A standard logikai alkalmazások és az Azure-beli virtuális hálózatok közötti forgalom védelme privát végpontok használatával

A következőkre vonatkozik: Azure Logic Apps (Standard)

Ha biztonságosan és privátan szeretne kommunikálni a munkafolyamata között egy Standard logikai alkalmazásban és egy Azure-beli virtuális hálózatban, beállíthat privát végpontokat a bejövő forgalomhoz, és használhatja a virtuális hálózati integrációt a kimenő forgalomhoz.

A privát végpontok olyan hálózati adapterek, amelyek privát és biztonságos módon csatlakoznak az Azure Private Link által működtetett szolgáltatásokhoz. Ilyen szolgáltatás lehet valamely Azure-szolgáltatás, például az Azure Logic Apps, az Azure Storage, az Azure Cosmos DB, az SQL vagy egy saját Private Link-szolgáltatás. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így hatékonyan bekapcsolja a szolgáltatást a virtuális hálózatba.

Ez a cikk bemutatja, hogyan állíthat be privát végpontokon keresztüli hozzáférést a bejövő forgalomhoz és a kimenő forgalom virtuális hálózati integrációjához.

További információkért tekintse át a következő dokumentációt:

• Mi az az Azure privát végpont?
• Privát végpontok – Az alkalmazás integrálása azure-beli virtuális hálózattal
• Mi az az Azure privát kapcsolat?
• Regionális virtuális hálózati integráció?

Előfeltételek

• Egy új vagy meglévő Azure-beli virtuális hálózat, amely delegálás nélküli alhálózatot tartalmaz. Ez az alhálózat magánhálózati IP-címek üzembe helyezésére és lefoglalására szolgál a virtuális hálózatról.

  További információkért tekintse át a következő dokumentációt:

  • Rövid útmutató: Virtuális hálózat létrehozása az Azure Portal használatával
  • Mi az alhálózat-delegálás?
  • Alhálózat-delegálás hozzáadása vagy eltávolítása

• Telepítsen vagy használjon olyan eszközt, amely HTTP-kéréseket küldhet a megoldás teszteléséhez, például:

  • Visual Studio Code a Visual Studio Marketplace bővítményével
  • PowerShell Invoke-RestMethod
  • Microsoft Edge – Hálózati konzol eszköz
  • Bruno
  • Csavarodik

  Figyelemfelhívás

  Olyan helyzetekben, ahol bizalmas adatokkal rendelkezik, például hitelesítő adatokkal, titkos kódokkal, hozzáférési jogkivonatokkal, API-kulcsokkal és más hasonló információkkal, mindenképpen használjon olyan eszközt, amely a szükséges biztonsági funkciókkal védi az adatokat, offline vagy helyileg működik, nem szinkronizálja az adatokat a felhőbe, és nem követeli meg, hogy online fiókba jelentkezzen be. Így csökkentheti a bizalmas adatok nyilvános közzétételével járó kockázatokat.

Bejövő forgalom beállítása privát végpontokon keresztül

A munkafolyamat bejövő forgalmának biztonságossá tételéhez hajtsa végre az alábbi magas szintű lépéseket:

1. Indítsa el a munkafolyamatot egy beépített eseményindítóval, amely képes fogadni és kezelni a bejövő kéréseket, például a Kérelem eseményindítót vagy a HTTP + Webhook eseményindítót. Ez az eseményindító egy hívható végponttal állítja be a munkafolyamatot.

2. Adjon hozzá egy privát végpontot a logikai alkalmazás erőforrásához a virtuális hálózathoz.

3. Teszthívások indítása a végponthoz való hozzáférés ellenőrzéséhez. Ahhoz, hogy meghívja a logikai alkalmazás munkafolyamatát a végpont beállítása után, csatlakoznia kell a virtuális hálózathoz.

Megfontolandó szempontok a privát végpontokon keresztüli bejövő forgalomhoz

• Ha a virtuális hálózaton kívülről érhető el, a figyelési nézet nem tudja elérni az eseményindítók és műveletek bemeneteit és kimeneteit.

• A felügyelt API-webhook-eseményindítók (leküldéses triggerek) és műveletek nem működnek, mert a nyilvános felhőben futnak, és nem tudnak betárcsázást végezni a magánhálózatba. A hívások fogadásához nyilvános végpontra van szükségük. Ilyen eseményindítók például a Dataverse-eseményindító és az Event Grid-eseményindító.

• Ha az Office 365 Outlook-eseményindítót használja, a munkafolyamat csak óránként aktiválódik.

• A Visual Studio Code-ból vagy az Azure CLI-ből történő üzembe helyezés csak a virtuális hálózaton belül működik. Az Üzembe helyezési központ segítségével összekapcsolhatja a logikai alkalmazást egy GitHub-adattárral. Ezután az Azure-infrastruktúrával létrehozhatja és üzembe helyezheti a kódot.

