الوصول إلى شبكات Azure الظاهرية (VNETs) من Azure Logic Apps باستخدام بيئة خدمة تكامل (ISE)

  • مقالة

هام

في 31 أغسطس 2024، سيتوقف مورد ISE، بسبب اعتماده على Azure Cloud Services (الكلاسيكية)، التي تتوقف في نفس الوقت. قبل تاريخ الإيقاف، قم بتصدير أي تطبيقات منطقية من ISE إلى تطبيقات المنطق القياسية بحيث يمكنك تجنب تعطيل الخدمة. تعمل مهام سير عمل تطبيق المنطق القياسي في Azure Logic Apps أحادية المستأجر وتوفر نفس الإمكانات بالإضافة إلى المزيد. على سبيل المثال، تدعم مهام سير العمل القياسية استخدام نقاط النهاية الخاصة لنسبة استخدام الشبكة الواردة بحيث يمكن لسير العمل الاتصال بشكل خاص وآمن مع الشبكات الظاهرية. تدعم مهام سير العمل القياسية أيضا تكامل الشبكة الظاهرية لنسبة استخدام الشبكة الصادرة. للمزيد من المعلومات، راجع حركة المرور الآمنة بين الشبكات الظاهرية وتطبيقات Azure Logic Apps أحادية المستأجر باستخدام نقاط النهاية الخاصة.

منذ 1 نوفمبر 2022، لم تعد القدرة على إنشاء موارد ISE جديدة متوفرة، مما يعني أيضا أن القدرة على إعداد مفاتيح التشفير الخاصة بك، والمعروفة باسم "إحضار مفتاحك الخاص" (BYOK)، أثناء إنشاء ISE باستخدام واجهة برمجة تطبيقات Logic Apps REST لم تعد متوفرة أيضا. ومع ذلك، يتم دعم موارد ISE الموجودة قبل هذا التاريخ حتى 31 أغسطس 2024.

لمزيد من المعلومات، راجع الموارد التالية:

توفر هذه النظرة العامة المزيد من المعلومات حول كيفية عمل ISE مع شبكة ظاهرية، وفوائد استخدام ISE، والاختلافات بين خدمة Logic Apps المخصصة ومتعددة المستأجرين، وكيف يمكنك الوصول مباشرة إلى الموارد الموجودة داخل شبكة Azure الظاهرية أو المتصلة بها.

طريقة عمل ISE مع شبكة ظاهرية

عند إنشاء ISE، يمكنك تحديد شبكة Azure الظاهرية حيث تريد أن يقوم Azure بإدخال ISE أو توزيعه. عند إنشاء تطبيقات منطقية وحسابات تكامل تحتاج إلى الوصول إلى هذه الشبكة الظاهرية، يمكنك تحديد ISE كموقع مضيف لتلك التطبيقات المنطقية وحسابات التكامل. داخل ISE، تعمل تطبيقات المنطق على موارد مخصصة بشكلٍ منفصل عن الآخرين في بيئة Azure Logic Apps متعددة المستأجرين. تظل البيانات في ISE في نفس المنطقة التي تقوم فيها بإنشاء وتوزيع ISE.

تظهر لقطة الشاشة مدخل Microsoft Azure مع تحديد بيئة خدمة التكامل.

لماذا تستخدم ISE

يساعد تشغيل مهام سير عمل تطبيق المنطق في مثيلك المخصص المنفصل على تقليل التأثير الذي قد يكون لمستأجري Azure الآخرين على أداء تطبيقاتك، والمعروف أيضا باسم تأثير "الجيران المزعجين". كما يوفر ISE هذه المزايا:

  • الوصول المباشر إلى الموارد الموجودة داخل شبكتك الظاهرية أو المتصلة بها

    يمكن للتطبيقات المنطقية التي تقوم بإنشائها وتشغيلها في ISE استخدام موصلات مصممة خصيصاً تعمل في ISE الخاص بك. إذا كان موصل ISE موجودًا لنظام محلي أو مصدر بيانات، يمكنك الاتصال مباشرة دون الحاجة إلى استخدام بوابة البيانات الداخلية. لمزيد من المعلومات، راجع مخصص مقابل متعدد المستأجرين والوصول إلى الأنظمة المحلية لاحقاً في هذا الموضوع.

