基本的にほとんどの Azure リソースには Azure Monitor が組み込まれていて、そのリソースのログを Log Analytics や Blob に保存することが出来るようになっています。一般的には Log Analytics に保存してクエリ出来るようにすることが多いと思いますが、今回は Event Hubs へ送信して加工してみるという話です。

この Event Hubs への送信機能はサードパーティーのモニタリングサービス向けに使うことが多いようですが、当然ながら Azure Functions などを使って Event Hubs を読み取って使うことが可能です。この機能を使えばリアルタイムで Blob Storage のストレージ利用量や転送量をモニタリング出来るのではないかと考えたのが今回の切っ掛けです。

Azure Monitor から送信されるデータは JSON になっているので簡単に扱えますが、リソースによって送信される JSON スキーマが異なるので、汎用的な作りにするのではなく型を定義して使うのが良いです。

今回使う予定の Azure Storage Blob から送信されるログのデータ構造は以下のドキュメントに記載されていますが、実際に送信されたデータをキャプチャして確認した方が安全だと思います。

ドキュメントから JSON に対応するクラスを作るのが面倒だったので、今回は実際に Event Hubs に流れてきた JSON を使って C# のクラスに変換しました。ネストしているのでクラスが複数生成されますが、データ型含めてまあまあの出来でした。

本来であればプロパティの命名を Pascal Case にしたいところですが、変換するのが面倒だったのでそのままにしています。GitHub Copilot Chat を使うとある程度は変換してくれますが、変換後のプロパティ名周りの検証が面倒だったので止めておきました。

public class RootObject
{
    public Record[] records { get; set; }
}

public class Record
{
    public DateTime time { get; set; }
    public string resourceId { get; set; }
    public string category { get; set; }
    public string operationName { get; set; }
    public string operationVersion { get; set; }
    public string schemaVersion { get; set; }
    public int statusCode { get; set; }
    public string statusText { get; set; }
    public double durationMs { get; set; }
    public string callerIpAddress { get; set; }
    public string correlationId { get; set; }
    public Identity identity { get; set; }
    public string location { get; set; }
    public Properties properties { get; set; }
    public Uri uri { get; set; }
    public string protocol { get; set; }
    public string resourceType { get; set; }
}

public class Identity
{
    public string type { get; set; }
}

public class Properties
{
    public string accountName { get; set; }
    public string userAgentHeader { get; set; }
    public string serviceType { get; set; }
    public string objectKey { get; set; }
    public string conditionsUsed { get; set; }
    public string metricResponseType { get; set; }
    public double serverLatencyMs { get; set; }
    public long requestHeaderSize { get; set; }
    public long responseHeaderSize { get; set; }
    public string tlsVersion { get; set; }
    public string sourceAccessTier { get; set; }
    public string referrerHeader { get; set; }
    public long requestBodySize { get; set; }
    public long responseBodySize { get; set; }
    public long contentLengthHeader { get; set; }
}

まずは定義したクラスと Azure Functions の EventHubTrigger を使って、実際にどのようなデータが Blob Storage から送信されてくるかを確認しました。Function の実装は以下のようにシンプルにログに書き出すだけなので難しくありません。ログには OperationName やサイズを書きだすようにしています。

public class Function1(ILogger<Function1> logger)
{
    [Function(nameof(Function1))]
    public async Task Run([EventHubTrigger("evh-stream-01", Connection = "EventHubConnection")] EventData[] events)
    {
        foreach (var @event in events)
        {
            var data = @event.EventBody.ToObjectFromJson<RootObject>();

            foreach (var record in data.records)
            {
                logger.LogInformation("Operation Name: {operationName}, Request Size: {requestSize}, Response Size: {responseSize}, Url: {url}", record.operationName, record.properties.requestBodySize, record.properties.responseBodySize, record.uri);
            }
        }
    }
}

Event Hubs から受信したデータは EventBody プロパティに BinaryData クラスで入っているので、簡単に JSON としてデシリアライズ可能なので非常に便利です。

このコードを Azure にデプロイして Blob に対する操作を行った後に Application Insights を確認すると、以下のように複数の処理が入ってくることが確認出来ます。operationName は実体は呼び出された API に相当するので、この API で処理を区別できます。

