Direcciones IP en Azure Functions

En este artículo se explican los siguientes conceptos relacionados con las direcciones IP de las aplicaciones de funciones:

• Encontrar las direcciones IP que usa actualmente una aplicación de funciones.
• Condiciones que hacen que las direcciones IP de la aplicación de funciones cambien.
• Restricción de las direcciones IP que pueden acceder a una aplicación de funciones.
• Definición de direcciones IP dedicadas para una aplicación de funciones.

Las direcciones IP están asociadas a aplicaciones de funciones, no con funciones individuales. Las solicitudes HTTP entrantes no pueden usar la dirección IP entrante para llamar a funciones individuales; deben usar el nombre de dominio predeterminado (functionappname.azurewebsites.net) o un nombre de dominio personalizado.

Dirección IP de entrada de la aplicación de funciones

Cada aplicación de funciones comienza con una única dirección IP de entrada. Cuando una aplicación de funciones se ejecuta en un plan de consumo o premium, se pueden agregar más direcciones IP entrantes a medida que se produce el escalado horizontal controlado por eventos. Para buscar la dirección IP entrante o las direcciones que usa la aplicación, use la nslookup utilidad del equipo local, como en el ejemplo siguiente:

nslookup <APP_NAME>.azurewebsites.net

En este ejemplo, reemplace por <APP_NAME> el nombre de la aplicación de funciones. Si la aplicación usa un nombre de dominio personalizado, use nslookup en su lugar para ese nombre de dominio personalizado.

Direcciones IP de salida de una aplicación de función

Cada aplicación de funciones tiene un conjunto de direcciones IP de salida disponibles. Cualquier conexión saliente de una función, como a una base de datos back-end, usa una de las direcciones IP de salida disponibles como dirección IP de origen. No puede saber de antemano qué dirección IP usa una conexión determinada. Por este motivo, el servicio back-end debe abrir su firewall a todas las direcciones IP de salida de la aplicación de función.

Para buscar las direcciones IP de salida disponibles para una aplicación de función:

az functionapp show --resource-group <GROUP_NAME> --name <APP_NAME> --query outboundIpAddresses --output tsv
az functionapp show --resource-group <GROUP_NAME> --name <APP_NAME> --query possibleOutboundIpAddresses --output tsv

$functionApp = Get-AzFunctionApp -ResourceGroupName <GROUP_NAME> -Name <APP_NAME>
$functionApp.OutboundIPAddress
$functionApp.PossibleOutboundIPAddress

El conjunto de outboundIpAddresses está disponible actualmente para la aplicación de funciones. El conjunto de possibleOutboundIpAddresses incluye direcciones IP que solo están disponibles si la aplicación de funciones se escala a otros planes de tarifa.

Direcciones IP de salida del centro de datos

Si necesita agregar las direcciones IP de salida usadas por las aplicaciones de funciones a una lista de permitidos, otra opción es agregar el centro de datos de las aplicaciones de funciones (región de Azure) a una lista de permitidos. Puede descargar un archivo JSON que contiene las direcciones IP de todos los centros de datos de Azure. Luego, busque el fragmento JSON que se aplique a la región en la que se ejecuta la aplicación de función.

Por ejemplo, el siguiente fragmento de JSON muestra el aspecto que puede tener la lista de permitidos del Oeste de Europa:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

Para obtener información acerca de cuándo se actualiza este archivo y cuando cambian las direcciones IP, expanda la sección Details (Detalles) de la página del Centro de descarga.

Cambios en la dirección IP de entrada

La dirección IP de entrada puede cambiar cuando:

• Elimina una aplicación de función y se vuelve a crearla en otro grupo de recursos.
• Elimina la última aplicación de función de una combinación de grupo de recursos y región, y se vuelve a crear.
• Elimine un enlace TLS, como durante la renovación del certificado.

Cuando la aplicación de funciones se ejecuta en un plan de consumo o en un plan Premium, la dirección IP de entrada también puede cambiar incluso cuando no haya realizado ninguna acción como las aquí.

Cambios en la dirección IP de salida

La estabilidad relativa de la dirección IP de salida depende del plan de hospedaje.

Planes de consumo y Premium

Debido a los comportamientos de escalado automático, la dirección IP de salida puede cambiar en cualquier momento cuando se ejecuta en un plan de consumo o en un plan Premium.

Si tiene que controlar la dirección IP de salida de la aplicación de funciones, por ejemplo, cuando necesite agregarla a una lista de permitidos, puede implementar una puerta de enlace NAT de red virtual en el plan de hospedaje Premium. También puede hacerlo si se ejecuta en un plan Dedicado (App Service).

Planes dedicados

Cuando una aplicación de funciones se ejecuta en planes dedicados (App Service), el conjunto de direcciones IP de salida disponibles para una aplicación de funciones puede cambiar cuando:

• Realice cualquier acción que pueda cambiar la dirección IP de entrada.
• Cambia el nivel de precios de tu plan dedicado (App Service). La lista de todas las direcciones IP salientes posibles que puede usar la aplicación, para todos los planes de tarifa, está en la possibleOutboundIPAddresses propiedad . Consulte Buscar las direcciones IP de salida.

Forzar un cambio de dirección IP saliente

Use el procedimiento siguiente para forzar deliberadamente un cambio de dirección IP saliente en un plan dedicado (App Service):

1. Escale el plan de App Service o redúzcalo verticalmente entre los planes de tarifa Estándar y Premium v2.

2. Espere 10 minutos.

3. Vuelva a escalar al plan inicial.

Restricciones de direcciones IP

Puede configurar una lista de direcciones IP que desea permitir o denegar el acceso a una aplicación de funciones. Para más información, vea Restricciones de acceso de Azure App Service.

Direcciones IP dedicadas

Hay varias estrategias para explorar cuándo la aplicación de funciones requiere direcciones IP estáticas y dedicadas.

Instancia de NAT Gateway de red virtual para IP estática de salida

Puede controlar la dirección IP del tráfico saliente de las funciones mediante una puerta de enlace NAT de red virtual para dirigir el tráfico a través de una dirección IP pública estática. Puede usar esta topología cuando se ejecuta en un plan Premium o en un plan de hospedaje dedicado. Para más información, consulte Tutorial: Control de ip de salida de Azure Functions con una puerta de enlace NAT de red virtual de Azure.

Entornos de Servicio de Aplicaciones

Para un control total sobre las direcciones IP, tanto entrantes como salientes, se recomienda App Service Environments (el nivel aislado de los planes de App Service). Para más información, consulte Introducción a App Service Environment.

Para averiguar si una aplicación de función se ejecuta en App Service Environment:

az resource show --resource-group <GROUP_NAME> --name <APP_NAME> --resource-type Microsoft.Web/sites --query properties.sku --output tsv

$functionApp = Get-AzResource -ResourceGroupName <GROUP_NAME> -ResourceName <APP_NAME> -ResourceType Microsoft.Web/sites 
$functionApp.Properties.sku

El entorno de servicio de aplicaciones sku es Isolated.

Pasos siguientes

Una causa común de los cambios IP son los cambios de escala de las aplicaciones de función. Obtenga más información sobre el escalado de aplicaciones de funciones.