Acceso a redes virtuales de Azure desde Azure Logic Apps mediante un entorno del servicio de integración (ISE)

  • Artículo

Importante

El 31 de agosto de 2024, el recurso ISE se retirará, debido a su dependencia de Azure Cloud Services (clásico), que se retira al mismo tiempo. Antes de la fecha de retirada, exporte las aplicaciones lógicas del ISE a las aplicaciones lógicas estándar para que pueda evitar la interrupción del servicio. Los flujos de trabajo de aplicaciones lógicas estándar se ejecutan en Azure Logic Apps de un solo inquilino y proporcionan las mismas funcionalidades y más. Por ejemplo, los flujos de trabajo estándar admiten el uso de puntos de conexión privados para el tráfico entrante para que los flujos de trabajo puedan comunicarse de forma privada y segura con redes virtuales. Los flujos de trabajo estándar también admiten la integración de red virtual para el tráfico saliente. Para obtener más información, revise Protección del tráfico entre redes virtuales y Azure Logic Apps de inquilino único mediante puntos de conexión privados.

Desde el 1 de noviembre de 2022, la capacidad de crear nuevos recursos de ISE ya no está disponible, lo que también significa que la capacidad de configurar sus propias claves de cifrado, conocidas como "Bring Your Own Key" (BYOK), durante la creación de ISE mediante la API de REST de Logic Apps ya no está disponible. Sin embargo, los recursos de ISE existentes antes de esta fecha se admiten hasta el 31 de agosto de 2024.

Para obtener más información, vea los siguientes recursos:

En esta información general se proporciona más información sobre el funcionamiento de un ISE con una red virtual, las ventajas de usar un ISE, las diferencias entre el servicio Logic Apps dedicado y multiinquilino y cómo se puede acceder directamente a los recursos que están dentro de la red virtual de Azure o conectados a ella.

Funcionamiento de un ISE con una red virtual

Al crear el ISE, se selecciona la red virtual de Azure donde quiere que Azure inserte o implemente el ISE. Al crear aplicaciones lógicas y cuentas de integración que necesitan acceso a esta red virtual, puede seleccionar el ISE como ubicación del host de esas aplicaciones lógicas y cuentas de integración. Dentro del ISE, las aplicaciones lógicas se ejecutan en recursos dedicados separadas de otras del entorno de Azure Logic Apps multiinquilino. Los datos de un ISE permanecen en la misma región en la que crea e implementa ese ISE.

La captura de pantalla muestra el Azure Portal con el entorno de servicio de integración seleccionado.

¿Por qué usar un ISE?

La ejecución de flujos de trabajo de aplicaciones lógicas en una instancia dedicada e individual ayuda a reducir el impacto que podrían tener otros inquilinos de Azure en el rendimiento de la aplicación, también conocido como el efecto "vecinos ruidosos". Un ISE también proporciona estas ventajas:

  • Acceso directo a los recursos incluidos en la red virtual o conectados a ella

    Las aplicaciones lógicas que se crean y ejecutan en un ISE pueden usar conectores específicamente diseñados que se ejecutan en el ISE. Si existe un conector ISE para un origen de datos o un sistema local, se puede conectar directamente sin tener que usar la puerta de enlace de datos local. Para obtener más información, vea Diferencias entre dedicado y multiinquilino y Acceso a sistemas locales más adelante en este tema.

  • Acceso continuado a los recursos que están fuera de la red virtual o no conectados a ella

    Las aplicaciones lógicas que se crean y ejecutan en un ISE pueden seguir usando conectores que se ejecutan en el servicio Logic Apps multiinquilino cuando no hay un conector específico de ISE disponible. Para obtener más información, vea Diferencias entre dedicado y multiinquilino.

  • Direcciones IP estáticas propias, que son independientes de las direcciones IP estáticas que comparten las aplicaciones lógicas en el servicio multiinquilino. Puede configurar una dirección IP de salida única, pública, estática y predecible para comunicarse con los sistemas de destino. De ese modo, no es necesario configurar aperturas adicionales del firewall en los sistemas de destino para cada ISE.