要するに GetBlob が 20x 系で成功した場合は Azure からクライアントへのダウンロードが行われていて、PutBlob が同じく 20x 系で成功した場合はクライアントから Azure へのアップロードが行われたということです。この情報が分かってしまえば、イベントを順番通り処理すればダウンロード・アップロードされたサイズが簡単に把握できそうです。

この時に考える必要があるのが Event Hubs のパーティションです。もし Event Hubs に複数のパーティションがある場合には、それを受信する Azure Functions もパーティション分だけスケールアウトされる可能性があるため、送信されたイベントが順番通りに処理されない可能性もあるということです。

意外に知られていないかも知れない部分なので紹介しておきましたが、本来であれば Event Hubs の送信時にパーティションキーを指定すればハッシュでいい感じに同一パーティションにまとまってくれますが、Azure Monitor からの送信時にはパーティションキーは設定されていないようでした。

今回のようにスケールアウトされた場合に困る処理の場合は、以下のように Event Hubs を作成する時にパーティションの数を 1 にすることで回避するようにします。

実際に本番用の Event Hub を作成していきますが、今回は Blob のストレージ利用量と転送量の両方をモニタリングしたいので複数 Event Hub を作ることにします。まずは以下のように転送量用の Event Hub を作成していきますが、前述したようにパーティション数は 1 にしておきます。

作成した Event Hub は該当 Storage Account の Diagnostic Settings から Storage Read ログカテゴリを送信するように設定します。今回のようにログカテゴリ毎に Event Hub を分けて、更に Consumer Group を組み合わせると効率的に複数の処理を実装できるはずです。

転送量を計算するには GetBlob が成功していて、更に responseBodySize を集計していけばよいことになります。集計先にはこういう用途に適している Cosmos DB を使って、更にパーティションキーと ID の設計でファイル単位と日別の集計も同時に行えるようにします。

今回のコードでは少し手を抜いているので、処理された時間でパーティションキーを生成しているので正確性に欠けます。本来ならイベント発生日時でグルーピングが必要になります。

public class BlobEgress(CosmosClient cosmosClient)
{
    [Function(nameof(BlobEgress))]
    public async Task Run([EventHubTrigger("evh-stream-egress", Connection = "EventHubConnection")] EventData[] events)
    {
        var container = cosmosClient.GetContainer("Metrics", "Egress");

        var allRecords = events.SelectMany(x => x.EventBody.ToObjectFromJson<RootObject>().records).ToArray();

        var records = allRecords.Where(x => x is { statusCode: 200, operationName: "GetBlob" })
                                .GroupBy(x => x.uri.AbsolutePath)
                                .Select(x => new { Path = x.Key, Size = x.Sum(xs => xs.properties.responseBodySize) });

        foreach (var groupedRecords in records)
        {
            var id = Convert.ToHexString(MD5.HashData(Encoding.UTF8.GetBytes(groupedRecords.Path)));
            var containerName = $"{groupedRecords.Path.Split('/', StringSplitOptions.RemoveEmptyEntries)[0]}_{DateTime.Now:yyyyMMdd}";

            BlobMetric blobMetric;

            try
            {
                var response = await container.ReadItemAsync<BlobMetric>(id, new PartitionKey(containerName));

                blobMetric = response.Resource;
            }
            catch (CosmosException ex) when (ex.StatusCode == HttpStatusCode.NotFound)
            {
                blobMetric = new BlobMetric
                {
                    Id = id,
                    ContainerName = containerName
                };
            }

            blobMetric.Path = groupedRecords.Path;
            blobMetric.Size += groupedRecords.Size;

            await container.UpsertItemAsync(blobMetric, new PartitionKey(containerName));
        }
    }
}

このコードでコンテナーと日別でのファイル単位での転送量を集計し続けることが可能です。ストリームで処理されるため Log Analytics とは異なりバッチ処理が必要なく、低コストでモニタリング可能になりました。

