Поделиться через

Создание первых контейнерных функций в приложениях контейнеров Azure

В этой статье вы создадите приложение-функцию, работающее в контейнере Linux, и развернете его в среде приложений контейнеров Azure из реестра контейнеров. Развернув приложения-контейнеры, вы можете интегрировать приложения-функции в облачные микрослужбы. Дополнительные сведения см. в статье Размещение Функций Azure в контейнерных приложениях Azure.

Important

Теперь доступен новый метод размещения функций Azure непосредственно в приложениях контейнеров Azure. См. поддержку собственных функций Azure в приложениях контейнеров Azure. Эта интеграция позволяет использовать все функции и возможности приложений контейнеров Azure. Вы также можете воспользоваться моделью программирования функций и простотой автомасштабирования, предоставляемой Функциями Azure.

Мы рекомендуем этот подход для большинства новых рабочих нагрузок. Дополнительные сведения см. в статье "Функции Azure" в приложениях контейнеров Azure.

В этой статье показано, как создавать функции, выполняемые в контейнере Linux, и развертывать контейнер в среде приложений контейнеров.

Завершение этого краткого руководства повлечет за собой небольшие расходы в размере нескольких центов США или меньше в вашей учетной записи Azure, которые можно свести к минимуму, выполнив очистку ресурсов после выполнения.

Выберите язык разработки

Сначала вы используете средства Функций Azure для создания кода проекта в качестве приложения-функции в контейнере Docker с помощью базового образа Linux для конкретного языка. Выберите язык в верхней части статьи.

Core Tools автоматически генерирует Dockerfile для проекта, который использует наиболее актуальную версию соответствующего базового образа для языка ваших функций. Следует регулярно обновлять контейнер из последнего базового образа и повторно развертывать его из обновленной версии контейнера. Дополнительные сведения см. в разделе "Создание контейнерных приложений-функций".

Prerequisites

Перед началом работы необходимо иметь следующее:

  • Установите Azure CLI версии 2.4 или более поздней.

Если у вас нет подписки Azure, создайте бесплатную учетную запись перед началом работы.

Чтобы опубликовать образ приложения-функции, создаваемого в реестре контейнеров, вам потребуется идентификатор Docker и Docker Desktop , работающий на локальном компьютере. Если у вас нет идентификатора Docker, можно создать учетную запись Docker.

Кроме того, необходимо завершить раздел Создание реестра контейнеров в кратком руководстве по реестру контейнеров. Запишите полностью определенное имя сервера аутентификации.

Создание и активация виртуальной среды

В подходящей папке выполните следующие команды, чтобы создать и активировать виртуальную среду с именем .venv. Обязательно используйте одну из версий Python, поддерживаемых функциями Azure.

python -m venv .venv

source .venv/bin/activate

Если пакет venv не установлен Python для вашего дистрибутива Linux, выполните следующую команду:

sudo apt-get install python3-venv

Все последующие команды будут выполняться в этой активированной виртуальной среде.

Создайте и протестируйте локальный проект функций

Чтобы создать проект приложения-функции в текущей папке, в терминале или в командной строке выполните следующую команду для вашего выбранного языка:

func init --worker-runtime dotnet-isolated --docker

func init --worker-runtime node --language javascript --docker

func init --worker-runtime powershell --docker

func init --worker-runtime python --docker

func init --worker-runtime node --language typescript --docker

В пустой папке выполните следующую команду, чтобы создать проект Functions из архетипа Maven:

mvn archetype:generate -DarchetypeGroupId=com.microsoft.azure -DarchetypeArtifactId=azure-functions-archetype -DjavaVersion=8 -Ddocker

Параметр -DjavaVersion указывает среде выполнения Функций, какую версию Java необходимо использовать. Используйте -DjavaVersion=11, чтобы функции выполнялись на Java 11. Если не указать параметр -DjavaVersion, Maven будет по умолчанию использовать Java 8. Дополнительные сведения см. в версиях Java.

Important

Чтобы выполнить задания из этой статьи, переменной среды JAVA_HOME необходимо присвоить расположение установки правильной версии JDK.