  • الوصول المستمر إلى الموارد الموجودة خارج الشبكة الظاهرية أو غير المتصلة بها

    لا يزال بإمكان تطبيقات المنطق التي تقوم بإنشائها وتشغيلها في ISE استخدام الموصلات التي تعمل في خدمة Logic Apps متعددة المستأجرين عندما لا يتوفر موصل خاص بـ ISE. لمزيد من المعلومات، راجع مخصص مقابل متعدد المستأجرين.

  • عناوين IP الثابتة الخاصة بك، والتي تكون منفصلة عن عناوين IP الثابتة التي تشاركها التطبيقات المنطقية في الخدمة متعددة المستأجرين. يمكنك أيضاً إعداد عنوان IP خارجي عام وثابت وقابل للتنبؤ للاتصال بأنظمة الوجهة. بهذه الطريقة، لن تضطر إلى إعداد فتحات جدار حماية إضافية في أنظمة الوجهة هذه لكل ISE.

  • قيود متزايدة على مدة التشغيل، والاحتفاظ بالتخزين، والإنتاجية، ومهلة طلب HTTP والاستجابة، وأحجام الرسائل، وطلبات الموصل المخصص. لمزيد من المعلومات، راجع الحدود والتكوين لـ Azure Logic Apps.

مخصص مقابل متعدد المستأجرين

عند إنشاء تطبيقات المنطق وتشغيلها في ISE، تحصل على نفس تجارب المستخدم والقدرات المماثلة مثل خدمة Logic Apps متعددة المستأجرين. يمكنك استخدام جميع المشغلات والإجراءات والموصلات المدارة المضمنة نفسها المتوفرة في خدمة Logic Apps متعددة المستأجرين. توفر بعض الموصلات المدارة إصدارات ISE إضافية. الفرق بين موصلات ISE والموصلات غير ISE موجود في مكان تشغيلها والتسميات التي لديهم في Logic App Designer عند العمل داخل ISE.

الموصلات مع تسميات في ISE وبدونها

  • تعرض المشغلات والإجراءات المضمنة، مثل HTTP، تسمية CORE وتشغيلها في نفس ISE مثل تطبيق المنطق الخاص بك.

  • تم تصميم الموصلات المدارة التي تعرض تسمية ISE خصيصًا لبيئات ISE ويتم تشغيلها دائمًا في نفس ISE مثل تطبيق المنطق الخاص بك. على سبيل المثال، فيما يلي بعض الموصلات التي تقدم إصدارات ISE:

    • Azure Blob Storage وتخزين الملفات وتخزين الجداول
    • ناقل خدمة Azure وقوائم انتظار Azure ومراكز الأحداث
    • Azure Automation وAzure Key Vault وAzure Event Grid وAzure Monitor Logs
    • FTP وSFTP-SSH ونظام الملفات وSMTP
    • SAP وIBM MQ وIBM DB2 وIBM 3270
    • SQL Server وAzure Synapse Analytics وAzure Cosmos DB
    • AS2 وX12 وEDIFACT

    مع استثناءات نادرة، إذا كان موصل ISE متوفرًا لنظام محلي أو مصدر بيانات، فيمكنك الاتصال مباشرة دون استخدام بوابة البيانات الداخلية. لمزيد من المعلومات، راجع الوصول إلى الأنظمة المحلية لاحقًا في هذا الموضوع.

  • تستمر الموصلات المدارة التي لا تعرض تسمية ISE في العمل لتطبيقات المنطق داخل ISE. تعمل هذه الموصلات دائمًا في خدمة Logic Apps متعددة المستأجرين، ليس في ISE.

  • تستمر الموصلات المخصصة التي تقوم بإنشائها خارج ISE، سواء كانت تتطلب بوابة البيانات الداخلية أم لا، في العمل لتطبيقات المنطق داخل ISE. مع ذلك، لن تعمل الموصلات المخصصة التي تقوم بإنشائها داخل ISE باستخدام بوابة البيانات الداخلية. لمزيد من المعلومات، راجع الوصول إلى الأنظمة المحلية.

