound traffic into your VNet, it's subject to the NSGs and UDRs that are applied to your integration subnet. Lorsque vous acheminez tout le trafic sortant vers votre réseau virtuel, vos adresses sortantes sont toujours les adresses sortantes listées dans les propriétés de votre application, sauf si vous fournissez les routes pour envoyer le trafic ailleurs.When you route all of your outbound traffic into your VNet, your outbound addresses are still the outbound addresses that are listed in your app properties unless you provide routes to send the traffic elsewhere.

Il existe certaines limitations concernant l’utilisation de l’intégration au réseau virtuel avec les réseaux virtuels d’une même région :There are some limitations with using VNet Integration with VNets in the same region:

  • Vous ne pouvez pas accéder à des ressources via des connexions d’appairage mondiales.You can't reach resources across global peering connections.
  • La fonctionnalité est disponible seulement à partir des unités d’échelle Azure App Service récentes qui prennent en charge les plans App Service PremiumV2.The feature is available only from newer Azure App Service scale units that support PremiumV2 App Service plans. Notez que cela ne signifie pas que votre application doive s’exécuter sur un niveau tarifaire PremiumV2, mais seulement qu’elle doit s’exécuter sur un plan App Service pour lequel l’option PremiumV2 est disponible (ce qui signifie qu’il s’agit d’une unité d’échelle plus récente où cette fonctionnalité d’intégration au réseau virtuel est également disponible).Note that this does not mean your app must run on a PremiumV2 pricing tier, only that it must run on an App Service Plan where the PremiumV2 option is available (which implies that it is a newer scale unit where this VNet integration feature is then also available).
  • Le sous-réseau d’intégration peut être utilisé par un seul plan App Service.The integration subnet can be used by only one App Service plan.
  • La fonctionnalité ne peut pas être utilisée par des applications de plan Isolé qui se trouvent dans un environnement App Service.The feature can't be used by Isolated plan apps that are in an App Service Environment.
  • La fonctionnalité nécessite un sous-réseau inutilisé /27 avec 32 adresses ou d’une taille supérieure, dans un réseau virtuel Azure Resource Manager.The feature requires an unused subnet that's a /27 with 32 addresses or larger in an Azure Resource Manager VNet.
  • L’application et le réseau virtuel doivent être dans la même région.The app and the VNet must be in the same region.
  • Vous ne pouvez pas supprimer un réseau virtuel avec une application intégrée.You can't delete a VNet with an integrated app. Supprimez l’intégration avant de supprimer le réseau virtuel.Remove the integration before you delete the VNet.
  • L’intégration ne peut se faire qu’avec des réseaux virtuels figurant dans le même abonnement que l’application.You can only integrate with VNets in the same subscription as the app.
  • Vous ne pouvez disposer que d’une seule intégration au réseau virtuel régional par plan App Service.You can have only one regional VNet Integration per App Service plan. Plusieurs applications d’un même plan App Service peuvent utiliser le même réseau virtuel.Multiple apps in the same App Service plan can use the same VNet.
  • Vous ne pouvez pas changer l’abonnement d’une application ou d’un plan quand une application utilise l’intégration au réseau virtuel régional.You can't change the subscription of an app or a plan while there's an app that's using regional VNet Integration.
  • Votre application ne peut pas résoudre les adresses dans Azure DNS Private Zones sans modification de la configuration.Your app cannot resolve addresses in Azure DNS Private Zones without configuration changes

Une adresse est utilisée pour chaque instance du plan.One address is used for each plan instance. Si vous mettez votre application à l’échelle vers cinq instances, cinq adresses sont utilisées.If you scale your app to five instances, then five addresses are used. Comme la taille du sous-réseau ne peut pas être modifiée après l’affectation, vous devez utiliser un sous-réseau suffisamment grand pour s’adapter à la taille que votre application est susceptible d’atteindre.Since subnet size can't be changed after assignment, you must use a subnet that's large enough to accommodate whatever scale your app might reach. Une taille de /26 avec 64 adresses est recommandée.A /26 with 64 addresses is the recommended size. Un sous-réseau /26 avec 64 adresses contient un plan Premium avec 30 instances.A /26 with 64 addresses accommodates a Premium plan with 30 instances. Lorsque vous modifiez un plan à la hausse ou à la baisse, vous avez brièvement besoin de deux fois plus d’adresses.When you scale a plan up or down, you need twice as many addresses for a short period of time.

Si vous voulez que vos applications d’un autre plan atteignent un réseau virtuel auquel sont déjà connectées des applications d’un autre plan, sélectionnez un sous-réseau différent de celui utilisé par l’intégration au réseau virtuel préexistante.If you want your apps in another plan to reach a VNet that's already connected to by apps in another plan, select a different subnet than the one being used by the preexisting VNet Integration.

