クイック スタート: Bicep を使用して Azure Functions リソースを作成してデプロイする

この記事では、Bicep を使用して、必要な Azure リソースと共に、Azure の Flex Consumption プランで関数アプリを作成します。 関数アプリは、関数コードの実行にサーバーレス実行コンテキストを提供します。 アプリでは、マネージド ID を持つ Microsoft Entra ID を使用して、他の Azure リソースに接続します。

このクイックスタートを完了すると、ご利用の Azure アカウントでわずかな (数セント未満の) コストが発生します。

Bicep は、宣言型の構文を使用して Azure リソースをデプロイするドメイン固有言語 (DSL) です。 簡潔な構文、信頼性の高いタイプ セーフ、およびコードの再利用のサポートが提供されます。 Bicep により、Azure のコード ソリューションとしてのインフラストラクチャに最適な作成エクスペリエンスが実現します。

関数アプリを作成したら、そのアプリに Azure Functions プロジェクト コードをデプロイできます。 コードのデプロイの最後の手順は、このクイック スタート記事の範囲外です。

前提条件

Azure アカウント

開始する前に、アクティブなサブスクリプションを含む Azure アカウントが必要です。 無料でアカウントを作成できます。

Bicep ファイルを確認する

このクイック スタートで使用される Bicep ファイルは、 Azure クイック スタート テンプレートから取得したものです。

/* This Bicep file creates a function app running in a Flex Consumption plan 
that connects to Azure Storage by using managed identities with Microsoft Entra ID. */

//********************************************
// Parameters
//********************************************

@description('Primary region for all Azure resources.')
@minLength(1)
param ___location string = resourceGroup().___location 

@description('Language runtime used by the function app.')
@allowed(['dotnet-isolated','python','java', 'node', 'powerShell'])
param functionAppRuntime string = 'dotnet-isolated' //Defaults to .NET isolated worker

@description('Target language version used by the function app.')
@allowed(['3.10','3.11', '7.4', '8.0', '9.0', '10', '11', '17', '20'])
param functionAppRuntimeVersion string = '8.0' //Defaults to .NET 8.

@description('The maximum scale-out instance count limit for the app.')
@minValue(40)
@maxValue(1000)
param maximumInstanceCount int = 100

@description('The memory size of instances used by the app.')
@allowed([2048,4096])
param instanceMemoryMB int = 2048

@description('A unique token used for resource name generation.')
@minLength(3)
param resourceToken string = toLower(uniqueString(subscription().id, ___location))

@description('A globally unigue name for your deployed function app.')
param appName string = 'func-${resourceToken}'

//********************************************
// Variables
//********************************************

// Generates a unique container name for deployments.
var deploymentStorageContainerName = 'app-package-${take(appName, 32)}-${take(resourceToken, 7)}'

// Key access to the storage account is disabled by default 
var storageAccountAllowSharedKeyAccess = false

// Define the IDs of the roles we need to assign to our managed identities.
var storageBlobDataOwnerRoleId  = 'b7e6dc6d-f1e8-4753-8033-0f276bb0955b'
var storageBlobDataContributorRoleId = 'ba92f5b4-2d11-453d-a403-e96b0029c9fe'
var storageQueueDataContributorId = '974c5e8b-45b9-4653-ba55-5f855dd0fb88'
var storageTableDataContributorId = '0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3'
var monitoringMetricsPublisherId = '3913510d-42f4-4e42-8a64-420c390055eb'

//********************************************
// Azure resources required by your function app.
//********************************************

resource logAnalytics 'Microsoft.OperationalInsights/workspaces@2023-09-01' = {
  name: 'log-${resourceToken}'
  ___location: ___location
  properties: any({
    retentionInDays: 30
    features: {
      searchVersion: 1
    }
    sku: {
      name: 'PerGB2018'
    }
  })
}

resource applicationInsights 'Microsoft.Insights/components@2020-02-02' = {
  name: 'appi-${resourceToken}'
  ___location: ___location
  kind: 'web'
  properties: {
    Application_Type: 'web'
    WorkspaceResourceId: logAnalytics.id
    DisableLocalAuth: true
  }
}

resource storage 'Microsoft.Storage/storageAccounts@2023-05-01' = {
  name: 'st${resourceToken}'
  ___location: ___location
  kind: 'StorageV2'
  sku: { name: 'Standard_LRS' }
  properties: {
    accessTier: 'Hot'
    allowBlobPublicAccess: false
    allowSharedKeyAccess: storageAccountAllowSharedKeyAccess
    dnsEndpointType: 'Standard'
    minimumTlsVersion: 'TLS1_2'
    networkAcls: {
      bypass: 'AzureServices'
      defaultAction: 'Allow'
    }
    publicNetworkAccess: 'Enabled'
  }
  resource blobServices 'blobServices' = {
    name: 'default'
    properties: {
      deleteRetentionPolicy: {}
    }
    resource deploymentContainer 'containers' = {
      name: deploymentStorageContainerName
      properties: {
        publicAccess: 'None'
      }
    }
  }
}

