Conexión a redes virtuales de Azure desde Azure Logic Apps mediante un entorno del servicio de integración (ISE)

Importante

El 31 de agosto de 2024, el recurso ISE se retirará, debido a su dependencia de Azure Cloud Services (clásico), que se retira al mismo tiempo. Antes de la fecha de retirada, exporte las aplicaciones lógicas del ISE a las aplicaciones lógicas estándar para que pueda evitar la interrupción del servicio. Los flujos de trabajo de aplicaciones lógicas estándar se ejecutan en Azure Logic Apps de un solo inquilino y proporcionan las mismas funcionalidades y más.

A partir del 1 de noviembre de 2022, ya no puede crear nuevos recursos de ISE. Sin embargo, los recursos de ISE existentes antes de esta fecha se admiten hasta el 31 de agosto de 2024. Para obtener más información, vea los siguientes recursos:

Para escenarios donde sus cuentas de integración y recursos de las aplicaciones lógicas de consumo necesitan tener acceso a una red virtual de Azure, cree un entorno de servicio de integración (ISE). Un ISE es un entorno que usa almacenamiento dedicado y otros recursos que existen de forma independiente del servicio Azure Logic Apps multiinquilino "global". Esta separación también reduce los posibles efectos que podrían tener otros inquilinos de Azure en el rendimiento de la aplicación. Un ISE también le proporciona sus propias direcciones IP estáticas. Estas direcciones IP son independientes de las direcciones IP estáticas que comparten las aplicaciones lógicas en el servicio multiinquilino público.

Cuando crea un ISE, Azure lo inserta en la red virtual de Azure que, luego, implementa el servicio Azure Logic Apps en la red virtual. Al crear aplicaciones lógicas o cuentas de integración, seleccionará el ISE como ubicación. Así, las aplicaciones lógicas y las cuentas de integración tienen acceso directo a recursos tales como las máquinas virtuales, los servidores, los sistemas y los servicios de la red virtual.

Selección del entorno de servicio de integración

Importante

Para que las aplicaciones lógicas y las cuentas de integración funcionen juntas en un ISE, ambas deben usar el mismo ISE como ubicación.

Un ISE ha aumentado los límites siguientes:

  • Duración de la ejecución
  • Retención de almacenamiento
  • Rendimiento
  • Tiempos de espera de solicitud y respuesta HTTP
  • Tamaños de mensaje
  • Solicitudes de conector personalizado

Para más información, consulte el artículo sobre los límites y la configuración de Azure Logic Apps. Para más información sobre los ISE, consulte Acceso a recursos de Azure Virtual Network desde Azure Logic Apps.

En este artículo se muestra cómo realizar estas tareas mediante Azure Portal:

  • Habilite el acceso para el ISE.
  • Cree el ISE.
  • Agregue capacidad adicional al ISE.

También puede crear un ISE mediante el ejemplo de plantilla de inicio rápido de Azure Resource Manager o la API REST de Azure Logic Apps, incluida la configuración de claves administradas por el cliente:

Requisitos previos

  • Una cuenta y una suscripción de Azure. Si no tiene una suscripción de Azure, regístrese para obtener una cuenta gratuita de Azure.

    Importante

    Los flujos de trabajo de aplicaciones lógicas, los desencadenadores integrados, las acciones integradas y los conectores que se ejecutan en el ISE usan un plan de tarifa diferente al plan de tarifa de consumo. Para saber cómo funcionan los precios y la facturación para los ISE, consulte Modelo de precios de aplicaciones de Azure. Para ver las tarifas de precios, consulte Precios de aplicaciones de Azure.

  • Una red virtual de Azure que tiene cuatro subredes vacías, que son necesarias para crear e implementar recursos en el ISE y que estos componentes internos y ocultos usan:

    • Proceso de Azure Logic Apps
    • App Service Environment interno (conectores)
    • API Management interno (conectores)
    • Redis interno para el almacenamiento en caché y el rendimiento

    Puede crear las subredes por adelantado o cuando cree el ISE para crearlas al mismo tiempo. Sin embargo, antes de crear las subredes, asegúrese de revisar los requisitos de subred.