الوصول إلى الأنظمة المحلية

يمكن أن تصل مهام سير عمل تطبيق المنطق التي تعمل داخل ISE مباشرة إلى الأنظمة المحلية ومصادر البيانات الموجودة داخل شبكة Azure الظاهرية أو المتصلة بها باستخدام هذه العناصر:

  • مشغل HTTP أو الإجراء الذي يعرض تسمية CORE

  • موصل ISE، إذا كان متوفرًا، لمصدر بيانات أو نظام محلي

    إذا كان موصل ISE متوفرًا، فيمكنك الوصول مباشرة إلى النظام أو مصدر البيانات دون بوابة البيانات الداخلية. مع ذلك، إذا كنت بحاجة إلى الوصول إلى SQL Server من ISE واستخدام المصادقة المتكاملة في Windows، فيجب استخدام إصدار الموصل غير ISE وبوابة البيانات الداخلية. لا يدعم إصدار ISE للموصل المصادقة المتكاملة في Windows. لمزيد من المعلومات، راجع موصلات ISE والاتصال من بيئة خدمة تكامل.

  • موصل مخصص

    • تستمر الموصلات المخصصة التي تقوم بإنشائها خارج ISE، سواء كانت تتطلب بوابة البيانات الداخلية أم لا، في العمل لتطبيقات المنطق داخل ISE.

    • مع ذلك، لن تعمل الموصلات المخصصة التي تقوم بإنشائها داخل ISE مع بوابة البيانات الداخلية. ومع ذلك، يمكن لهذه الموصلات الوصول مباشرة إلى الأنظمة المحلية ومصادر البيانات الموجودة داخل أو المتصلة بالشبكة الظاهرية التي تستضيف ISE الخاص بك. لذلك، لا تحتاج تطبيقات المنطق الموجودة داخل ISE عادةً إلى بوابة البيانات عند الوصول إلى تلك الموارد.

للوصول إلى الأنظمة المحلية ومصادر البيانات التي لا تحتوي على موصلات ISE، أو خارج شبكتك الظاهرية، أو غير متصلة بشبكتك الظاهرية، لا يزال يتعين عليك استخدام بوابة البيانات الداخلية. يمكن للتطبيقات المنطقية داخل ISE الاستمرار في استخدام الموصلات التي لا تحتوي على تسمية CORE أو ISE. تعمل هذه الموصلات في خدمة Logic Apps متعددة المستأجرين، بدلًا من ISE الخاص بك.

البيانات المشفرة الثابتة

بشكل افتراضي، يَستخدم Azure Storage المفاتيح التي تديرها Microsoft لتشفير بياناتك. تَعتمد Azure Logic Apps على Azure Storage لتخزين البيانات الثابتة وتشفيرها تلقائيا. يَحمي التشفير بياناتك ويساعدك على الوفاء بالتزامات الأمان والامتثال للمؤسسات الخاصة بك. لمزيد من المعلومات حول كيفية عمل تشفير Azure Storage، راجع تشفير Azure Storage للبيانات الثابتة وتشفير بيانات Azure الثابتة.

لمزيد من التحكم في مفاتيح التشفير المستخدمة من قبل Azure Storage، يدعم ISE استخدام المفتاح الخاص بك وإدارته باستخدام Azure Key Vault. تعرف هذه الإمكانية أيضا باسم "إنشاء مفتاحك" (BYOK)، ويسمى المفتاح الخاص بك "مفتاح مدار من قبل العميل". ومع ذلك، تتوفر هذه الإمكانية فقط عند إنشاء ISE الخاص بك، وليس بعد ذلك. لا يمكنك تعطيل هذا المفتاح بعد إنشاء ISE. حاليًا، لا يوجد دعم لتدوير مفتاح مدار من العميل لـ ISE.

  • يتوفر دعم المفتاح المدار من قبل العميل ل ISE فقط في المناطق التالية:

    • Azure: منطقة غرب الولايات المتحدة الأمريكية 2 وشرق الولايات المتحدة وجنوب وسط الولايات المتحدة.

