Azure İşlevleri'nde IP adresleri

Makale
06/29/2023

Bu makalede işlev uygulamalarının IP adresleriyle ilgili aşağıdaki kavramlar açıklanmaktadır:

bir işlev uygulaması tarafından kullanılmakta olan IP adreslerini bulma.
İşlev uygulaması IP adreslerinin değişmesine neden olan koşullar.
bir işlev uygulamasına erişebilecek IP adreslerini kısıtlama.
İşlev uygulaması için ayrılmış IP adresleri tanımlama.

IP adresleri tek tek işlevlerle değil işlev uygulamalarıyla ilişkilendirilir. Gelen HTTP istekleri, tek tek işlevleri çağırmak için gelen IP adresini kullanamaz; varsayılan etki alanı adını (functionappname.azurewebsites.net) veya özel bir etki alanı adını kullanmaları gerekir.

İşlev uygulaması gelen IP adresi

Her işlev uygulaması tek bir gelen IP adresi kullanarak başlar. Tüketim veya Premium planında çalışırken, olay temelli ölçek genişletme gerçekleşirken ek gelen IP adresleri eklenebilir. Uygulamanız tarafından kullanılan gelen IP adresini veya adresleri bulmak için aşağıdaki örnekte olduğu gibi yerel bilgisayarınızdan yardımcı programını kullanın nslookup :

nslookup <APP_NAME>.azurewebsites.net

Bu örnekte değerini işlev uygulamanızın adıyla değiştirin <APP_NAME> . Uygulamanız özel bir etki alanı adı kullanıyorsa, bunun yerine bu özel etki alanı adı için kullanın nslookup .

İşlev uygulaması giden IP adresleri

Her işlev uygulamasının bir dizi kullanılabilir giden IP adresi vardır. Bir işlevden arka uç veritabanına giden bağlantılar, kaynak IP adresi olarak kullanılabilir giden IP adreslerinden birini kullanır. Belirli bir bağlantının hangi IP adresini kullanacağını önceden bilemezsiniz. Bu nedenle arka uç hizmetinizin güvenlik duvarını işlev uygulamasının tüm giden IP adreslerine açması gerekir.

İpucu

Key Vault başvuruları gibi platform düzeyindeki bazı özellikler için, kaynak IP giden IP'lerden biri olmayabilir ve hedef kaynağı bu belirli adreslere güvenmek üzere yapılandırmamalısınız. Platform trafiği bu ağ üzerinden hedef kaynağa yönlendireceğinden, uygulamanın bunun yerine bir sanal ağ tümleştirmesi kullanması önerilir.

İşlev uygulamasının kullanabileceği giden IP adreslerini bulmak için:

Azure Kaynak Gezgini'nde oturum açın.
Abonelikler > {aboneliğiniz} > sağlayıcılar > Microsoft.Web > sitelerini seçin.
JSON panelinde, işlev uygulamanızın adıyla biten bir id özelliği olan siteyi bulun.
Bkz outboundIpAddresses . ve possibleOutboundIpAddresses.

az functionapp show --resource-group <GROUP_NAME> --name <APP_NAME> --query outboundIpAddresses --output tsv
az functionapp show --resource-group <GROUP_NAME> --name <APP_NAME> --query possibleOutboundIpAddresses --output tsv

$functionApp = Get-AzFunctionApp -ResourceGroupName <GROUP_NAME> -Name <APP_NAME>
$functionApp.OutboundIPAddress
$functionApp.PossibleOutboundIPAddress

kümesi outboundIpAddresses şu anda işlev uygulamasında kullanılabilir. kümesi possibleOutboundIpAddresses , yalnızca işlev uygulamasının diğer fiyatlandırma katmanlarına ölçeklendirilmesi durumunda kullanılabilen IP adreslerini içerir.

Not

Tüketim planında veya Premium planda çalışan bir işlev uygulaması ölçeklendirildiğinde, yeni bir giden IP adresi aralığı atanabilir. Bu planlardan herhangi birinde çalışırken, kesin bir izin verilenler listesi oluşturmak için bildirilen giden IP adreslerine güvenemezsiniz. Dinamik ölçeklendirme sırasında kullanılan tüm olası giden adresleri ekleyebilmek için veri merkezinin tamamını izin verilenler listenize eklemeniz gerekir.

Veri merkezi giden IP adresleri

İşlev uygulamalarınız tarafından kullanılan giden IP adreslerini bir izin verilenler listesine eklemeniz gerekiyorsa, bir diğer seçenek de işlev uygulamalarının veri merkezini (Azure bölgesi) izin verilenler listesine eklemektir. Tüm Azure veri merkezleri için IP adreslerini listeleyen bir JSON dosyası indirebilirsiniz. Ardından işlev uygulamanızın çalıştığı bölgeye uygulanan JSON parçasını bulun.

