教程:使用托管标识从 Azure Spring Apps 应用调用 Azure Functions
注意
基本、标准和企业计划将从 2025 年 3 月中旬开始弃用,停用期为 3 年。 建议转换到 Azure 容器应用。 有关详细信息,请参阅 Azure Spring Apps 停用公告。
标准消耗和专用计划将于 2024 年 9 月 30 日开始弃用,并在六个月后完全关闭。 建议转换到 Azure 容器应用。
本文介绍如何为托管在 Azure Spring Apps 中的应用创建托管标识,并使用它来调用 HTTP 触发的 Functions。
Azure Functions 和应用服务都内置了对 Microsoft Entra 身份验证的支持。 通过使用此内置身份验证功能以及 Azure Spring Apps 的托管标识,可使用新式 OAuth 语义调用 RESTful 服务。 此方法不需要在代码中存储机密,并提供更精细的控制来控制对外部资源的访问。
先决条件
- Azure 订阅。 如果你没有订阅,请在开始之前创建一个试用版订阅。
- Azure CLI 版本 2.45.0 或更高版本。
- Git。
- Apache Maven 3.0 或更高版本。
- 安装 Azure Functions Core Tools 版本 4.x。
创建资源组
资源组是在其中部署和管理 Azure 资源的逻辑容器。 使用以下命令创建包含函数应用的资源组:
az group create --name <resource-group-name> --location <location>
有关详细信息,请参阅 az group create 命令。
创建函数应用
若要创建函数应用,必须先创建一个后备存储帐户。 可以使用 az storage account create 命令。
重要
每个函数应用和存储帐户都必须具有唯一名称。
使用以下命令以创建存储帐户。 将 function-app-name 替换为函数应用的名称,将 storage-account-name 替换为存储帐户的名称。<><>
az storage account create \
--resource-group <resource-group-name> \
--name <storage-account-name> \
--location <location> \
--sku Standard_LRS
创建存储帐户后,使用以下命令创建函数应用:
az functionapp create \
--resource-group <resource-group-name> \
--name <function-app-name> \
--consumption-plan-location <location> \
--os-type windows \
--runtime node \
--storage-account <storage-account-name> \
--functions-version 4
记下返回的 hostNames
值(其格式将为 https://<your-functionapp-name>.chinacloudsites.cn
)。 在函数应用的根 URL 中使用此值来测试函数应用。
启用 Microsoft Entra 身份验证
使用以下步骤启用 Microsoft Entra 身份验证以访问函数应用。
- 在 Azure 门户中导航到资源组,然后打开创建的函数应用。
- 在导航窗格中,选择“身份验证”,然后在主窗格中选择“添加标识提供者”。
- 在“添加标识提供者”页上,从“标识提供者”下拉菜单中选择“Microsoft”。
- 选择添加。
- 对于“添加标识提供者”页上的“基本信息”设置,请将“支持的帐户类型”设置为“任何 Microsoft Entra 目录 - 多租户”。
- 将“未经身份验证的请求”设置为“HTTP 401 未授权:建议用于 API”。 此设置可确保拒绝所有未经身份验证的请求(401 响应)。
- 选择添加。
添加设置后,函数应用将重启,并将提示所有后续请求通过 Microsoft Entra ID 进行登录。 可以测试未经身份验证的请求当前正在被函数应用的根 URL 拒绝(返回到 az functionapp create
命令的 hostNames
输出中)。 然后,应会重定向到组织的 Microsoft Entra 登录屏幕。
你需要获取应用程序 ID 和应用程序 ID URI,以备后用。 在 Azure 门户中,导航到你创建的函数应用。
若要获取应用程序 ID,请在导航窗格中选择“身份验证”,然后复制包含函数应用名称的标识提供者的“应用(客户端) ID”值。
若要获取应用程序 ID URI,请在导航窗格中选择“公开 API”,然后复制“应用程序 ID URI”值。
创建 HTTP 触发的函数
在空的本地目录中,使用以下命令创建新的函数应用并添加 HTTP 触发的函数:
func init --worker-runtime node
func new --template HttpTrigger --name HttpTrigger
默认情况下,函数使用基于密钥的身份验证来保护 HTTP 终结点。 若要启用 Microsoft Entra 身份验证来保护对函数的访问,请在 function.json 文件中将 authLevel
密钥设置为 anonymous
,如以下示例所示:
{
"bindings": [
{
"authLevel": "anonymous",
"type": "httpTrigger",
...
}
]
}
有关详细信息,请参阅保护 Azure Functions 的安全 HTTP 终结点部分。
使用以下命令将应用发布到在上一步中创建的实例:
func azure functionapp publish <function-app-name>
publish 命令的输出应会列出新创建的函数的 URL,如以下输出所示:
Deployment completed successfully.
Syncing triggers...
Functions in <your-functionapp-name>:
HttpTrigger - [httpTrigger]
Invoke url: https://<function-app-name>.chinacloudsites.cn/api/httptrigger
创建 Azure Spring Apps 服务实例和应用程序
使用以下命令添加 spring 扩展并创建 Azure Spring Apps 的新实例:
az extension add --upgrade --name spring
az spring create \
--resource-group <resource-group-name> \
--name <Azure-Spring-Apps-instance-name> \
--location <location>
使用以下命令按 --assign-identity
参数的请求,创建名为 msiapp
且已启用系统分配托管标识的应用:
az spring app create \
--resource-group <resource-group-name> \
--service <Azure-Spring-Apps-instance-name> \
--name "msiapp" \
--assign-endpoint true \
--assign-identity
构建示例 Spring Boot 应用以调用函数
此示例将首先从 MSI 终结点请求访问令牌并使用该令牌对函数 HTTP 请求进行身份验证,从而调用 HTTP 触发的函数。 有关详细信息,请参阅如何在 Azure VM 上使用 Azure 资源的托管标识获取访问令牌的使用 HTTP 获取令牌部分。
使用以下命令克隆示例项目:
git clone https://github.com/Azure-Samples/azure-spring-apps-samples.git
使用以下命令在应用属性中指定函数 URI 和触发器名称:
cd azure-spring-apps-samples/managed-identity-function vim src/main/resources/application.properties
要对 Azure Spring Apps 应用使用托管标识,请将具有这些值的以下属性添加到 src/main/resources/application.properties。
azure.function.uri=https://<function-app-name>.chinacloudsites.cn azure.function.triggerPath=httptrigger azure.function.application-id.uri=<function-app-application-ID-uri>
使用以下命令打包示例应用:
mvn clean package
使用以下命令将该应用部署到 Azure Spring Apps:
az spring app deploy \ --resource-group <resource-group-name> \ --service <Azure-Spring-Apps-instance-name> \ --name "msiapp" \ --artifact-path target/asc-managed-identity-function-sample-0.1.0.jar
使用以下命令访问公共终结点或测试终结点以测试应用:
curl https://<Azure-Spring-Apps-instance-name>-msiapp.microservices.azure.cn/func/springcloud
以下消息会返回到响应正文中。
Function Response: Hello, springcloud. This HTTP triggered function executed successfully.