    • La SKU del ISE de desarrollador usa tres subredes, pero todavía tiene que crear cuatro subredes. La cuarta subred no incurre en ningún costo adicional.

    • Asegúrese de que la red virtual habilita el acceso para el ISE para que su ISE funcione correctamente y permanezca accesible.

    • Si usa una aplicación virtual de red (NVA), asegúrese de no habilitar la terminación TLS/SSL ni cambiar el tráfico TLS/SSL saliente. Además, asegúrese de no habilitar la inspección del tráfico que se origina en la subred de la ISE. Para más información, consulte Enrutamiento del tráfico de redes virtuales.

    • Si quiere usar servidores de Sistema de nombres de dominio (DNS) personalizados para su red virtual de Azure, configure esos servidores siguiendo estos pasos antes de implementar el ISE en su red virtual. Para más información acerca de la administración de la configuración del servidor DNS, consulte Creación, cambio o eliminación de una red virtual.

      Nota

      Si cambia el servidor DNS o la configuración de este, debe reiniciar el ISE para que pueda recoger dichos cambios. Para obtener más información, consulte Restablecimiento del ISE.

Habilitar el acceso para el ISE

Cuando se usa un ISE con una red virtual de Azure, un problema de configuración habitual es tener uno o varios puertos bloqueados. Los conectores que usa para crear conexiones entre su ISE y los sistemas de destino también pueden tener sus propios requisitos de puerto. Por ejemplo, si se comunica con un sistema FTP mediante el conector FTP, el puerto que usa en el sistema FTP debe estar disponible, por ejemplo, el puerto 21 para enviar comandos.

Para asegurarse de que el ISE sea accesible y de que las aplicaciones lógicas del ISE puedan comunicarse a través de cada subred de la red virtual, abra los puertos descritos en esta tabla para cada subred. Si alguno de los puertos necesarios no está disponible, el ISE no funcionará correctamente.

  • Si tiene varias instancias de ISE que necesitan acceso a otros puntos de conexión con restricciones de IP, implemente Azure Firewall o una aplicación virtual de red en la red virtual y enrute el tráfico saliente a través de ese firewall o aplicación virtual de red. Después, puede configurar una dirección IP única, de salida, pública, estática y predecible que todas las instancias de ISE de la red virtual puedan usar para comunicarse con los sistemas de destino. De ese modo, no es necesario configurar aperturas adicionales del firewall en los sistemas de destino para cada ISE.

    Nota

    También puede usar este enfoque para un solo ISE si el escenario requiere limitar el número de direcciones IP que necesitan acceso. Considere si los costos adicionales del firewall o el dispositivo de red virtual tienen sentido para su escenario. Obtenga más información sobre los precios de Azure Firewall.

  • Si ha creado una nueva red virtual de Azure y subredes sin ninguna restricción, no es necesario configurar grupos de seguridad de red (NSG) en la red virtual para controlar el tráfico entre las subredes.

  • En el caso de una red virtual existente, puede, de forma opcional, configurar grupos de seguridad de red (NSG) para filtrar el tráfico de red entre subredes. Si quiere usar esta ruta, o si ya usa NSG, abra los puertos descritos en esta tabla para esos NSG.

    Al configurar las reglas de seguridad de NSG, debe usar ambos protocolos, TCP y UDP, o bien seleccionar Cualquiera en su lugar para no tener que crear reglas independientes para cada protocolo. Las reglas de seguridad de NSG describen los puertos que debe abrir para las direcciones IP que necesitan acceder a esos puertos. Asegúrese de que todo firewall, enrutador u otro elemento que exista entre estos puntos de conexión también mantengan esos puertos accesibles para esas direcciones IP.

  • Si configura la tunelización forzada a través del firewall para redirigir el tráfico enlazado a Internet, revise los requisitos de la tunelización forzada.

Puertos de red usados por el ISE

En esta tabla se describen los puertos que necesita el ISE para ser accesible y el propósito de esos puertos. Para ayudar a reducir la complejidad que conlleva la configuración de reglas de seguridad, la tabla usa etiquetas de servicio que representan grupos de prefijos de direcciones IP de un servicio de Azure concreto. Cuando así se indica, ISE interno e ISE externo hacen referencia al punto de conexión de acceso seleccionado durante la creación del ISE. Para obtener más información, consulte Acceso al punto de conexión.

