将消耗计划迁移到 Flex 消耗计划

• 访问包含一个或多个要迁移的函数应用的 Azure 订阅。 用于运行 Azure CLI 命令的帐户必须能够：

  • 创建和管理函数应用和应用服务托管计划。
  • 向托管标识分析角色。
  • 创建和管理存储帐户。
  • 创建和管理 Application Insights 资源。
  • 访问应用的所有依赖资源，例如 Azure Key Vault、Azure 服务总线或 Azure 事件中心。

  如分配到的角色是“所有者”或“参与者”，则一般可提供资源小组中足够的权限。

• Azure CLI 版本 v2.74.0 或更高版本。 脚本在 Azure Cloud Shell 中使用 Azure CLI 进行测试。

• 您可以使用以下命令安装 资源图 扩展： az extension add

  az extension add --name resource-graph
  

• 该工具 jq 用于处理 JSON 输出。

• 访问 Azure 门户

• 访问包含一个或多个要迁移的函数应用的 Azure 订阅。 用于访问门户的帐户必须能够：

  • 创建和管理函数应用和应用服务托管计划。

  • 向托管标识分析角色。

  • 创建和管理存储帐户。

  • 访问应用的所有依赖资源，例如 Azure Key Vault、Azure 服务总线或 Azure 事件中心。

    被分配到资源组中的所有者或参与者角色通常提供足够的权限。

• 最新版 Web 浏览器。

az graph query 使用此命令列出您的订阅中在“消耗计划”下运行的所有函数应用程序：

az graph query -q "resources | where subscriptionId == '$(az account show --query id -o tsv)' \
   | where type == 'microsoft.web/sites' | where ['kind'] == 'functionapp,linux' | where properties.sku == 'Dynamic' \
   | extend siteProperties=todynamic(properties.siteProperties.properties) | mv-expand siteProperties \
   | where siteProperties.name=='LinuxFxVersion' | project name, location, resourceGroup, stack=siteProperties.value" \
   --query data --output table

此命令为当前订阅中 Linux 上运行的所有消耗应用生成具有应用名称、位置、资源组和运行时堆栈的表。

如果尚未安装 资源图扩展，系统会提示您安装。

1. 在 Azure 门户中导航到 Azure Resource Graph Explorer。

2. 复制此 Kusto 查询，将其粘贴到查询窗口中，然后选择“ 运行查询” ：

   resources 
   | where type == 'microsoft.web/sites' 
   | where ['kind'] == 'functionapp,linux' 
   | where properties.sku == 'Dynamic'
   | extend siteProperties=todynamic(properties.siteProperties.properties) 
   | mv-expand siteProperties 
   | where siteProperties.name=='LinuxFxVersion' 
   | project name, location, resourceGroup, stack=tostring(siteProperties.value)
   

此命令为当前订阅中 Linux 上运行的所有消耗应用生成具有应用名称、位置、资源组和运行时堆栈的表。

使用此 az graph query 命令列出采用消耗计划的订阅中的所有函数应用：

az graph query -q "resources | where subscriptionId == '$(az account show --query id -o tsv)' \
   | where type == 'microsoft.web/sites' | where ['kind'] == 'functionapp' | where properties.sku == 'Dynamic' \
   | project name, location, resourceGroup" \
   --query data --output table

此命令为当前订阅中 Windows 上运行的所有消耗应用生成一个具有应用名称、位置和资源组的表。

如果尚未安装 资源图扩展，系统会提示您安装该扩展。

1. 在 Azure 门户中导航到 Azure Resource Graph 浏览器 。

2. 复制此 Kusto 查询，将其粘贴到查询窗口中，然后选择“ 运行查询” ：

   resources 
   	| where type == 'microsoft.web/sites' 
   	| where ['kind'] == 'functionapp' 
   	| where properties.sku == 'Dynamic'
   	| project name, location, resourceGroup
   

此命令为当前订阅中 Windows 上运行的所有消耗应用生成一个具有应用名称、位置和资源组的表。

az functionapp list-flexconsumption-locations使用此命令列出弹性消耗计划可用的所有区域：

az functionapp list-flexconsumption-locations --query "sort_by(@, &name)[].{Region:name}" -o table

此命令生成当前支持 Flex Consumption 计划的 Azure 区域的表。

Azure 门户中的函数应用创建过程会筛选出 Flex 消耗计划暂不支持的区域。

1. 在 Azure 门户中，选择左侧菜单中的“ 创建资源 ”，然后选择“ 函数应用>创建”。

2. 选择“Flex 消耗”、“选择”，然后在“基础”选项卡中展开“区域”。>

3. 查看支持的弹性消费计划区域。

使用此 az functionapp list-flexconsumption-runtimes 命令验证 Flex 消耗计划在指定的区域是否支持你所使用的编程语言堆栈版本：

az functionapp list-flexconsumption-runtimes --location <REGION> --runtime <LANGUAGE_STACK> --query '[].{version:version}' -o tsv

