Přístup k virtuálním sítím Azure z Azure Logic Apps pomocí prostředí integrační služby (ISE)

  • Článek

Důležité

31. srpna 2024 dojde k vyřazení prostředku ISE kvůli jeho závislosti na Azure Cloud Services (Classic), která se současně vyřadí z platnosti. Před datem vyřazení vyexportujte všechny aplikace logiky z prostředí ISE do standardních aplikací logiky, abyste se vyhnuli přerušení služeb. Standardní pracovní postupy aplikací logiky běží v Azure Logic Apps s jedním tenantem a poskytují stejné funkce a další. Například standardní pracovní postupy podporují použití privátních koncových bodů pro příchozí provoz, aby vaše pracovní postupy mohly komunikovat soukromě a bezpečně s virtuálními sítěmi. Standardní pracovní postupy také podporují integraci virtuální sítě pro odchozí provoz. Další informace najdete v tématu Zabezpečení provozu mezi virtuálními sítěmi a Azure Logic Apps s jedním tenantem pomocí privátních koncových bodů.

Od 1. listopadu 2022 už není k dispozici možnost vytvářet nové prostředky ISE, což také znamená, že při vytváření ISE pomocí rozhraní REST API služby Logic Apps už také není dostupná možnost nastavit si vlastní šifrovací klíče označované jako "Přineste si vlastní klíč" (BYOK). Prostředky ISE existující před tímto datem se však podporují až do 31. srpna 2024.

Další informace naleznete v následujících zdrojích:

Tento přehled obsahuje další informace o tom, jak ISE funguje s virtuální sítí, o výhodách použití ISE, rozdílech mezi vyhrazenou službou Logic Apps a službě Logic Apps pro více tenantů a o tom, jak můžete přímo přistupovat k prostředkům, které jsou uvnitř virtuální sítě Azure nebo jsou k němu připojené.

Způsob fungování ISE s virtuální sítí

Při vytváření ISE vyberete virtuální síť Azure, do které má Azure vložit nebo nasadit vaše ISE. Když vytváříte aplikace logiky a účty integrace, které potřebují přístup k této virtuální síti, můžete jako umístění hostitele pro tyto aplikace logiky a účty integrace vybrat ise. V rámci ISE běží aplikace logiky na vyhrazených prostředcích odděleně od ostatních v prostředí Azure Logic Apps s více tenanty. Data v PROSTŘEDÍ ISE zůstanou ve stejné oblasti, ve které vytvoříte a nasadíte dané PROSTŘEDÍ ISE.

Snímek obrazovky znázorňující Azure Portal s vybraným prostředím integrační služby

Proč používat ISE

Spouštění pracovních postupů aplikací logiky ve vaší samostatné vyhrazené instanci pomáhá snížit dopad, který můžou mít ostatní tenanti Azure na výkon vašich aplikací, označovaný také jako efekt "hluční sousedé". IsE také poskytuje tyto výhody:

  • Přímý přístup k prostředkům, které jsou uvnitř virtuální sítě nebo k němu připojené

    Aplikace logiky, které vytvoříte a spustíte v prostředí ISE, můžou používat speciálně navržené konektory, které běží v prostředí ISE. Pokud konektor ISE existuje pro místní systém nebo zdroj dat, můžete se připojit přímo, aniž byste museli používat místní bránu dat. Další informace najdete v tématech Vyhrazené versus více tenantů a Přístup k místním systémům dále v tomto tématu.

  • Trvalý přístup k prostředkům, které jsou mimo virtuální síť nebo nejsou připojené k vaší virtuální síti

    Aplikace logiky, které vytvoříte a spustíte v prostředí ISE, můžou dál používat konektory, které běží ve službě Logic Apps s více tenanty, i když není dostupný konektor specifický pro ISE. Další informace najdete v tématu Dedicated versus multi-tenant.

  • Vaše vlastní statické IP adresy, které jsou oddělené od statických IP adres sdílených aplikacemi logiky ve službě s více tenanty. Můžete také nastavit jednu veřejnou, statickou a předvídatelnou odchozí IP adresu pro komunikaci s cílovými systémy. Nebudete tak muset v těchto cílových systémech pro každou ise nastavovat další otvory brány firewall.