Importante

En todas las reglas, establezca los puertos de origen en *, ya que estos son efímeros.

Reglas de seguridad de entrada

Puertos de origen Puertos de destino Etiqueta de servicio de origen o direcciones IP Etiqueta de servicio de destino o direcciones IP Propósito Notas
* * Espacio de direcciones de la red virtual con subredes del ISE Espacio de direcciones de la red virtual con subredes del ISE Comunicación entre subredes en una red virtual. Necesario para que el tráfico fluya entre las subredes de la red virtual.

Importante: Para que el tráfico fluya entre los componentes de cada subred, asegúrese de abrir todos los puertos de cada subred.
* 443 ISE interno:
VirtualNetwork

ISE externo: Internet o consulte Notas
VirtualNetwork - Comunicación con la aplicación lógica

- Historial de ejecuciones de la aplicación lógica
En lugar de usar la etiqueta de servicio Internet, puede especificar la dirección IP de origen de estos elementos:

- Equipo o servicio que llama a cualquier desencadenador de solicitud o webhook de la aplicación lógica

- Equipo o servicio desde el que se quiere acceder al historial de ejecución de la aplicación lógica

Importante: El cierre o bloqueo de este puerto evita las llamadas a aplicaciones lógicas con desencadenadores de solicitud o webhooks. También se evita que acceda a las entradas y salidas de cada paso del historial de ejecución. Pero no se evita que acceda al historial de ejecución de la aplicación lógica.
* 454 LogicAppsManagement VirtualNetwork Diseñador de Azure Logic Apps: propiedades dinámicas Las solicitudes proceden de las direcciones IP entrantes del punto de conexión de acceso de Azure Logic Apps de esa región.

Importante: Si está trabajando con la nube de Azure Government, la etiqueta de servicio LogicAppsManagement no funcionará. En su lugar, debe proporcionar las direcciones IP de entrada de Azure Logic Apps para Azure Government.
* 454 LogicApps VirtualNetwork Comprobación del estado de la red Las solicitudes proceden de las direcciones IP entrantes del punto de conexión de acceso de Azure Logic Apps y las direcciones IP salientes de esa región.

Importante: Si está trabajando con la nube de Azure Government, la etiqueta de servicio LogicApps no funcionará. En su lugar, debe proporcionar las direcciones IP de entrada y las direcciones IP de salida de Azure Logic Apps para Azure Government.
* 454 AzureConnectors VirtualNetwork Implementación del conector Necesario para implementar y actualizar conectores. El cierre o bloqueo de este puerto da lugar a errores de las implementaciones de ISE y evita las actualizaciones y correcciones del conector.

Importante: Si está trabajando con la nube de Azure Government, la etiqueta de servicio AzureConnectors no funcionará. En su lugar, debe proporcionar las direcciones IP de salida del conector administrado para Azure Government.
* 454, 455 AppServiceManagement VirtualNetwork Dependencia de administración de App Service
* ISE interno: 454

ISE externo: 443
AzureTrafficManager VirtualNetwork Comunicación de Azure Traffic Manager
* 3443 APIManagement VirtualNetwork Implementación de la directiva de conectores

API Management: punto de conexión de administración
Para la implementación de la directiva de conectores, es necesario el acceso a los puertos para implementar y actualizar conectores. El cierre o bloqueo de este puerto da lugar a errores de las implementaciones de ISE y evita las actualizaciones y correcciones del conector.
* 6379 - 6383, además consulte Notas VirtualNetwork VirtualNetwork Acceso a instancias de Azure Cache for Redis entre instancias de rol Para que ISE funcione con Azure Cache for Redis, debe abrir estos puertos de entrada y salida descritos en las Preguntas frecuentes sobre Azure Cache for Redis.

Reglas de seguridad de entrada

Puertos de origen Puertos de destino Etiqueta de servicio de origen o direcciones IP Etiqueta de servicio de destino o direcciones IP Propósito Notas
* * Espacio de direcciones de la red virtual con subredes del ISE Espacio de direcciones de la red virtual con subredes del ISE Comunicación entre subredes en una red virtual Necesario para que el tráfico fluya entre las subredes de la red virtual.

