Snabbstart: Skapa och distribuera Azure Functions-resurser med Bicep

I den här artikeln använder du Bicep för att skapa en funktionsapp i en Flex Consumption-plan i Azure, tillsammans med nödvändiga Azure-resurser. Funktionsappen tillhandahåller en serverlös körningskontext för genomföranden av funktionskod. Appen använder Microsoft Entra-ID med hanterade identiteter för att ansluta till andra Azure-resurser.

Slutförande av den här snabbstarten medför en liten kostnad på några USD-cent eller mindre på ditt Azure-konto.

Bicep är ett domänspecifikt språk (DSL) som använder deklarativ syntax för att distribuera Azure-resurser. Det ger koncis syntax, tillförlitlig typsäkerhet och stöd för återanvändning av kod. Bicep erbjuder den bästa redigeringsupplevelsen för dina infrastruktur-som-kod-lösningar i Azure.

När du har skapat funktionsappen kan du distribuera din Azure Functions-projektkod till appen. Ett sista koddistributionssteg ligger utanför omfånget för den här snabbstartsartikeln.

Förutsättningar

Azure-konto

Innan du börjar måste du ha ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.

Granska Bicep-filen

Bicep-filen som används i den här snabbstarten kommer från en Azure-snabbstartsmall.

/* This Bicep file creates a function app running in a Flex Consumption plan 
that connects to Azure Storage by using managed identities with Microsoft Entra ID. */

//********************************************
// Parameters
//********************************************

@description('Primary region for all Azure resources.')
@minLength(1)
param location string = resourceGroup().location 

@description('Language runtime used by the function app.')
@allowed(['dotnet-isolated','python','java', 'node', 'powerShell'])
param functionAppRuntime string = 'dotnet-isolated' //Defaults to .NET isolated worker

@description('Target language version used by the function app.')
@allowed(['3.10','3.11', '7.4', '8.0', '9.0', '10', '11', '17', '20'])
param functionAppRuntimeVersion string = '8.0' //Defaults to .NET 8.

@description('The maximum scale-out instance count limit for the app.')
@minValue(40)
@maxValue(1000)
param maximumInstanceCount int = 100

@description('The memory size of instances used by the app.')
@allowed([2048,4096])
param instanceMemoryMB int = 2048

@description('A unique token used for resource name generation.')
@minLength(3)
param resourceToken string = toLower(uniqueString(subscription().id, location))

@description('A globally unique name for your deployed function app.')
param appName string = 'func-${resourceToken}'

//********************************************
// Variables
//********************************************

// Generates a unique container name for deployments.
var deploymentStorageContainerName = 'app-package-${take(appName, 32)}-${take(resourceToken, 7)}'

// Key access to the storage account is disabled by default 
var storageAccountAllowSharedKeyAccess = false

// Define the IDs of the roles we need to assign to our managed identities.
var storageBlobDataOwnerRoleId  = 'b7e6dc6d-f1e8-4753-8033-0f276bb0955b'
var storageBlobDataContributorRoleId = 'ba92f5b4-2d11-453d-a403-e96b0029c9fe'
var storageQueueDataContributorId = '974c5e8b-45b9-4653-ba55-5f855dd0fb88'
var storageTableDataContributorId = '0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3'
var monitoringMetricsPublisherId = '3913510d-42f4-4e42-8a64-420c390055eb'

//********************************************
// Azure resources required by your function app.
//********************************************

resource logAnalytics 'Microsoft.OperationalInsights/workspaces@2023-09-01' = {
  name: 'log-${resourceToken}'
  location: location
  properties: any({
    retentionInDays: 30
    features: {
      searchVersion: 1
    }
    sku: {
      name: 'PerGB2018'
    }
  })
}

resource applicationInsights 'Microsoft.Insights/components@2020-02-02' = {
  name: 'appi-${resourceToken}'
  location: location
  kind: 'web'
  properties: {
    Application_Type: 'web'
    WorkspaceResourceId: logAnalytics.id
    DisableLocalAuth: true
  }
}

resource storage 'Microsoft.Storage/storageAccounts@2023-05-01' = {
  name: 'st${resourceToken}'
  location: location
  kind: 'StorageV2'
  sku: { name: 'Standard_LRS' }
  properties: {
    accessTier: 'Hot'
    allowBlobPublicAccess: false
    allowSharedKeyAccess: storageAccountAllowSharedKeyAccess
    dnsEndpointType: 'Standard'
    minimumTlsVersion: 'TLS1_2'
    networkAcls: {
      bypass: 'AzureServices'
      defaultAction: 'Allow'
    }
    publicNetworkAccess: 'Enabled'
  }
  resource blobServices 'blobServices' = {
    name: 'default'
    properties: {
      deleteRetentionPolicy: {}
    }
    resource deploymentContainer 'containers' = {
      name: deploymentStorageContainerName
      properties: {
        publicAccess: 'None'
      }
    }
  }
}