在此示例中，请将 <REGION> 当前区域替换为 <LANGUAGE_STACK> 以下值之一：

此命令会显示你所在区域 Flex 消耗计划支持的指定语言堆栈的所有版本。

Azure 门户中的函数应用创建过程会筛选出 Flex 消耗计划暂不支持的语言堆栈版本。

1. 在 Azure 门户中，选择左侧菜单中的“ 创建资源 ”，然后选择“ 函数应用>创建”。

2. 选择 弹性消耗>选择 ，然后在 “基本信息 ”选项卡中选择语言 运行时堆栈 和 区域。

3. 展开 版本 并查看您选择的区域中支持的语言堆栈版本。

az functionapp deployment slot list使用此命令列出函数应用中定义的任何部署槽位：

az functionapp deployment slot list --name <APP_NAME> --resource-group <RESOURCE_GROUP> --output table

在此示例中，将 <RESOURCE_GROUP> 替换为资源组名称，将 <APP_NAME> 替换为应用名称。 如果命令返回的是条目，则表明应用已启用部署槽。

若要确定函数应用是否已启用部署槽位：

1. 在 Azure 门户中，搜索或导航到函数应用页。

2. 在左侧菜单中，选择 部署>部署槽位。

3. 如果在部署槽位页面看到列出的任何槽位，您的函数应用程序当前正在使用部署槽位。

使用az webapp config ssl list命令列出您函数应用程序中可用的任何 TLS/SSL 证书：

az webapp config ssl list --resource-group <RESOURCE_GROUP>  

在此示例中，请将 <RESOURCE_GROUP> 替换为您的资源组名称。 如果此命令生成输出，则应用可能会使用证书。

若要确定函数应用是否使用 TSL/SSL 证书：

1. 在 Azure 门户中搜索或导航到你的函数应用页面。

2. 在左侧菜单中，选择 “设置>证书”。

3. 检查 托管证书、 自带证书（.pfx）、 公钥证书（.cer） 选项卡以获取任何已安装的证书。

使用此 [az functionapp function list] 命令可确定应用是否具有任何不使用事件网格作为源的 Blob 存储触发器：

az functionapp function list  --name <APP_NAME> --resource-group <RESOURCE_GROUP> \
  --query "[?config.bindings[0].type=='blobTrigger' && config.bindings[0].source!='EventGrid'].{Function:name,TriggerType:config.bindings[0].type,Source:config.bindings[0].source}" \
  --output table

在此示例中，将 <RESOURCE_GROUP> 替换为您的资源组名称，将 <APP_NAME> 替换为您的应用名称。 如果命令返回的是行，则表示你的函数应用中至少有一个使用容器轮询的触发器。

若要确定函数应用是否有任何不使用事件网格作为源的 Blob 存储触发器：

1. 在 Azure 门户中，搜索或导航至函数应用页。

2. 在“函数”选项卡上的“概述”中，查找具有触发器类型Blob的任何函数。

3. 选择 Blob 触发器函数，并在 “代码 + 测试 ”中选择 “资源 JSON”。

4. 定位properties.config.bindings函数定义的部分。 这部分应该有 blobTrigger 的 bindings.type。 如果bindings对象没有source属性，或者source具有LogsAndContainerScan的值，那么触发器正在使用容器轮询。 事件网格源触发器则有 EventGrid 的 source 值。

5. 对应用中任何剩余的 Blob 存储触发器函数重复步骤 3-4。

使用此命令 az functionapp config appsettings list 可返回一个 app_settings 对象，该对象包含现有应用设置作为 JSON：

app_settings=$(az functionapp config appsettings list --name `<APP_NAME>` --resource-group `<RESOURCE_GROUP>`)
echo $app_settings

在此示例中，将 <RESOURCE_GROUP> 替换为您的资源组名称，将 <APP_NAME> 替换为您的应用名称。

若要获取您当前 Function App 的设置，请执行以下步骤：

1. 在 Azure 门户中，搜索或导航至函数应用页。

2. 在左侧菜单中，展开 “设置” 并选择“ 环境变量”。

3. 在 “应用设置 ”选项卡中，选择“ 高级编辑 ”，然后复制并保存 JSON 应用设置内容。

使用此脚本获取现有应用的相关应用程序配置：

# Set the app and resource group names
appName=<APP_NAME>
rgName=<RESOURCE_GROUP>

echo "Getting commonly used site settings..."
az functionapp config show --name $appName --resource-group $rgName \
    --query "{http20Enabled:http20Enabled, httpsOnly:httpsOnly, minTlsVersion:minTlsVersion, \
    minTlsCipherSuite:minTlsCipherSuite, clientCertEnabled:clientCertEnabled, \
    clientCertMode:clientCertMode, clientCertExclusionPaths:clientCertExclusionPaths}"