  • Zvýšené limity doby trvání běhu, uchovávání úložiště, propustnosti, vypršení časových limitů požadavků HTTP a odpovědí, velikostí zpráv a požadavků na vlastní konektory Další informace najdete v tématu Omezení a konfigurace pro Azure Logic Apps.

Vyhrazené versus více tenantů

Když vytváříte a spouštíte aplikace logiky v ISE, získáte stejné uživatelské prostředí a podobné možnosti jako služba Logic Apps s více tenanty. Můžete použít všechny stejné předdefinované triggery, akce a spravované konektory, které jsou k dispozici ve službě Logic Apps s více tenanty. Některé spravované konektory nabízejí další verze ISE. Rozdíl mezi konektory ISE a konektory, které nejsou ISE, existuje v tom, kde běží, a popisky, které mají v aplikaci logiky Designer při práci v rámci ISE.

Konektory s popisky a bez popisků v prostředí ISE

  • Integrované triggery a akce, jako je HTTP, zobrazují popisek CORE a spouští se ve stejném prostředí ISE jako vaše aplikace logiky.

  • Spravované konektory, které zobrazují popisek ISE , jsou speciálně navržené pro ISE a vždy běží ve stejném PROSTŘEDÍ ISE jako vaše aplikace logiky. Tady jsou například některé konektory, které nabízejí verze ISE:

    • Azure Blob Storage, File Storage a Table Storage
    • Azure Service Bus, fronty Azure Azure Event Hubs
    • Azure Automation, Azure Key Vault, Azure Event Grid a protokoly služby Azure Monitor
    • FTP, SFTP-SSH, systém souborů a SMTP
    • SAP, IBM MQ, IBM DB2 a IBM 3270
    • SQL Server, Azure Synapse Analytics, Azure Cosmos DB
    • AS2, X12 a EDIFACT

    Až na vzácné výjimky platí, že pokud je konektor ISE dostupný pro místní systém nebo zdroj dat, můžete se připojit přímo bez použití místní brány dat. Další informace najdete v části Přístup k místním systémům dále v tomto tématu.

  • Spravované konektory, které nezobrazují popisek ISE , budou dál fungovat pro aplikace logiky v rámci ISE. Tyto konektory vždy běží ve službě Logic Apps s více tenanty, ne ve službě ISE.

  • Vlastní konektory, které vytvoříte mimo ISE, bez ohledu na to, jestli vyžadují místní bránu dat, budou dál fungovat pro aplikace logiky v rámci ISE. Vlastní konektory, které vytvoříte v rámci ISE , ale nebudou s místní bránou dat fungovat. Další informace najdete v tématu Přístup k místním systémům.

Přístup k místním systémům

Pracovní postupy aplikací logiky, které běží v rámci ISE, můžou přímo přistupovat k místním systémům a zdrojům dat, které jsou uvnitř virtuální sítě Azure nebo jsou k němu připojené, pomocí těchto položek:

  • Trigger nebo akce HTTP, která zobrazuje popisek CORE

  • Konektor ISE , pokud je k dispozici, pro místní systém nebo zdroj dat

    Pokud je konektor ISE dostupný, můžete k systému nebo zdroji dat přistupovat přímo bez místní brány dat. Pokud ale potřebujete získat přístup k SQL Server z ISE a používat ověřování Windows, musíte použít verzi konektoru, která není ISE, a místní bránu dat. Verze ISE konektoru nepodporuje ověřování Windows. Další informace najdete v tématech Konektory ISE a Připojení z prostředí integrační služby.

  • Vlastní konektor

    • Vlastní konektory, které vytvoříte mimo ISE, bez ohledu na to, jestli vyžadují místní bránu dat, budou dál fungovat pro aplikace logiky v rámci ISE.

    • Vlastní konektory, které vytvoříte v prostředí ISE , nefungují s místní bránou dat. Tyto konektory ale můžou přímo přistupovat k místním systémům a zdrojům dat, které jsou uvnitř virtuální sítě, která hostuje vaše prostředí ISE, nebo jsou k němu připojené. Proto aplikace logiky, které jsou v rámci ISE, obvykle při přístupu k těmto prostředkům bránu dat nepotřebují.