La fonctionnalité est entièrement prise en charge pour les applications web Windows et Linux.The feature is fully supported for both Windows and Linux web apps. Tous les comportements sont identiques entre les applications Windows et les applications Linux.All of the behaviors act the same between Windows apps and Linux apps.

Points de terminaison de serviceService endpoints

L’intégration au réseau virtuel régional vous permet d’utiliser des points de terminaison de service.Regional VNet Integration enables you to use service endpoints. Pour utiliser des points de terminaison de service avec votre application, servez-vous de l’intégration au réseau virtuel régional pour vous connecter à un réseau virtuel sélectionné, puis configurez des points de terminaison de service avec le service de destination sur le sous-réseau que vous avez utilisé pour l’intégration.To use service endpoints with your app, use regional VNet Integration to connect to a selected VNet and then configure service endpoints with the destination service on the subnet you used for the integration. Si vous souhaitez ensuite accéder à un service via des points de terminaison de service :If you then wanted to access a service over service endpoints:

  1. configurez l’intégration au réseau virtuel régional à votre application webconfigure regional VNet Integration with your web app
  2. accédez au service de destination et configurez des points de terminaison de service sur le sous-réseau utilisé pour l’intégrationgo to the destination service and configure service endpoints against the subnet used for integration

Groupes de sécurité réseauNetwork security groups

Vous pouvez utiliser des groupes de sécurité réseau pour bloquer le trafic entrant et sortant vers des ressources d’un réseau virtuel.You can use network security groups to block inbound and outbound traffic to resources in a VNet. Une application utilisant l’intégration au réseau virtuel régional peut utiliser un groupe de sécurité réseau pour bloquer le trafic sortant vers des ressources dans votre réseau virtuel ou sur Internet.An app that uses regional VNet Integration can use a network security group to block outbound traffic to resources in your VNet or the internet. Pour bloquer le trafic vers des adresses publiques, le paramètre d’application WEBSITE_VNET_ROUTE_ALL doit être défini sur 1.To block traffic to public addresses, you must have the application setting WEBSITE_VNET_ROUTE_ALL set to 1. Les règles de trafic entrant dans un groupe de sécurité réseau ne s’appliquent pas à votre application, car l’intégration au réseau virtuel n’a d’incidence que sur le trafic sortant depuis votre application.The inbound rules in an NSG don't apply to your app because VNet Integration affects only outbound traffic from your app.

Pour contrôler le trafic entrant vers votre application, utilisez la fonctionnalité Restrictions d’accès.To control inbound traffic to your app, use the Access Restrictions feature. Un groupe de sécurité réseau appliqué à votre sous-réseau d’intégration est actif quelles que soient les routes appliquées à votre sous-réseau d’intégration.An NSG that's applied to your integration subnet is in effect regardless of any routes applied to your integration subnet. Si WEBSITE_VNET_ROUTE_ALL est défini sur 1 et que vous n’avez aucune route affectant le trafic des adresses publiques sur votre sous-réseau d’intégration, l’ensemble du trafic sortant est toujours soumis aux groupes de sécurité réseau affectés à votre sous-réseau d’intégration.If WEBSITE_VNET_ROUTE_ALL is set to 1 and you don't have any routes that affect public address traffic on your integration subnet, all of your outbound traffic is still subject to NSGs assigned to your integration subnet. Si WEBSITE_VNET_ROUTE_ALL n’est pas défini, les groupes de sécurité réseau s’appliquent seulement au trafic RFC1918.If WEBSITE_VNET_ROUTE_ALL isn't set, NSGs are only applied to RFC1918 traffic.

ItinérairesRoutes

Vous pouvez utiliser des tables de routage pour router le trafic sortant depuis votre application vers où vous voulez.You can use route tables to route outbound traffic from your app to wherever you want. Par défaut, les tables de routage affectent seulement votre trafic de destination RFC1918.By default, route tables only affect your RFC1918 destination traffic. Si définissez WEBSITE_VNET_ROUTE_ALL sur 1, tous vos appels sortants seront affectés.If you set WEBSITE_VNET_ROUTE_ALL to 1, all of your outbound calls are affected. Les routes définies sur votre sous-réseau d’intégration n’affectent pas les réponses aux requêtes d’application entrantes.Routes that are set on your integration subnet won't affect replies to inbound app requests. Les destinations courantes peuvent inclure des pare-feu ou des passerelles.Common destinations can include firewall devices or gateways.