  • Se aumentan los límites de duración de ejecución, retención de almacenamiento, rendimiento, solicitud HTTP y tiempos de espera de respuesta, tamaños de mensaje y solicitudes de conector personalizado. Para más información, consulte el artículo de límites y configuración para Azure Logic Apps.

Diferencias entre dedicado y multiinquilino

Cuando se crean y ejecutan aplicaciones lógicas en un ISE, se proporcionan las mismas experiencias de usuario y funcionalidades similares que el servicio multiinquilino de Logic Apps. Puede usar los mismos desencadenadores, acciones y conectores administrados integrados que están disponibles en el servicio multiinquilino de Logic Apps. Algunos conectores administrados ofrecen versiones de ISE adicionales. La diferencia entre los conectores de ISE y los que no son de ISE radica en la ubicación en la que se ejecutan y las etiquetas que tienen en el Diseñador de aplicación lógica cuando se trabaja en un ISE.

Conectores con y sin etiquetas en un ISE

  • Los desencadenadores y acciones integrados, como HTTP, muestran la etiqueta CORE y se ejecutan en el mismo ISE que la aplicación lógica.

  • Los conectores administrados en los que se muestra la etiqueta ISE están diseñados específicamente para los ISE y siempre se ejecutan en el mismo ISE que la aplicación lógica. Por ejemplo, estos son algunos conectores que ofrecen versiones de ISE:

    • Azure Blob Storage, File Storage y Table Storage
    • Azure Service Bus, Azure Queues y Azure Event Hubs
    • Azure Automation, Azure Key Vault, Azure Event Grid y Azure Monitor Logs
    • FTP, SFTP-SSH, Sistema de archivos y SMTP
    • SAP, IBM MQ, IBM DB2 e IBM 3270
    • SQL Server, Azure Synapse Analytics, Azure Cosmos DB
    • AS2, X12 y EDIFACT

    Con algunas excepciones, si hay un conector ISE disponible para un origen de datos o un sistema local, se puede conectar directamente sin usar la puerta de enlace de datos local. Para obtener más información, vea Acceso a sistemas locales más adelante en este tema.

  • Los conectores administrados en los que no se muestra la etiqueta ISE continúan funcionando para las aplicaciones lógicas dentro de un ISE. Estos conectores siempre se ejecutan en el servicio Logic Apps multiinquilino, no en el ISE.

  • Los conectores personalizados que cree fuera de un ISE, con independencia de que requieran la puerta de enlace de datos local, seguirán funcionando para las aplicaciones lógicas dentro de un ISE. Pero los conectores personalizados que cree dentro de un ISE no funcionarán con la puerta de enlace de datos local. Para obtener más información, vea Acceso a sistemas locales.

Acceso a los sistemas locales

Los flujos de trabajo de las aplicaciones lógicas que se ejecutan dentro de un ISE pueden acceder directamente a los sistemas y orígenes de datos locales que se encuentran dentro de una red virtual de Azure o están conectados a ella mediante estos elementos:

  • Desencadenador o acción HTTP, que muestra la etiqueta CORE

  • Conector ISE, si está disponible, para un origen de datos o un sistema local

    Si hay un conector ISE disponible, puede acceder directamente al sistema o al origen de datos sin la puerta de enlace de datos local. Pero si tiene que acceder a SQL Server desde un ISE y usar la autenticación de Windows, debe usar la versión del conector que no es para ISE y la puerta de enlace de datos local. La versión para ISE del conector no admite la autenticación de Windows. Para obtener más información, vea Conectores ISE y Conexión desde un entorno del servicio de integración.

  • Un conector personalizado.

    • Los conectores personalizados que cree fuera de un ISE, con independencia de que requieran la puerta de enlace de datos local, seguirán funcionando para las aplicaciones lógicas dentro de un ISE.

    • Los conectores personalizados que cree dentro de un ISE no funcionan con la puerta de enlace de datos local. Pero estos conectores pueden acceder directamente a orígenes de datos y sistemas locales que están dentro de la red virtual en la que se hospeda el ISE o conectados a ella. Por tanto, las aplicaciones lógicas que se encuentran dentro de un ISE normalmente no necesitan la puerta de enlace de datos al acceder a esos recursos.

