有关 Azure Functions 中的网络的常见问题解答

在应用服务环境中部署函数是为函数提供静态入站和出站 IP 地址的主要方法。 有关如何使用应用服务环境的详细信息，请从在应用服务环境中创建和使用内部负载均衡器一文着手。

也可以使用虚拟网络 NAT 网关通过你控制的公共 IP 地址来路由出站流量。 要了解详细信息，请参阅教程：使用 Azure 虚拟网络 NAT 网关控制 Azure Functions 出站 IP。

可以采用多种方式来限制 Internet 访问：

• 专用终结点：通过虚拟网络上的专用链接来限制到函数应用的入站流量，有效阻止来自公共 Internet 的入站流量。
• IP 限制：按 IP 范围限制到您的函数应用的入站流量。
  • 在 IP 限制下，你还能够配置服务终结点，这会将您的函数限制为仅接受来自特定虚拟网络的入站流量。
• 删除所有 HTTP 触发器。 对于某些应用程序，只需要避免使用 HTTP 触发器并使用任何其他事件源来触发您的函数就足够了。

请记住，Azure 门户编辑器需要直接访问你的正在运行的函数。 通过 Azure 门户所做的任何代码更改都会要求你所使用的设备浏览门户，以便将其 IP 添加到允许列表。 但是，在实施了网络限制的情况下，你仍然可以使用“平台功能”选项卡下的任何内容。

可以使用服务终结点将函数应用的入站流量限制倒某个虚拟网络。 此配置仍然允许函数应用对 Internet 进行出站调用。

若要完全限制一个函数，使所有流量都通过一个虚拟网络，可以使用带有出站虚拟网络集成的专用终结点或应用服务环境。 要了解更多信息，请参阅使用专用终结点将 Azure Functions 与 Azure 虚拟网络集成。

你可以使用虚拟网络集成从正在运行的函数访问虚拟网络中的资源。 有关详细信息，请参阅虚拟网络集成。

使用虚拟网络集成，可以从正在运行的函数访问由服务终结点保护的资源。 有关详细信息，请参阅虚拟网络集成。

可以允许通过服务终结点或专用终结点连接从虚拟网络调用 HTTP 触发器。

还可以通过将函数应用部署到高级计划、应用服务计划或应用服务环境，从虚拟网络中的所有其他资源触发函数。 有关详细信息，请参阅非 HTTP 虚拟网络触发器

部署到应用服务环境是创建完全位于虚拟网络内部的函数应用的唯一方法。 若要详细了解如何将内部负载均衡器与应用服务环境配合使用，请从在应用服务环境中创建和使用内部负载均衡器一文着手。

对于只需单向访问虚拟网络资源或不太广泛的网络隔离的情况，请参阅功能网络概述。

后续步骤

若要详细了解网络和函数，请执行以下操作：

• 遵循有关虚拟网络集成入门的教程
• 详细了解 Azure Functions 中的网络选项
• 详细了解虚拟网络与应用服务和 Functions 的集成
• 详细了解 Azure 中的虚拟网络
• 在应用服务环境中允许更多的网络功能和控制