Maven запрашивает значения, необходимые для завершения создания проекта при развертывании. Следуйте инструкциям и укажите следующее:

Prompt Value Description
groupId com.fabrikam Это значение уникально идентифицирует проект среди всех остальных. Оно должно соответствовать правилам именования пакетов для Java.
artifactId fabrikam-functions Это значение содержит имя JAR-файла, без номера версии.
version 1.0-SNAPSHOT Выберите значение по умолчанию.
package com.fabrikam.functions Это значение представляет собой пакет Java для сгенерированного кода функции. Используйте значение по умолчанию.

Введите Y или нажмите Enter для подтверждения.

Maven создает файлы проекта в новой папке с именем artifactId, которая в этом примере является fabrikam-functions.

Параметр --docker создает Dockerfile для проекта, который определяет подходящий контейнер для использования с функциями Azure и выбранной средой выполнения.

Перейдите в папку проекта:

cd fabrikam-functions

Добавьте функцию в проект с помощью следующей команды, где аргумент --name — это уникальное имя функции, а аргумент --template указывает триггер функции. func new создает файл кода C# в проекте.

func new --name HttpExample --template "HTTP trigger"

Добавьте функцию в проект с помощью следующей команды, где аргумент --name — это уникальное имя функции, а аргумент --template указывает триггер функции. func new создает вложенную папку, соответствующую имени функции, содержащей файл конфигурации с именемfunction.json.

func new --name HttpExample --template "HTTP trigger"

Чтобы протестировать функцию локально, запустите локальный узел среды выполнения Функций Azure в корневой папке проекта. Чтобы убедиться, что функция может вызываться позже при размещении в Docker, убедитесь, что уровень авторизации задан AuthorizationLevel.Anonymousили установлен, если он еще не настроен.

func start  

func start  

npm install
npm start

mvn clean package  
mvn azure-functions:run

После того как конечная точка HttpExample будет записана в выходные данные, перейдите к этой конечной точке. В выходных данных ответа должно появиться приветственное сообщение.

После просмотра конечной точки, записанной HttpExample в выходные данные, перейдите в раздел http://localhost:7071/api/HttpExample?name=Functions. Браузер должен отобразить приветственное сообщение, которое возвращает Functions, передаваемое параметру запроса name значение.

Нажмите Ctrl+C (Command+C на macOS), чтобы остановить хост.

Создание образа контейнера и проверка локально

(Необязательно) Проверьте Dockerfile в корневом каталоге папки проекта. Dockerfile описывает необходимую среду для запуска приложения-функции в Linux. Полный список поддерживаемых базовых образов для Функций Azure можно найти на странице базового образа Функций Azure.

В корневой папке проекта выполните команду docker build, укажите имя как azurefunctionsimage и тег как v1.0.0. Замените <DOCKER-ID> идентификатором вашей учетной записи Docker Hub. Эта команда отвечает за создание образа Docker для контейнера.

docker build --tag <DOCKER-ID>/azurefunctionsimage:v1.0.0 .

После выполнения команды можно запустить новый контейнер локально.

Чтобы проверить сборку, запустите образ в локальном контейнере с помощью команды запуска Docker , замените <DOCKER-ID> еще раз идентификатором учетной записи Docker Hub и добавьте аргумент портов следующим образом -p 8080:80:

docker run -p 8080:80 -it <DOCKER-ID>/azurefunctionsimage:v1.0.0

После того как образ будет запущен в локальном контейнере, перейдите по адресу http://localhost:8080/api/HttpExample, где должно появиться такое же приветственное сообщение, как описано выше. Так как созданная вами функция, активируемая HTTP, использует анонимную авторизацию, можно вызвать функцию, выполняемую в контейнере, без получения ключа доступа. Дополнительные сведения см. в разделе "Ключи авторизации".

После того как образ будет запущен в локальном контейнере, перейдите по адресу http://localhost:8080/api/HttpExample?name=Functions, где должно появиться такое же приветственное сообщение, как описано выше. Так как созданная вами функция, активируемая HTTP, использует анонимную авторизацию, можно вызвать функцию, выполняемую в контейнере, без получения ключа доступа. Дополнительные сведения см. в разделе "Ключи авторизации".

После проверки приложения-функции в контейнере нажмите клавиши CTRL+C (Command+C в macOS), чтобы остановить выполнение.

Публикация образа контейнера в реестре

Чтобы сделать образ контейнера доступным для развертывания в среде размещения, необходимо отправить его в реестр контейнеров. Рекомендуется в целях безопасности использовать экземпляр Azure Container Registry и обеспечивать подключения на основе управляемых удостоверений. Docker Hub требует проверки подлинности с помощью общих секретов, что делает развертывания более уязвимыми.