Para acceder a los sistemas y orígenes de datos locales que no tienen conectores ISE, que están fuera de la red virtual o que no están conectados a ella, seguirá teniendo que usar la puerta de enlace de datos local. Las aplicaciones lógicas dentro un ISE pueden seguir usando conectores sin la etiqueta CORE o ISE. Esos conectores solo se ejecutan en el servicio Logic Apps multiinquilino, en lugar de hacerlo en el ISE.

Datos cifrados en reposo

De forma predeterminada, Azure Storage usa claves que administra Microsoft para cifrar sus datos. Azure Logic Apps se basa en Azure Storage para almacenar y cifrar automáticamente los datos en reposo. Este cifrado protege los datos y le ayuda a cumplir los compromisos de cumplimiento y seguridad de la organización. Para más información sobre cómo funciona el cifrado de Azure Storage, consulte Cifrado de Azure Storage para datos en reposo y Cifrado de datos de Azure en reposo.

Para un mayor control sobre las claves de cifrado utilizadas por Azure Storage, ISE admite el uso y la administración de su propia clave mediante Azure Key Vault. Esta funcionalidad también se conoce como "Bring Your Own Key" (BYOK) y la clave se denomina "clave administrada por el cliente". Sin embargo, esta funcionalidad solo está disponible cuando se crea el ISE, no después. No se puede deshabilitar esta clave una vez creado el ISE. Actualmente, no existe compatibilidad para rotar una clave administrada por el cliente para un ISE.

  • La compatibilidad con claves administradas por el cliente para un ISE solo está disponible en las siguientes regiones:

    • Azure: Oeste de EE. UU. 2, Este de EE. UU. y Centro-sur de EE. UU.

    • Azure Government: Arizona, Virginia y Texas.

  • El almacén de claves que almacena la clave administrada por el cliente debe existir en la misma región de Azure que el ISE.

  • Para admitir las claves administradas por el cliente, el ISE requiere habilitar la identidad administrada asignada pro el sistema o por el usuario. Esta identidad permite al ISE autenticar el acceso a recursos seguros, como máquinas virtuales y otros sistemas o servicios que están dentro de una red virtual de Azure o conectados a ella. De este modo, no tiene que iniciar sesión con sus credenciales.

  • Debe proporcionar acceso al almacén de claves a la identidad administrada del ISE, pero el tiempo depende de la identidad administrada que use.

    • Identidad administrada asignada por el sistema: en un plazo de 30 minutos después de enviar la solicitud HTTPS PUT que crea el ISE. En caso contrario, se produce un error en la creación del ISE y, como consecuencia, se producirá otro error con los permisos.

    • Identidad administrada asignada por el usuario: antes de enviar la solicitud HTTP PUT que crea el ISE

SKU de ISE

Al crear el ISE, puede seleccionar la SKU de desarrollador o SKU Premium. La opción de la SKU solo está disponible durante la creación del ISE y no se puede cambiar más adelante. Las diferencias entre estas SKU son las siguientes:

  • Developer

    Proporciona un ISE de menor costo que puede usar para exploración, experimentos, desarrollo y pruebas, pero no para producción ni para pruebas de rendimiento. La SKU de desarrollador incluye desencadenadores y acciones integrados, conectores estándar, conectores empresariales y una sola cuenta de integración de nivel Gratis por un precio mensual fijo.

    Importante

    Esta SKU no tiene Acuerdo de Nivel de Servicio, funcionalidad de escalado vertical ni redundancia durante el reciclaje, lo que significa que puede experimentar retrasos o tiempo de inactividad. Las actualizaciones de back-end pueden interrumpir el servicio de forma intermitente.

    Para información sobre los límites y la capacidad, consulte Límites de ISE en Azure Logic Apps. Para saber cómo funciona la facturación para los ISE, consulte el modelo de precios de Logic Apps.

  • Premium

    Proporciona un ISE que puede usar para producción y para pruebas de rendimiento. La SKU Premium incluye soporte de SLA, desencadenadores y acciones integrados, conectores estándar, conectores empresariales, una sola cuenta de integración de nivel Estándar, funcionalidad de escalado vertical y redundancia durante el reciclaje para un precio fijo al mes.