Si vous souhaitez router tout le trafic sortant localement, vous pouvez utiliser une table de route pour envoyer l’intégralité du trafic sortant vers votre passerelle ExpressRoute.If you want to route all outbound traffic on-premises, you can use a route table to send all outbound traffic to your ExpressRoute gateway. Si vous choisissez de router le trafic vers une passerelle, veillez à définir des routes dans le réseau externe pour renvoyer des réponses.If you do route traffic to a gateway, be sure to set routes in the external network to send any replies back.

Les routes BGP (Border Gateway Protocol) affectent également le trafic de votre application.Border Gateway Protocol (BGP) routes also affect your app traffic. Si vous avez des routes BGP provenant par exemple d’une passerelle ExpressRoute, le trafic sortant de votre application sera affecté.If you have BGP routes from something like an ExpressRoute gateway, your app outbound traffic will be affected. Par défaut, les routes BGP affectent seulement votre trafic de destination RFC1918.By default, BGP routes affect only your RFC1918 destination traffic. Si WEBSITE_VNET_ROUTE_ALL est défini sur 1, tout le trafic sortant peut être affecté par vos routes BGP.If WEBSITE_VNET_ROUTE_ALL is set to 1, all outbound traffic can be affected by your BGP routes.

Azure DNS Private ZonesAzure DNS Private Zones

Une fois que votre application est intégrée à votre réseau virtuel, elle utilise le même serveur DNS que celui avec lequel votre réseau virtuel est configuré.After your app integrates with your VNet, it uses the same DNS server that your VNet is configured with. Par défaut, votre application ne fonctionnera pas avec Azure DNS Private Zones.By default, your app won't work with Azure DNS Private Zones. Pour qu’elle fonctionne avec Azure DNS Private Zones, vous devez ajouter les paramètres d’application suivants :To work with Azure DNS Private Zones you need to add the following app settings:

  1. WEBSITE_DNS_SERVER avec la valeur 168.63.129.16WEBSITE_DNS_SERVER with value 168.63.129.16
  2. WEBSITE_VNET_ROUTE_ALL avec la valeur 1WEBSITE_VNET_ROUTE_ALL with value 1

Ces paramètres envoient l’ensemble de vos appels sortants de votre application vers votre réseau virtuel, en plus de permettre à votre application d’utiliser Azure DNS Private Zones.These settings will send all of your outbound calls from your app into your VNet in addition to enabling your app to use Azure DNS private zones.

Instances Private EndpointPrivate endpoints

Si vous souhaitez effectuer des appels à des points de terminaison privés, vous devez soit les intégrer à Azure DNS Private Zones, soit gérer le point de terminaison privé dans le serveur DNS utilisé par votre application.If you want to make calls to Private Endpoints, then you need to either integrate with Azure DNS Private Zones or manage the private endpoint in the DNS server used by your app.

Se connecter à des ressources sécurisées de point de terminaison de serviceConnect to service endpoint secured resources

Afin d’offrir un niveau de sécurité supérieur, vous pouvez restreindre un nombre de services Azure sur un réseau virtuel en utilisant des points de terminaison de service.To provide a higher level of security, you can restrict a number of Azure services to a virtual network by using service endpoints. Vous devez ensuite intégrer votre application de fonction à ce réseau virtuel pour accéder à la ressource.You must then integrate your function app with that virtual network to access the resource. Cette configuration est prise en charge sur tous les plans qui prennent en charge l’intégration du réseau virtuel.This configuration is supported on all plans that support virtual network integration.

Pour plus d’informations, consultez Points de terminaison de service de réseau virtuel.To learn more, see Virtual network service endpoints.

Restreindre votre compte de stockage à un réseau virtuelRestrict your storage account to a virtual network

Quand vous créez une application de fonction, vous devez créer un compte de stockage Azure à usage général qui prend en charge le stockage Blob, File d’attente et Table, ou établir un lien vers un compte de ce type.When you create a function app, you must create or link to a general-purpose Azure Storage account that supports Blob, Queue, and Table storage. Actuellement, vous ne pouvez pas utiliser de restrictions de réseau virtuel sur ce compte.You can't currently use any virtual network restrictions on this account. La configuration d’un point de terminaison de service de réseau virtuel sur le compte de stockage que vous utilisez pour votre application de fonction entraîne l’arrêt de votre application.If you configure a virtual network service endpoint on the storage account you're using for your function app, that configuration will break your app.

Pour plus d’informations, consultez Exigences pour le compte de stockage.To learn more, see Storage account requirements.