Importante: Para que el tráfico fluya entre los componentes de cada subred, asegúrese de abrir todos los puertos de cada subred.
* 443, 80 VirtualNetwork Internet Comunicación con la aplicación lógica Esta regla es necesaria para la comprobación de certificados de Capa de sockets seguros (SSL). Esta comprobación es para varios sitios internos y externos, lo cual es el motivo por el que se requiere Internet como destino.
* Varía según el destino VirtualNetwork Varía según el destino Comunicación con la aplicación lógica Los puertos de destino varían en función de los puntos de conexión de los servicios externos con los que la aplicación lógica necesita comunicarse.

Por ejemplo, el puerto de destino es el puerto 25 para un servicio SMTP, el puerto 22 para un servicio SFTP y así sucesivamente.
* 80, 443 VirtualNetwork AzureActiveDirectory Azure Active Directory
* 80, 443, 445 VirtualNetwork Storage Dependencia de Azure Storage
* 443 VirtualNetwork AppService Administración de conexiones
* 443 VirtualNetwork AzureMonitor Publicación de métricas y registros de diagnóstico
* 1433 VirtualNetwork SQL Dependencia de Azure SQL
* 1886 VirtualNetwork AzureMonitor Azure Resource Health Necesario para publicar el estado de mantenimiento en Resource Health.
* 5672 VirtualNetwork EventHub Dependencia de la directiva de registro en Event Hubs y el agente de supervisión
* 6379 - 6383, además consulte Notas VirtualNetwork VirtualNetwork Acceso a instancias de Azure Cache for Redis entre instancias de rol Para que ISE funcione con Azure Cache for Redis, debe abrir estos puertos de entrada y salida descritos en las Preguntas frecuentes sobre Azure Cache for Redis.
* 53 VirtualNetwork Direcciones IP de los servidores de Sistema de nombres de dominio (DNS) personalizados de la red virtual. Resolución de nombres DNS Solo es necesario cuando se usan servidores DNS personalizados en la red virtual.

Además, debe agregar reglas de salida para App Service Environment (ASE):

Requisitos de tunelización forzada

Si configura o usa la tunelización forzada a través del firewall, debe permitir dependencias externas adicionales para su ISE. La tunelización forzada permite redirigir el tráfico enlazado a Internet a un próximo salto designado, como la red privada virtual (VPN), o a un dispositivo virtual, en lugar de a Internet, para que pueda inspeccionar y auditar el tráfico de red saliente.

Si no permite el acceso a estas dependencias, se produce un error en la implementación de ISE, y el ISE implementado deja de funcionar.

Crear el ISE

  1. En Azure Portal, en el cuadro de búsqueda principal de Azure, escriba integration service environments como filtro y seleccione Entornos del servicio de integración.

    Buscar y seleccionar

  2. En el panel Entornos del servicio de integración, seleccione Agregar.

    Seleccione

  3. Proporcione estos detalles para su entorno y, después, seleccione Revisar y crear, por ejemplo:

    Proporcionar detalles del entorno

    Propiedad Obligatorio Value Descripción
    Suscripción <Azure-subscription-name> La suscripción de Azure que se usará para el entorno.
    Grupos de recursos <nombre del grupo de recursos de Azure> Un grupo de recursos de Azure nuevo o existente donde quiera crear el entorno.
    Nombre del entorno del servicio de integración <nombre del entorno> El nombre de ISE, que solo puede contener letras, números, guiones (-), caracteres de subrayado (_) y puntos (.).
    Ubicación <región del centro de datos de Azure> La región del centro de datos de Azure donde se implementará el entorno.
    SKU Premium o Desarrollador (sin SLA) La SKU de ISE que se va a crear y a usar. Si quiere conocer las diferencias entre estas SKU, consulte las SKU de ISE.

    Importante: Esta opción solo está disponible durante la creación del ISE y no se puede cambiar más adelante.