    Para información sobre los límites y la capacidad, consulte Límites de ISE en Azure Logic Apps. Para saber cómo funciona la facturación para los ISE, consulte el modelo de precios de Logic Apps.

Acceso al punto de conexión del ISE

Durante la creación del ISE, puede optar por usar puntos de conexión de acceso internos o externos. La selección determina si los desencadenadores de solicitudes o de webhooks de las aplicaciones lógicas del ISE pueden recibir llamadas desde fuera de la red virtual o no. Estos puntos de conexión también afectan a la manera en que puede acceder a las entradas y salidas en el historial de ejecución de las aplicaciones lógicas.

Importante

Puede seleccionar el punto de conexión de acceso solo durante la creación del ISE y no puede cambiar esta opción más adelante.

  • Internas: Los puntos de conexión privados permiten las llamadas a aplicaciones lógicas del ISE, donde puede ver las entradas y salidas del historial de ejecución del flujo de trabajo de la aplicación lógica, así como acceder a dichas entradas y salidas, solo desde dentro de la red virtual.

    Importante

    Si tiene que usar estos desencadenadores basados en webhook y el servicio está fuera de la red virtual y las redes virtuales emparejadas, use puntos de conexión externos, no puntos de conexión internos, al crear el ISE:

    • Azure DevOps
    • Azure Event Grid
    • Common Data Service
    • Office 365
    • SAP (versión multiinquilino)

    Además, asegúrese de tener conectividad de red entre los puntos de conexión privados y el equipo desde el que quiere acceder al historial de ejecución. De lo contrario, cuando intente ver el historial de ejecución del flujo de trabajo, recibirá un error que indica "Error inesperado. No se pudo capturar".

    Captura de pantalla que muestra el error de acción de Azure Portal y de Azure Storage debido a la imposibilidad de enviar tráfico a través del firewall.

    Por ejemplo, el equipo cliente puede existir dentro de la red virtual del ISE o en una red virtual que esté conectada a la red virtual del ISE, mediante emparejamiento o una red privada virtual.

  • Externas: Los puntos de conexión públicos permiten las llamadas a flujos de trabajo de aplicaciones lógicas del ISE, donde puede ver las entradas y salidas del historial de ejecuciones de las aplicaciones lógicas, así como acceder a dichas entradas y salidas, desde fuera de la red virtual. Si usa grupos de seguridad de red (NSG), asegúrese de que están configurados con reglas de entrada para permitir el acceso a las entradas y salidas del historial de ejecución.

Para determinar si el ISE usa un punto de conexión de acceso interno o externo, en el menú del ISE, en Configuración, seleccione Propiedades y busque la propiedad Punto de conexión de acceso:

Captura de pantalla que muestra el Azure Portal, el menú ISE, con las opciones Configuración, Propiedades y Punto de conexión de acceso seleccionadas.

Modelo de precios

Las aplicaciones lógicas, los desencadenadores y las acciones integrados, y los conectores que se ejecutan en el ISE usan un plan de tarifa fijo diferente al plan de tarifa de consumo. Para obtener más información, consulte Modelo de precios de Azure Logic Apps. Para ver las tarifas de precios, consulte los precios de Azure Logic Apps.

Cuentas de integración con ISE

Puede usar cuentas de integración con aplicaciones lógicas dentro de un entorno de servicio de integración (ISE). Sin embargo, esas cuentas de integración deben usar el mismo ISE que las aplicaciones lógicas vinculadas. Las aplicaciones lógicas de una instancia de ISE solo pueden hacer referencia a aquellas cuentas de integración que se encuentran en la misma instancia de ISE. Cuando se crea una cuenta de integración, puede seleccionar la instancia de ISE como la ubicación de la cuenta de integración. Para saber cómo funcionan los precios y la facturación de las cuentas de integración con un ISE, consulte Modelo de precios de Azure Logic Apps. Para ver las tarifas de precios, consulte los precios de Azure Logic Apps. Para información sobre los límites, consulte los límites de la cuenta de integración.

Pasos siguientes