Utiliser des références Key VaultUse Key Vault references

Vous pouvez utiliser des références Azure Key Vault pour utiliser des secrets d’Azure Key Vault dans votre application Azure Functions, sans avoir à modifier le code.You can use Azure Key Vault references to use secrets from Azure Key Vault in your Azure Functions application without requiring any code changes. Azure Key Vault est un service qui fournit une gestion centralisée des secrets, avec un contrôle total sur les stratégies d’accès et l’historique d’audit.Azure Key Vault is a service that provides centralized secrets management, with full control over access policies and audit history.

Actuellement, les références Key Vault ne fonctionnent pas si votre coffre de clés est sécurisé à l’aide de points de terminaison de service.Currently, Key Vault references won't work if your key vault is secured with service endpoints. Pour vous connecter à un coffre de clés en utilisant l’intégration de réseau virtuel, vous devez appeler le coffre de clés dans le code de votre application.To connect to a key vault by using virtual network integration, you need to call Key Vault in your application code.

Déclencheurs de réseau virtuel (non HTTP)Virtual network triggers (non-HTTP)

Vous pouvez utiliser des fonctions de déclencheur non-HTTP à partir d’un réseau virtuel de deux manières :Currently, you can use non-HTTP trigger functions from within a virtual network in one of two ways:

  • Exécutez votre application de fonction dans un plan Premium, et activez la prise en charge des déclencheurs de réseau virtuel.Run your function app in a Premium plan and enable virtual network trigger support.
  • Exécutez votre application de fonction dans un plan ou environnement App Service.Run your function app in an App Service plan or App Service Environment.

Plan Premium avec déclencheurs de réseau virtuelPremium plan with virtual network triggers

En cas d’exécution dans un plan Premium, vous pouvez connecter des fonctions de déclencheur non-HTTP à des services s’exécutant au sein d’un réseau virtuel.When you run a Premium plan, you can connect non-HTTP trigger functions to services that run inside a virtual network. Pour ce faire, vous devez activer la prise en charge des déclencheurs de réseau virtuel pour votre application de fonction.To do this, you must enable virtual network trigger support for your function app. Le paramètre de prise en charge des déclencheurs de réseau virtuel se trouve dans le portail Azure, sous Configuration > Paramètres d’exécution de la fonction.The virtual network trigger support setting is found in the Azure portal under Configuration > Function runtime settings.

VNETToggle

Vous pouvez également activer les déclencheurs de réseau virtuel en utilisant la commande Azure CLI suivante :You can also enable virtual network triggers by using the following Azure CLI command:

az resource update -g <resource_group> -n <function_app_name>/config/web --set properties.functionsRuntimeScaleMonitoringEnabled=1 --resource-type Microsoft.Web/sites

Les déclencheurs de réseau virtuel sont pris en charge dans la version 2.x et les versions ultérieures du runtime Functions.Virtual network triggers are supported in version 2.x and above of the Functions runtime. Les types de déclencheurs non-HTTP suivants sont pris en charge.The following non-HTTP trigger types are supported.

ExtensionExtension Version minimaleMinimum version
Microsoft.Azure.WebJobs.Extensions.StorageMicrosoft.Azure.WebJobs.Extensions.Storage 3.0.10 ou ultérieure3.0.10 or above
Microsoft.Azure.WebJobs.Extensions.EventHubsMicrosoft.Azure.WebJobs.Extensions.EventHubs 4.1.0 ou ultérieure4.1.0 or above
Microsoft.Azure.WebJobs.Extensions.ServiceBusMicrosoft.Azure.WebJobs.Extensions.ServiceBus 3.2.0 ou ultérieure3.2.0 or above
Microsoft.Azure.WebJobs.Extensions.CosmosDBMicrosoft.Azure.WebJobs.Extensions.CosmosDB 3.0.5 ou ultérieure3.0.5 or above
Microsoft.Azure.WebJobs.Extensions.DurableTaskMicrosoft.Azure.WebJobs.Extensions.DurableTask 2.0.0 ou ultérieure2.0.0 or above

Important

Lorsque vous activez la prise en charge des déclencheurs de réseau virtuel, seuls les types de déclencheurs présentés dans le tableau précédent sont mis à l’échelle de façon dynamique avec votre application.When you enable virtual network trigger support, only the trigger types shown in the previous table scale dynamically with your application. Vous pouvez toujours utiliser les déclencheurs qui ne figurent pas dans le tableau, mais ils ne sont pas mis à l’échelle au-delà de leur nombre d’instances préchauffées.You can still use triggers that aren't in the table, but they're not scaled beyond their pre-warmed instance count. Pour obtenir la liste complète des déclencheurs, consultez Déclencheurs et liaisons.For the complete list of triggers, see Triggers and bindings.