Реестр контейнеров Azure — это служба частного реестра для создания, хранения и обслуживания образов контейнеров и связанных с ними артефактов. Для публикации контейнеров в службах Azure следует использовать службу частного реестра.

  1. Используйте эту команду для входа в экземпляр реестра с помощью текущих учетных данных Azure. Замените <REGISTRY-NAME> именем экземпляра реестра контейнеров.

    az acr login --name <REGISTRY-NAME>

  2. Используйте эту команду, чтобы пометить образ с полным именем сервера для входа в реестр. Замените <LOGIN-SERVER> на полное квалифицированное имя вашего сервера логина реестра и <DOCKER-ID> на ваш идентификатор Docker.

    docker tag <DOCKER-ID>/azurefunctionsimage:v1.0.0 <LOGIN-SERVER>/azurefunctionsimage:v1.0.0

  3. Используйте эту команду, чтобы отправить контейнер в экземпляр реестра:

    docker push <LOGIN-SERVER>/azurefunctionsimage:v1.0.0

Создание вспомогательных ресурсов Azure для функции

Прежде чем развернуть контейнер в Azure, необходимо создать три ресурса:

  • группу ресурсов — логический контейнер связанных ресурсов;
  • учетная запись хранения, которая используется для сохранения состояния и других сведений о ваших функциях.
  • Среда для приложений контейнеров Azure с рабочей областью Log Analytics.
  • Управляемое удостоверение, назначаемое пользователем, которое позволяет приложению-функции безопасно подключаться к ресурсам Azure без использования общих секретов. Подключения как к учетной записи хранилища Azure, так и к экземпляру Контейнерного реестра Azure осуществляются через проверку подлинности Microsoft Entra с удостоверением, которое рекомендуется использовать для этого сценария.

Note

Docker Hub не поддерживает управляемые удостоверения.

Используйте следующие команды для создания необходимых ресурсов Azure:

  1. При необходимости войдите в Azure:

    Команда az login выполняет вход в вашу учетную запись Azure. Используется az account set при наличии нескольких подписок, связанных с вашей учетной записью.

  2. Выполните следующую команду, чтобы обновить Azure CLI до последней версии:

    az upgrade

    Если ваша версия Azure CLI не является последней версией, начинается установка. Способ обновления зависит от операционной системы. После завершения обновления можно продолжить.

  3. Выполните следующие команды, которые обновляют расширение "Приложения контейнеров Azure" и регистрируют пространства имен, необходимые для приложений контейнеров:

    az extension add --name containerapp --upgrade -y
az provider register --namespace Microsoft.Web 
az provider register --namespace Microsoft.App 
az provider register --namespace Microsoft.OperationalInsights

  4. Создайте группу ресурсов с именем AzureFunctionsContainers-rg.

    az group create --name AzureFunctionsContainers-rg --location eastus

    Эта az group create команда создает группу ресурсов в регионе "Восток США". Если вы вместо этого хотите использовать регион поближе, при использовании доступного кода региона, возвращенного командой az account list-locations. Для использования настраиваемого региона вместо eastus необходимо изменить последующие команды.

  5. Создайте среду приложения контейнера Azure с включенными профилями рабочей нагрузки.

    az containerapp env create --name MyContainerappEnvironment --enable-workload-profiles --resource-group AzureFunctionsContainers-rg --location eastus

    Выполнение команды может занять несколько минут.

  6. Создайте учетную запись хранения общего назначения в группе ресурсов и регионе без доступа к общему ключу.

    az storage account create --name <STORAGE_NAME> --location eastus --resource-group AzureFunctionsContainers-rg --sku Standard_LRS --allow-blob-public-access false --allow-shared-key-access false

    Команда az storage account create создает учетную запись для хранения, доступ к которой можно получить только с помощью удостоверений, аутентифицированных с помощью Microsoft Entra, которым были предоставлены разрешения на доступ к конкретным ресурсам.

    В предыдущем примере замените <STORAGE_NAME> соответствующим именем, которое является уникальным в службе хранилища Azure. Имена хранилищ должны содержать от 3 до 24 символов и состоять только из цифр и строчных букв. Standard_LRS указывает учетную запись общего назначения, которая поддерживается Функциями.