実際に Blob Storage へのアクセスを何回か行ってみた後に Cosmos DB を確認すると、ファイルと日別で項目が作成されていて size プロパティに転送されたサイズが集計されていることが分かります。

後は読み取る側がパーティションキーを指定して一覧で取得すれば、簡単に各ファイル単位での転送量を計算することが出来ます。この Cosmos DB はマテリアライズドビューと同じなので、要件に合わせて一覧取得しやすいパーティションキーを設計すれば良いですね。

次は同じ考え方でストレージ利用量を計算してみます。まずは Azure Monitor から Storage Write ログカテゴリを専用の Event Hub に送信する設定を追加するところから始まります。

Event Hub の設定が完了してしまえば Azure Functions での処理を用意するだけですが、こちらについては実装はほぼ同じで、読み取る Event Hub が異なっているのと処理する operationName が GetBlob から PutBlob に変わっているぐらいしか違いがありません。

こちらの場合はパーティションキーに日付を含めないことで、日別でのストレージ利用量として集計することはしていません。実際に使用量が必要になるケースとしては、コンテナー内での合計であることが多いと思うので、それも ID とパーティションキーの設計で解決できます。

public class BlobCapacity(CosmosClient cosmosClient)
{
    [Function(nameof(BlobCapacity))]
    public async Task Run([EventHubTrigger("evh-stream-capacity", Connection = "EventHubConnection")] EventData[] events)
    {
        var container = cosmosClient.GetContainer("Metrics", "Capacity");

        var allRecords = events.SelectMany(x => x.EventBody.ToObjectFromJson<RootObject>().records).ToArray();

        var records = allRecords.Where(x => x is { statusCode: 201, operationName: "PutBlob" })
                                .GroupBy(x => x.uri.AbsolutePath)
                                .Select(x => new { Path = x.Key, Size = x.Sum(xs => xs.properties.requestBodySize) });

        foreach (var groupedRecords in records)
        {
            var id = Convert.ToHexString(MD5.HashData(Encoding.UTF8.GetBytes(groupedRecords.Path)));
            var containerName = groupedRecords.Path.Split('/', StringSplitOptions.RemoveEmptyEntries)[0];

            BlobMetric blobMetric;

            try
            {
                var response = await container.ReadItemAsync<BlobMetric>(id, new PartitionKey(containerName));

                blobMetric = response.Resource;
            }
            catch (CosmosException ex) when (ex.StatusCode == HttpStatusCode.NotFound)
            {
                blobMetric = new BlobMetric
                {
                    Id = id,
                    ContainerName = containerName
                };
            }

            blobMetric.Path = groupedRecords.Path;
            blobMetric.Size += groupedRecords.Size;

            await container.UpsertItemAsync(blobMetric, new PartitionKey(containerName));
        }
    }
}

注意点としては PutBlob は同一ファイルに対して複数回実行される可能性があるため、合計値を保持するようにしています。これも複数ブロックや上書きの場合をあまり考慮できていないですが、削除イベントを追加することで対応できると考えています。

非常にシンプルなコードですがデプロイした後に複数ファイルのアップロードを実行してみると、それぞれのファイル別で Cosmos DB に項目が作成されて size プロパティにアップロードされたファイルサイズが入っていることが確認出来ました。

これまであまり使ってこなかった Azure Monitor のリソースログを Event Hubs に送信することで、これまで取得が難しかった情報を簡単に用意できるようになったのは使いどころがあると思います。特に Blob の利用量については Inventory を使う必要があったのでコストと時間がかかっていましたが、リアルタイムでマテリアライズドビューを用意してしまえば良いですね。

最近は Azure AD B2C を利用したサービスを目にすることが増えてきましたが、デフォルトのドメインである b2clogin.com をそのまま利用しているケースが多いようです。もっともドメインがデフォルトなので Azure AD B2C を使っていると分かるのですが、本番でも b2clogin.com を使っているとパスワードマネージャーとの相性が悪いという問題があります。

具体的にはパスワードマネージャーはドメイン名*1でグルーピングされていますが、Azure AD B2C のデフォルトドメインで運用されている場合には b2clogin.com でグルーピングされてしまっています。