    • Azure Government: أريزونا وفيرجينيا وتكساس.

  • يجب أن يكون مخزن المفاتيح الذي يخزن المفتاح المدار من قبل العميل موجودًا في نفس منطقة Azure مثل ISE.

  • لدعم المفاتيح التي يديرها العميل، يتطلب ISE تمكين الهوية المدارة المعينة من النظام أو المعينة من المستخدم. تتيح هذه الهوية لـ ISE مصادقة الوصول إلى الموارد الآمنة، مثل الأجهزة الظاهرية والأنظمة أو الخدمات الأخرى، الموجودة في شبكة Azure الظاهرية أو المتصلة بها. بهذه الطريقة، لن تضطر إلى تسجيل الدخول باستخدام أوراق اعتمادك.

  • يجب منح مخزن المفاتيح الخاص بك حق الوصول إلى الهوية المدارة ل ISE الخاص بك، ولكن التوقيت يعتمد على الهوية المدارة التي تستخدمها.

    • الهوية المدارة المعينة من قبل النظام: في غضون 30 دقيقة بعد إرسال طلب HTTPS PUT الذي ينشئ ISE الخاص بك. وإلا، يفشل إنشاء ISE، وتحصل على خطأ في الأذونات.

    • الهوية المدارة المعينة من قبل المستخدم: قبل إرسال طلب HTTPS PUT الذي ينشئ ISE الخاص بك

وحدات SKU لـ ISE

عند إنشاء ISE الخاص بك، فيمكنك تحديد SKU للمطور أو SKU المتميز. يتوفر خيار SKU هذا عند إنشاء ISE فحسب ولا يمكن تغييره لاحقًا. فيما يلي الاختلافات بين وحدات SKU هذه:

  • المطور

    يوفر ISE أقل تكلفة يمكنك استخدامه للاستكشاف والتجارب والتطوير والاختبار، لكن ليس لاختبار الإنتاج أو الأداء. تتضمن وحدة SKU للمطور مشغلات وإجراءات مضمنة وموصلات قياسية وموصلات Enterprise وحساب تكامل طبقة مجانية واحدة بسعر شهري ثابت.

    هام

    لا تحتوي وحدة SKU هذه على اتفاقية على مُستوى الخدمة (SLA) أو إمكانية توسيع النطاق أو التكرار أثناء إعادة التدوير، ما يعني أنك قد تواجه تأخيرات أو تعطل. قد تقاطع تحديثات الواجهة الخلفية الخدمة بشكل متقطع.

    للحصول على مَعلومات حول السعة والحدود، راجع حدود ISE في Azure Logic Apps. لمعرفة طريقة عمل التسعير والفوترة لبيئات ISE، راجع نموذج تسعير Logic Apps.

  • مميزة

    يوفر ISE الذي يمكنك استخدامه لاختبار الإنتاج والأداء. يتضمن SKU المتميز دعم SLA، والمشغلات والإجراءات المضمنة، والموصلات القياسية، وموصلات المؤسسة، وحساب تكامل مستوى قياسي واحد، والقدرة على التوسع، والتكرار في أثناء إعادة التدوير بسعر شهري ثابت.

    للحصول على مَعلومات حول السعة والحدود، راجع حدود ISE في Azure Logic Apps. لمعرفة طريقة عمل التسعير والفوترة لبيئات ISE، راجع نموذج تسعير Logic Apps.

الوصول إلى نقطة نهاية ISE

أثناء إنشاء ISE، يمكنك اختيار استخدام نقاط نهاية الوصول الداخلية أو الخارجية. يحدد التحديد الخاص بك ما إذا كان يمكن لمشغلات الطلب أو خطاف الويب على تطبيقات المنطق في ISE تلقي المكالمات من خارج شبكتك الظاهرية. تؤثر نقاط النهاية هذه أيضًا على الطريقة التي يمكنك بها الوصول إلى المدخلات والمخرجات من محفوظات تشغيل تطبيقات المنطق.

