Endereços IP no Azure Functions

Este artigo explica os seguintes conceitos relacionados a endereços IP de aplicativos de funções:

Localizando os endereços IP atualmente em uso por um aplicativo de funções.
Condições que fazem com que os endereços IP do aplicativo de funções mudem.
Restringindo os endereços IP que podem acessar um aplicativo de funções.
Definindo endereços IP dedicados para um aplicativo de funções.

Os endereços IP são associados a aplicativos de funções, não a funções individuais. As solicitações HTTP de entrada não podem usar o endereço IP de entrada para chamar funções individuais; eles devem usar o nome de domínio padrão (functionappname.azurewebsites.net) ou um nome de domínio personalizado.

Endereço IP de entrada do aplicativo de função

Cada aplicativo de funções começa usando um único endereço IP de entrada. Quando um aplicativo de funções é executado em um plano Premium ou Consumo, mais endereços IP de entrada podem ser adicionados à medida que ocorre uma expansão controlada por eventos. Para localizar o endereço IP de entrada ou os endereços que estão sendo usados pelo seu aplicativo, use o nslookup utilitário do computador local, como no exemplo a seguir:

nslookup <APP_NAME>.azurewebsites.net

Neste exemplo, substitua <APP_NAME> pelo nome do aplicativo de funções. Se seu aplicativo usar um nome de domínio personalizado, use nslookup para esse nome de domínio personalizado.

Endereços IP de saída das funções do aplicativo

Cada aplicativo de funções tem um conjunto de endereços IP de saída disponíveis. Qualquer conexão de saída de uma função, como um banco de dados back-end, usa um dos endereços IP de saída disponíveis como o endereço IP de origem. Você não pode saber de antemão qual endereço IP uma determinada conexão usa. Por esse motivo, seu serviço de back-end deve abrir seu firewall para todos os endereços IP de saída do aplicativo de função.

Dica

Para alguns recursos de nível de plataforma, como referências do Key Vault, o IP de origem pode não ser um dos IPs de saída e você não deve configurar o recurso de destino para contar com esses endereços específicos. Recomendamos que o aplicativo use uma integração de rede virtual, pois a plataforma roteia o tráfego para o recurso de destino por meio dessa rede.

Para encontrar os endereços IP de saída disponíveis para um aplicativo de função:

Faça login no Azure Resource Explorer.
Selecione assinaturas> {sua assinatura} >provedores>Microsoft.Web>sites.
No painel JSON, localize o site com uma propriedade id que termina no nome do seu aplicativo de função.
Consulte outboundIpAddresses e possibleOutboundIpAddresses.

az functionapp show --resource-group <GROUP_NAME> --name <APP_NAME> --query outboundIpAddresses --output tsv
az functionapp show --resource-group <GROUP_NAME> --name <APP_NAME> --query possibleOutboundIpAddresses --output tsv

$functionApp = Get-AzFunctionApp -ResourceGroupName <GROUP_NAME> -Name <APP_NAME>
$functionApp.OutboundIPAddress
$functionApp.PossibleOutboundIPAddress

O conjunto outboundIpAddresses está disponível no momento para o aplicativo de funções. O conjunto de possibleOutboundIpAddresses inclui endereços IP disponíveis somente se o aplicativo de funções for dimensionado para outros tipos de preço.

Observação

Quando um aplicativo de funções executado no plano Consumo ou plano Premium é dimensionado, um novo intervalo de endereços IP de saída pode ser atribuído. Ao executar em qualquer um desses planos, você não pode contar com os endereços IP de saída relatados para criar uma lista de permitidos definitiva. Para poder incluir todos os endereços de saída possíveis usados durante o dimensionamento dinâmico, você precisa adicionar todo o data center à sua lista de permissões.

Endereços IP de saída do data center

Se você precisar adicionar os endereços IP de saída usados por seus aplicativos de funções a uma lista de permissões, outra opção é adicionar o data center dos aplicativos de funções (região do Azure) a uma lista de permissões. Você pode fazer o download de um arquivo JSON que lista endereços IP para todos os datacenters do Azure. Em seguida, localize o elemento JSON que se aplica à região em que seu aplicativo de função é executado.

Por exemplo, o fragmento JSON a seguir é o que a lista de permitidos para a Europa Ocidental pode se parecer:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

Para obter informações sobre quando este arquivo é atualizado e quando os endereços IP são alterados, expanda a seção Detalhes da página do Centro de Download.