echo "Checking for SCM basic publishing credentials policies..."
az resource show --resource-group $rgName --name scm --namespace Microsoft.Web \
    --resource-type basicPublishingCredentialsPolicies --parent sites/$appName --query properties

echo "Checking for the maximum scale-out limit configuration..."
az functionapp config appsettings list --name $appName --resource-group $rgName \
    --query "[?name=='WEBSITE_MAX_DYNAMIC_APPLICATION_SCALE_OUT'].value" -o tsv

echo "Checking for any file share mount configurations..."
az webapp config storage-account list --name $appName --resource-group $rgName

echo "Checking for any custom domains..."
az functionapp config hostname list --webapp-name $appName --resource-group $rgName --query "[?contains(name, 'azurewebsites.net')==\`false\`]" --output table

echo "Checking for any CORS settings..."
az functionapp cors show --name $appName --resource-group $rgName 

在此示例中，将 <RESOURCE_GROUP> 替换为资源组名称，将 <APP_NAME> 替换为应用名称。 如果任何网站设置或检查返回非 null 值，请记下这些值。

若要查看现有应用的相关配置，请执行如下操作：

1. 在 Azure 门户中搜索或导航到你的函数应用页面。

2. 在左侧菜单中，展开 “设置” 并选择“ 配置”。

3. 在 “常规设置 ”选项卡中，记下以下设置：

   • SCM 基本身份验证发布凭据
   • HTTP 版本
   • 仅限 HTTPS
   • 最低入站 TLS 版本
   • 最小入站 TLS 密码
   • 传入客户端证书

4. 在 “路径映射 ”选项卡中，验证应用是否需要任何现有的文件共享装载。 如果有，请记下每个已装载共享的 存储帐户名称、 共享名称、 装载路径和访问 类型 。

5. 在“设置横向扩展”>下，如果将“强制横向扩展限制”设置为“是”，请注意“最大横向扩展限制”值。

6. 在设置自定义域>下，请记下*.azurewebsites.net以外的任何域名、绑定类型和 SSL 证书信息。

7. 在 API> CORS 下，请注意任何显式允许的CORS 源和其他 CORS 设置。

此脚本检查系统分配的托管标识和与应用关联的任何用户分配的托管标识：

appName=<APP_NAME>
rgName=<RESOURCE_GROUP>

echo "Checking for a system-assigned managed identity..."
systemUserId=$(az functionapp identity show --name $appName --resource-group $rgName --query "principalId" -o tsv) 

if [[ -n "$systemUserId" ]]; then
echo "System-assigned identity principal ID: $systemUserId"
echo "Checking for role assignments..."
az role assignment list --assignee $systemUserId --all
else
  echo "No system-assigned identity found."
fi

echo "Checking for user-assigned managed identities..."
userIdentities=$(az functionapp identity show --name $appName --resource-group $rgName --query 'userAssignedIdentities' -o json)
if [[ "$userIdentities" != "{}" && "$userIdentities" != "null" ]]; then
  echo "$userIdentities" | jq -c 'to_entries[]' | while read -r identity; do
    echo "User-assigned identity name: $(echo "$identity" | jq -r '.key' | sed 's|.*/userAssignedIdentities/||')"
	echo "Checking for role assignments..."
    az role assignment list --assignee $(echo "$identity" | jq -r '.value.principalId') --all --output json
    echo
  done
else
  echo "No user-assigned identities found."
fi

在此示例中，将 <RESOURCE_GROUP> 替换为资源组名称，将 <APP_NAME> 替换为应用名称。 记下所有标识及其角色分配。

1. 在 Azure 门户中搜索或导航到你的函数应用页面。

2. 在左侧菜单中，展开 “设置” 并选择“ 标识”。

3. 检查 系统分配 的选项卡，查看系统分配的托管标识是否已启用。 如果已启用，请选择 Azure 角色分配 以查看分配给此标识的角色。

4. 检查 “用户分配 ”选项卡，查看是否分配了任何用户分配的托管标识。 记下任何用户分配的标识的名称。

5. 对于每个用户分配的托管标识，请选择该标识，然后在标识页中选择 Azure 角色分配。

6. 记下授予给标识的每个角色分配，并确定应用是否需要。

记录所有标识及其角色分配，以便你可以为新的 Flex Consumption 应用重新创建相同的权限结构。

az webapp auth show使用此命令来确定函数应用中是否配置了内置身份验证：

az webapp auth show --name <APP_NAME> --resource-group <RESOURCE_GROUP>

在此示例中，将 <RESOURCE_GROUP> 替换为资源组名称，将 <APP_NAME> 替换为应用名称。 查看输出以确定身份验证是否已启用，以及配置了哪些标识提供者。