    Capacidad adicional Premium:

    Desarrollador:
    No aplicable

    Premium:
    De 0 a 10

    Desarrollador:
    No aplicable

    Número de unidades de procesamiento adicionales que se utilizará para este recurso ISE. Para agregar capacidad después de crearla, consulte Agregar capacidad ISE.
    Punto de conexión de acceso Interno o externo Tipo de puntos de conexión de acceso que se usan para el ISE. Estos puntos de conexión determinan si los desencadenadores de solicitudes o de webhooks de las aplicaciones lógicas del ISE pueden recibir llamadas desde fuera de la red virtual o no.

    Por ejemplo, si quiere usar los siguientes desencadenadores basados en webhook, asegúrese de seleccionar Externos:

    - Azure DevOps
    - Azure Event Grid
    - Common Data Service
    - Office 365
    - SAP (versión ISE)

    La selección también afecta a la manera en que puede ver y acceder a las entradas y salidas en el historial de ejecuciones de la aplicación lógica. Para obtener más información, consulte Acceso al punto de conexión del ISE.

    Importante: Puede seleccionar el punto de conexión de acceso solo durante la creación del ISE y no puede cambiar esta opción más adelante.

    Red virtual <Azure-virtual-network-name> La red virtual de Azure donde quiere insertar su entorno para que las aplicaciones lógicas de ese entorno puedan acceder a la red virtual. Si no tiene una red, cree primero una red virtual de Azure.

    Importante: Solo puede realizar esta inserción cuando se crea el ISE.

    Subredes <subnet-resource-list> Independientemente de que use ISE Premium o Desarrollador, la red virtual requiere cuatro subredes vacías para crear e implementar recursos en el ISE. Estas subredes las usan los componentes internos de Azure Logic Apps, como los conectores y el almacenamiento en caché para el rendimiento.

    Importante: Asegúrese de revisar los requisitos de las subredes antes de continuar con estos pasos para crearlas.

    Creación de las subredes

    Si planea usar ISE Premium o Desarrollador, asegúrese de que la red virtual tiene cuatro subredes vacías. Estas subredes se usan para crear e implementar recursos en el ISE y también las usan los componentes internos de Azure Logic Apps, como los conectores y el almacenamiento en caché, para mejorar el rendimiento. No se pueden cambiar estas direcciones de subred una vez creado el entorno. Si crea e implementa el ISE mediante Azure Portal, asegúrese de no delegar estas subredes en ningún servicio de Azure. Sin embargo, si crea e implementa el ISE mediante la API REST, Azure PowerShell o una plantilla de Azure Resource Manager, debe delegar una subred vacía en Microsoft.integrationServiceEnvironment. Para más información, consulte el artículo Adición de una delegación de subred.

    Cada subred tiene que cumplir estos requisitos:

    • Usa un nombre que comienza con un carácter alfabético o un guion bajo (sin números), y no tiene estos caracteres: <, >, %, &, \\, ?, /.

    • Usa el formato Enrutamiento de interdominios sin clases (CIDR).

      Importante

      No use los siguientes espacios de direcciones IP para la red virtual o las subredes, ya que Azure Logic Apps no pueden resolverlos:

      • 0.0.0.0/8
      • 100.64.0.0/10
      • 127.0.0.0/8
      • 168.63.129.16/32
      • 169.254.169.254/32
    • Usa al menos /27 en el espacio de direcciones, porque cada subred requiere 32 direcciones. Por ejemplo, 10.0.0.0/27 tiene 32 direcciones porque 2(32-27) es 25 o 32. Más direcciones no proporcionarán ventajas adicionales. Para obtener más información sobre cómo calcular las direcciones, consulte bloques de CIDR IPv4.

    • Si usa ExpressRoute, tiene que crear una tabla de rutas que tenga la siguiente ruta y vincular esa tabla con cada subred que utilice el ISE:

      Nombre: <route-name>
      Prefijo de dirección: 0.0.0.0/0
      Próximo salto: Internet

    1. En la lista Subredes, seleccione Administrar configuración de subred.

      Administrar configuración de subred

    2. En el panel Subredes, seleccione Subred.

      Agregar cuatro subredes vacías

    3. En el panel Agregar subred, proporcione esta información.

      • Name: nombre de la subred.
      • Intervalo de direcciones (bloque CIDR) : intervalo de la subred la red virtual y en formato CIDR.