Alterações no endereço IP de entrada

O endereço IP de entrada pode ser alterado quando você:

Exclua um aplicativo de função e recrie-o em um grupo de recursos diferente.
Exclua o último aplicativo de função em uma combinação de grupo de recursos e região e recrie-o.
Exclua uma associação TLS, como durante a renovação do certificado.

Quando seu aplicativo de funções é executado em um plano de consumo ou em um plano Premium, o endereço IP de entrada também pode mudar mesmo quando você não tiver tomado nenhuma ação, como as que estão aqui.

Alterações de endereço IP de saída

A estabilidade relativa do endereço IP de saída depende do plano de hospedagem.

Planos premium e de consumo

Devido a comportamentos de dimensionamento automático, o IP de saída pode ser alterado a qualquer momento durante a execução em um plano de consumo ou em um plano Premium.

Se você precisar controlar o endereço IP de saída do seu aplicativo de funções, como quando precisar adicioná-lo a uma lista de permissões, considere implementar um gateway NAT de rede virtual durante a execução em um plano de hospedagem Premium. Você também pode fazer isso executando em um plano Dedicado (Serviço de Aplicativo).

Planos dedicados

Quando um aplicativo de funções é executado em planos dedicados (Serviço de Aplicativo), o conjunto de endereços IP de saída disponíveis para um aplicativo de funções pode mudar quando você:

Execute qualquer ação que possa alterar o endereço IP de entrada.
Alterar a camada de preços do seu plano de Serviço de Aplicativo dedicado. A lista de todos os endereços IP de saída possíveis que seu aplicativo pode usar, para todos os tipos de preço, está na possibleOutboundIPAddresses propriedade. Consulte Localizar IPs de saída.

Preparar-se para a alteração de endereço IP de saída

Use o procedimento a seguir para forçar deliberadamente uma alteração de endereço IP de saída em um plano dedicado (Serviço de Aplicativo):

Expanda seu plano de serviço de aplicativos para cima ou para baixo entre os níveis de preços Padrão e Premium v2.
Esperar 10 minutos.
Volte para onde você começou.

Restrições de endereço IP

Você pode configurar uma lista de endereços IP que deseja permitir ou negar acesso a um aplicativo de funções. Para obter mais informações, confira Restrições de acesso do Serviço de Aplicativo do Azure.

Endereços IP dedicados

Há várias estratégias para explorar quando seu aplicativo de funções requer endereços IP estáticos e dedicados.

Gateway NAT de rede virtual para IP estático de saída

Você pode controlar o endereço IP do tráfego de saída de suas funções usando um gateway NAT de rede virtual para direcionar o tráfego por meio de um endereço IP público estático. Você pode usar essa topologia ao executar em um plano Premium ou em um plano de hospedagem dedicado. Para saber mais, consulte Tutorial: Controlar o IP de saída do Azure Functions com um gateway NAT de rede virtual do Azure.

Ambientes do Serviço de Aplicações

Para ter controle total sobre os endereços IP, tanto de entrada como de saída, recomendamos Ambientes do Serviço de Aplicativo (a camada isolada de planos do serviço de aplicativo). Para obter mais informações, consulte a visão geral do Ambiente do Serviço de Aplicativo.

Para descobrir se seu aplicativo de função é executado em um Ambiente de Serviço de Aplicativo:

Entre no portal do Azure.
Navegue até o aplicativo de função.
Selecione a guia Visão geral.
A camada do plano de Serviço de Aplicativo aparece em Plano de serviço de aplicativo / camada de preço. A camada de preços do Ambiente de Serviço de Aplicativo é Isolado.

az resource show --resource-group <GROUP_NAME> --name <APP_NAME> --resource-type Microsoft.Web/sites --query properties.sku --output tsv

$functionApp = Get-AzResource -ResourceGroupName <GROUP_NAME> -ResourceName <APP_NAME> -ResourceType Microsoft.Web/sites 
$functionApp.Properties.sku

O Ambiente de Serviço de Aplicativos sku é Isolated.

Próximas etapas

Uma causa comum de alterações de IP é a função de escala de aplicativos. Saiba mais sobre o dimensionamento do aplicativo de funções.

Comentários

Esta página foi útil?

Last updated on 2025-05-13