应在迁移后的新应用中重新创建这些设置，以便客户端可以使用首选提供程序来维护访问权限。

若要确定是否配置了内置客户端身份验证，请执行以下作：

1. 在 Azure 门户中搜索或导航到你的函数应用页面。

2. 在左侧菜单中，展开 “设置” 并选择“ 身份验证”。

3. 如果启用了内置身份验证，请记下配置了哪些客户端标识提供者。 另请注意任何高级设置，例如令牌存储、允许的外部重定向和允许的令牌访问群体。

此命令 az functionapp config access-restriction show 返回任何基于 IP 的现有访问限制的列表：

az functionapp config access-restriction show --name <APP_NAME> --resource-group <RESOURCE_GROUP>

在此示例中，将 <RESOURCE_GROUP> 替换为资源组名称，将 <APP_NAME> 替换为应用名称。

1. 在 Azure 门户中搜索或导航到你的函数应用页面。

2. 在左侧菜单中，展开 “设置” 并选择“ 网络”。

3. 如果看到“已启用”且没有公共网络访问的访问限制，则没有入站访问限制。 否则，请选择 访问限制。

4. 记录当前配置的所有基于 IP 的访问限制。

Linux 上的消费计划应用将在以下位置之一存储部署 zip 包文件：

• 在默认的主机存储帐户 AzureWebJobsStorage 中，一个名为 scm-releases 的 Azure Blob 存储容器。 此容器是 Linux 上的消耗计划应用的默认部署源。

• 如果应用具有 WEBSITE_RUN_FROM_PACKAGE URL 设置，则包位于由你维护的外部可访问位置。 外部包应托管在具有受限访问权限的 Blob 存储容器中。 有关详细信息，请参阅 外部包 URL。

项目源文件的位置取决于 WEBSITE_RUN_FROM_PACKAGE 应用设置，如下所示：

1. 使用此命令 az functionapp config appsettings list 获取 WEBSITE_RUN_FROM_PACKAGE 应用设置（如果存在）：

   az functionapp config appsettings list --name <APP_NAME> --resource-group <RESOURCE_GROUP> \
       --query "[?name=='WEBSITE_RUN_FROM_PACKAGE'].value" -o tsv
   

   在此示例中，将 <RESOURCE_GROUP> 替换为资源组名称，将 <APP_NAME> 替换为应用名称。 如果此命令返回 URL，则可以从该远程位置下载部署包文件，并跳到下一部分。

2. 如果 WEBSITE_RUN_FROM_PACKAGE 的值是 1 或无值，请使用此脚本获取现有应用程序的部署包：

   appName=<APP_NAME>
   rgName=<RESOURCE_GROUP>
   
   echo "Getting the storage account connection string from app settings..."
   storageConnection=$(az functionapp config appsettings list --name $appName --resource-group $rgName \
            --query "[?name=='AzureWebJobsStorage'].value" -o tsv)
   
   echo "Getting the package name..."
   packageName=$(az storage blob list --connection-string $storageConnection --container-name scm-releases \
   --query "[0].name" -o tsv)
   
   echo "Download the package? $packageName? (Y to proceed, any other key to exit)"
   read -r answer
   if [[ "$answer" == "Y" || "$answer" == "y" ]]; then
      echo "Proceeding with download..."
      az storage blob download --connection-string $storageConnection --container-name scm-releases \
   --name $packageName --file $packageName
   else
      echo "Exiting script."
      exit 0
   fi
   

   同样，请将 <RESOURCE_GROUP> 和 <APP_NAME> 替换为您的资源组名称和应用名称。 包 .zip 文件将下载到您执行命令的目录中。

1. 在 Azure 门户中搜索或导航到你的函数应用页面。

2. 在左侧菜单中，展开“设置环境变量”>，并查看命名WEBSITE_RUN_FROM_PACKAGE的设置是否存在。

3. 如果 WEBSITE_RUN_FROM_PACKAGE 存在，则检查其是否设置为 1 的 值或 URL。 如果设置为 URL，该 URL 是应用内容的包文件的位置。 从你拥有的 URL 位置下载 .zip 文件。

4. WEBSITE_RUN_FROM_PACKAGE如果设置不存在或设置为1，则必须从特定的存储帐户下载包，具体取决于是在 Linux 还是 Windows 上运行。

5. 从 AzureWebJobsStorage 或 AzureWebJobsStorage__accountName 应用程序设置获取存储帐户名称。 对于连接字符串，AccountName 是存储帐户的名称。

