Integración vnet Azure Function Flex Consumption

Question

Integración vnet Azure Function Flex Consumption

Alvaro Castaño 20

Tengo una Azure Function en plan Flexible Consumption integrada a una VNET privada con la intención de conectarse por IP privada a un SQL Server instalado en una máquina virtual (Windows Server + SQL Server) localizada en otra VNET, conectadas mediante VNet Peering bidireccional.

Toda la configuración parece correcta, pero la Function no logra conectarse al SQL Server. Además, en el portal aparece el mensaje:

VNet integration is not healthy

🟦 Arquitectura de red

VNET 1 – VNET-AZFUNCTIONFLEX

Subnet: AzFuncFlexSubnet (172.17.0.0/16)

Contiene Azure Function (Flex Consumption)

Subnet con delegación Microsoft.App/enviroments

Sin NSG

Sin Route Table

Sin NAT Gateway

VNet peering hacia la VNET del SQL Server

VNET 2 – VNET-MSSQL

Subnet: 172.16.0.0/24
Contiene la VM con SQL Server (IP privada 172.16.0.4)
Firewall de Windows habilitado para 51433
SQL Server configurado con:
- TCP habilitado
- Puerto fijo 51433
- SQL + Windows Authentication
- Conexión externa funciona desde otras máquinas

VNet Peering (en ambos sentidos)

Allow VNet Access: Enabled

Allow Forwarded Traffic: Enabled

No Gateway Transit habilitado

Pruebas realizadas

SQL Server responde en el puerto 51433 desde máquinas externas por VPN.
El firewall de Windows y el NSG permiten tráfico desde 172.17.0.0/16.

SQL escucha correctamente en 51433 (verificado con netstat).

La VM SQL muestra Effective Routes correctas hacia 172.17.0.0/16 vía VNet Peering.
La Function usa cadena de conexión con IP privada.
La delegación de la subnet es correcta: Microsoft.App/enviroment.

No se usa Private Endpoint (no aplica porque el SQL Server está en una VM IaaS).

Problema principal

La Function no consigue establecer conexión con el SQL Server, y la interfaz muestra:

VNet integration is not healthy

La integración a la VNet parece fallar internamente: ➡ aunque el portal dice que está “Connected”, realmente no está adquiriendo rutas de la VNet remota.

No existe manera visible de revisar los Effective Routes del runtime de la Function Flex (porque no expone NIC), por lo que sospecho:

La Function no está adquiriendo IP dentro de la subnet

O no está recibiendo las rutas del peering

O la integración está en estado parcial / inconsistente

¿Qué pasos recomiendan para depurar un VNet Integration is not healthy en Azure Functions Flex?
¿Existe forma oficial de ver los Effective Routes que usa el worker de Function Flex?
¿Puede una subnet /16 causar problemas de asignación de IP para Function Flex?
¿Es posible que el estado “Unhealthy” sea la razón por la cual la Function no recibe rutas del peering?
¿Qué otras causas están documentadas para VNet Integration “Unhealthy”?
¿Es necesario recrear la integración o la subnet para corregir este estado interno?
¿Alguien ha tenido este mismo problema al intentar conectar Function Flex → SQL Server en VM privada?

Cualquier guía adicional será bien recibida.

Estoy intentando determinar si se trata de un bug de VNet Integration en Flex Consumption, un problema de asignación de IP en /16, o una inconsistencia interna en el runtime de Azure Functions Flex que requiere recrearse.

Gracias por cualquier ayuda o experiencia.

Alvaro Castaño 20 Reputation points

2025-12-02T13:26:02.7733333+00:00

@Pravallika KV He realizado en 2 ocasiones el mismo proceso de los 4 pasos que me describes y aún continua la inconsistencia, agradezco si tienes conocimiento en algo más que pueda hacer
Pravallika KV 2,845 Reputation points Microsoft External Staff Moderator

2025-12-02T22:12:24.8166667+00:00
Cuando la integración VNet de Azure Functions Flex aparece como "Unhealthy", incluso después de recrear la integración, la subred y el peering, debes realizar estas verificaciones más profundas:

Verificar NICs ocultas u “huérfanas” en la subred

Si Azure piensa que aún hay una NIC antigua dentro de la subred, el gateway interno de Flex no puede adjuntarse.

az network nic list --query "[?ipConfigurations[0].subnet.id=='<SUBNET_ID>']"

Si aparece alguna NIC => elimínala => vuelve a agregar la integración VNet.

Verificar si hay tablas de rutas (UDRs) en la VNet

Aunque no estén en tu subred, cualquier UDR en la VNet puede romper el enrutamiento del plan Flex.

az network route-table list --query "[].subnets"

Si alguna subred usa un UDR => elimínalo temporalmente y prueba de nuevo.