従って全く関係のないサービスが Azure AD B2C で構築されていて、更に b2clogin.com で運用されている場合には以下のように別のサービスのメールアドレスとパスワードが選択肢に上がってくることになります。

パスワードマネージャーが Public Suffix List に従っているならば、根本的には b2clogin.com が Public Suffix List に含まれていないことが問題なのですが、ブランディングの観点からも Azure AD B2C にカスタムドメインを設定した方がベターでしょう。

意外に Azure AD B2C をカスタムドメインで運用されている例が少なそうなので、実際に Azure AD B2C にカスタムドメインを設定して今回の問題が回避できることまで確認してみます。

まずはデフォルトのドメインで運用している Azure AD B2C のログインフローを実行すると、以下のようにブラウザーのパスワードマネージャーが関係のない b2clogin.com で運用されているユーザー情報を入力しようとしてきます。ここまでは今回意図した通りの挙動です。

Azure AD B2C へカスタムドメインを設定するには、Front Door を作成する必要があるので既に Front Door を使っている場合にはエンドポイントを新しく作成すれば、追加コスト無しで実現出来るのでお得です。

カスタムドメインを設定する方法については今回は触れないので、以下のエントリや公式ドキュメントを参照してください。Azure AD B2C のテナント側でカスタムドメインを追加してしまえば、後は Front Door の一般的な設定方法と同じなので難しくはありません。

設定した後に上手くアクセスできない場合は Azure AD B2C 側でカスタムドメインの検証が成功しているか確認します。若干確認プロセスに癖があった記憶がありますので、ドキュメントをしっかり読んで手順をスキップしないのがコツです。以下のように Verified になっていれば OK です。

Front Door のカスタムドメイン設定は特に難しいことはありませんが、TLS 証明書が必要になるので Managed Certificate などを使って発行しておきます。Azure AD B2C 向けに login サブドメインを割り当てることが多いと思うので、ワイルドカード証明書を持っている場合は Key Vault を使って割り当てます。

ここまでの設定を行うことでカスタムドメイン経由で Azure AD B2C が利用できるようになるので、実際にカスタムドメインでのログインを試してみるとパスワードマネージャーが反応しなくなります。これで他の Azure AD B2C を使っているサービスのパスワードが自動入力されることを避けることが出来ました。

今回の目的はこれで果たせたのですが、折角 Front Door を導入したのでついでにカスタマイズした HTML テンプレートについても Front Door 経由で配信することで、CORS を回避しつつアセットのキャッシュが行えるようにしておきます。

以下の公式ドキュメントにあるように、通常 HTML テンプレートは Azure Storage にホストされるため Azure Storage 側で CORS の設定を行う必要がありますが、Front Door を使って同一オリジンからルーティングで Azure Storage に振り分けてしまえば不要になります。

今回は例として、以下のように Azure Storage の layout というコンテナーに保存された HTML テンプレートを Front Door から配信するように変更します。

手順としてはシンプルに Front Door に対して Azure Storage の Origin Group を追加して、ルーティングを以下のように /layout/* に対して設定します。これで /layout/* 以下のアクセスは Azure Storage に、それ以外のアクセスは Azure AD B2C にルーティングされるようになります。

最後に Azure AD B2C のユーザーフローやカスタムポリシーを変更して、利用する HTML テンプレートのパスをカスタムドメイン経由のものに置き換えます。

修正したユーザーフローを使ってログインを試してみると、以下のように配信元が全てカスタムドメイン経由になり同一のオリジンになっていることが確認出来ます。CORS を回避できますし、同一オリジンから配信されているのはユーザー的にも安心感がありますね。

Azure AD B2C が思ったよりも広く使われているのは個人的にかなり嬉しいのですが、カスタムドメインが割り当てられていないケースも意外に多そうだったので、是非分かりやすいドメインを割り当ててもらえればと思います。個人的なお勧めはやはり login サブドメインです。

これまでも何度か取り上げた Azure Functions の開発を Dev Container / GitHub Codespaces で行う方法ですが、公開している Dev Container Template が結構使われているみたいで作って良かったという気持ちです。