Pokud chcete získat přístup k místním systémům a zdrojům dat, které nemají konektory ISE, jsou mimo vaši virtuální síť nebo nejsou připojené k virtuální síti, stále musíte použít místní bránu dat. Aplikace logiky v rámci ISE můžou dál používat konektory, které nemají popisek CORE nebo ISE . Tyto konektory běží ve službě Logic Apps s více tenanty, a ne ve vašem prostředí ISE.

Šifrovaná neaktivní neaktivní uložená data

Ve výchozím nastavení služba Azure Storage používá k šifrování dat klíče spravované Microsoftem. Azure Logic Apps se při ukládání a automatickém šifrování neaktivních uložených dat spoléhá na Službu Azure Storage. Toto šifrování chrání vaše data a pomáhá dodržet závazky vaší organizace z hlediska zabezpečení a dodržování předpisů. Další informace o tom, jak šifrování služby Azure Storage funguje, najdete v tématech Šifrování neaktivních uložených dat ve službě Azure Storage a Azure Data Encryption v klidovém stavu.

Pro větší kontrolu nad šifrovacími klíči používanými službou Azure Storage podporuje ISE používání a správu vlastního klíče pomocí Azure Key Vault. Tato funkce se také označuje jako "Přineste si vlastní klíč" (BYOK) a váš klíč se nazývá "klíč spravovaný zákazníkem". Tato funkce je však k dispozici pouze při vytváření prostředí ISE, ne později. Po vytvoření ise nemůžete tento klíč zakázat. V současné době neexistuje podpora pro obměně klíče spravovaného zákazníkem pro ISE.

  • Podpora klíčů spravovaných zákazníkem pro ISE je k dispozici pouze v následujících oblastech:

    • Azure: USA – západ 2, USA – východ a USA – středojiž.

    • Azure Government: Arizona, Virginie a Texas.

  • Trezor klíčů, který ukládá klíč spravovaný zákazníkem, musí existovat ve stejné oblasti Azure jako vaše ISE.

  • Aby vaše prostředí ISE podporovalo klíče spravované zákazníkem, vyžaduje, abyste povolili spravovanou identitu přiřazenou systémem nebo spravovanou identitu přiřazenou uživatelem. Tato identita umožňuje vašemu ISE ověřit přístup k zabezpečeným prostředkům, jako jsou virtuální počítače a další systémy nebo služby, které jsou ve virtuální síti Azure nebo jsou k němu připojené. Nebudete se tak muset přihlašovat pomocí svých přihlašovacích údajů.

  • Trezoru klíčů musíte udělit přístup ke spravované identitě ISE, ale načasování závisí na tom, kterou spravovanou identitu používáte.

    • Spravovaná identita přiřazená systémem: Do 30 minut od odeslání požadavku HTTPS PUT, který vytvoří vaše prostředí ISE. V opačném případě se vytvoření ISE nezdaří a zobrazí se chyba oprávnění.

    • Spravovaná identita přiřazená uživatelem: Před odesláním požadavku HTTPS PUT, který vytvoří vaše prostředí ISE

Skladové položky ISE

Při vytváření ISE můžete vybrat SKU Developer nebo SKU Premium. Tato možnost skladové položky je dostupná jenom při vytváření ISE a později ji nejde změnit. Tady jsou rozdíly mezi těmito skladovými položkami:

  • Vývojář

    Poskytuje prostředí ISE s nižšími náklady, které můžete použít pro zkoumání, experimenty, vývoj a testování, ale ne pro produkční nebo výkonnostní testování. Skladová položka Pro vývojáře zahrnuje předdefinované triggery a akce, standardní konektory, konektory Enterprise a jeden účet integrace úrovně Free za pevnou měsíční cenu.

    Důležité

    Tato skladová položka nemá během recyklace žádnou smlouvu o úrovni služeb (SLA), kapacitu vertikálního navýšení kapacity nebo redundanci, což znamená, že může docházet ke zpoždění nebo výpadku. Aktualizace back-endu můžou přerušovaně přerušit službu.

    Informace o kapacitě a limitech najdete v tématu Limity ISE v Azure Logic Apps. Informace o tom, jak funguje fakturace u isE, najdete v cenovém modelu Logic Apps.