Verificar los diagnósticos de la plataforma

Ve a Function App => Diagnosticar y solucionar problemas => Red => VNet Integration

Ahí verás el error real:

conflicto de delegación

conflicto de rutas

fallo al crear el gateway

problemas de aprovisionamiento interno

Agregar un endpoint temporal de prueba (para confirmar si el problema es de red)

Crea una función simple para probar si el SQL Server es accesible desde la Function:

[Function("Function1")] public async Task<IActionResult> Run( [HttpTrigger(AuthorizationLevel.Anonymous, "get", "post")] HttpRequest req) { _logger.LogInformation("Function1 test endpoint triggered."); try { // Test SQL connectivity to validate VNet / PE routing using var client = new SqlConnection("your-connection-string"); await client.OpenAsync(); return new OkObjectResult(new { status = "OK", message = "SQL connection succeeded. VNet routing is healthy.", timestamp = DateTime.UtcNow }); } catch (Exception ex) { _logger.LogError(ex, "SQL connectivity test failed."); return new ObjectResult(new { status = "ERROR", message = "SQL connection failed.", exception = ex.ToString() }) { StatusCode = 500 }; } }

Los resultados te dirán el origen del fallo:

No route to host => problema de rutas/VNet

Timed out => firewall o enrutamiento

Login failed => la red funciona pero credenciales incorrectas

TCP provider: error 0 => el host no responde → la VNet Integration está rota
Alvaro Castaño 20 Reputation points

2025-12-03T13:18:14.88+00:00

@Pravallika KV Gracias por tus respuestas, he logrado encontrar el problema y estaba relacionado con el App Service Plan asociado a la Az Function, al parecer no estaba tomando correctamente los parámetros de la Vnet Integration, de momento se tuvo que recrear todo un entorno limpio.
Pravallika KV 2,845 Reputation points Microsoft External Staff Moderator

2025-12-03T16:50:54.0033333+00:00

Hola @Alvaro Castaño,

Gracias por la confirmación. Me alegra que el problema se haya resuelto. He resumido la conversación y la he publicado como respuesta. Por favor, haz clic en "Aceptar la respuesta" y Sí, para que esto pueda ser beneficioso para otros miembros de la comunidad.

Answer accepted by question author

0 additional answers

Your answer

Alvaro Castaño 20 Reputation points

2025-12-02T13:26:02.7733333+00:00

@Pravallika KV He realizado en 2 ocasiones el mismo proceso de los 4 pasos que me describes y aún continua la inconsistencia, agradezco si tienes conocimiento en algo más que pueda hacer
Alvaro Castaño 20 Reputation points

2025-12-03T13:18:14.88+00:00

@Pravallika KV Gracias por tus respuestas, he logrado encontrar el problema y estaba relacionado con el App Service Plan asociado a la Az Function, al parecer no estaba tomando correctamente los parámetros de la Vnet Integration, de momento se tuvo que recrear todo un entorno limpio.
Pravallika KV 2,845 Reputation points Microsoft External Staff Moderator

2025-12-03T16:50:54.0033333+00:00

Hola @Alvaro Castaño,

Gracias por la confirmación. Me alegra que el problema se haya resuelto. He resumido la conversación y la he publicado como respuesta. Por favor, haz clic en "Aceptar la respuesta" y Sí, para que esto pueda ser beneficioso para otros miembros de la comunidad.

Answer 1

Hola @Alvaro Castaño,

Gracias por la confirmación. Me alegra que el problema se haya resuelto. Estoy resumiendo la discusión y publicándolo como respuesta.

solución:

La causa principal del problema fue que el Plan de App Service asociado con la Función de Azure no estaba aplicando correctamente los parámetros de Integración con la Red Virtual. Esta configuración incorrecta impedía que la función operara como se esperaba. Al recrear todo el entorno desde cero, se aplicaron correctamente las configuraciones del Plan de App Service y la Integración con la VNet, lo que resolvió el problema.

¡Espero que te sea de ayuda!

Por favor, no olvides hacer clic en "Aceptar la respuesta" y en Sí, esto puede ser útil para otros miembros de la comunidad.

User's image

Si tienes alguna otra pregunta, házmelo saber en los "comentarios" y estaré encantado de ayudarte.

Share via

Integración vnet Azure Function Flex Consumption

VNET 1 – VNET-AZFUNCTIONFLEX

VNET 2 – VNET-MSSQL

VNet Peering (en ambos sentidos)

Pruebas realizadas

Problema principal

Cualquier guía adicional será bien recibida.

0 additional answers

Your answer