GitHub Codespaces を使う場合は例外ですが C# や Node.js 向けの場合は Dev Container を使わずに開発しているので、Dev Container を使うシナリオは専ら Python 向けという感じです。

これまで問題なく Dev Container Template を使って Python の Azure Functions 開発を行ってきたのですが、最近になって手持ちの M2 MacBook Air では func コマンド実行時に謎のエラーが出て失敗するようになりました。同じ定義を WSL 2 や GitHub Codespaces で動かしてもエラーにはなりません。

これまでの経験的に実行毎にメモリアクセス周りのエラーが発生するのは、エミュレーションが原因だと当たりが付いていたので Docker Desktop の設定で Rosetta を無効化して試すことにしました。

デフォルトでは以下のように Apple Virtualization framework と Rosetta が有効になっていますが、Rosetta を x86/x64 のエミュレーションに使わないようにチェックを外して試しました。

この設定で Rosetta を使わないように変更すると QEMU が使われるようになるようです。ちなみに Azure Functions 向けの Dev Container Template では Azure Functions Core Tools が linux-arm64 向けにリリースされていないため、明示的に linux/amd64 で動くように指定しています。

Rosetta を無効にすることで func コマンドは通るようになりましたが、肝心の func start コマンドを実行するとこれまでと同様に実行時エラーとなってしまい完全には解消できませんでした。

ということを Twitter で呟いてみると、Microsoft の中の人からヒントが飛んできました。この辺りには全く詳しくないので GPT-4o に解説してもらいましたがよくわかりませんでした。とにかく Rosetta はダブルマッピングを正しく扱えないため Rosetta 上で動いている場合には無効化するように変更されたようです。

Rosetta を無効化して QEMU を使っても失敗したのは気になりますが、とにかく .NET 9 の GA タイミングでは今回の問題は既に修正されているようです。

これかなぁ？https://t.co/CIhpRRNHd1

— 絶対太字になる🐝 (@rioriost) 2024年11月23日

但し Azure Functions Core Tools は現在 .NET 8.0.8 を使ってビルドされているため、今回 macOS 上の Docker で実行しようとした際にエラーとなったという流れのようです。

今回の修正と同じ挙動になる設定は既に組み込まれているため、修正が組み込まれた Azure Functions Core Tools がリリースされるまでは、以下の Dockerfile のように環境変数に DOTNET_EnableWriteXorExecute=0 を追加することで今回の問題を回避可能でした。

FROM mcr.microsoft.com/devcontainers/python:1-3.11-bookworm

ENV DOTNET_EnableWriteXorExecute=0

この定義を使って Dev Container を再作成すると func start コマンドも問題なく動作しました。

ちなみに .NET 8.0.10 以降のバージョンに今回の修正がバックポートされているので、Azure Functions Core Tools のビルド環境が更新されていれば次のバージョンから修正される可能性が高いです。

根本的な解決方法としては Azure Functions Core Tools の linux-arm64 向けバージョンがリリースされることなのですが、何故か Windows と macOS 向けは Arm64 が用意されているのに Linux だけは滞っています。

Issue や Pull Request は上がっているので何時か対応されるのを期待するというのが現状です。

先週開催された .NET Conf 2024 で .NET 9 が正式リリースされましたが、同じタイミングで App Service と Azure Functions についても .NET 9 GA 版への対応が行われたため、現時点では Flex Consumption 以外で利用可能になっています。

Azure Functions チームの中の人は Linux Consumption はロールアウト中とツイートしていましたが、今日確認すると Linux Consumption でも問題なく .NET 9 な Azure Functions をデプロイ出来ました。

Support for .NET 9 is now available in @AzureFunctions on Windows for all plan types and on Linux for Dedicated and Elastic Premium plans!

Support is forthcoming for Linux Consumption and Flex Consumption - we’ll continue to share updates on GitHub: https://t.co/x6nPEe6tJc

— Matthew Henderson (@mattchenderson) 2024年11月13日

.NET 9 is here and @AzureFunctions is ready!