  7. Создайте управляемое удостоверение и используйте возвращенное principalId для предоставления ему доступа к вашей учетной записи хранения и доступа на извлечение в вашем экземпляре реестра.

    principalId=$(az identity create --name <USER_IDENTITY_NAME> --resource-group AzureFunctionsContainers-rg --location eastus --query principalId -o tsv) 
acrId=$(az acr show --name <REGISTRY_NAME> --query id --output tsv)
az role assignment create --assignee-object-id $principalId --assignee-principal-type ServicePrincipal --role acrpull --scope $acrId
storageId=$(az storage account show --resource-group AzureFunctionsContainers-rg --name <STORAGE_NAME> --query 'id' -o tsv)
az role assignment create --assignee-object-id $principalId --assignee-principal-type ServicePrincipal --role "Storage Blob Data Owner" --scope $storageId

    Команда az identity create создает управляемое удостоверение, назначенное пользователем, а команда az role assignment create добавляет ваше удостоверение в необходимые роли. Замените <REGISTRY_NAME>, <USER_IDENTITY_NAME> и <STORAGE_NAME> на имя вашего существующего реестра контейнеров, имя для управляемого удостоверения и имя учетной записи хранения соответственно. Теперь управляемое удостоверение можно использовать приложению для доступа к учетной записи хранения и реестру контейнеров Azure, без использования общих секретов.

Создание и настройка приложения-функции в Azure с помощью образа

Приложение-функция в Azure управляет выполнением функций в среде azure Container Apps. В этом разделе вы используете ресурсы Azure из предыдущего раздела, чтобы создать функциональное приложение из образа в реестре контейнеров в среде для контейнерных приложений. Вы также настраиваете новую среду с помощью строки подключения к необходимой учетной записи службы хранилища Azure.

az functionapp create Используйте команду для создания приложения-функции в новой управляемой среде, поддерживаемой приложениями контейнеров Azure. В az functionapp create параметре --environment указывается среда для контейнерных приложений.

Tip

Чтобы убедиться, что ваше приложение-функция использует управляемое подключение на основе удостоверений к экземпляру --image реестра, не устанавливайте параметр в az functionapp create. При установке --image полного имени образа в репозитории общие секретные учетные данные получаются из реестра и хранятся в параметрах приложения.

Сначала необходимо получить полное значение идентификатора управляемого удостоверения, назначенного пользователем с правом вытягивания из реестра, а затем использовать команду az functionapp create для создания функционального приложения с помощью образа по умолчанию и этой назначенной ему идентичностью.

UAMI_RESOURCE_ID=$(az identity show --name $uami_name --resource-group $group --query id -o tsv)
az functionapp create --name <APP_NAME> --storage-account <STORAGE_NAME> --environment MyContainerappEnvironment --workload-profile-name "Consumption" --resource-group AzureFunctionsContainers-rg --functions-version 4 --assign-identity $UAMI_RESOURCE_ID

В az functionapp create, --assign-identity назначает управляемое удостоверение новому приложению. Поскольку вы не задали параметр --image, приложение az functionapp create создается с использованием образа-заполнителя.

В этом примере замените <APP_NAME>, <STORAGE_NAME> и <USER_IDENTITY_NAME> на название вашего нового приложения-функции, а также имя учетной записи хранения и удостоверение.

Наконец, вам нужно обновить linuxFxVersion настройку сайта на полное имя вашего образа в репозитории. Необходимо также обновить настройки сайта acrUseManagedIdentityCreds и acrUserManagedIdentityID, чтобы управляемые удостоверения использовались при получении образа из реестра.

UAMI_RESOURCE_ID=$(az identity show --name <USER_IDENTITY_NAME> --resource-group AzureFunctionsContainers-rg --query id -o tsv)
az resource patch --resource-group AzureFunctionsContainers-rg --name <APP_NAME> --resource-type "Microsoft.Web/sites" --properties "{ \"siteConfig\": { \"linuxFxVersion\": \"DOCKER|<REGISTRY_NAME>.azurecr.io/azurefunctionsimage:v1.0.0\", \"acrUseManagedIdentityCreds\": true, \"acrUserManagedIdentityID\":\"$UAMI_RESOURCE_ID\", \"appSettings\": [{\"name\": \"DOCKER_REGISTRY_SERVER_URL\", \"value\": \"<REGISTRY_NAME>.azurecr.io\"}]}}"

Помимо требуемых az resource patch параметров сайта, команда также обновляет DOCKER_REGISTRY_SERVER_URL параметр приложения на URL-адрес сервера реестра.