6. 在门户中，搜索存储帐户名称。

7. 在存储帐户页中，找到部署包并下载它。

8. 展开 数据存储>容器 并选择 scm_releases。 选择命名 scm-latest-<APP_NAME>.zip 的文件，然后选择“ 下载”。

1. 使用此命令 az functionapp config appsettings list 获取 WEBSITE_RUN_FROM_PACKAGE 应用设置（如果存在）：

   az functionapp config appsettings list --name <APP_NAME> --resource-group <RESOURCE_GROUP> \
       --query "[?name=='WEBSITE_RUN_FROM_PACKAGE'].value" -o tsv
   

   在此示例中，将 <RESOURCE_GROUP> 替换为资源组名称，将 <APP_NAME> 替换为应用名称。 如果此命令返回 URL，则可以从该远程位置下载部署包文件，并跳到下一部分。

2. 如果WEBSITE_RUN_FROM_PACKAGE的值是1或为空，请使用此脚本获取现有应用的部署包：

   appName=<APP_NAME>
   rgName=<RESOURCE_GROUP>
   
   echo "Getting the storage account connection string and file share from app settings..."
   json=$(az functionapp config appsettings list --name $appName --resource-group $rgName \
       --query "[?name=='WEBSITE_CONTENTAZUREFILECONNECTIONSTRING' || name=='WEBSITE_CONTENTSHARE'].value" -o json)
   
   storageConnection=$(echo "$json" | jq -r '.[0]')
   fileShare=$(echo "$json" | jq -r '.[1]')
   
   echo "Getting the package name..."
   packageName=$(az storage file list --share-name $fileShare --connection-string $storageConnection \
     --path "data/SitePackages" --query "[?ends_with(name, '.zip')] | sort_by(@, &properties.lastModified)[-1].name" \
     -o tsv) 
   
   echo "Download the package? $packageName? (Y to proceed, any other key to exit)"
   read -r answer
   if [[ "$answer" == "Y" || "$answer" == "y" ]]; then
       echo "Proceeding with download..."
       az storage file download --connection-string $storageConnection --share-name $fileShare \
   	--path "data/SitePackages/$packageName"
   else
       echo "Exiting script."
       exit 0
   fi
   

   同样，请将 <RESOURCE_GROUP> 和 <APP_NAME> 替换为你的资源组名称和应用名称。 包 .zip 文件被下载到执行命令的目录中。

1. 在 Azure 门户中搜索或导航到你的函数应用页面。

2. 在左侧菜单中，展开“设置环境变量”>，并查看命名WEBSITE_RUN_FROM_PACKAGE的设置是否存在。

3. 如果 WEBSITE_RUN_FROM_PACKAGE 存在，则检查其是否设置为 1 的 值或 URL。 如果设置为 URL，该 URL 是应用内容的包文件的位置。 从你拥有的 URL 位置下载 .zip 文件。

4. WEBSITE_RUN_FROM_PACKAGE如果设置不存在或设置为1，则必须从特定的存储帐户下载包，具体取决于是在 Linux 还是 Windows 上运行。

5. 从 WEBSITE_CONTENTAZUREFILECONNECTIONSTRING 设置中获取存储帐户名称，其中 AccountName 存储帐户的名称。 此外，请记录 WEBSITE_CONTENTSHARE 值，该值是文件共享的名称。

6. 在门户中，搜索存储帐户名称。

7. 在存储帐户页中，找到部署包并下载它。

8. 展开 数据存储>文件共享，从中选择共享名称 WEBSITE_CONTENTSHARE，然后浏览到 data\SitePackages 子文件夹。 选择最新的 .zip 文件，然后选择“ 下载”。

运行执行以下任务的此脚本：

1. 从旧应用获取应用设置，忽略在 Flex Consumption 计划中不适用或新应用中已存在的设置。
2. 将收集的设置本地写入临时文件。
3. 将文件中的设置应用到新应用。
4. 删除临时文件。

sourceAppName=<SOURCE_APP_NAME>
destAppName=<DESTINATION_APP_NAME>
rgName=<RESOURCE_GROUP>

echo "Getting app settings from the old app..."
app_settings=$(az functionapp config appsettings list --name $sourceAppName --resource-group $rgName)

# Filter out settings that don't apply to Flex Consumption apps or that will already have been created
filtered_settings=$(echo "$app_settings" | jq 'map(select(
  (.name | ascii_downcase) != "website_use_placeholder_dotnetisolated" and
  (.name | ascii_downcase | startswith("azurewebjobsstorage") | not) and
  (.name | ascii_downcase) != "website_mount_enabled" and
  (.name | ascii_downcase) != "enable_oryx_build" and
  (.name | ascii_downcase) != "functions_extension_version" and
  (.name | ascii_downcase) != "functions_worker_runtime" and
  (.name | ascii_downcase) != "functions_worker_runtime_version" and
  (.name | ascii_downcase) != "functions_max_http_concurrency" and
  (.name | ascii_downcase) != "functions_worker_process_count" and
  (.name | ascii_downcase) != "functions_worker_dynamic_concurrency_enabled" and
  (.name | ascii_downcase) != "scm_do_build_during_deployment" and
  (.name | ascii_downcase) != "website_contentazurefileconnectionstring" and
  (.name | ascii_downcase) != "website_contentovervnet" and
  (.name | ascii_downcase) != "website_contentshare" and
  (.name | ascii_downcase) != "website_dns_server" and
  (.name | ascii_downcase) != "website_max_dynamic_application_scale_out" and
  (.name | ascii_downcase) != "website_node_default_version" and
  (.name | ascii_downcase) != "website_run_from_package" and
  (.name | ascii_downcase) != "website_skip_contentshare_validation" and
  (.name | ascii_downcase) != "website_vnet_route_all" and
  (.name | ascii_downcase) != "applicationinsights_connection_string"
))')