هام

يمكنك تحديد نقطة نهاية الوصول في أثناء إنشاء ISE فحسب ولا يمكنك تغيير هذا الخيار لاحقًا.

  • داخلي: تسمح نقاط النهاية الخاصة باستدعاءات تطبيقات المنطق في ISE حيث يمكنك عرض المدخلات والمخرجات والوصول إليها من محفوظات تشغيل سير عمل التطبيق المنطقي فقط من داخل شبكتك الظاهرية.

    هام

    إذا كنت بحاجة إلى استخدام هذه المشغلات المستندة إلى خطاف الويب، وكانت الخدمة خارج شبكتك الظاهرية والشبكات الظاهرية النظيرة، فاستخدم نقاط النهاية الخارجية، وليس نقاط النهاية الداخلية، عند إنشاء ISE الخاص بك:

    • Azure DevOps
    • Azure Event Grid
    • Common Data Service
    • Office 365
    • SAP (إصدار متعدد المستأجرين)

    تأكد أيضًا من أن لديك اتصالًا بالشبكة بين نقاط النهاية الخاصة والكمبيوتر بموقع تريد الوصول إلى محفوظات التشغيل. وإلا، عند محاولة عرض محفوظات تشغيل سير العمل، تحصل على خطأ يقول "خطأ غير متوقع. تعذر الإحضار".

    تظهر لقطة الشاشة مدخل Microsoft Azure وخطأ إجراء Azure Storage الناتج عن عدم القدرة على إرسال نسبة استخدام الشبكة من خلال جدار الحماية.

    على سبيل المثال، يمكن أن يكون الكمبيوتر العميل موجودًا داخل الشبكة الظاهرية لـ ISE أو داخل شبكة ظاهرية متصلة بالشبكة الظاهرية لـ ISE من خلال التناظر أو شبكة ظاهرية خاصة.

  • خارجي: تسمح نقاط النهاية العامة باستدعاءات مهام سير عمل التطبيق المنطقي في ISE حيث يمكنك عرض المدخلات والمخرجات والوصول إليها من محفوظات تشغيل تطبيقات المنطق من خارج شبكتك الظاهرية. إذا كنت تستخدم مجموعات أمان الشبكة (NSGs)، فتأكد من إعدادها مع القواعد الواردة للسماح بالوصول إلى مدخلات ومخرجات محفوظات التشغيل.

لتحديد ما إذا كان ISE يستخدم نقطة نهاية وصول داخلية أو خارجية، في قائمة ISE، ضمن الإعدادات، حدد الخصائص، وابحث عن خاصية الوصول إلى نقطة النهاية:

تظهر لقطة الشاشة مدخل Microsoft Azure وقائمة ISE مع تحديد الخيارات للإعدادات والخصائص ونقطة نهاية الوصول.

نموذج الأسعار

تستخدم تطبيقات المنطق والمشغلات المضمنة والإجراءات المضمنة والموصلات التي تعمل في ISE خطة تسعير ثابتة تختلف عن خطة تسعير الاستهلاك. لمزيد من المعلومات، راجع نموذج تسعير Azure Logic Apps. للحصول على أسعار الأسعار، راجع أسعار Azure Logic Apps.

حسابات التكامل باستخدام ISE

يمكنك استخدام حسابات التكامل مع تطبيقات المنطق داخل بيئة خدمة تكامل (ISE). مع ذلك، يجب أن تستخدم حسابات التكامل هذه ISE نفسه مثل تطبيقات المنطق المرتبطة. يمكن لتطبيقات المنطق في ISE الإشارة إلى حسابات التكامل الموجودة في ISE نفسه فحسب. عند إنشاء حساب تكامل، فيمكنك تحديد ISE كموقع لحساب التكامل الخاص بك. لمعرفة كيفية عمل التسعير والفوترة لحسابات التكامل مع ISE، راجع نموذج تسعير Azure Logic Apps. للحصول على أسعار الأسعار، راجع أسعار Azure Logic Apps. للحصول على معلومات الحدود، راجع حدود حساب التكامل.

الخطوات التالية