  Ahhoz, hogy a GitHub-integráció működjön, távolítsa el a beállítást a WEBSITE_RUN_FROM_PACKAGE logikai alkalmazásból, vagy állítsa be az értéket 0.

• A Privát kapcsolat engedélyezése nem befolyásolja a kimenő forgalmat, amely továbbra is az App Service-infrastruktúrán halad át.

A privát végpontokon keresztüli bejövő forgalom előfeltételei

A legfelső szintű előfeltételekben a virtuális hálózat beállításával együtt rendelkeznie kell egy új vagy meglévő Standard logikai alkalmazás munkafolyamatával, amely egy beépített triggerrel kezdődik, amely fogadhatja a kéréseket.

A Kérelem eseményindító például létrehoz egy végpontot a munkafolyamaton, amely képes fogadni és kezelni a többi hívótól érkező bejövő kéréseket, beleértve a munkafolyamatokat is. Ez a végpont egy URL-címet biztosít, amellyel meghívhatja és aktiválhatja a munkafolyamatot. Ebben a példában a lépések a Kérelem eseményindítóval folytatódnak.

További információkért tekintse át a Bejövő HTTP-kérelmek fogadását és a bejövő HTTP-kérelmekre való válaszadást az Azure Logic Apps használatával.

A munkafolyamat létrehozása

1. Ha még nem tette meg, hozzon létre egy egybérlős alapú logikai alkalmazást és egy üres munkafolyamatot.

2. A tervező megnyitása után adja hozzá a Kérelem eseményindítót a munkafolyamat első lépéseként.

3. A forgatókönyv követelményei alapján adjon hozzá más műveleteket, amelyeket futtatni szeretne a munkafolyamatban.

4. Ha végzett, mentse a munkafolyamatot.

További információkért tekintse át az egybérlős logikai alkalmazás munkafolyamatainak létrehozását az Azure Logic Appsben.

A végpont URL-címének másolása

1. A munkafolyamat menüjében válassza az Áttekintés lehetőséget.

2. Az Áttekintés lapon másolja és mentse a munkafolyamat URL-címét későbbi használatra.

3. Az URL-cím teszteléséhez és a munkafolyamat aktiválásához küldjön egy HTTP-kérést az URL-címre a HTTP-kérési eszköz és annak utasításaival.

Privát végpontkapcsolat beállítása

1. A logikai alkalmazás erőforrásmenüjének Beállítások területén válassza a Hálózatkezelés lehetőséget.

2. A Hálózatkezelés lap bejövő forgalomkonfigurációs szakaszában válassza a Privát végpontok melletti hivatkozást.

3. A Privát végpont kapcsolatai lapon válassza az Expressz vagy Speciális hozzáadása>lehetőséget.

   A Speciális beállításról további információt a Privát végpont létrehozása című témakörben talál.

4. A Privát végpont hozzáadása panelen adja meg a végpontra vonatkozó kért információkat.

   További információkért tekintse át a privát végpont tulajdonságait.

5. Miután az Azure sikeresen kiépíti a privát végpontot, próbálkozzon újra a munkafolyamat URL-címének meghívásával.

   Ezúttal egy várt 403 Forbidden hiba jelenik meg, ami azt jelenti, hogy a privát végpont be van állítva, és megfelelően működik.

6. A kapcsolat megfelelő működésének biztosításához hozzon létre egy virtuális gépet ugyanabban a virtuális hálózatban, amely rendelkezik a privát végponttal, és próbálja meg meghívni a logikai alkalmazás munkafolyamatát.

Kimenő forgalom beállítása virtuális hálózati integrációval

A logikai alkalmazás kimenő forgalmának védelméhez integrálhatja a logikai alkalmazást egy virtuális hálózattal. Először hozzon létre és tesztelje a példa-munkafolyamatot. Ezután beállíthatja a virtuális hálózati integrációt.

A virtuális hálózati integráción keresztüli kimenő forgalom szempontjai

• A virtuális hálózati integráció beállítása csak a kimenő forgalmat érinti. A bejövő forgalom biztonságossá tételéhez, amely továbbra is az App Service megosztott végpontját használja, tekintse át a Bejövő forgalom beállítása privát végpontokon keresztül című cikket.

• A hozzárendelés után nem módosíthatja az alhálózat méretét, ezért olyan alhálózatot használjon, amely elég nagy ahhoz, hogy elférjen az alkalmazás által elérni kívánt méret. Az alhálózati kapacitással kapcsolatos problémák elkerülése érdekében használjon /26 64 címmel rendelkező alhálózatot. Ha létrehozza az alhálózatot az Azure Portallal való virtuális hálózati integrációhoz, akkor a minimális alhálózatméretet kell használnia /27 .