Supported on all Windows SKUs, Linux Dedicated and Elastic Premium. Linux Consumption currently rolling out.#Dotnet

— Fabio Cavalcante (@codesapien) 2024年11月13日

Flex Consumption が .NET 9 に対応していないのは非常に残念ですが、恐らく今週開催される Ignite 2024 で Flex Consumption 自体の GA が発表される可能性が高いため、そのタイミングで何らかの動きがあるのではないかと見ています。今晩以降は要チェックですね。

.NET 9 サポートについては以下の Issue で随時進捗が共有されているので、アップデート方法含めてこちらを見ておくと間違いありません。Visual Studio と VS Code でのサポートについても書かれています。

VS Code の場合は Azure Functions 拡張によってテンプレートが自動的に更新されるようですが、Visual Studio の場合はオプションにある以下の画面からアップデートを行う必要があります。Azure Functions プロジェクトを作成するタイミングなどで自動更新される可能性がありますが、意外に古い状態のままになっているケースが多いので手動で行うと安心です。

Azure Functions の .NET 9 サポートは最新のテンプレートに更新されていれば、作成時に .NET 9 Isolated を選ぶと最新のパッケージを含む形で自動生成されるので楽ですが、既存の .NET 8 Isolated からのアップデートを行う際には SDK 含むコアパッケージを 2.0.0 に上げる必要があります。

コアパッケージ v2 については公式ドキュメントで紹介されているので、この辺りを参照すればアップデート方法は分かるはずです。大きな改善として初期化で ASP.NET Core で使われている Builder Pattern が導入されています。実質 .NET Aspire 対応という感じですが、扱いやすくなっています。

これまでの HostBuilder を使った方法と、コアパッケージ v2 で導入された FunctionsApplication を使った方法を載せておきますので、違いを見比べてみてください。最近の ASP.NET Core を使ったことのある人なら馴染み深いインターフェースになっているはずです。

using Microsoft.Azure.Functions.Worker;
using Microsoft.Extensions.DependencyInjection;
using Microsoft.Extensions.Hosting;

var host = new HostBuilder()
    .ConfigureFunctionsWebApplication()
    .ConfigureServices(services =>
    {
        services.AddApplicationInsightsTelemetryWorkerService();
        services.ConfigureFunctionsApplicationInsights();
    })
    .Build();

host.Run();

using Microsoft.Azure.Functions.Worker.Builder;
using Microsoft.Extensions.Hosting;

var builder = FunctionsApplication.CreateBuilder(args);

builder.ConfigureFunctionsWebApplication();

// Application Insights isn't enabled by default. See https://aka.ms/AAt8mw4.
// builder.Services
//     .AddApplicationInsightsTelemetryWorkerService()
//     .ConfigureFunctionsApplicationInsights();

builder.Build().Run();

今回の変更には ASP.NET Core 周りを開発しているチームが協力しているようなので、今後も .NET Isolated については .NET チームがガンガン関与して良いものにして欲しい気持ちでいっぱいです。

We made some changes with the Azure functions team to make the .NET APIs use the new builder API pattern.#dotnet #azure #functions pic.twitter.com/RkZFHDO8vi

— David Fowler (@davidfowl) 2024年11月7日

ASP.NET Core と同じ Builder Pattern が導入されているので、Configuration や Logging 周りの設定は ASP.NET Core のドキュメントで紹介されている方法と同じものが利用できます。これまでのようにメソッドにラムダ式を渡して、そこで初期化する必要がなくなったので劇的に使い勝手が良くなっています。

アプリケーション側の .NET 9 対応が終われば、後は Azure 側で .NET 9 対応を行うだけです。前述したように既に Flex Consumption 以外は .NET 9 Isolated に対応しているため、Azure Portal で .NET バージョンを変更するだけで完了します。

.NET 8 Isolated から .NET 9 Isolated にアップデートする際には、まず Azure 側を .NET 9 Isolated に変更して、その後に .NET 9 にアップグレードしたアプリケーションをデプロイするとスムーズにいくはずです。

現在 .NET 6/8 の In-Process を利用している場合には .NET 9 にアップグレードすることは出来ないため、先に .NET Isolated への移行を行ってから .NET 9 にアップグレードするといった手順を踏みます。.NET Isolated への移行はドキュメントが用意されているので、こちらを読みながら進める形になります。

