Accéder à des réseaux virtuels Azure à partir d’Azure Logic Apps en utilisant un environnement de service d’intégration

  • Article

Important

Le 31 août 2024, la ressource ISE sera mise hors service en raison de sa dépendance vis-à-vis d’Azure Cloud Services (Classic), qui sera mis hors service au même moment. Avant la date de mise hors service, exportez toutes les applications logiques de votre ISE vers les applications logiques Standard afin d’éviter toute interruption de service. Les workflows d’application logique standard s’exécutent dans Azure Logic Apps à locataire unique et fournissent les mêmes fonctionnalités, et plus encore. Par exemple, les workflows Standard prennent en charge l’utilisation de points de terminaison privés pour le trafic entrant afin que vos workflows puissent communiquer en privé et en toute sécurité avec des réseaux virtuels. Les workflows Standard prennent également en charge l’intégration de réseau virtuel pour le trafic sortant. Pour plus d’informations, consultez Sécuriser le trafic entre réseaux virtuels et monolocataires dans Azure Logic Apps à l’aide de points de terminaison privés.

Depuis le 1er novembre 2022, la fonctionnalité de création de nouvelles ressources ISE n’est plus disponible, ce qui signifie également que la fonctionnalité de configuration de vos propres clés de chiffrement, appelées « Bring Your Own Key » (BYOK), lors de la création de l’ISE à l’aide de l’API REST Logic Apps n’est plus disponible non plus. Toutefois, les ressources ISE créées avant cette date continueront d’être prises en charge jusqu’au 31 août 2024.

Pour plus d’informations, consultez les ressources suivantes :

Cette vue d’ensemble fournit des informations complémentaires sur le fonctionnement d’un ISE avec un réseau virtuel, les avantages de l’utilisation d’un environnement ISE, les différences entre le service dédié et le service Logic Apps multilocataire, ainsi que la procédure permettant d’accéder directement aux ressources qui se trouvent dans votre réseau virtuel Azure ou y sont connectées.

Fonctionnement d’un environnement de service d’intégration avec un réseau virtuel

À la création de l’ISE, vous sélectionnez le réseau virtuel Azure dans lequel vous souhaitez qu’Azure injecte ou déploie votre environnement. Lorsque vous créez des applications logiques et des comptes d’intégration qui doivent accéder à ce réseau virtuel, vous pouvez sélectionner votre environnement de service d’intégration comme emplacement hôte pour ces applications logiques et comptes d’intégration. À l’intérieur de l’environnement de service d’intégration, les applications logiques s’exécutent sur des ressources dédiées séparément des autres dans l’environnement Azure Logic Apps mutualisé. Dans un environnement ISE, les données restent dans la région où vous créez et déployez cet environnement ISE.

Capture d’écran montrant le portail Azure avec l’environnement de service d'intégration sélectionné.

Pourquoi utiliser un environnement de service d’intégration

L’exécution des flux de travail des applications logiques dans votre propre instance dédiée séparée aide à réduire l’impact que d’autres locataires Azure peuvent avoir sur le niveau de performance de vos applications. Cet impact est également appelé effet « voisins bruyants ». Un ISE offre également les avantages suivants :

  • Accès direct aux ressources qui se trouve à l’intérieur de votre réseau virtuel ou y sont connectées

    Les applications logiques créées et exécutées dans un environnement ISE peuvent utiliser des connecteurs spécifiquement conçus qui s’exécutent dans votre environnement ISE. S’il existe un connecteur ISE pour une source de données ou un système local, vous pouvez vous connecter directement sans avoir à utiliser la passerelle de données locale. Pour plus d’informations, consultez Dédié ou multilocataire et Accès aux systèmes locaux plus loin dans cette rubrique.

  • Accès continu aux ressources qui se trouvent en dehors de votre réseau virtuel ou n’y sont pas connectées

    Les applications logiques créées et exécutées dans un environnement ISE peuvent toujours utiliser des connecteurs qui s’exécutent dans le service Logic Apps multilocataire lorsque aucun connecteur propre à l’environnement ISE n’est disponible. Pour plus d’informations, consultez Dédié ou multilocataire.

  • Vous avez vos propres adresses IP statiques, qui sont distinctes des adresses IP statiques partagées par les applications logiques dans le service multilocataire. Vous pouvez également configurer une adresse IP sortante publique, statique et prévisible pour communiquer avec les systèmes de destination. De cette façon, vous n’avez pas besoin de configurer d’ouvertures de pare-feu supplémentaires sur ces systèmes de destination pour chaque environnement ISE.

  • Des limites accrues quant à la durée d’exécution, la conservation du stockage, le débit, le délai d’attente des requêtes et réponses HTTP, la taille des messages et les requêtes de connecteur personnalisé. Pour plus d’informations, consultez Limites et configuration pour Azure Logic Apps.

Dédié ou multilocataire

Quand vous créez et exécutez des applications logiques dans un ISE, vous bénéficiez des mêmes expériences utilisateur et de fonctionnalités similaires au service Logic Apps multilocataire. Vous pouvez utiliser les mêmes actions, déclencheurs intégrés et connecteurs managés que ceux disponibles dans le service Logic Apps multilocataire. Certains connecteurs managés offrent des versions d’ISE supplémentaires. La différence entre les connecteurs ISE et les connecteurs non-IS réside dans l’emplacement où ils s’exécutent et les étiquettes qu’elles ont dans le concepteur d’applications logiques quand vous travaillez dans un ISE.

Connecteurs avec et sans étiquettes dans un ISE

  • Les déclencheurs et les actions intégrés (par exemple, HTTP) présentent l’étiquette CORE et s’exécutent dans le même environnement ISE que vos applications logiques.

  • Les connecteurs managés qui comportent l’étiquette ISE sont spécialement conçus pour les environnements ISE et s’exécutent toujours dans le même environnement ISE que votre application logique. Voici par exemple quelques connecteurs qui proposent des versions d’environnements ISE :

    • Stockage Fichier, stockage Table et stockage Blob Azure
    • Azure Service Bus, Files d’attente Azure, Azure Event Hubs
    • Azure Automation, Azure Key Vault, Azure Event Grid et journaux Azure Monitor
    • FTP, SFTP-SSH, File System et SMTP
    • SAP, IBM MQ, IBM DB2 et IBM 3270
    • SQL Server, Azure Synapse Analytics, Azure Cosmos DB
    • AS2, X12 et EDIFACT

    Sauf rares exceptions, si un connecteur ISE est disponible pour une source de données ou un système local, vous pouvez vous connecter directement sans utiliser la passerelle de données locale. Pour plus d’informations, consultez Accès aux systèmes locaux plus loin dans cette rubrique.

  • Les connecteurs managés qui ne présentent pas l’étiquette ISE continuent de fonctionner pour les applications logiques situées à l’intérieur d’un environnement ISE. Ces connecteurs s’exécutent toujours dans le service Logic Apps multilocataire, et non dans l’environnement ISE.

  • Que la passerelle de données locale soit ou non requise, les connecteurs personnalisés créés en dehors d’un environnement ISE, continuent de fonctionner pour les applications logiques situées à l’intérieur d’un environnement ISE. Cependant, les connecteurs personnalisés créés au sein d’un environnement ISE ne fonctionnent pas avec la passerelle de données locale. Pour plus d’informations, consultez Accès aux systèmes locaux.

Accès aux systèmes locaux

Les flux de travail des applications logiques qui s’exécutent dans un environnement ISE peuvent accéder directement aux sources de données et systèmes locaux qui se trouvent à l’intérieur d’un réseau virtuel Azure ou y sont connectés à l’aide des éléments suivants :

  • Le déclencheur ou l’action HTTP, qui présente l’étiquette CORE

  • Le connecteur ISE, s’il est disponible, pour une source de données ou un système local

    Si un connecteur ISE est disponible, vous pouvez accéder directement au système ou à la source de données sans la passerelle de données locale. Si toutefois vous devez accéder à SQL Server à partir d’un environnement ISE et utiliser l’Authentification Windows, vous devez opter pour la version hors environnement ISE du connecteur et la passerelle de données locale. La version ISE du connecteur ne prend pas en charge l’Authentification Windows. Pour plus d’informations, consultez Connecteurs ISE et Connexion à partir d’un environnement de service d’intégration.

  • Un connecteur personnalisé

    • Que la passerelle de données locale soit ou non requise, les connecteurs personnalisés créés en dehors d’un environnement ISE, continuent de fonctionner pour les applications logiques situées à l’intérieur d’un environnement ISE.

    • Les connecteurs personnalisés créés au sein d’un environnement ISE ne fonctionnent pas avec la passerelle de données locale. Cependant, ils peuvent accéder directement aux sources de données et systèmes locaux qui se trouvent à l’intérieur du réseau virtuel qui héberge votre environnement ISE ou y sont connectés. Ainsi, les applications logiques qui se trouvent à l’intérieur d’un environnement ISE n’ont généralement pas besoin de la passerelle de données pour accéder à ces ressources.

Pour accéder à des sources de données et systèmes locaux qui ne possèdent pas de connecteurs ISE, se trouvent en dehors de votre réseau virtuel ou n’y sont pas connectés, vous devez toujours utiliser la passerelle de données locale. Les applications logiques qui se trouvent au sein d’un environnement ISE peuvent continuer à utiliser les connecteurs dépourvus de l’étiquette CORE ou ISE. Ces connecteurs s’exécutent dans le service Logic Apps multilocataire, plutôt que dans votre environnement ISE.

Données chiffrées au repos

Par défaut, Stockage Azure utilise des clés managées par Microsoft pour chiffrer vos données. Azure Logic Apps s’appuie sur Stockage Azure pour stocker et chiffrer automatiquement les données au repos. Ce chiffrement protège vos données et vous aide à répondre aux engagements de votre entreprise en matière de sécurité et de conformité. Pour plus d’informations sur le fonctionnement du chiffrement Stockage Azure, consultez Chiffrement du Stockage Azure pour les données au repos et Chiffrement des données au repos d’Azure.

Pour mieux contrôler les clés de chiffrement utilisées par le Stockage Azure, l’ISE prend en charge l’utilisation et la gestion de votre propre clé avec Azure Key Vault. Cette fonctionnalité est également appelée « Bring Your Own Key » (BYOK) et votre clé est appelée « clé gérée par le client ». Toutefois, cette fonctionnalité est uniquement disponible lors de la création de votre ISE, et non ultérieurement. Vous ne pouvez pas désactiver cette clé après la création de votre environnement ISE. Actuellement, il n’existe pas de prise en charge pour faire pivoter une clé gérée par le client pour un ISE.

  • La prise en charge des clés gérées par le client pour un ISE est disponible uniquement dans les régions suivantes :

    • Azure : USA Ouest 2, USA Est et USA Centre Sud.

    • Azure Government : Arizona, Virginie et Texas.

  • Le coffre de clés qui stocke votre clé gérée par le client doit exister dans la même région Azure que votre ISE.

  • Pour prendre en charge les clés gérées par le client, votre ISE nécessite que vous activiez l’identité managée affectée par le système ou par l’utilisateur. Cette identité permet à votre ISE d’authentifier l’accès à des ressources sécurisées, comme des machines virtuelles et d’autres systèmes ou services, qui se trouvent à l’intérieur d’un réseau virtuel Azure ou y sont connectées. De cette façon, vous n’êtes pas obligé de vous connecter avec vos informations d’identification.

  • Vous devez accorder l’accès à votre coffre de clés à l’identité managée de votre ISE, mais le minutage dépend de l’identité managée que vous utilisez.

    • Identité managée affectée par le système : dans les 30 minutes suivant l’envoi de la requête HTTPS PUT qui crée votre ISE. Si vous ne le faites pas, la création de l’ISE échoue et vous recevez une erreur d’autorisation.

    • Identité managée affectée par l’utilisateur : avant l’envoi de la requête HTTPS PUT qui crée votre ISE

Références (SKU) de l’environnement de service d’intégration

Lorsque vous créez votre environnement ISE, vous pouvez sélectionner la référence SKU de développeur ou la référence SKU Premium. Cette option SKU est disponible uniquement lors de la création de votre ISE et ne peut pas être modifiée ultérieurement. Voici les différences entre ces SKU :

  • Développeur

    Fournit un environnement ISE à moindre coût que vous pouvez utiliser pour l’exploration, l’expérimentation, le développement et les tests, mais pas pour les tests de production ou de performances. La référence SKU Développeur comprend des déclencheurs et des actions intégrés, des connecteurs standard, des connecteurs d'entreprise et un seul compte d’intégration de niveau gratuit pour un tarif mensuel fixe.

    Important

    Cette référence SKU n’a pas de contrat de niveau de service (SLA), de fonctionnalité de scale-up ou de redondance pendant le recyclage, ce qui signifie que vous pouvez rencontrer des retards ou des temps d’arrêt. Les mises à jour du back-end peuvent interrompre le service par intermittence.

    Pour plus d’informations sur la capacité et les limites, consultez Limites ISE dans Azure Logic Apps. Pour plus d’informations sur la facturation des environnements de service d’intégration, consultez le modèle de tarif pour Logic Apps.

  • Premium

    Fournit un environnement ISE que vous pouvez utiliser pour les tests de production et de performances. La référence SKU Premium inclut la prise en charge des contrats SLA, les déclencheurs et les actions intégrés, les connecteurs standard, les connecteurs d’entreprise, un seul compte d’intégration de niveau standard, des options de mise à l’échelle de la capacité et une redondance pendant le recyclage pour un tarif mensuel fixe.

    Pour plus d’informations sur la capacité et les limites, consultez Limites ISE dans Azure Logic Apps. Pour plus d’informations sur la facturation des environnements de service d’intégration, consultez le modèle de tarif pour Logic Apps.

Point de terminaison d’accès ISE

Pendant la création de l’ISE, vous pouvez choisir d’utiliser des points de terminaison d’accès internes ou externes. Votre sélection détermine si les déclencheurs de demande ou de webhook sur les applications logiques dans votre ISE peuvent recevoir des appels en dehors de votre réseau virtuel. Ces points de terminaison influencent également la manière dont vous pouvez accéder aux entrées et aux sorties à partir de l’historique des exécutions de vos applications logiques.

Important

Vous pouvez sélectionner le point de terminaison d’accès uniquement lors de la création de l’ISE et ne pouvez pas modifier cette option ultérieurement.

  • Interne : les points de terminaison privés autorisent les appels aux applications logiques dans votre ISE, où vous pouvez voir les entrées et sorties dans l’historique des exécutions du flux de travail des applications logiques uniquement depuis l’intérieur de votre réseau virtuel.

    Important

    Si vous devez utiliser ces déclencheurs basés sur webhook et que le service se trouve en dehors de votre réseau virtuel et des réseaux virtuels appairés, utilisez des points de terminaison externes, non des points de terminaison internes, lorsque vous créez votre environnement de service d’intégration :

    • Azure DevOps
    • Azure Event Grid
    • Common Data Service
    • Office 365
    • SAP (version mutualisée)

    Vérifiez également que vous disposez d’une connectivité réseau entre les points de terminaison privés et l’ordinateur à partir duquel vous souhaitez accéder à l’historique des exécutions. Dans le cas contraire, lorsque vous essayez d’afficher l’historique des exécutions de votre workflow, un message d’erreur indiquant « Erreur inattendue. Échec de récupération » s’affiche.

    Capture d’écran montrant une erreur d’action de stockage Azure et de portail Azurer résultant de l’impossibilité d’envoyer le trafic via le pare-feu.

    Par exemple, votre ordinateur client peut exister à l’intérieur du réseau virtuel de l’environnement de service d’intégration ou à l’intérieur d’un réseau virtuel connecté au réseau virtuel de l’environnement de service d’intégration, par le biais d’un peering ou d’un réseau privé virtuel.

  • Externe : Les points de terminaison publics autorisent les appels à des workflows d’applications logiques dans votre ISE, où vous pouvez voir les entrées et sorties de l’historique des exécutions des applications logiques depuis l’extérieur de votre réseau virtuel. Si vous utilisez des groupes de sécurité réseau (NSG), assurez-vous qu’ils sont configurés avec des règles de trafic entrant pour autoriser l’accès aux entrées et sorties de l’historique des exécutions.

Pour déterminer si votre environnement ISE utilise un point de terminaison d’accès interne ou externe, dans le menu de votre environnement ISE, sous Paramètres, sélectionnez Propriétés et recherchez la propriété Point de terminaison d’accès :

Capture d’écran montrant le portail Azure, le menu ISE, avec les options Paramètres, Propriétés et Point de terminaison d’accès sélectionnées.

Modèle de tarification

Les applications logiques, les déclencheurs et actions intégrés, ainsi que les connecteurs qui s’exécutent dans votre environnement ISE suivent un plan tarifaire fixe différent de celui de la consommation. Pour plus d’informations, consultez Modèle de tarif pour Azure Logic Apps. Pour connaître la tarification, consultez Tarification pour Azure Logic Apps.

Comptes d’intégration et environnement de service d’intégration

Vous pouvez utiliser des comptes d’intégration avec des applications logiques à l’intérieur d’un environnement de service d’intégration. Cependant, ces comptes d’intégration doivent utiliser le même ISE que les applications logiques liées. Les applications logiques d’un ISE ne peuvent faire référence qu’aux comptes d’intégration se trouvant dans le même ISE. Lorsque vous créez un compte d’intégration, vous pouvez sélectionner votre ISE en tant qu’emplacement pour votre compte d’intégration. Pour plus d’informations sur la tarification et la facturation des comptes d’intégration avec un ISE, consultez Modèle de tarification pour Azure Logic apps. Pour connaître la tarification, consultez Tarification pour Azure Logic Apps. Pour plus d’informations sur les limites, consultez Limites du compte d’intégration.

Étapes suivantes