Создание первых контейнерных функций в приложениях контейнеров Azure

В этой статье вы создадите приложение-функцию, работающее в контейнере Linux, и развернете его в среде приложений контейнеров Azure из реестра контейнеров. Развернув приложения-контейнеры, вы можете интегрировать приложения-функции в облачные микрослужбы. Дополнительные сведения см. в статье "Приложения контейнеров Azure" для размещения Функции Azure.

В этой статье показано, как создавать функции, выполняемые в контейнере Linux, и развертывать контейнер в среде приложений контейнеров.

Completing this quickstart incurs a small cost of a few USD cents or less in your Azure account, which you can minimize by cleaning-up resources when you're done.

Выберите язык разработки

Во-первых, вы используете средства Функции Azure для создания кода проекта в качестве приложения-функции в контейнере Docker с помощью базового образа Linux для конкретного языка. Выберите язык в верхней части статьи.

Core Tools автоматически создает Файл Dockerfile для проекта, который использует самую актуальную версию правильного базового образа для языка функций. Следует регулярно обновлять контейнер из последнего базового образа и повторно развертывать его из обновленной версии контейнера. Дополнительные сведения см. в разделе "Создание контейнерных приложений-функций".

Prerequisites

Перед началом работы с этой статьей необходимо подготовить следующее:

• Azure CLI version 2.4 or a later version.

If you don't have an Azure subscription, create an Azure free account before you begin.

To publish the containerized function app image you create to a container registry, you need a Docker ID and Docker running on your local computer. Если у вас нет идентификатора Docker, можно создать учетную запись Docker.

python -m venv .venv

source .venv/bin/activate

sudo apt-get install python3-venv

py -m venv .venv

.venv\scripts\activate

py -m venv .venv

.venv\scripts\activate

Создание и тестирование локального проекта службы "Функции"

func init --worker-runtime dotnet-isolated --docker

func init --worker-runtime node --language javascript --docker

func init --worker-runtime powershell --docker

func init --worker-runtime python --docker

func init --worker-runtime node --language typescript --docker

mvn archetype:generate -DarchetypeGroupId=com.microsoft.azure -DarchetypeArtifactId=azure-functions-archetype -DjavaVersion=8 -Ddocker

mvn archetype:generate "-DarchetypeGroupId=com.microsoft.azure" "-DarchetypeArtifactId=azure-functions-archetype" "-DjavaVersion=8" "-Ddocker"

mvn archetype:generate "-DarchetypeGroupId=com.microsoft.azure" "-DarchetypeArtifactId=azure-functions-archetype" "-DjavaVersion=8" "-Ddocker"

The --docker option generates a Dockerfile for the project, which defines a suitable container for use with Azure Functions and the selected runtime.

cd fabrikam-functions

func new --name HttpExample --template "HTTP trigger"

func new --name HttpExample --template "HTTP trigger"

Чтобы протестировать функцию локально, запустите локальный узел среды выполнения Функций Azure в корневой папке проекта.

func start  

func start  

npm install
npm start

mvn clean package  
mvn azure-functions:run

Press Ctrl+C (Command+C on macOS) to stop the host.

Создание образа контейнера и проверка локально

(Optional) Examine the Dockerfile in the root of the project folder. The Dockerfile describes the required environment to run the function app on Linux. Полный список поддерживаемых базовых образов для Функций Azure можно найти на странице базового образа Функций Azure.

In the root project folder, run the docker build command, provide a name as azurefunctionsimage, and tag as v1.0.0. Замените <DOCKER_ID> идентификатором вашей учетной записи Docker Hub. Эта команда отвечает за создание образа Docker для контейнера.

docker build --tag <DOCKER_ID>/azurefunctionsimage:v1.0.0 .

После выполнения команды можно запустить новый контейнер локально.

To verify the build, run the image in a local container using the docker run command, replace <DOCKER_ID> again with your Docker Hub account ID, and add the ports argument as -p 8080:80:

docker run -p 8080:80 -it <DOCKER_ID>/azurefunctionsimage:v1.0.0

After verifying the function app in the container, press Ctrl+C (Command+C on macOS) to stop execution.

Публикация образа контейнера в реестре

Чтобы сделать образ контейнера доступным для развертывания в среде размещения, необходимо отправить его в реестр контейнеров. Рекомендуется использовать экземпляр Реестр контейнеров Azure и применять подключения на основе управляемых удостоверений. Центр Docker требует проверки подлинности с помощью общих секретов, что делает развертывание более уязвимыми.

