Endereços IP no Azure Functions

Este artigo explica os seguintes conceitos relacionados a endereços IP de aplicativos de função:

Localizar os endereços IP atualmente em uso por uma aplicação de funções.
Condições que fazem com que os endereços IP do aplicativo de função sejam alterados.
Restringir os endereços IP que podem acessar um aplicativo de função.
Definição de endereços IP dedicados para um aplicativo de função.

Os endereços IP estão associados a aplicações de funções, não a funções individuais. As solicitações HTTP de entrada não podem usar o endereço IP de entrada para chamar funções individuais; Eles devem usar o nome de domínio padrão (functionappname.azurewebsites.net) ou um nome de domínio personalizado.

Endereço IP de entrada do aplicativo de função

Cada aplicação de funções começa utilizando um único endereço IP de entrada. Quando uma aplicação de funções é executada num plano de Consumo ou Premium, endereços IP de entrada adicionais podem ser adicionados à medida que ocorre a expansão orientada por eventos. Para localizar o endereço IP de entrada ou endereços que estão sendo usados pelo seu aplicativo, use o nslookup utilitário do seu computador local, como no exemplo a seguir:

nslookup <APP_NAME>.azurewebsites.net

Neste exemplo, substitua <APP_NAME> pelo nome do aplicativo de função. Se o seu aplicativo usa um nome de domínio personalizado, use nslookup para esse nome de domínio personalizado.

Endereços IP de saída do aplicativo de função

Cada aplicativo de função tem um conjunto de endereços IP de saída disponíveis. Qualquer conexão de saída de uma função, como para um banco de dados back-end, usa um dos endereços IP de saída disponíveis como o endereço IP de origem. Você não pode saber de antemão qual endereço IP uma determinada conexão usa. Por esse motivo, seu serviço de back-end deve abrir seu firewall para todos os endereços IP de saída do aplicativo de função.

Sugestão

Para alguns recursos no nível da plataforma, como referências do Cofre da Chave, o IP de origem pode não ser um dos IPs de saída e você não deve configurar o recurso de destino para confiar nesses endereços específicos. Recomendamos que o aplicativo use uma integração de rede virtual, porque a plataforma roteia o tráfego para o recurso de destino por meio dessa rede.

Para encontrar os endereços IP de saída disponíveis para uma aplicação de funções:

Inicie sessão no Azure Resource Explorer.
Selecione assinaturas> {sua assinatura} >provedores>Microsoft.Web>sites.
No painel JSON, localize o site com uma id propriedade que termina no nome do seu aplicativo de função.
Veja outboundIpAddresses e possibleOutboundIpAddresses.

az functionapp show --resource-group <GROUP_NAME> --name <APP_NAME> --query outboundIpAddresses --output tsv
az functionapp show --resource-group <GROUP_NAME> --name <APP_NAME> --query possibleOutboundIpAddresses --output tsv

$functionApp = Get-AzFunctionApp -ResourceGroupName <GROUP_NAME> -Name <APP_NAME>
$functionApp.OutboundIPAddress
$functionApp.PossibleOutboundIPAddress

O conjunto outboundIpAddresses está atualmente disponível para a aplicação de função. O conjunto de possibleOutboundIpAddresses inclui endereços IP que estão disponíveis somente se o aplicativo de função escala para outras camadas de preços.

Observação

Quando um aplicativo de função executado no plano de consumo ou no plano Premium é dimensionado, um novo intervalo de endereços IP de saída pode ser atribuído. Ao executar em qualquer um destes planos, não pode depender dos endereços IP de saída relatados para criar uma lista de permissões definitiva. Para poder incluir todos os possíveis endereços de saída usados durante o dimensionamento dinâmico, você precisa adicionar todo o data center à sua lista de permissões.

Endereços IP de saída do data center

Se você precisar adicionar os endereços IP de saída usados por seus aplicativos de função a uma lista de permissões, outra opção é adicionar o data center dos aplicativos de função (região do Azure) a uma lista de permissões. Pode transferir um ficheiro JSON que lista endereços IP para todos os datacenters do Azure. Em seguida, localize o fragmento JSON que se aplica à região em que a sua aplicação de funções é executada.