echo "Settings to migrate..."
echo "$filtered_settings"

echo "Writing settings to a local a local file (app_settings_filtered.json)..."
echo "$filtered_settings" > app_settings_filtered.json

echo "Applying settings to the new app..."
output=$(az functionapp config appsettings set --name $destAppName --resource-group $rgName --settings @app_settings_filtered.json)

echo "Deleting the temporary settings file..."
rm -rf app_settings_filtered.json  

echo "Current app settings in the new app..."
az functionapp config appsettings list --name $destAppName --resource-group $rgName 

在此示例中，将<RESOURCE_GROUP>替换为您的资源组名称，将<SOURCE_APP_NAME>替换为旧应用名称，将<DEST_APP_NAME>替换为新应用名称。 此脚本假定这两个应用位于同一资源组中。

要传输设置，请按以下步骤进行：

1. 在 Azure 门户中，搜索或导航到新应用的页面。

2. 在左侧菜单中，展开“设置环境变量”>，然后在“应用设置”选项卡中选择“+ 添加”。

3. 键入或粘贴设置名称和值，然后选择“应用”。

4. 对需要在新应用中重新创建的旧应用中的每个设置重复上一步。 如果新应用中已存在某个设置，请跳过它。 还应该跳过 Flex 消耗计划中弃用的任何设置。

5. 添加所有相关设置后，选择“ 应用>保存”。

在此脚本中，为原始应用中的任何配置集设置值，并使用注释禁用任何未设置的配置 (null)：

appName=<APP_NAME>
rgName=<RESOURCE_GROUP>
http20Setting=<YOUR_HTTP_20_SETTING>
minTlsVersion=<YOUR_TLS_VERSION>
minTlsCipher=<YOUR_TLS_CIPHER>
httpsOnly=<YOUR_HTTPS_ONLY_SETTING>
certEnabled=<CLIENT_CERT_ENABLED>
certMode=<YOUR_CLIENT_CERT_MODE>
certExPaths=<CERT_EXCLUSION_PATHS>
scmAllowBasicAuth=<ALLOW_SCM_BASIC_AUTH>

# Apply HTTP version and minimum TLS settings
az functionapp config set --name $appName --resource-group $rgName --http20-enabled $http20Setting  
az functionapp config set --name $appName --resource-group $rgName --min-tls-version $minTlsVersion

# Apply the HTTPS-only setting
az functionapp update --name $appName --resource-group $rgName --set HttpsOnly=$httpsOnly

# Apply incoming client cert settings
az functionapp update --name $appName --resource-group $rgName --set clientCertEnabled=$certEnabled
az functionapp update --name $appName --resource-group $rgName --set clientCertMode=$certMode
az functionapp update --name $appName --resource-group $rgName --set clientCertExclusionPaths=$certExPaths

# Apply the TLS cipher suite setting
az functionapp update --name $appName --resource-group $rgName --set minTlsCipherSuite=$minTlsCipher

# Apply the allow scm basic auth configuration
az resource update --resource-group $rgName --name scm --namespace Microsoft.Web --resource-type basicPublishingCredentialsPolicies \
	--parent sites/$appName --set properties.allow=$scmAllowBasicAuth

在此示例中，将 <RESOURCE_GROUP> 替换为资源组名称，将 <APP_NAME> 替换为函数应用名称。 此外，替换掉要在新应用中重新创建的现有设置任何变量定义的占位符，并使用注释禁用任何 null 设置。

1. 在 Azure 门户中，搜索或导航到新应用的页面。

2. 在左侧菜单中，展开“设置配置”>，然后在“常规设置”选项卡上更新这些设置，以匹配从原始消耗计划应用记录的内容：

   • SCM 基本身份验证发布凭据
   • HTTP 版本
   • 仅限 HTTPS
   • 最低入站 TLS 版本和加密算法
   • 客户端证书设置

3. 选择“保存”以应用配置更改。

使用此命令 az functionapp scale config set 设置最大扩展规模。

az functionapp scale config set --name <APP_NAME> --resource-group <RESOURCE_GROUP> \
    --maximum-instance-count <MAX_SCALE_SETTING>