Создание вспомогательных ресурсов Azure для функции

Прежде чем развернуть контейнер в Azure, необходимо создать три ресурса:

• A resource group, which is a logical container for related resources.
• A Storage account, which is used to maintain state and other information about your functions.
• Среда "Приложения контейнеров Azure" с рабочей областью Log Analytics.
• Управляемое удостоверение, назначаемое пользователем, которое позволяет приложению-функции безопасно подключаться к ресурсам Azure без использования общих секретов. Подключения как к учетной записи служба хранилища Azure, так и к экземпляру Реестр контейнеров Azure вместо этого используют проверку подлинности Microsoft Entra с удостоверением, который рекомендуется использовать для этого сценария.

Используйте следующие команды для создания необходимых ресурсов Azure:

1. При необходимости войдите в Azure:

   Команда az login входит в учетную запись Azure. Используется az account set при наличии нескольких подписок, связанных с вашей учетной записью.

2. Выполните следующую команду, чтобы обновить Azure CLI до последней версии:

   az upgrade
   

   Если ваша версия Azure CLI не является последней версией, начинается установка. Способ обновления зависит от операционной системы. После завершения обновления можно продолжить.

3. Выполните следующие команды, которые обновляют расширение "Приложения контейнеров Azure" и регистрируют пространства имен, необходимые для приложений контейнеров:

   az extension add --name containerapp --upgrade -y
   az provider register --namespace Microsoft.Web 
   az provider register --namespace Microsoft.App 
   az provider register --namespace Microsoft.OperationalInsights 
   

4. Создайте группу ресурсов с именем AzureFunctionsContainers-rg.

   az group create --name AzureFunctionsContainers-rg --location eastus
   

   Эта az group create команда создает группу ресурсов в регионе "Восточная часть США". Если вы хотите использовать регион рядом с вами, используя доступный код региона, возвращенный командой az account list-locations . Для использования настраиваемого eastusрегиона необходимо изменить последующие команды.

5. Создайте среду приложения контейнера Azure с включенными профилями рабочей нагрузки.

   az containerapp env create --name MyContainerappEnvironment --enable-workload-profiles --resource-group AzureFunctionsContainers-rg --location eastus
   

   Выполнение команды может занять несколько минут.

6. Создайте учетную запись хранения общего назначения в группе ресурсов и регионе без доступа к общему ключу.

   az storage account create --name <STORAGE_NAME> --location eastus --resource-group AzureFunctionsContainers-rg --sku Standard_LRS --allow-blob-public-access false --allow-shared-key-access false
   

   Команда az storage account create создает учетную запись хранения, доступ к которой можно получить только с помощью удостоверений, прошедших проверку подлинности Microsoft Entra, которые были предоставлены разрешения для определенных ресурсов.

   В предыдущем примере замените <STORAGE_NAME> соответствующим именем, которое является уникальным в службе хранилища Azure. Имена хранилищ должны содержать от 3 до 24 символов и только в нижнем регистре. Standard_LRS указывает учетную запись общего назначения, которая поддерживается Функциями.

7. Создайте управляемое удостоверение и используйте возвращенное principalId для предоставления ему доступа к учетной записи хранения и разрешениям на извлечение в экземпляре реестра.

   principalId=$(az identity create --name <USER_IDENTITY_NAME> --resource-group AzureFunctionsContainers-rg --location eastus --query principalId -o tsv) 
   acrId=$(az acr show --name <REGISTRY_NAME> --query id --output tsv)
   az role assignment create --assignee-object-id $principalId --assignee-principal-type ServicePrincipal --role acrpull --scope $acrId
   storageId=$(az storage account show --resource-group AzureFunctionsContainers-rg --name <STORAGE_NAME> --query 'id' -o tsv)
   az role assignment create --assignee-object-id $principalId --assignee-principal-type ServicePrincipal --role "Storage Blob Data Owner" --scope $storageId
   

   Команда az identity create создает управляемое удостоверение, назначаемое пользователем, и az role assignment create команды добавляют удостоверение в необходимые роли. Замените и <REGISTRY_NAME><USER_IDENTITY_NAME> назовите <STORAGE_NAME>существующий реестр контейнеров, имя управляемого удостоверения и имя учетной записи хранения соответственно. Теперь управляемое удостоверение можно использовать приложением для доступа к учетной записи хранения и Реестр контейнеров Azure без использования общих секретов.

Создание и настройка приложения-функции в Azure с помощью образа

Приложение-функция в Azure управляет выполнением функций в среде azure Container Apps. В этом разделе вы используете ресурсы Azure из предыдущего раздела, чтобы создать приложение-функцию из образа в реестре контейнеров в среде контейнеров. Вы также настраиваете новую среду с помощью строка подключения необходимой учетной записи служба хранилища Azure.

az functionapp create Используйте команду для создания приложения-функции в новой управляемой среде, поддерживаемой приложениями контейнеров Azure. В az functionapp createпараметре --environment указывается среда "Приложения контейнеров".