В этом примере замените <APP_NAME>, <REGISTRY_NAME>а также <USER_IDENTITY_NAME> именами приложения-функции, реестра контейнеров и удостоверений соответственно.

Указав --workload-profile-name "Consumption", вы создаёте своё приложение в среде с профилем рабочей нагрузки по умолчанию Consumption, стоимость которого аналогична плану потребления контейнерных приложений. При первом создании приложения-функции он извлекает исходный образ из реестра.

Обновление параметров приложения

Чтобы хост функций мог подключаться к учетной записи хранения по умолчанию с помощью общих секретов, необходимо заменить параметр строки подключения эквивалентным параметром, в котором используется назначаемое пользователем управляемое удостоверение для подключения к учетной записи хранения.

  1. Удалите существующий AzureWebJobsStorage параметр строка подключения:

    az functionapp config appsettings delete --name <APP_NAME> --resource-group AzureFunctionsContainers-rg --setting-names AzureWebJobsStorage

    Команда az functionapp config appsettings delete удаляет этот параметр из приложения. Замените <APP_NAME> на имя приложения-функции.

  2. Добавьте эквивалентные параметры с AzureWebJobsStorage__ префиксом, который определяет подключение управляемого удостоверения, назначаемое пользователем, к учетной записи хранения по умолчанию:

    clientId=$(az identity show --name <USER_IDENTITY_NAME> --resource-group AzureFunctionsContainers-rg --query 'clientId' -o tsv)
az functionapp config appsettings set --name <APP_NAME> --resource-group AzureFunctionsContainers-rg --settings AzureWebJobsStorage__accountName=<STORAGE_NAME> AzureWebJobsStorage__credential=managedidentity AzureWebJobsStorage__clientId=$clientId

    В этом примере замените <APP_NAME>, <USER_IDENTITY_NAME>, <STORAGE_NAME> на имя вашего приложения-функции, имя вашего удостоверения и имя вашей учетной записи хранения соответственно.

На этом этапе функции выполняются в среде "Приложения контейнеров", при этом уже добавлены необходимые параметры приложения. При необходимости вы можете добавить другие параметры в приложение функций стандартным способом для функций. Дополнительные сведения см. в разделе "Использование параметров приложения".

Tip

При внесении последующих изменений в код функции необходимо перестроить контейнер, повторно опубликовать образ в реестре и обновить приложение-функцию с новой версией образа. Дополнительные сведения см. в разделе "Обновление образа в реестре"

Проверка функций в Azure

С помощью образа, развернутого в приложении-функции в Azure, теперь можно вызвать функцию через HTTP-запросы.

  1. Выполните следующую az functionapp function show команду, чтобы получить URL-адрес новой функции:

    az functionapp function show --resource-group AzureFunctionsContainers-rg --name <APP_NAME> --function-name HttpExample --query invokeUrlTemplate

    Замените <APP_NAME> на имя приложения-функции.

  1. Используйте URL-адрес, который вы только что получили для вызова конечной HttpExample точки функции, добавив строку ?name=Functionsзапроса.
  1. Используйте URL-адрес, который вы только что получили для вызова конечной HttpExample точки функции.

При переходе к этому URL-адресу в браузере должны отображаться выходные данные, аналогичные данным при локальном запуске функции.

URL-адрес запроса должен выглядеть примерно так:

https://myacafunctionapp.kindtree-796af82b.eastus.azurecontainerapps.io/api/httpexample?name=functions

https://myacafunctionapp.kindtree-796af82b.eastus.azurecontainerapps.io/api/httpexample

Очистка ресурсов

Если вы хотите продолжить работу с функцией Azure с помощью ресурсов, созданных в этой статье, можно оставить все эти ресурсы.

После завершения работы с развертыванием приложения-функции удалите AzureFunctionsContainers-rg группу ресурсов, чтобы очистить все ресурсы в этой группе:

az group delete --name AzureFunctionsContainers-rg

Дальнейшие шаги

Хостинг функций Azure в приложениях контейнеров Azure

Поддержка собственных функций Azure в приложениях контейнеров Azure

Создание собственных функций Azure в приложениях контейнеров Azure

Работа с контейнерами и Функции Azure

Помогите сделать опыт лучше

  • Last updated on