在此示例中，将 <RESOURCE_GROUP> 替换为资源组名称，将 <APP_NAME> 替换为函数应用名称。 将 <MAX_SCALE_SETTING> 替换为所设置的最大缩放值。

若要在新应用中配置缩放和并发，请执行以下作：

1. 在 Azure 门户中，搜索或导航到新应用的页面。

2. 在左侧菜单中，展开 “设置>缩放和并发 ”，对于 “最大实例计数 ”，设置允许应用缩放的最大值。

3. 选择 Save 以应用更改。

az webapp config storage-account add使用此命令重新连接新应用中的每个存储共享。

az webapp config storage-account add --name <APP_NAME> --resource-group <RESOURCE_GROUP> \
  --custom-id <MOUNT_NAME> --storage-type AzureFiles --account-name <STORAGE_ACCOUNT> \
  --share-name <STORAGE_SHARE_NAME> --access-key <ACCESS_KEY> --mount-path <MOUNT_PATH>

在此示例中，根据预迁移期间记录的详细信息进行这些替换：

对重新连接的每个文件共享重复此步骤。

若要在新应用中重新连接文件共享，请执行以下作：

1. 在 Azure 门户中，搜索或导航到新应用的页面。

2. 在左侧菜单中，展开“设置配置”>，然后在“路径映射”选项卡上选择“+ 新建 Azure 存储装载”，并根据预迁移期间记录的详细信息设置这些装载属性：

   资产	DESCRIPTION
   名称	应用中连接共享所使用的名称。
   存储帐户	选择要连接的存储帐户。
   存储类型	选择 Azure 文件。
   协议	选择 SMB。
   存储容器	在您的存储帐户中选择共享的名称。
   装载路径	应用中连接共享所使用的路径。

3. 为需要重新连接的任何其他共享选择 OK 并重复上一步。

4. 添加完共享后，选择 Save。

1. az functionapp config hostname add使用此命令将任何自定义域映射重新绑定到应用：

   az functionapp config hostname add --name <APP_NAME> --resource-group <RESOURCE_GROUP> \
       --hostname <CUSTOM_DOMAIN>
   

   在此示例中，将 <RESOURCE_GROUP> 替换为资源组名称，将 <APP_NAME> 替换为函数应用名称。 将 <CUSTOM_DOMAIN> 替换为你的自定义域名。

2. 使用此az functionapp cors add命令用来替换所有的 CORS 设置：

   az functionapp cors add --name <APP_NAME> --resource-group <RESOURCE_GROUP> \
       --allowed-origins <ALLOWED_ORIGIN_1> <ALLOWED_ORIGIN_2> <ALLOWED_ORIGIN_N>
   

   在此示例中，将 <RESOURCE_GROUP> 替换为资源组名称，将 <APP_NAME> 替换为函数应用名称。 将 <ALLOWED_ORIGIN_*> 替换为允许的来源。

1. 在 Azure 门户中，搜索或导航到新应用的页面。

2. 在左侧菜单中，展开 “设置>自定义域”，选择“ + 添加自定义域”，配置自定义域，选择“ 验证”，然后选择“ 添加”。

3. 重复上一步以添加任何其他自定义域。

4. 在左侧菜单中，展开 API>CORS，添加一个或多个 允许的源，然后选择“ 保存”。

1. az functionapp identity assign使用此命令在新应用中启用系统分配的托管标识：

   az functionapp identity assign --name <APP_NAME> --resource-group <RESOURCE_GROUP>
   

   在此示例中，将 <RESOURCE_GROUP> 替换为资源组名称，将 <APP_NAME> 替换为函数应用名称。

2. 使用此脚本获取系统分配的标识的主体 ID，然后将其添加到所需的角色：

   # Get the principal ID of the system identity
   principalId=$(az functionapp identity show --name <APP_NAME> --resource-group <RESOURCE_GROUP> \
       --query principalId -o tsv)
   
   # Assign a role in a specific resource (scope) to the system identity
   az role assignment create --assignee $principalId --role "<ROLE_NAME>" --scope "<RESOURCE_ID>"
   

   在此示例中，将 <RESOURCE_GROUP> 替换为资源组名称，将 <APP_NAME> 替换为函数应用名称。 将<ROLE_NAME>和<RESOURCE_ID>替换为从原始应用中捕获的角色名称和特定资源。

3. 针对新应用所需的每个角色重复上述命令。

使用此脚本获取现有用户分配的托管标识的 ID，并将其与新应用相关联：

appName=<APP_NAME>
rgName=<RESOURCE_GROUP>
userName=<USER_IDENTITY_NAME>

userId=$(az identity show --name $userName --resource-group $rgName --query 'id' -o tsv)
az functionapp identity assign --name $appName --resource-group $rgName --identities $userId