UAMI_RESOURCE_ID=$(az identity show --name $uami_name --resource-group $group --query id -o tsv)
az functionapp create --name <APP_NAME> --storage-account <STORAGE_NAME> --environment MyContainerappEnvironment --workload-profile-name "Consumption" --resource-group AzureFunctionsContainers-rg --functions-version 4 --assign-identity $UAMI_RESOURCE_ID

UAMI_RESOURCE_ID=$(az identity show --name <USER_IDENTITY_NAME> --resource-group AzureFunctionsContainers-rg --query id -o tsv)
az resource patch --resource-group AzureFunctionsContainers-rg --name <APP_NAME> --resource-type "Microsoft.Web/sites" --properties "{ \"siteConfig\": { \"linuxFxVersion\": \"DOCKER|<REGISTRY_NAME>.azurecr.io/azurefunctionsimage:v1.0.0\", \"acrUseManagedIdentityCreds\": true, \"acrUserManagedIdentityID\":\"$UAMI_RESOURCE_ID\", \"appSettings\": [{\"name\": \"DOCKER_REGISTRY_SERVER_URL\", \"value\": \"<REGISTRY_NAME>.azurecr.io\"}]}}"

az functionapp create --name <APP_NAME> --storage-account <STORAGE_NAME> --environment MyContainerappEnvironment --workload-profile-name "Consumption" --resource-group AzureFunctionsContainers-rg --functions-version 4 --assign-identity --image <DOCKER_ID>/azurefunctionsimage:v1.0.0  

Указание --workload-profile-name "Consumption" создания приложения в среде с помощью профиля рабочей нагрузки по умолчанию Consumption , который стоит так же, как и в плане потребления контейнерных приложений. При первом создании приложения-функции он извлекает исходный образ из реестра.

Обновление параметров приложения

Чтобы узел Функций мог подключаться к учетной записи хранения по умолчанию с помощью общих секретов, необходимо заменить AzureWebJobsStorage параметр строка подключения эквивалентным параметром, который использует управляемое удостоверение, назначаемое пользователем, для подключения к учетной записи хранения.

1. Удалите существующий AzureWebJobsStorage параметр строка подключения:

   az functionapp config appsettings delete --name <APP_NAME> --resource-group AzureFunctionsContainers-rg --setting-names AzureWebJobsStorage 
   

   Команда az functionapp config appsettings delete удаляет этот параметр из приложения. Замените <APP_NAME> на имя приложения-функции.

2. Добавьте эквивалентные параметры с AzureWebJobsStorage__ префиксом, который определяет подключение управляемого удостоверения, назначаемое пользователем, к учетной записи хранения по умолчанию:

   clientId=$(az identity show --name <USER_IDENTITY_NAME> --resource-group AzureFunctionsContainers-rg --query 'clientId' -o tsv)
   az functionapp config appsettings set --name <APP_NAME> --resource-group AzureFunctionsContainers-rg --settings AzureWebJobsStorage__accountName=<STORAGE_NAME> AzureWebJobsStorage__credential=managedidentity AzureWebJobsStorage__clientId=$clientId
   

   В этом примере замените <APP_NAME><USER_IDENTITY_NAME><STORAGE_NAME> имя приложения-функции, имя удостоверения и имя учетной записи хранения соответственно.

На этом этапе функции выполняются в среде "Приложения контейнеров", при этом уже добавлены необходимые параметры приложения. При необходимости вы можете добавить другие параметры в приложение функций стандартным способом для функций. Дополнительные сведения см. в разделе "Использование параметров приложения".

Проверка функций в Azure

С помощью образа, развернутого в приложении-функции в Azure, теперь можно вызвать функцию через HTTP-запросы.

1. Выполните следующую az functionapp function show команду, чтобы получить URL-адрес новой функции:

   az functionapp function show --resource-group AzureFunctionsContainers-rg --name <APP_NAME> --function-name HttpExample --query invokeUrlTemplate 
   

   Замените <APP_NAME> на имя приложения-функции.

При переходе к этому URL-адресу в браузере должны отображаться выходные данные, аналогичные данным при локальном запуске функции.

URL-адрес запроса должен выглядеть примерно так:

Очистка ресурсов

Если вы хотите продолжить работу с функцией Azure с помощью ресурсов, созданных в этой статье, можно оставить все эти ресурсы.

После завершения работы с развертыванием приложения-функции удалите AzureFunctionsContainers-rg группу ресурсов, чтобы очистить все ресурсы в этой группе:

az group delete --name AzureFunctionsContainers-rg

Next steps