      Agregar detalles de la subred

    4. Cuando finalice, seleccione Aceptar.

    5. Repita estos pasos para tres subredes más.

      Nota

      Si las subredes que intenta crear no son válidas, Azure Portal muestra un mensaje, pero no bloquea el progreso.

    Para obtener más información sobre la creación de subredes, consulte Incorporación de una subred de red virtual.

  4. Una vez que Azure valide correctamente la información del ISE, seleccione Crear, por ejemplo:

    Después de una validación correcta, seleccionar

    Azure comienza a implementar el entorno, que normalmente tarda menos de dos horas en completarse. En ocasiones, la implementación puede tardar hasta cuatro horas. Para comprobar el estado de implementación, en la barra de herramientas de Azure, seleccione el icono de notificaciones, que abre el panel de notificaciones.

    Comprobar el estado de implementación

    Si la implementación finaliza correctamente, Azure muestra esta notificación:

    Implementación correcta

    De lo contrario, siga las instrucciones de Azure Portal para solucionar problemas de implementación.

    Nota

    Si se produce un error en la implementación o se elimina el ISE, Azure podría tardar hasta una hora, o posiblemente más en raras ocasiones, antes de liberar las subredes. Por lo tanto, es posible que tenga que esperar antes de poder volver a usar esas subredes en otro ISE.

    Si elimina su red virtual, Azure generalmente tarda hasta dos horas antes de liberar las subredes, pero esta operación puede llevar más tiempo. Cuando elimine redes virtuales, asegúrese de que no haya recursos conectados. Para obtener más información, consulte Eliminación de una red virtual.

  5. Para ver el entorno, seleccione Ir al recurso si Azure no va automáticamente al entorno una vez finalizada la implementación.

  6. Para un ISE que tenga acceso de punto de conexión externo, debe crear un grupo de seguridad de red (NSG), si aún no tiene uno. Debe agregar una regla de seguridad de entrada al grupo de seguridad de red para permitir el tráfico desde las direcciones IP de salida del conector administrado. Para configurar esta regla, siga estos pasos:

    1. En el menú del ISE, en Configuración, seleccione Propiedades.

    2. En Direcciones IP salientes del conector, copie los intervalos de direcciones IP públicas, que también aparecen en el artículo Límites y configuración: direcciones IP de salida.

    3. Cree un grupo de seguridad de red, si aún no tiene uno.

    4. En función de la siguiente información, agregue una regla de seguridad de entrada para las direcciones IP públicas de salida que copió. Para obtener más información, consulte Tutorial: Filtrado del tráfico de red con un grupo de seguridad de red en Azure Portal.

      Propósito Etiqueta de servicio de origen o direcciones IP Puertos de origen Etiqueta de servicio de destino o direcciones IP Puertos de destino Notas
      Permitir el tráfico que procede de las direcciones IP de salida del conector <connector-public-outbound-IP-addresses> * Espacio de direcciones de la red virtual con subredes del ISE *
  7. Para comprobar el estado de la red del ISE, consulte Administración del entorno del servicio de integración.

    Precaución

    Si la red del ISE es incorrecta, la instancia interna de App Service Environment (ASE) que usa el ISE también puede ser incorrecta. Si la instancia de ASE es incorrecta durante más de siete días, esta se suspende. Para resolver este estado, compruebe la configuración de la red virtual. Resuelva los problemas que encuentre y reinicie el ISE. De lo contrario, pasados 90 días se elimina la instancia de ASE suspendida y el ISE deja de ser utilizable. Por lo tanto, asegúrese de mantener correctamente el ISE para permitir el tráfico necesario.

    Para obtener más información, consulte estos temas:

  8. Para empezar a crear aplicaciones lógicas y otros artefactos en el ISE, consulte Incorporación de recursos a entornos del servicio de integración.

    Importante

    Después de crear el ISE, podrá usar los conectores ISE administrados, pero recuerde que no aparecen automáticamente en el selector de conectores del Diseñador de aplicaciones lógicas. Para poder usar estos conectores ISE, tiene que agregarlos e implementarlos manualmente en el ISE para que aparezcan en el Diseñador de aplicaciones lógicas.

Pasos siguientes