针对新应用所需的每个角色重复此脚本。

1. 在 Azure 门户中，搜索或导航到新应用的页面。

2. 在左侧菜单中，展开设置>标识，然后在系统分配选项卡上将状态设置为开。

3. 在左窗格中选择 Azure 角色分配 。

4. 选择 “+ 添加角色分配 ”，为在原始应用中记录的角色设置这些分配属性：

   资产	DESCRIPTION
   范围	要访问的资源类型。
   订阅	资源的订阅。
   资源	所选范围内的特定资源。
   角色	搜索并选择要分配的角色。

5. 选择 “保存” 以添加范围，并为新应用所需的每个记录角色重复上一步。

1. 在 Azure 门户中，搜索或导航到新应用的页面。

2. 在左侧菜单中，展开“设置标识”>，然后在“用户分配”选项卡上选择“+ 添加”。

3. 选择现有标识，然后选择 “添加”。

4. 选择刚刚添加的标识，然后在左窗格中选择 Azure 角色分配 。

5. 选择 “+ 添加角色分配 ”，为在原始应用中记录的角色设置这些分配属性：

   资产	DESCRIPTION
   范围	要访问的资源类型。
   订阅	资源的订阅。
   资源	所选范围内的特定资源。
   角色	搜索并选择要分配的角色。

6. 选择 “保存” 以添加范围，并为新应用所需的每个记录角色重复上一步。

根据之前收集的信息，使用 az webapp auth update 命令重新创建应用所需的每个内置身份验证注册。

1. 在 Azure 门户中，搜索或导航到新应用的页面。

2. 在左侧菜单中，展开“设置身份验证”>，然后选择“添加标识提供者”。

3. 选择所需的 标识提供者 ，并设置验证器所需的配置和权限。

有关详细信息，请参阅以下特定于提供程序的文章：

• 将 Azure Functions 应用配置为使用 Microsoft Entra 登录
• 将 Azure Functions 应用配置为使用 GitHub 登录
• 将 Azure Functions 应用配置为使用 Google 身份验证
• 将 Azure Functions 应用配置为使用 Facebook 登录
• 将 Azure Functions 应用配置为使用 X 登录

az functionapp config access-restriction add对要在新应用中复制的每个 IP 访问限制使用此命令：

az functionapp config access-restriction add --name <APP_NAME> --resource-group <RESOURCE_GROUP> \
  --rule-name <RULE_NAME> --action Deny --ip-address <IP_ADDRESS> --priority <PRIORITY>

在此示例中，将这些占位符替换为原始应用中的值：

针对原始应用中记录的每个 IP 限制运行此命令。

添加基于 IP 的网络限制：

1. 在 Azure 门户中，搜索或导航到新应用的页面。

2. 在左侧菜单中，展开“设置网络”>并选择公共网络访问旁边的链接。

3. 在“站点访问和规则”下的“访问限制”页中，选择“+ 添加”并输入特定 IP 限制的以下设置：

   设置	价值
   名称	IP 规则的易记名称。
   行动	拒绝
   优先级	排除项的优先级。
   类型	选择 IPv4 或 IPv6。
   IP 地址块	要排除的 IP 地址。

4. 选择 “添加规则 ”，并针对记录的每个访问限制重复上一步。

5. 从原始应用输入所有 IP 限制后，选择“ 保存”。

应更新现有部署工作流，将源代码部署到新应用：

• 使用 Azure Pipelines 生成和部署
• 使用 GitHub Actions 生成和部署

还可以为新应用创建新的持续部署工作流。 有关详细信息，请参阅 Azure Functions 的持续部署

可以使用这些工具将代码项目一次性部署到新计划：

• Visual Studio Code
• Visual Studio
• Azure Functions Core Tools

可以使用此 az functionapp deployment source config-zip 命令重新部署下载的包或新创建的部署包：

az functionapp deployment source config-zip --resource-group <RESOURCE_GROUP> --name <APP_NAME> --src <PACKAGE_PATH>

在此示例中，将 <RESOURCE_GROUP> 替换为资源组名称，将 <APP_NAME> 替换为函数应用名称。 请将 <PACKAGE_PATH> 替换为部署包的路径和文件名，例如 /path/to/function/package.zip。

az functionapp delete使用命令删除原始函数应用：

az functionapp delete --name <ORIGINAL_APP_NAME> --resource-group <RESOURCE_GROUP>

在此示例中，将 <RESOURCE_GROUP> 替换为资源组名称，将 <APP_NAME> 替换为函数应用名称。

1. 在 Azure 门户中，搜索或导航到新应用的页面。

2. 从顶部菜单中选择 删除。

3. 键入应用名称并选择 “删除”确认删除。