Örneğin, aşağıdaki JSON parçası Batı Avrupa için izin verilenler listesinin nasıl görünebileceğidir:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

Bu dosyanın ne zaman güncelleştirilip IP adreslerinin ne zaman değiştiği hakkında bilgi için İndirme Merkezi sayfasınınAyrıntılar bölümünü genişletin.

Gelen IP adresi değişiklikleri

Aşağıdaki durumlarda gelen IP adresi değişebilir :

İşlev uygulamasını silin ve farklı bir kaynak grubunda yeniden oluşturun.
Kaynak grubu ve bölge bileşimindeki son işlev uygulamasını silin ve yeniden oluşturun.
Sertifika yenileme gibi bir TLS bağlaması silin.

İşlev uygulamanız Tüketim planında veya Premium planda çalıştırıldığında, yukarıda listelenenler gibi herhangi bir işlem yapmasanız bile gelen IP adresi de değişebilir.

Giden IP adresi değişiklikleri

Giden IP adresinin göreli kararlılığı barındırma planına bağlıdır.

Tüketim ve Premium planları

Otomatik ölçeklendirme davranışları nedeniyle, tüketim planında veya Premium planda çalışırken giden IP istediğiniz zaman değişebilir.

İşlev uygulamanızın giden IP adresini denetlemeniz gerekiyorsa (örneğin, izin verme listesine eklemeniz gerektiğinde), Premium barındırma planında çalışırken bir sanal ağ NAT ağ geçidi uygulamayı göz önünde bulundurun. Bunu bir Ayrılmış (App Service) planında çalıştırarak da yapabilirsiniz.

Ayrılmış planlar

Ayrılmış (App Service) planlarda çalışırken, aşağıdaki durumlarda bir işlev uygulaması için kullanılabilir giden IP adresleri kümesi değişebilir:

Gelen IP adresini değiştirebilecek herhangi bir eylem gerçekleştirin.
Ayrılmış (App Service) plan fiyatlandırma katmanınızı değiştirin. Uygulamanızın tüm fiyatlandırma katmanları için kullanabileceği tüm olası giden IP adreslerinin listesi özelliğindedir possibleOutboundIPAddresses . Bkz. Giden IP'leri bulma.

Giden IP adresi değişikliğini zorlama

Ayrılmış (App Service) planında giden IP adresi değişikliğini kasıtlı olarak zorlamak için aşağıdaki yordamı kullanın:

Standart ve Premium v2 fiyatlandırma katmanları arasında App Service planınızın ölçeğini artırma veya azaltma.
10 dakika bekleyin.
Yeniden başladığınız yere ölçeklendirin.

IP adresi kısıtlamaları

İşlev uygulamasına erişim izni vermek veya erişimi reddetmek istediğiniz IP adreslerinin listesini yapılandırabilirsiniz. Daha fazla bilgi için bkz. statik IP kısıtlamaları Azure App Service.

Ayrılmış IP adresleri

İşlev uygulamanız statik, ayrılmış IP adresleri gerektirdiğinde keşfedilecek çeşitli stratejiler vardır.

Giden statik IP için sanal ağ NAT ağ geçidi

Statik genel IP adresi üzerinden trafiği yönlendirmek için sanal ağ NAT ağ geçidi kullanarak işlevlerinizden giden trafiğin IP adresini denetleyebilirsiniz. Premium planda veya Ayrılmış (App Service) planda çalışırken bu topolojiyi kullanabilirsiniz. Daha fazla bilgi edinmek için bkz. Öğretici: Azure sanal ağı NAT ağ geçidiyle giden IP'yi Azure İşlevleri denetleme.

App Service ortamları

Hem gelen hem de giden IP adresleri üzerinde tam denetim için App Service Ortamları (App Service planlarının Yalıtılmış katmanı) öneririz. Daha fazla bilgi için bkz. IP adreslerini App Service Ortamı ve App Service Ortamı gelen trafiği denetleme.

İşlev uygulamanızın bir App Service Ortamı çalıştırılıp çalıştırılamadığını öğrenmek için:

Azure Portal’ında oturum açın.
İşlev uygulamasına gidin.
Genel Bakış sekmesini seçin.
App Service planı katmanı, App Service plan/fiyatlandırma katmanı altında görünür. App Service Ortamı fiyatlandırma katmanı Yalıtılmış'dır.

az resource show --resource-group <GROUP_NAME> --name <APP_NAME> --resource-type Microsoft.Web/sites --query properties.sku --output tsv

$functionApp = Get-AzResource -ResourceGroupName <GROUP_NAME> -ResourceName <APP_NAME> -ResourceType Microsoft.Web/sites 
$functionApp.Properties.sku

App Service Ortamı sku şeklindedirIsolated.

Sonraki adımlar

IP değişikliklerinin yaygın bir nedeni işlev uygulaması ölçek değişiklikleridir. İşlev uygulaması ölçeklendirme hakkında daha fazla bilgi edinin.