resource userAssignedIdentity 'Microsoft.ManagedIdentity/userAssignedIdentities@2023-01-31' = {
  name: 'uai-data-owner-${resourceToken}'
  ___location: ___location
}

resource roleAssignmentBlobDataOwner 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
  name: guid(subscription().id, storage.id, userAssignedIdentity.id, 'Storage Blob Data Owner')
  scope: storage
  properties: {
    roleDefinitionId: subscriptionResourceId('Microsoft.Authorization/roleDefinitions', storageBlobDataOwnerRoleId)
    principalId: userAssignedIdentity.properties.principalId
    principalType: 'ServicePrincipal'
  }
}

resource roleAssignmentBlob 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
  name: guid(subscription().id, storage.id, userAssignedIdentity.id, 'Storage Blob Data Contributor')
  scope: storage
  properties: {
    roleDefinitionId: subscriptionResourceId('Microsoft.Authorization/roleDefinitions', storageBlobDataContributorRoleId)
    principalId: userAssignedIdentity.properties.principalId
    principalType: 'ServicePrincipal'
  }
}

resource roleAssignmentQueueStorage 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
  name: guid(subscription().id, storage.id, userAssignedIdentity.id, 'Storage Queue Data Contributor')
  scope: storage
  properties: {
    roleDefinitionId: subscriptionResourceId('Microsoft.Authorization/roleDefinitions', storageQueueDataContributorId)
    principalId: userAssignedIdentity.properties.principalId
    principalType: 'ServicePrincipal'
  }
}

resource roleAssignmentTableStorage 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
  name: guid(subscription().id, storage.id, userAssignedIdentity.id, 'Storage Table Data Contributor')
  scope: storage
  properties: {
    roleDefinitionId: subscriptionResourceId('Microsoft.Authorization/roleDefinitions', storageTableDataContributorId)
    principalId: userAssignedIdentity.properties.principalId
    principalType: 'ServicePrincipal'
  }
}

resource roleAssignmentAppInsights 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
  name: guid(subscription().id, applicationInsights.id, userAssignedIdentity.id, 'Monitoring Metrics Publisher')
  scope: applicationInsights
  properties: {
    roleDefinitionId: subscriptionResourceId('Microsoft.Authorization/roleDefinitions', monitoringMetricsPublisherId)
    principalId: userAssignedIdentity.properties.principalId
    principalType: 'ServicePrincipal'
  }
}

//********************************************
// Function app and Flex Consumption plan definitions
//********************************************

resource appServicePlan 'Microsoft.Web/serverfarms@2024-04-01' = {
  name: 'plan-${resourceToken}'
  ___location: ___location
  kind: 'functionapp'
  sku: {
    tier: 'FlexConsumption'
    name: 'FC1'
  }
  properties: {
    reserved: true
  }
}

resource functionApp 'Microsoft.Web/sites@2024-04-01' = {
  name: appName
  ___location: ___location
  kind: 'functionapp,linux'
  identity: {
    type: 'UserAssigned'
    userAssignedIdentities: {
      '${userAssignedIdentity.id}':{}
      }
    }
  properties: {
    serverFarmId: appServicePlan.id
    httpsOnly: true
    siteConfig: {
      minTlsVersion: '1.2'
    }
    functionAppConfig: {
      deployment: {
        storage: {
          type: 'blobContainer'
          value: '${storage.properties.primaryEndpoints.blob}${deploymentStorageContainerName}'
          authentication: {
            type: 'UserAssignedIdentity'
            userAssignedIdentityResourceId: userAssignedIdentity.id
          }
        }
      }
      scaleAndConcurrency: {
        maximumInstanceCount: maximumInstanceCount
        instanceMemoryMB: instanceMemoryMB
      }
      runtime: { 
        name: functionAppRuntime
        version: functionAppRuntimeVersion
      }
    }
  }
  resource configAppSettings 'config' = {
    name: 'appsettings'
    properties: {
        AzureWebJobsStorage__accountName: storage.name
        AzureWebJobsStorage__credential : 'managedidentity'
        AzureWebJobsStorage__clientId: userAssignedIdentity.properties.clientId
        APPLICATIONINSIGHTS_INSTRUMENTATIONKEY: applicationInsights.properties.InstrumentationKey
        APPLICATIONINSIGHTS_AUTHENTICATION_STRING: 'ClientId=${userAssignedIdentity.properties.clientId};Authorization=AAD'
      }
  }
}