  • Premium

    Poskytuje prostředí ISE, které můžete použít pro testování provozu a výkonu. Skladová položka Premium zahrnuje podporu smlouvy SLA, integrované triggery a akce, konektory standardu, konektory Enterprise, jeden účet integrace úrovně Standard , schopnost vertikálního navýšení kapacity a redundanci během recyklace za pevnou měsíční cenu.

    Informace o kapacitě a limitech najdete v tématu Limity ISE v Azure Logic Apps. Informace o tom, jak funguje fakturace u isE, najdete v cenovém modelu Logic Apps.

Přístup ke koncovému bodu ISE

Při vytváření ISE se můžete rozhodnout použít buď interní, nebo externí koncové body přístupu. Váš výběr určuje, jestli triggery požadavku nebo webhooku v aplikacích logiky v ISE můžou přijímat volání mimo vaši virtuální síť. Tyto koncové body také ovlivňují způsob přístupu ke vstupům a výstupům z historie spuštění aplikací logiky.

Důležité

Koncový bod přístupu můžete vybrat jenom při vytváření ISE a později už tuto možnost nemůžete změnit.

  • Interní: Privátní koncové body umožňují volání aplikací logiky v prostředí ISE, kde můžete zobrazit vstupy a výstupy z historie spuštění aplikace logiky a přistupovat k ně pouze ve vaší virtuální síti.

    Důležité

    Pokud potřebujete použít tyto triggery založené na webhooku a služba je mimo vaši virtuální síť a partnerské virtuální sítě, použijte při vytváření prostředí ISE externí koncové body, ne interní koncové body:

    • Azure DevOps
    • Azure Event Grid
    • Common Data Service
    • Office 365
    • SAP (verze s více tenanty)

    Ujistěte se také, že máte síťové připojení mezi privátními koncovými body a počítačem, ze kterého chcete získat přístup k historii spuštění. V opačném případě se při pokusu o zobrazení historie spuštění pracovního postupu zobrazí chyba "Neočekávaná chyba. Načtení se nezdařilo.

    Snímek obrazovky znázorňující chybu Azure Portal a akce Azure Storage v důsledku nemožnosti odesílat provoz přes bránu firewall

    Klientský počítač může existovat například ve virtuální síti ise nebo ve virtuální síti, která je připojená k virtuální síti ISE prostřednictvím partnerského vztahu nebo virtuální privátní sítě.

  • Externí: Veřejné koncové body umožňují volání pracovních postupů aplikací logiky v prostředí ISE, kde můžete zobrazit vstupy a výstupy z historie spuštění aplikací logiky mimo vaši virtuální síť a přistupovat k jejich přístupu. Pokud používáte skupiny zabezpečení sítě (NSG), ujistěte se, že jsou nastavené s příchozími pravidly, která umožňují přístup ke vstupům a výstupům historie spuštění.

Pokud chcete zjistit, jestli vaše ISE používá interní nebo externí koncový bod přístupu, v nabídce ISE v části Nastavení vyberte Vlastnosti a vyhledejte vlastnost koncového bodu Accessu :

Snímek obrazovky ukazuje Azure Portal v nabídce ISE s možnostmi vybranými pro Nastavení, Vlastnosti a Koncový bod přístupu.

Cenový model

Aplikace logiky, předdefinované triggery, předdefinované akce a konektory, které běží v ISE, používají pevný cenový plán, který se liší od cenového plánu Consumption. Další informace najdete v tématu Cenový model Azure Logic Apps. Cenové sazby najdete v tématu Ceny Azure Logic Apps.

Účty integrace s ISE

Účty integrace můžete používat s aplikacemi logiky v prostředí integrační služby (ISE). Tyto účty integrace ale musí používat stejné integrované prostředí (ISE ) jako propojené aplikace logiky. Aplikace logiky v integrovaném prostředí (ISE) můžou odkazovat jenom na účty integrace, které jsou ve stejném prostředí ISE. Při vytváření účtu pro integraci můžete jako umístění účtu integrace vybrat ise. Informace o tom, jak fungují ceny a fakturace pro účty integrace s ISE, najdete v cenovém modelu Azure Logic Apps. Cenové sazby najdete v tématu Ceny Azure Logic Apps. Informace o limitech najdete v tématu Limity účtu integrace.

Další kroky