完全に対応しているわけではありませんが、Visual Studio に .NET Upgrade Assistant 拡張をインストールすると、右クリックメニューから .NET 9 Isolated への移行をある程度まで自動で行うことが出来るので、組み合わせて移行するのが最適解だと考えています。

何回か .NET Upgrade Assistant を使って .NET Isolated への移行を試してみましたが、Function の実装については 8 割ぐらいは自動的に移行していくれるという印象です。但し新しく追加された FunctionsApplication を使うようには書き換えてくれなかったので、その部分は手動での対応が必要でした。

タイトルの通りですが、最近 Azure Functions の Consumption Plan を利用しているアプリケーションが、リロードを繰り返すと稀に 404 を返す現象に遭遇しました。この時の 404 はアプリケーションが返しているものではなく、App Service が存在しない場合に返されるページです。

ランダムで発生するので調べたところ、この現象が発生する Azure Functions は IP アドレスが 2 つ返されることが確認出来、更に片方の IP アドレスが選ばれた場合に 404 となることが分かりました。

Azure Portal や Azure Resource Manager から確認出来る Inbound IP Address は 1 つだけですが、実は Azure Functions の Consumption Plan や Elastic Premium Plan (Functions Premium) は今回のように複数の Inbound IP Address を持つことがあります。

本来 App Service は 1 つの App Service Plan に対して 1 つの Stamp (Scale unit) が割り当てられるため、1 つの Inbound IP Address しか持たない仕組みになっていますが、Consumption Plan と Elasitc Premium Plan (Functions Premium) では複数の Stamp に割り当てられることがあるため、その場合には Inbound IP Address が複数返ってくるという仕組みです。

この挙動によって所属する Stamp のキャパシティが不足している場合でも、他の Stamp を利用することで Consumption Plan や Elastic Premium Plan のスケーリングが行えるようになりますが、特定の Stamp で正しく Function App がプロビジョニング出来ていない場合に 404 となります。

複数の Stamp を利用しなければ良いので、App Settings に WEBSITE_DISABLE_CROSS_STAMP_SCALE 設定を追加すると Inbound IP Address が 1 つになるため問題は解消します。

この設定は名前の通り複数の Stamp を使ったスケーリングを無効化するものなので、追加すると 1 つの Stamp だけを使ってスケールを行おうとします。無効化するとキャパシティが不足した場合にスケーリングに制限が出る可能性があります。

該当の Function App にこの設定を追加すると、以下のように Inbound IP Address が 1 つだけ返ってきます。

返ってきた Inbound IP Address は正しく Functions App がプロビジョニングされた Stamp となるため、リロードを繰り返しても 404 が返ってくることは無くなりました。複数の Stamp を利用してスケーリングが行われることを知っていると問題の特定が楽でした。

この複数 Stamp が利用される挙動については Azure Files の利用が必須になっているため、Azure Portal から Function App を作成する際に Azure Files を追加しなかった場合には無効化されるはずです。

この辺りについては以下のドキュメントで記載されていますが、複数 Stamp を利用する場合はコンテンツの共有に Azure Files が必須なのが理由です。Consumption Plan で Azure Files を使わない場合はスケーリングが制限されると明記されています。

Since Azure Files is used to enable dynamic scale-out for Functions, scaling could be limited when running your app without Azure Files in the Elastic Premium plan and Consumption plans running on Windows.

Storage considerations for Azure Functions | Microsoft Learn

但し Windows が対象になると書いてある通り、Linux には影響しないようです。Linux の Consumption Plan はアーキテクチャが Windows の Consumption Plan とは別物になっているのが理由だと思われます。

今回の問題とは関係ないのですが、複数 Stamp を利用する設定の場合は以前に以下のエントリで動作を検証した IPv6 対応が、現在では正しく動作しなくなっているようです。

複数 Stamp を使わない設定を入れると動作するようでしたので、以下の通りいくつかの組み合わせで動作確認を行ってみましたが、現状では IPv6 を有効化する場合は複数 Stamp を使わない設定を入れないと意図した動作になりませんでした。