このデプロイ ファイルは、Azure サービスに安全に接続する関数アプリに必要な Azure リソースを作成します。

• Microsoft.Web/sites: 関数アプリを作成します。
• Microsoft.Web/serverfarms: アプリのサーバーレス Flex Consumption ホスティング プランを作成します。
• Microsoft.Storage/storageAccounts: Functions に必要な Azure Storage アカウントを作成します。
• Microsoft.Insights/components: アプリを監視するための Application Insights インスタンスを作成します。
• Microsoft.OperationalInsights/workspaces: Application Insights に必要なワークスペースを作成します。
• Microsoft.ManagedIdentity/userAssignedIdentities: Microsoft Entra を使用して他の Azure サービスで認証するためにアプリによって使用されるユーザー割り当てマネージド ID を作成します。
• Microsoft.Authorization/roleAssignments: ユーザー割り当てマネージド ID へのロールの割り当てを作成します。これは、他の Azure サービスに接続するときに、アプリに最小特権アクセスを提供します。

デプロイに関する考慮事項:

• ストレージ アカウントは、アプリケーション コードデプロイ パッケージを含む重要なアプリ データを格納するために使用されます。 このデプロイでは、Microsoft Entra ID 認証とマネージド ID を使用してアクセスされるストレージ アカウントが作成されます。 ID アクセス権は、最小限の権限で与えられます。
• Bicep ファイルでは、分離されたプロセスで .NET 8 を使用する C# アプリが既定で作成されます。 その他の言語の場合は、 functionAppRuntime パラメーターと functionAppRuntimeVersion パラメーターを使用して、アプリを実行する特定の言語とバージョンを指定します。 記事の 上部にある プログラミング言語を必ず選択してください。

Bicep ファイルをデプロイする

1. Bicep ファイルを main.bicep としてローカル コンピューターに保存します。

2. Azure CLI または Azure PowerShell のどちらかを使用して Bicep ファイルをデプロイします。

   • Azure CLI
   • Azure PowerShell

   az group create --name exampleRG --___location <SUPPORTED_REGION>
   az deployment group create --resource-group exampleRG --template-file main.bicep --parameters functionAppRuntime=dotnet-isolated functionAppRuntimeVersion=8.0
   

   az group create --name exampleRG --___location <SUPPORTED_REGION>
   az deployment group create --resource-group exampleRG --template-file main.bicep --parameters functionAppRuntime=java functionAppRuntimeVersion=17
   

   az group create --name exampleRG --___location <SUPPORTED_REGION>
   az deployment group create --resource-group exampleRG --template-file main.bicep --parameters functionAppRuntime=node functionAppRuntimeVersion=20
   

   az group create --name exampleRG --___location <SUPPORTED_REGION>
   az deployment group create --resource-group exampleRG --template-file main.bicep --parameters functionAppRuntime=python functionAppRuntimeVersion=3.11
   

   az group create --name exampleRG --___location <SUPPORTED_REGION>
   az deployment group create --resource-group exampleRG --template-file main.bicep --parameters functionAppRuntime=powerShell functionAppRuntimeVersion=7.4
   

   この例では、 <SUPPORTED_REGION> を Flex 従量課金プランをサポートするリージョンに置き換えます。

   デプロイが完了すると、デプロイが成功したことを示すメッセージが表示されます。

展開を検証する

Azure CLI または Azure PowerShell を使って、デプロイを検証します。

az resource list --resource-group exampleRG

Get-AzResource -ResourceGroupName exampleRG

関数アプリのウェルカム ページにアクセスする

1. 前の検証ステップの出力を使って、関数アプリ用に作成された一意の名前を取得します。

2. ブラウザーを開き、次の URL を入力します: <https://<appName.azurewebsites.net>。 <\appName> は、関数アプリ用に作成された一意の名前に置き換えてください。

   URL にアクセスすると、次のようなページが表示されます。

   

リソースをクリーンアップする

関数アプリと関連リソースを Azure にデプロイしたら、プロジェクト コードをアプリに発行する次の手順に進むことができます。 それ以外の場合は、リソースが不要になったら、これらのコマンドを使用してリソースを削除します。

az group delete --name exampleRG

Remove-AzResourceGroup -Name exampleRG

Azure portal を使用してリソースを削除することもできます。

次のステップ

Azure で作成した関数アプリ リソースにコード プロジェクトをデプロイできるようになりました。

次のローカル環境から、新しい関数アプリにコード プロジェクトを作成、検証、デプロイできます。