resource userAssignedIdentity 'Microsoft.ManagedIdentity/userAssignedIdentities@2023-01-31' = {
  name: 'uai-data-owner-${resourceToken}'
  location: location
}

resource roleAssignmentBlobDataOwner 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
  name: guid(subscription().id, storage.id, userAssignedIdentity.id, 'Storage Blob Data Owner')
  scope: storage
  properties: {
    roleDefinitionId: subscriptionResourceId('Microsoft.Authorization/roleDefinitions', storageBlobDataOwnerRoleId)
    principalId: userAssignedIdentity.properties.principalId
    principalType: 'ServicePrincipal'
  }
}

resource roleAssignmentBlob 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
  name: guid(subscription().id, storage.id, userAssignedIdentity.id, 'Storage Blob Data Contributor')
  scope: storage
  properties: {
    roleDefinitionId: subscriptionResourceId('Microsoft.Authorization/roleDefinitions', storageBlobDataContributorRoleId)
    principalId: userAssignedIdentity.properties.principalId
    principalType: 'ServicePrincipal'
  }
}

resource roleAssignmentQueueStorage 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
  name: guid(subscription().id, storage.id, userAssignedIdentity.id, 'Storage Queue Data Contributor')
  scope: storage
  properties: {
    roleDefinitionId: subscriptionResourceId('Microsoft.Authorization/roleDefinitions', storageQueueDataContributorId)
    principalId: userAssignedIdentity.properties.principalId
    principalType: 'ServicePrincipal'
  }
}

resource roleAssignmentTableStorage 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
  name: guid(subscription().id, storage.id, userAssignedIdentity.id, 'Storage Table Data Contributor')
  scope: storage
  properties: {
    roleDefinitionId: subscriptionResourceId('Microsoft.Authorization/roleDefinitions', storageTableDataContributorId)
    principalId: userAssignedIdentity.properties.principalId
    principalType: 'ServicePrincipal'
  }
}

resource roleAssignmentAppInsights 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
  name: guid(subscription().id, applicationInsights.id, userAssignedIdentity.id, 'Monitoring Metrics Publisher')
  scope: applicationInsights
  properties: {
    roleDefinitionId: subscriptionResourceId('Microsoft.Authorization/roleDefinitions', monitoringMetricsPublisherId)
    principalId: userAssignedIdentity.properties.principalId
    principalType: 'ServicePrincipal'
  }
}

//********************************************
// Function app and Flex Consumption plan definitions
//********************************************

resource appServicePlan 'Microsoft.Web/serverfarms@2024-04-01' = {
  name: 'plan-${resourceToken}'
  location: location
  kind: 'functionapp'
  sku: {
    tier: 'FlexConsumption'
    name: 'FC1'
  }
  properties: {
    reserved: true
  }
}

resource functionApp 'Microsoft.Web/sites@2024-04-01' = {
  name: appName
  location: location
  kind: 'functionapp,linux'
  identity: {
    type: 'UserAssigned'
    userAssignedIdentities: {
      '${userAssignedIdentity.id}':{}
      }
    }
  properties: {
    serverFarmId: appServicePlan.id
    httpsOnly: true
    siteConfig: {
      minTlsVersion: '1.2'
    }
    functionAppConfig: {
      deployment: {
        storage: {
          type: 'blobContainer'
          value: '${storage.properties.primaryEndpoints.blob}${deploymentStorageContainerName}'
          authentication: {
            type: 'UserAssignedIdentity'
            userAssignedIdentityResourceId: userAssignedIdentity.id
          }
        }
      }
      scaleAndConcurrency: {
        maximumInstanceCount: maximumInstanceCount
        instanceMemoryMB: instanceMemoryMB
      }
      runtime: { 
        name: functionAppRuntime
        version: functionAppRuntimeVersion
      }
    }
  }
  resource configAppSettings 'config' = {
    name: 'appsettings'
    properties: {
        AzureWebJobsStorage__accountName: storage.name
        AzureWebJobsStorage__credential : 'managedidentity'
        AzureWebJobsStorage__clientId: userAssignedIdentity.properties.clientId
        APPINSIGHTS_INSTRUMENTATIONKEY: applicationInsights.properties.InstrumentationKey
        APPLICATIONINSIGHTS_AUTHENTICATION_STRING: 'ClientId=${userAssignedIdentity.properties.clientId};Authorization=AAD'
      }
  }
}