Por exemplo, o fragmento JSON a seguir é como a lista de permissões para a Europa Ocidental pode parecer:

{
  "name": "AzureCloud.westeurope",
  "id": "AzureCloud.westeurope",
  "properties": {
    "changeNumber": 9,
    "region": "westeurope",
    "platform": "Azure",
    "systemService": "",
    "addressPrefixes": [
      "13.69.0.0/17",
      "13.73.128.0/18",
      ... Some IP addresses not shown here
     "213.199.180.192/27",
     "213.199.183.0/24"
    ]
  }
}

Para obter informações sobre quando esse arquivo é atualizado e quando os endereços IP são alterados, expanda a seção Detalhes da página Centro de Download.

Alterações no endereço IP de entrada

O endereço IP de entrada pode mudar quando:

Elimina uma aplicação de funções e recrie-a num grupo de recursos diferente.
Elimina a última aplicação de funções numa combinação de grupo de recursos e região, e recria-a.
Exclua uma associação TLS, como durante a renovação do certificado.

Quando seu aplicativo funcional é executado em um plano de consumo ou em um plano Premium, o endereço IP de entrada também pode mudar mesmo quando você não tiver tomado nenhuma ação como as aqui.

Alterações no endereço IP de saída

A estabilidade relativa do endereço IP de saída depende do plano de hospedagem.

Planos de consumo e Premium

Devido aos comportamentos de dimensionamento automático, o IP de saída pode mudar a qualquer momento quando executado em um plano de consumo ou em um plano Premium.

Se você precisar controlar o endereço IP de saída do seu aplicativo de função, como quando precisar adicioná-lo a uma lista de permissões, considere implementar um gateway NAT de rede virtual durante a execução em um plano de hospedagem Premium. Você também pode fazer isso ao utilizar um Plano Dedicado (Serviço de Aplicativo).

Planos dedicados

Quando uma aplicação de funções é executada em planos Dedicados (App Service), o conjunto de endereços IP de saída disponíveis para uma aplicação de funções pode mudar quando:

Execute qualquer ação que possa alterar o endereço IP de entrada.
Altere o nível de preço do seu plano Dedicado (Serviço de Aplicativo). A lista de todos os endereços IP de saída possíveis que seu aplicativo pode usar, para todos os níveis de preço, está na possibleOutboundIPAddresses propriedade. Consulte Encontrar IPs de saída.

Forçando uma alteração de endereço IP de saída

Use o procedimento a seguir para forçar deliberadamente uma alteração de endereço IP de saída em um plano Dedicado (Serviço de Aplicativo):

Aumente ou diminua o seu plano do Serviço de Aplicativo entre os níveis de preços Standard e Premium v2.
Aguarde 10 minutos.
Reduz para onde começaste.

Restrições de endereço IP

Você pode configurar uma lista de endereços IP que deseja permitir ou negar acesso a um aplicativo de função. Para obter mais informações, consulte Restrições de acesso do Serviço de Aplicativo do Azure.

Endereços IP dedicados

Há várias estratégias para explorar quando seu aplicativo de função requer endereços IP estáticos e dedicados.

Gateway NAT para rede virtual com IP estático de saída

Você pode controlar o endereço IP do tráfego de saída de suas funções usando um gateway NAT de rede virtual para direcionar o tráfego através de um endereço IP público estático. Você pode usar essa topologia ao executar em um plano Premium ou em um plano de hospedagem dedicado. Para saber mais, consulte Tutorial: Controlar o IP de saída do Azure Functions com um gateway NAT de rede virtual do Azure.

Ambientes de Serviço de Aplicações

Para ter controlo total sobre os endereços IP de entrada e de saída, recomendamos os App Service Environments (a camada Isolada dos planos de App Service). Para obter mais informações, consulte Visão geral do Ambiente do Serviço de Aplicativo.

Para saber se seu aplicativo de função é executado em um Ambiente do Serviço de Aplicativo:

Inicie sessão no portal Azure.
Navegue até o aplicativo de função.
Selecione o separador Descrição geral.
A camada do Plano de Serviço de Aplicações aparece em Plano de Serviço de Aplicações/camada de preço. A camada de preços do Ambiente de Serviço de Aplicações é Isolada.

az resource show --resource-group <GROUP_NAME> --name <APP_NAME> --resource-type Microsoft.Web/sites --query properties.sku --output tsv

$functionApp = Get-AzResource -ResourceGroupName <GROUP_NAME> -ResourceName <APP_NAME> -ResourceType Microsoft.Web/sites 
$functionApp.Properties.sku

O Ambiente do Serviço de Aplicações sku é Isolated.

Próximos passos

Uma causa comum de alterações de IP são as alterações na escala do aplicativo de função. Saiba mais sobre o dimensionamento de aplicativos de função.

Feedback

Esta página foi útil?

Last updated on 2025-05-12