Plan App Service et App Service Environment avec déclencheurs de réseau virtuelApp Service plan and App Service Environment with virtual network triggers

Lorsque votre application de fonction s’exécute dans un plan App Service ou un App Service Environment, vous pouvez utiliser des fonctions de déclencheur non-HTTP.When your function app runs in either an App Service plan or an App Service Environment, you can use non-HTTP trigger functions. Pour le bon déclenchement de vos fonctions, vous devez être connecté à un réseau virtuel, avec accès à la ressource définie dans la connexion de déclenchement.For your functions to get triggered correctly, you must be connected to a virtual network with access to the resource defined in the trigger connection.

Supposons, par exemple, que vous souhaitiez configurer Azure Cosmos DB pour accepter le trafic uniquement à partir d’un réseau virtuel.For example, assume you want to configure Azure Cosmos DB to accept traffic only from a virtual network. Dans ce cas, vous devez déployer votre application de fonction dans un plan App Service fournissant une intégration de réseau virtuel à ce réseau virtuel.In this case, you must deploy your function app in an App Service plan that provides virtual network integration with that virtual network. L’intégration permet donc qu’une fonction soit déclenchée par cette ressource Azure Cosmos DB.Integration enables a function to be triggered by that Azure Cosmos DB resource.

les connexions hybridesHybrid Connections

Connexions hybrides est une fonctionnalité d’Azure Relay que vous pouvez utiliser pour accéder aux ressources d’application dans d’autres réseaux.Hybrid Connections is a feature of Azure Relay that you can use to access application resources in other networks. Elles permettent d’accéder depuis votre application à un point de terminaison d’application.It provides access from your app to an application endpoint. Vous ne pouvez pas l’utiliser pour accéder à votre application.You can't use it to access your application. La fonctionnalité Connexions hybrides est disponible pour les fonctions exécutées sur Windows dans tous les plans, sauf le plan Consommation.Hybrid Connections is available to functions that run on Windows in all but the Consumption plan.

Utilisée dans Azure Functions, chaque connexion hybride correspond à une combinaison d’hôte et de port TCP unique.As used in Azure Functions, each hybrid connection correlates to a single TCP host and port combination. Cela signifie que le point de terminaison de connexion hybride peut se trouver sur un quelconque système d’exploitation et toute application tant que vous accédez à un port d’écoute TCP.This means that the hybrid connection's endpoint can be on any operating system and any application as long as you're accessing a TCP listening port. La fonctionnalité Connexions hybrides ne détecte pas et ne prend pas en compte le protocole d’application ou les ressources auxquels vous accédez.The Hybrid Connections feature doesn't know or care what the application protocol is or what you're accessing. Elle fournit simplement un accès réseau.It just provides network access.

Pour plus d’informations, consultez la documentation App Service pour les connexions hybrides.To learn more, see the App Service documentation for Hybrid Connections. Ces mêmes étapes de configuration prennent en charge Azure Functions.These same configuration steps support Azure Functions.

Important

Les connexions hybrides sont uniquement prises en charge dans les plans Windows.Hybrid Connections is only supported on Windows plans. Linux n’est pas pris en charge.Linux isn't supported.

Restrictions d’adresse IP sortantesOutbound IP restrictions

Les restrictions d’adresse IP sortante sont disponibles dans un plan Premium, un plan App Service ou un App Service Environment.Outbound IP restrictions are available in a Premium plan, App Service plan, or App Service Environment. Vous pouvez configurer des restrictions sortantes pour le réseau virtuel sur lequel votre Azure App Service Environment est déployé.You can configure outbound restrictions for the virtual network where your App Service Environment is deployed.

Lorsque vous intégrez une application de fonction à un réseau virtuel dans le cadre d'un plan Premium ou App Service, l’application est toujours en mesure de passer des appels sortants vers Internet par défaut.When you integrate a function app in a Premium plan or an App Service plan with a virtual network, the app can still make outbound calls to the internet by default. En ajoutant le paramètre d’application WEBSITE_VNET_ROUTE_ALL=1, vous forcez l’envoi de tout le trafic sortant vers votre réseau virtuel, où des règles de groupe de sécurité réseau peuvent être utilisées pour restreindre le trafic.By adding the application setting WEBSITE_VNET_ROUTE_ALL=1, you force all outbound traffic to be sent into your virtual network, where network security group rules can be used to restrict traffic.

AutomatisationAutomation

Les API suivantes vous permettent de gérer par programmation les intégrations de réseaux virtuels régionaux :The following APIs let you programmatically manage regional virtual network integrations:

DépannageTroubleshooting

Cette fonctionnalité est facile à configurer, mais il est possible que vous rencontriez des problèmes.The feature is easy to set up, but that doesn't mean your experience will be problem free. Si vous rencontrez des difficultés pour accéder au point de terminaison souhaité, certains utilitaires vous permettent de tester la connectivité à partir de la console de l’application.If you encounter problems accessing your desired endpoint, there are some utilities you can use to test connectivity from the app console. Vous pouvez utiliser deux consoles :There are two consoles that you can use. la console Kudu et la console du Portail Azure.One is the Kudu console, and the other is the console in the Azure portal. Pour accéder à la console Kudu à partir de votre application, accédez à Outils > Kudu.To reach the Kudu console from your app, go to Tools > Kudu. Vous pouvez également accéder à la console Kudo via le site [nom du site].scm.azurewebsites.net.You can also reach the Kudo console at [sitename].scm.azurewebsites.net. Une fois le site chargé, accédez à l’onglet Console de débogage. Pour accéder à la console hébergée par le Portail Azure à partir de votre application, accédez à Outils > Console.After the website loads, go to the Debug console tab. To get to the Azure portal-hosted console from your app, go to Tools > Console.

OutilsTools

Les outils ping, nslookup et tracert ne fonctionnent pas dans la console en raison de contraintes de sécurité.The tools ping, nslookup, and tracert won't work through the console because of security constraints. Deux outils distincts ont été ajoutés pour les remplacer.To fill the void, two separate tools are added. Pour tester les fonctionnalités DNS, nous avons ajouté un outil nommé nameresolver.exe.To test DNS functionality, we added a tool named nameresolver.exe. La syntaxe est :The syntax is:

nameresolver.exe hostname [optional: DNS Server]

Vous pouvez utiliser nameresolver pour vérifier les noms d’hôte dont dépend votre application.You can use nameresolver to check the hostnames that your app depends on. De cette façon, vous pouvez tester si des éléments de votre serveur DNS sont mal configurés ou si vous n’avez pas accès à votre serveur DNS.This way you can test if you have anything misconfigured with your DNS or perhaps don't have access to your DNS server. Vous pouvez identifier le serveur DNS qu’utilise votre application dans la console en examinant les variables d’environnement WEBSITE_DNS_SERVER et WEBSITE_DNS_ALT_SERVER.You can see the DNS server that your app uses in the console by looking at the environmental variables WEBSITE_DNS_SERVER and WEBSITE_DNS_ALT_SERVER.

Vous pouvez utiliser l’outil suivant pour tester la connectivité TCP avec une combinaison hôte-port.You can use the next tool to test for TCP connectivity to a host and port combination. Il s’agit de l’outil tcpping, dont la syntaxe est la suivante :This tool is called tcpping and the syntax is:

tcpping.exe hostname [optional: port]

L’utilitaire tcpping vous indique si vous pouvez atteindre un hôte et un port spécifiques.The tcpping utility tells you if you can reach a specific host and port. Il ne peut réussir que si une application écoute au niveau de la combinaison hôte-port et si l’accès réseau de votre application à l’hôte et au port spécifiés est disponible.It can show success only if there's an application listening at the host and port combination, and there's network access from your app to the specified host and port.

Déboguer l’accès aux ressources hébergées sur un réseau virtuelDebug access to virtual network-hosted resources

Plusieurs choses peuvent empêcher votre application d’atteindre un hôte et un port spécifiques.A number of things can prevent your app from reaching a specific host and port. La plupart du temps, il s’agit de l’une des trois raisons suivantes :Most of the time it's one of these things:

  • Un pare-feu se trouve sur le trajet.A firewall is in the way. Si vous utilisez un pare-feu sur le trajet, vous dépassez le délai d’expiration TCP.If you have a firewall in the way, you hit the TCP timeout. Dans ce cas, il est de 21 secondes.The TCP timeout is 21 seconds in this case. Utilisez l’outil tcpping pour tester la connectivité.Use the tcpping tool to test connectivity. Les délais d’expiration TCP peuvent avoir de nombreuses autres origines, mais commencez par vérifier ce point.TCP timeouts can be caused by many things beyond firewalls, but start there.
  • DNS n’est pas accessible.DNS isn't accessible. Le délai d’expiration DNS est de 3 secondes par serveur DNS.The DNS timeout is 3 seconds per DNS server. Si vous avez deux serveurs DNS, le délai d’expiration est de 6 secondes.If you have two DNS servers, the timeout is 6 seconds. Utilisez nameresolver pour vérifier que le DNS fonctionne correctement.Use nameresolver to see if DNS is working. Vous ne pouvez pas utiliser nslookup, car il n’utilise pas le DNS avec lequel votre réseau virtuel est configuré.You can't use nslookup, because that doesn't use the DNS your virtual network is configured with. S’il n’est pas accessible, il se peut qu’un pare-feu ou un groupe de sécurité réseau (NSG) bloque l’accès au DNS ou que celui-ci est inopérant.If inaccessible, you could have a firewall or NSG blocking access to DNS or it could be down.