Den här distributionsfilen skapar de Azure-resurser som behövs av en funktionsapp som ansluter säkert till Azure-tjänster:

• Microsoft.Web/sites: skapar din funktionsapp.
• Microsoft.Web/serverfarms: skapar en serverlös Flex Consumption värdplan för din app.
• Microsoft.Storage/storageAccounts: skapar ett Azure Storage-konto som krävs av Functions.
• Microsoft.Insights/components: skapar en Application Insights-instans för övervakning av din app.
• Microsoft.OperationalInsights/workspaces: skapar en arbetsyta som krävs av Application Insights.
• Microsoft.ManagedIdentity/userAssignedIdentiteter: skapar en användartilldelad hanterad identitet som används av appen för att autentisera med andra Azure-tjänster med hjälp av Microsoft Entra.
• Microsoft.Authorization/roleAssignments: skapar rolltilldelningar till den användartilldelade hanterade identiteten, som ger appen åtkomst med minst behörighet vid anslutning till andra Azure-tjänster.

Distributionsöverväganden:

• Lagringskontot används för att lagra viktiga appdata, inklusive programkoddistributionspaketet. Den här distributionen skapar ett lagringskonto som nås med Microsoft Entra ID-autentisering och hanterade identiteter. Identitetsåtkomst ges enligt principen om minsta möjliga behörighet.
• Bicep-filen skapar som standard en C#-app som använder .NET 8 i en isolerad process. För andra språk använder du parametrarna functionAppRuntime och functionAppRuntimeVersion för att ange det specifika språk och den version som appen ska köras på. Se till att välja programmeringsspråket på översta i artikeln.

Distribuera Bicep-filen

1. Spara Bicep-filen som main.bicep på den lokala datorn.

2. Distribuera Bicep-filen med antingen Azure CLI eller Azure PowerShell.

   • Azure CLI
   • Azure PowerShell

   az group create --name exampleRG --location <SUPPORTED_REGION>
   az deployment group create --resource-group exampleRG --template-file main.bicep --parameters functionAppRuntime=dotnet-isolated functionAppRuntimeVersion=8.0
   

   az group create --name exampleRG --location <SUPPORTED_REGION>
   az deployment group create --resource-group exampleRG --template-file main.bicep --parameters functionAppRuntime=java functionAppRuntimeVersion=17
   

   az group create --name exampleRG --location <SUPPORTED_REGION>
   az deployment group create --resource-group exampleRG --template-file main.bicep --parameters functionAppRuntime=node functionAppRuntimeVersion=20
   

   az group create --name exampleRG --location <SUPPORTED_REGION>
   az deployment group create --resource-group exampleRG --template-file main.bicep --parameters functionAppRuntime=python functionAppRuntimeVersion=3.11
   

   az group create --name exampleRG --location <SUPPORTED_REGION>
   az deployment group create --resource-group exampleRG --template-file main.bicep --parameters functionAppRuntime=powerShell functionAppRuntimeVersion=7.4
   

   I det här exemplet ersätter du <SUPPORTED_REGION> med en region som stöder Flex Consumption-planen.

   När distributionen är klar bör du se ett meddelande som anger att distributionen lyckades.

Validera utbyggnaden

Använd Azure CLI eller Azure PowerShell för att verifiera distributionen.

az resource list --resource-group exampleRG

Get-AzResource -ResourceGroupName exampleRG

Besök välkomstsidan för funktionsappen

1. Använd utdata från föregående valideringssteg för att hämta det unika namn som skapats för funktionsappen.

2. Öppna en webbläsare och ange följande URL: <https://< appName.azurewebsites.net>. Ersätt <\appName> med det unika namn som skapats för funktionsappen.

   När du besöker URL:en bör du se en sida som den här:

   

Rensa resurser

Nu när du har distribuerat en funktionsapp och relaterade resurser till Azure kan du fortsätta till nästa steg för att publicera projektkod till din app. Annars kan du använda dessa kommandon för att ta bort resurserna när du inte längre behöver dem.

az group delete --name exampleRG

Remove-AzResourceGroup -Name exampleRG

Du kan också ta bort resurser med hjälp av Azure-portalen.

Nästa steg

Nu kan du distribuera ett kodprojekt till de funktionsappresurser som du skapade i Azure.

Du kan skapa, verifiera och distribuera ett kodprojekt till din nya funktionsapp från dessa lokala miljöer: