Megosztás a következőn keresztül:

Azure-beli virtuális hálózatok elérése az Azure Logic Appsből integrációs szolgáltatási környezet (ISE) használatával

  • Cikk

Fontos

2024. augusztus 31-én az ISE-erőforrás az Azure Cloud Services (klasszikus) szolgáltatástól való függősége miatt megszűnik, amely ugyanakkor megszűnik. A kivonás dátuma előtt exportáljon minden logikai alkalmazást az ISE-ből a Standard logikai alkalmazásokba, hogy elkerülhesse a szolgáltatáskimaradást. A standard logikaialkalmazás-munkafolyamatok egybérlős Azure Logic Apps-alkalmazásokban futnak, és ugyanazokat a képességeket biztosítják, és további lehetőségeket is biztosítanak. A standard munkafolyamatok például támogatják a privát végpontok használatát a bejövő forgalomhoz, hogy a munkafolyamatok privátan és biztonságosan kommunikálhassanak a virtuális hálózatokkal. A standard munkafolyamatok a kimenő forgalom virtuális hálózati integrációját is támogatják. További információkért tekintse át a virtuális hálózatok és az egybérlős Azure Logic Apps privát végpontok használatával történő biztonságos forgalmát.

2022. november 1-től már nem érhető el új ISE-erőforrások létrehozása, ami azt is jelenti, hogy a Logic Apps REST API-val történő ISE-létrehozás során a saját titkosítási kulcsok (byok) beállítása is megszűnik. A dátum előtt meglévő ISE-erőforrások azonban 2024. augusztus 31-ig támogatottak.

További információkat találhat az alábbi forrásokban:

Ez az áttekintés további információkat nyújt arról , hogyan működik az ISE a virtuális hálózatokkal, milyen előnyökkel jár az ISE használata, a dedikált és a több-bérlős Logic Apps szolgáltatás közötti különbségek, valamint arról, hogy hogyan férhet hozzá közvetlenül az Azure-beli virtuális hálózatban található vagy csatlakoztatott erőforrásokhoz.

Az ISE működése virtuális hálózattal

Az ISE létrehozásakor kiválaszthatja azt az Azure-beli virtuális hálózatot, amelyben az Azure-nak be szeretné szúrni vagy üzembe kell helyeznie az ISE-t. Amikor olyan logikai alkalmazásokat és integrációs fiókokat hoz létre, amelyeknek hozzá kell férnie ehhez a virtuális hálózathoz, kiválaszthatja az ISE-t az adott logikai alkalmazások és integrációs fiókok gazdagéphelyeként. Az ISE-ben a logikai alkalmazások dedikált erőforrásokon futnak, a több-bérlős Azure Logic Apps-környezet többiétől elkülönítve. Az ISE-ben lévő adatok ugyanabban a régióban maradnak, ahol az ISE-t létrehozza és üzembe helyezi.

Képernyőkép az Azure Portalról, amelyen az integrációs szolgáltatási környezet van kiválasztva.

Miért érdemes ISE-t használni?

A logikaialkalmazás-munkafolyamatok külön dedikált példányban való futtatása segít csökkenteni a más Azure-bérlők által az alkalmazások teljesítményére gyakorolt hatást, más néven a "zajos szomszédok" effektust. Az ISE az alábbi előnyöket is biztosítja:

  • Közvetlen hozzáférés a virtuális hálózaton belüli vagy ahhoz csatlakoztatott erőforrásokhoz

    Az ISE-ben létrehozott és futtatott logikai alkalmazások kifejezetten az ISE-ben futó összekötőket használhatják. Ha létezik ISE-összekötő egy helyszíni rendszerhez vagy adatforráshoz, közvetlenül csatlakozhat a helyszíni adatátjáró használata nélkül. További információ: Dedikált és több-bérlős és helyszíni rendszerekhez való hozzáférés a jelen témakör későbbi részében.

  • A virtuális hálózathoz kívül eső vagy nem csatlakoztatott erőforrásokhoz való folyamatos hozzáférés

    Az ISE-ben létrehozott és futtatott logikai alkalmazások továbbra is használhatnak olyan összekötőket, amelyek akkor is futnak a több-bérlős Logic Apps szolgáltatásban, ha egy ISE-specifikus összekötő nem érhető el. További információ: Dedikált és több-bérlős.

  • Saját statikus IP-címei, amelyek különböznek a több-bérlős szolgáltatás logikai alkalmazásai által megosztott statikus IP-címektől. Egyetlen nyilvános, statikus és kiszámítható kimenő IP-címet is beállíthat a célrendszerekkel való kommunikációhoz. Így nem kell további tűzfalnyílásokat beállítania ezeken a célrendszereken az egyes ISE-ekhez.

  • A futtatás időtartama, a tárterület megőrzése, az átviteli sebesség, a HTTP-kérések és a válaszidőkorlátok, az üzenetméretek és az egyéni összekötő-kérelmek korlátozása. További információ: Az Azure Logic Apps korlátai és konfigurációja.

Dedikált és több-bérlős

Ha logikai alkalmazásokat hoz létre és futtat egy ISE-ben, ugyanazokat a felhasználói élményeket és hasonló képességeket kapja, mint a több-bérlős Logic Apps szolgáltatás. A több-bérlős Logic Apps szolgáltatásban elérhető összes beépített eseményindítót, műveletet és felügyelt összekötőt használhatja. Egyes felügyelt összekötők további ISE-verziókat is kínálnak. Az ISE-összekötők és a nem ISE-összekötők közötti különbség ott van, ahol futnak, és a Logic App Designerben található címkék, amikor egy ISE-ben dolgozik.

Összekötők címkékkel és címkék nélkül isE-ben

  • A beépített triggerek és műveletek( például HTTP) a CORE címkét jelenítik meg, és ugyanabban az ISE-ben futnak, mint a logikai alkalmazás.

  • Az ISE címkét megjelenítő felügyelt összekötők kifejezetten az ISE-k számára lettek kialakítva, és mindig ugyanabban az ISE-ben futnak, mint a logikai alkalmazás. Íme például néhány összekötő, amely ISE-verziókat kínál:

    • Azure Blob Storage, File Storage és Table Storage
    • Azure Service Bus, Azure Queues, Azure Event Hubs
    • Azure Automation, Azure Key Vault, Azure Event Grid és Azure Monitor-naplók
    • FTP, SFTP-SSH, fájlrendszer és SMTP
    • SAP, IBM MQ, IBM DB2 és IBM 3270
    • SQL Server, Azure Synapse Analytics, Azure Cosmos DB
    • AS2, X12 és EDIFACT

    Ritka kivételek esetén, ha egy ISE-összekötő elérhető egy helyszíni rendszerhez vagy adatforráshoz, közvetlenül a helyszíni adatátjáró használata nélkül is csatlakozhat. További információ: Hozzáférés a helyszíni rendszerekhez a jelen témakör későbbi részében.

  • Azok a felügyelt összekötők, amelyek nem jelenítik meg az ISE címkét, továbbra is működnek az ISE-ben található logikai alkalmazásokhoz. Ezek az összekötők mindig a több-bérlős Logic Apps szolgáltatásban futnak, nem az ISE-ben.

  • Az ISE-n kívül létrehozott egyéni összekötők, függetlenül attól, hogy szükség van-e a helyszíni adatátjáróra, továbbra is működnek az ISE-n belüli logikai alkalmazásokhoz. Az ISE-ben létrehozott egyéni összekötők azonban nem működnek a helyszíni adatátjáróval. További információ: Hozzáférés a helyszíni rendszerekhez.

Hozzáférés a helyszíni rendszerekhez

Az ISE-n belül futó logikaialkalmazás-munkafolyamatok az alábbi elemek használatával közvetlenül hozzáférhetnek az Azure-beli virtuális hálózaton belüli vagy ahhoz csatlakoztatott helyszíni rendszerekhez és adatforrásokhoz:

  • A CORE címkét megjelenítő HTTP-eseményindító vagy művelet

  • Az ISE-összekötő , ha elérhető, helyszíni rendszerhez vagy adatforráshoz

    Ha elérhető ISE-összekötő, a rendszerhez vagy az adatforráshoz közvetlenül is hozzáférhet a helyszíni adatátjáró nélkül. Ha azonban egy ISE-ből kell hozzáférnie az SQL Serverhez, és Windows-hitelesítést kell használnia, akkor az összekötő nem ISE-verzióját és a helyszíni adatátjárót kell használnia. Az összekötő ISE-verziója nem támogatja a Windows-hitelesítést. További információ: ISE-összekötők és csatlakozás integrációs szolgáltatási környezetből.

  • Egyéni összekötő

    • Az ISE-n kívül létrehozott egyéni összekötők, függetlenül attól, hogy szükség van-e a helyszíni adatátjáróra, továbbra is működnek az ISE-n belüli logikai alkalmazásokhoz.

    • Az ISE-ben létrehozott egyéni összekötők nem működnek a helyszíni adatátjáróval. Ezek az összekötők azonban közvetlenül hozzáférhetnek a helyszíni rendszerekhez és adatforrásokhoz, amelyek az ISE-t üzemeltető virtuális hálózaton belül vagy ahhoz csatlakoznak. Az ISE-ben található logikai alkalmazásoknak tehát általában nincs szükségük az adatátjáróra az erőforrások elérésekor.

Ahhoz, hogy olyan helyszíni rendszerekhez és adatforrásokhoz férhessen hozzá, amelyek nem rendelkeznek ISE-összekötőkkel, nincsenek a virtuális hálózaton kívül, vagy nem csatlakoznak a virtuális hálózathoz, továbbra is a helyszíni adatátjárót kell használnia. Az ISE-ben lévő logikai alkalmazások továbbra is használhatnak olyan összekötőket, amelyek nem rendelkeznek CORE- vagy ISE-címkével. Ezek az összekötők nem az ISE-ben, hanem a több-bérlős Logic Apps szolgáltatásban futnak.

Titkosított adatok inaktív állapotban

Az Azure Storage alapértelmezés szerint a Microsoft által felügyelt kulcsokkal titkosítja az adatokat. Az Azure Logic Apps az Azure Storage-ra támaszkodva tárolja és automatikusan titkosítja az inaktív adatokat. Ez a titkosítás megvédi az adatait, és segít a szervezet által előírt biztonsági és megfelelőségi követelmények teljesítésében. További információ az Azure Storage-titkosítás működéséről: Azure Storage-titkosítás inaktív adatokhoz és Azure Data Encryption-at-Rest.

Az Azure Storage által használt titkosítási kulcsok további szabályozásához az ISE támogatja a saját kulcs használatát és kezelését az Azure Key Vault használatával. Ezt a képességet "Saját kulcs használata" (BYOK) néven is ismerték, és a kulcs neve "ügyfél által felügyelt kulcs". Ez a funkció azonban csak az ISE létrehozásakor érhető el, utána nem. Az ISE létrehozása után nem tilthatja le ezt a kulcsot. Jelenleg nincs támogatás az ügyfél által felügyelt kulcsok isE-hez való elforgatására.

  • Az ISE ügyfél által felügyelt kulcstámogatása csak a következő régiókban érhető el:

    • Azure: USA 2. nyugati régiója, USA keleti régiója és az USA déli középső régiója.

    • Azure Government: Arizona, Virginia és Texas.

  • Az ügyfél által felügyelt kulcsot tároló kulcstartónak ugyanabban az Azure-régióban kell lennie, mint az ISE-nek.

  • Az ügyfél által felügyelt kulcsok támogatásához az ISE-nek engedélyeznie kell a rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitást. Ez az identitás lehetővé teszi, hogy az ISE hitelesítse az Azure-beli virtuális hálózatban lévő vagy ahhoz csatlakoztatott biztonságos erőforrásokhoz, például virtuális gépekhez és egyéb rendszerekhez vagy szolgáltatásokhoz való hozzáférést. Így nem kell bejelentkeznie a hitelesítő adataival.

  • Hozzáférést kell adnia a kulcstartónak az ISE felügyelt identitásához, de az időzítés attól függ, hogy melyik felügyelt identitást használja.

    • Rendszer által hozzárendelt felügyelt identitás: Az ISE-t létrehozó HTTPS PUT-kérés elküldése után 30 percen belül. Ellenkező esetben az ISE létrehozása meghiúsul, és engedélyhiba jelenik meg.

    • Felhasználó által hozzárendelt felügyelt identitás: Az ISE-t létrehozó HTTPS PUT-kérés elküldése előtt

ISE termékváltozatok

Az ISE létrehozásakor kiválaszthatja a fejlesztői termékváltozatot vagy a prémium termékváltozatot. Ez az termékváltozat-beállítás csak az ISE létrehozásakor érhető el, és később nem módosítható. Az alábbiakban az alábbi termékváltozatok közötti különbségeket mutatjuk be:

  • Fejlesztő

    Alacsonyabb költségű ISE-t biztosít, amelyet feltáráshoz, kísérletekhez, fejlesztéshez és teszteléshez használhat, éles vagy teljesítményteszteléshez azonban nem. A Fejlesztői termékváltozat beépített eseményindítókat és műveleteket, Standard összekötőket, Nagyvállalati összekötőket és egyetlen ingyenes szintű integrációs fiókot tartalmaz fix havi áron.

    Fontos

    Ez a termékváltozat nem rendelkezik szolgáltatásiszint-szerződéssel (SLA), vertikális felskálázási képességgel vagy redundanciával az újrahasznosítás során, ami azt jelenti, hogy késést vagy állásidőt tapasztalhat. A háttérfrissítések időnként megszakíthatják a szolgáltatást.

    A kapacitásra és a korlátokra vonatkozó információkért tekintse meg az ISE korlátait az Azure Logic Appsben. Az ISE-k számlázásának működéséről a Logic Apps díjszabási modelljében olvashat.

  • Prémium

    Olyan ISE-t biztosít, amelyet éles és teljesítményteszteléshez használhat. A prémium termékváltozat tartalmazza az SLA-támogatást, a beépített triggereket és műveleteket, a Standard összekötőket, a Nagyvállalati összekötőket, az egyetlen standard szintű integrációs fiókot, a vertikális felskálázási képességet és a redundanciát az újrahasznosítás során rögzített havi áron.

    A kapacitásra és a korlátokra vonatkozó információkért tekintse meg az ISE korlátait az Azure Logic Appsben. Az ISE-k számlázásának működéséről a Logic Apps díjszabási modelljében olvashat.

ISE-végpont hozzáférése

Az ISE létrehozása során dönthet úgy, hogy belső vagy külső hozzáférési végpontokat használ. A kijelölés határozza meg, hogy az ISE-ben lévő logikai alkalmazások kérés- vagy webhook-eseményindítói fogadhatnak-e hívásokat a virtuális hálózaton kívülről. Ezek a végpontok azt is befolyásolják, hogy hogyan férhet hozzá a logikai alkalmazások futási előzményeiből származó bemenetekhez és kimenetekhez.

Fontos

A hozzáférési végpontot csak az ISE létrehozása során választhatja ki, és ezt a beállítást később nem módosíthatja.

  • Belső: A privát végpontok lehetővé teszik a logikai alkalmazások meghívását az ISE-ben, ahol csak a virtuális hálózaton belülről tekintheti meg és érheti el a logikai alkalmazás munkafolyamatának bemeneteit és kimeneteit.

    Fontos

    Ha ezeket a webhookalapú eseményindítókat kell használnia, és a szolgáltatás kívül esik a virtuális hálózaton és a társhálózaton, az ISE létrehozásakor használjon külső végpontokat, nem belső végpontokat:

    • Azure DevOps
    • Azure Event Grid
    • Common Data Service
    • Office 365
    • SAP (több-bérlős verzió)

    Győződjön meg arról is, hogy hálózati kapcsolattal rendelkezik a privát végpontok és a számítógép között, ahonnan a futtatási előzményeket el szeretné érni. Ellenkező esetben, amikor megkísérli megtekinteni a munkafolyamat futtatási előzményeit, a következő hibaüzenet jelenik meg: "Váratlan hiba. Nem sikerült beolvasni".

    Képernyőkép az Azure Portalról és az Azure Storage művelethibájáról, amely a tűzfalon keresztüli forgalom küldésének sikertelenségéből ered.

    Az ügyfélszámítógép például létezhet az ISE virtuális hálózatában vagy egy olyan virtuális hálózaton belül, amely társviszony-létesítés vagy virtuális magánhálózat révén csatlakozik az ISE virtuális hálózatához.

  • Külső: A nyilvános végpontok lehetővé teszik a logikai alkalmazás munkafolyamatainak hívását az ISE-ben, ahol megtekintheti és elérheti a logikai alkalmazások futtatási előzményeinek bemeneteit és kimeneteit a virtuális hálózaton kívülről. Ha hálózati biztonsági csoportokat (NSG-ket) használ, győződjön meg arról, hogy be vannak állítva bejövő szabályokkal, hogy hozzáférjenek a futtatási előzmények bemeneteihez és kimeneteihez.

Annak megállapításához, hogy az ISE belső vagy külső hozzáférési végpontot használ-e, az ISE menüjében válassza a Beállítások területen a Tulajdonságok lehetőséget, és keresse meg az Access-végpont tulajdonságot:

Képernyőkép az Azure Portalról, az ISE menüről, amelyen a Beállítások, a Tulajdonságok és az Access-végpont beállításai vannak kiválasztva.

Díjszabási modell

Az ISE-ben futó logikai alkalmazások, beépített triggerek, beépített műveletek és összekötők rögzített díjszabási csomagot használnak, amely eltér a használati díjszabási csomagtól. További információkért tekintse meg az Azure Logic Apps díjszabási modelljét. A díjszabást az Azure Logic Apps díjszabásában talál.

Integrációs fiókok az ISE-vel

Integrációs fiókokat használhat logikai alkalmazásokkal egy integrációs szolgáltatási környezetben (ISE). Ezeknek az integrációs fiókoknak azonban ugyanazt az ISE-t kell használniuk, mint a csatolt logikai alkalmazásokat. Az ISE logikai alkalmazásai csak az azonos ISE-ben lévő integrációs fiókokra hivatkozhatnak. Integrációs fiók létrehozásakor kiválaszthatja az ISE-t az integrációs fiók helyeként. Az ISE-vel rendelkező integrációs fiókok díjszabásának és számlázásának működéséről az Azure Logic Apps díjszabási modelljében olvashat. A díjszabást az Azure Logic Apps díjszabásában talál. A korlátozásokkal kapcsolatos információkért tekintse meg az integrációs fiók korlátait.

Következő lépések