• Ahhoz, hogy az Azure Logic Apps-futtatókörnyezet működjön, megszakítás nélküli kapcsolatot kell létesítenie a háttértárhoz. Ha a háttértár egy privát végponton keresztül van kitéve a virtuális hálózatnak, győződjön meg arról, hogy a következő portok nyitva vannak:

  Forrásport	Célport	Forrás	Cél	Protokoll	Cél
  *	443	Standard logikai alkalmazással integrált alhálózat	Tárfiók	TCP	Tárfiók
  *	445	Standard logikai alkalmazással integrált alhálózat	Tárfiók	TCP	Kiszolgálói üzenetblokk (SMB) fájlmegosztás

• Ahhoz, hogy az Azure által üzemeltetett felügyelt összekötők működjenek, megszakítás nélküli kapcsolatot kell létesítenie a felügyelt API-szolgáltatással. A virtuális hálózat integrációjával győződjön meg arról, hogy a tűzfal vagy a hálózati biztonsági szabályzat nem blokkolja ezeket a kapcsolatokat. Ha a virtuális hálózat hálózati biztonsági csoportot (NSG), felhasználó által definiált útvonaltáblát (UDR) vagy tűzfalat használ, győződjön meg arról, hogy a virtuális hálózat engedélyezi a kimenő kapcsolatokat a megfelelő régióban lévő összes felügyelt összekötő IP-címével . Ellenkező esetben az Azure által felügyelt összekötők nem működnek.

További információkért tekintse át a következő dokumentációt:

• Alkalmazás integrálása egy Azure-beli virtuális hálózattal
• Hálózati biztonsági csoportok
• Virtuális hálózat forgalmának útválasztása

A munkafolyamat létrehozása és tesztelése

1. Ha még nem tette meg, az Azure Portalon hozzon létre egy egybérlős alapú logikai alkalmazást és egy üres munkafolyamatot.

2. A tervező megnyitása után adja hozzá a Kérelem eseményindítót a munkafolyamat első lépéseként.

3. Adjon hozzá egy HTTP-műveletet egy olyan belső szolgáltatás meghívásához, amely nem érhető el az interneten keresztül, és egy privát IP-címmel( például 10.0.1.3.

4. Ha végzett, mentse a munkafolyamatot.

5. A tervezőtől manuálisan futtassa a munkafolyamatot.

   A HTTP-művelet meghiúsul, ami tervezés és elvárás, mert a munkafolyamat a felhőben fut, és nem fér hozzá a belső szolgáltatáshoz.

Virtuális hálózati integráció beállítása

1. Az Azure Portal logikai alkalmazás erőforrásmenüjének Beállítások területén válassza a Hálózatkezelés lehetőséget.

2. A Hálózatkezelés lapon, a Kimenő forgalom konfigurációs szakaszában válassza a virtuális hálózati integráció melletti hivatkozást.

3. A Virtuális hálózat integrációja lapon válassza a Virtuális hálózati integráció hozzáadása lehetőséget.

4. A Virtuális hálózat hozzáadása integráció panelen válassza ki az előfizetést, a belső szolgáltatáshoz csatlakozó virtuális hálózatot, valamint azt az alhálózatot, ahová a logikai alkalmazást fel szeretné adni. Amikor végzett, válassza a Csatlakozás lehetőséget.

   A Virtuális hálózat integrációja lapon alapértelmezés szerint a kimenő internetes forgalom beállítása van kiválasztva, amely az összes kimenő forgalmat a virtuális hálózaton keresztül irányítja át. Ebben a forgatókönyvben a WEBSITE_VNET_ROUTE_ALL nevű alkalmazásbeállítás figyelmen kívül lesz hagyva.

   Az alkalmazásbeállítás megkereséséhez a logikai alkalmazás erőforrásmenüjének Beállítások területén válassza a Környezeti változók lehetőséget.

5. Ha saját tartománynév-kiszolgálót (DNS-t) használ a virtuális hálózattal, adja hozzá a WEBSITE_DNS_SERVER alkalmazásbeállítást, ha nincs ilyen, és állítsa be az értéket a DNS IP-címére. Ha másodlagos DNS-sel rendelkezik, adjon hozzá egy másik, WEBSITE_DNS_ALT_SERVER nevű alkalmazásbeállítást, és állítsa be az értéket a másodlagos DNS IP-címére.

6. Miután az Azure sikeresen kiépíti a virtuális hálózati integrációt, próbálja meg újra futtatni a munkafolyamatot.

   A HTTP-művelet most sikeresen lefut.

Következő lépések

• Logic Apps Anywhere: Hálózatkezelési lehetőségek a Logic Appsszel (egybérlős)