Si ces éléments ne suffisent pas à résoudre vos problèmes, commencez par vous poser les questions suivantes :If those items don't answer your problems, look first for things like:

Intégration au réseau virtuel régionalRegional VNet Integration

  • Votre destination est-elle une adresse non RFC1918 alors que la valeur de WEBSITE_VNET_ROUTE_ALL n’est pas 1 ?Is your destination a non-RFC1918 address and you don't have WEBSITE_VNET_ROUTE_ALL set to 1?
  • Y a-t-il un groupe de sécurité réseau qui bloque la sortie de votre sous-réseau d’intégration ?Is there an NSG blocking egress from your integration subnet?
  • Si elle transite par Azure ExpressRoute ou un VPN, votre passerelle locale est-elle configurée pour réacheminer le trafic vers Azure ?If you're going across Azure ExpressRoute or a VPN, is your on-premises gateway configured to route traffic back up to Azure? Si vous pouvez accéder à des points de terminaison dans votre réseau virtuel, mais pas en local, vérifiez vos routes.If you can reach endpoints in your virtual network but not on-premises, check your routes.
  • Disposez-vous d’autorisations suffisantes pour définir la délégation sur le sous-réseau d’intégration ?Do you have enough permissions to set delegation on the integration subnet? Durant la configuration de l’intégration au réseau virtuel régional, votre sous-réseau d’intégration est délégué à Microsoft.Web.During regional VNet Integration configuration, your integration subnet is delegated to Microsoft.Web. L’interface utilisateur de l’intégration au réseau virtuel délègue automatiquement le sous-réseau à Microsoft.Web.The VNet Integration UI delegates the subnet to Microsoft.Web automatically. Si votre compte ne dispose pas d’autorisations de mise en réseau suffisantes pour définir la délégation, vous devez demander à une personne autorisée de configurer les attributs de votre sous-réseau d’intégration de manière à déléguer celui-ci.If your account doesn't have sufficient networking permissions to set delegation, you'll need someone who can set attributes on your integration subnet to delegate the subnet. Pour déléguer manuellement le sous-réseau d’intégration, accédez à l’interface utilisateur du sous-réseau du service Réseau virtuel Azure et définissez la délégation sur Microsoft.Web.To manually delegate the integration subnet, go to the Azure Virtual Network subnet UI and set the delegation for Microsoft.Web.

Intégration au réseau virtuel avec passerelle obligatoireGateway-required VNet Integration

  • La plage d’adresses de point à site se trouve-t-elle dans les plages RFC 1918 (10.0.0.0 à 10.255.255.255, 172.16.0.0 à 172.31.255.255 ou 192.168.0.0 à 192.168.255.255) ?Is the point-to-site address range in the RFC 1918 ranges (10.0.0.0-10.255.255.255 / 172.16.0.0-172.31.255.255 / 192.168.0.0-192.168.255.255)?
  • Le portail indique-t-il que la passerelle fonctionne ?Does the gateway show as being up in the portal? Si votre passerelle est en panne, rétablissez-la.If your gateway is down, then bring it back up.
  • Les certificats apparaissent-ils comme étant synchronisés ou soupçonnez-vous une modification de la configuration réseau ?Do certificates show as being in sync, or do you suspect that the network configuration was changed? Si vos certificats ne sont pas synchronisés ou si vous pensez qu’une modification apportée à la configuration de votre réseau virtuel n’a pas été synchronisée avec vos ASP, sélectionnez Synchroniser le réseau.If your certificates are out of sync or you suspect that a change was made to your virtual network configuration that wasn't synced with your ASPs, select Sync Network.
  • Si vous utilisez un VPN, la passerelle locale est-elle configurée pour réacheminer le trafic vers Azure ?If you're going across a VPN, is the on-premises gateway configured to route traffic back up to Azure? Si vous pouvez accéder à des points de terminaison dans votre réseau virtuel, mais pas en local, vérifiez vos routes.If you can reach endpoints in your virtual network but not on-premises, check your routes.
  • Essayez-vous d’utiliser une passerelle de coexistence qui prend en charge à la fois la connectivité point à site et la connectivité ExpressRoute ?Are you trying to use a coexistence gateway that supports both point to site and ExpressRoute? Les passerelles de coexistence ne sont pas prises en charge avec l’intégration au réseau virtuel.Coexistence gateways aren't supported with VNet Integration.

Le débogage des problèmes de mise en réseau constitue un défi, car cette opération ne vous permet pas de voir ce qui bloque l’accès à une combinaison hôte-port spécifique.Debugging networking issues is a challenge because you can't see what's blocking access to a specific host:port combination. Les causes peuvent inclure :Some causes include:

  • Un pare-feu activé sur l’hôte empêche l’accès au port de l’application à partir de votre plage d’adresses IP de point à site.You have a firewall up on your host that prevents access to the application port from your point-to-site IP range. Des sous-réseaux croisés requièrent souvent un accès public.Crossing subnets often requires public access.
  • Votre hôte cible est hors-service.Your target host is down.
  • Votre application est arrêtée.Your application is down.
  • L’IP ou le nom d’hôte sont incorrects.You had the wrong IP or hostname.
  • Votre application est à l’écoute sur un port autre que celui auquel vous vous attendiez.Your application is listening on a different port than what you expected. Vous pouvez faire correspondre votre ID de processus avec le port d’écoute en utilisant « netstat -aon » sur l’hôte du point de terminaison.You can match your process ID with the listening port by using "netstat -aon" on the endpoint host.
  • Vos groupes de sécurité réseau sont configurés de telle sorte qu’ils empêchent l’accès à l’hôte et au port de votre application à partir de votre plage d’adresses IP de point à site.Your network security groups are configured in such a manner that they prevent access to your application host and port from your point-to-site IP range.

Vous ne savez pas quelle adresse votre application utilise réellement.You don't know what address your app actually uses. Cela peut être n’importe quelle adresse de la plage d’adresses de sous-réseau d’intégration ou de point à site. De ce fait, vous devez autoriser l’accès depuis toutes les adresses de la plage.It could be any address in the integration subnet or point-to-site address range, so you need to allow access from the entire address range.

Étapes de débogage supplémentaires :Additional debug steps include:

  • Connectez-vous à une machine virtuelle de votre réseau virtuel et essayez d’atteindre la combinaison hôte-port de vos ressources.Connect to a VM in your virtual network and attempt to reach your resource host:port from there. Pour tester l’accès à TCP, utilisez la commande PowerShell test-netconnection.To test for TCP access, use the PowerShell command test-netconnection. La syntaxe est :The syntax is:
test-netconnection hostname [optional: -Port]
  • Démarrez une application sur une machine virtuelle, puis testez l’accès à ces hôte et port à partir de la console de votre application en utilisant l’outil tcpping.Bring up an application on a VM and test access to that host and port from the console from your app by using tcpping.

Ressources localesOn-premises resources

Si votre application ne peut pas accéder à une ressource locale, vérifiez si vous pouvez atteindre la ressource à partir de votre réseau virtuel.If your app can't reach a resource on-premises, check if you can reach the resource from your virtual network. Utilisez la commande PowerShell test-netconnection pour vérifier l’accès à TCP.Use the test-netconnection PowerShell command to check for TCP access. Si votre machine virtuelle ne peut pas accéder à votre ressource locale, votre connexion VPN ou ExpressRoute n’est peut-être pas configurée correctement.If your VM can't reach your on-premises resource, your VPN or ExpressRoute connection might not be configured properly.

Si votre machine virtuelle hébergée sur le réseau virtuel peut atteindre votre système local, mais que votre application ne le peut pas, la raison en est probablement l’une des suivantes :If your virtual network-hosted VM can reach your on-premises system but your app can't, the cause is likely one of the following reasons:

  • Vos routes ne sont pas configurés avec vos plages d’adresses de sous-réseau ou de point à site dans votre passerelle locale.Your routes aren't configured with your subnet or point-to-site address ranges in your on-premises gateway.
  • Vos groupes de sécurité réseau bloquent l’accès de votre plage d’adresses IP de point à site.Your network security groups are blocking access for your point-to-site IP range.
  • Vos pare-feu locaux bloquent le trafic provenant de votre plage d’adresses IP de point à site.Your on-premises firewalls are blocking traffic from your point-to-site IP range.
  • Vous tentez d’atteindre une adresse non RFC 1918 en utilisant la fonctionnalité d’intégration au réseau virtuel régional.You're trying to reach a non-RFC 1918 address by using the regional VNet Integration feature.

Étapes suivantesNext steps

Pour en savoir plus sur la mise en réseau et Azure Functions :To learn more about networking and Azure Functions: