Mengamankan lalu lintas antara aplikasi logika Standar penyewa tunggal serta jaringan virtual Azure menggunakan titik akhir privat

Berlaku pada: Azure Logic Apps (Standar)

Agar dapat berkomunikasi secara aman dan pribadi antara alur kerja di aplikasi logika Standar dan jaringan virtual Azure, Anda dapat menyiapkan titik akhir privat untuk lalu lintas masuk dan menggunakan integrasi jaringan virtual untuk lalu lintas keluar.

Titik akhir privat adalah antarmuka jaringan yang secara privat dan aman menyambungkan ke layanan yang didukung oleh Azure Private Link. Layanan ini dapat berupa layanan Microsoft Azure seperti Azure Logic Apps, Azure Storage, Azure Cosmos DB, SQL, atau Layanan Private Link Anda sendiri. Titik akhir privat menggunakan alamat IP privat dari jaringan virtual Anda, yang membawa layanan ke jaringan virtual secara efektif.

Artikel ini menunjukkan cara menyiapkan akses melalui titik akhir privat untuk lalu lintas masuk dan integrasi jaringan virtual untuk lalu lintas keluar.

Untuk informasi selengkapnya, tinjau dokumentasi berikut ini:

• Apakah itu Titik Akhir Privat Azure?
• Titik akhir privat - Mengintegrasikan aplikasi Anda dengan jaringan virtual Azure
• Apa itu Azure Private Link?
• Integrasi jaringan virtual regional?

Prasyarat

Anda harus memiliki jaringan virtual Microsoft Azure baru atau yang ada yang menyertakan subnet tanpa delegasi. Subnet ini digunakan untuk menyebarkan dan mengalokasikan alamat IP privat dari jaringan virtual.

Untuk informasi selengkapnya, tinjau dokumentasi berikut ini:

• Mulai cepat: Buat jaringan virtual menggunakan portal Azure
• Apa itu delegasi subnet?
• Menambahkan atau menghapus delegasi subnet

Mengatur lalu lintas masuk melalui titik akhir privat

Untuk mengamankan lalu lintas masuk ke alur kerja Anda, selesaikan langkah-langkah bertingkat tinggi berikut:

1. Mulai alur kerja Anda dengan pemicu bawaan yang dapat menerima dan menangani permintaan masuk, seperti pemicu Permintaan atau pemicu HTTP + Webhook. Pemicu ini mengatur alur kerja Anda dengan titik akhir yang dapat dipanggil.

2. Tambahkan titik akhir privat untuk sumber daya aplikasi logika Anda ke jaringan virtual Anda.

3. Lakukan panggilan uji untuk memeriksa akses ke titik akhir. Untuk memanggil alur kerja aplikasi logika setelah menyiapkan titik akhir ini, Anda harus tersambung ke jaringan virtual.

Pertimbangan untuk lalu lintas masuk melalui titik akhir privat

• Jika diakses dari luar jaringan virtual Anda, tampilan pemantauan tidak dapat mengakses input serta output dari pemicu dan tindakan.

• Pemicu webhook API terkelola (pemicu dorong) dan tindakan tidak akan berfungsi karena berjalan di cloud publik dan tidak dapat menelepon ke jaringan privat Anda. Mereka memerlukan titik akhir publik untuk menerima panggilan. Misalnya, pemicu tersebut mencakup pemicu Dataverse dan pemicu Event Grid.

• Jika Anda menggunakan pemicu Office 365 Outlook, alur kerja dipicu hanya setiap jam.

• Penyebaran dari Visual Studio Code atau Azure CLI hanya berfungsi dari dalam jaringan virtual. Anda dapat menggunakan Pusat Penyebaran untuk menautkan aplikasi logika ke repositori GitHub. Anda kemudian dapat menggunakan infrastruktur Microsoft Azure untuk membuat dan menerapkan kode.

  Agar integrasi GitHub berfungsi, hapus pengaturan WEBSITE_RUN_FROM_PACKAGE dari aplikasi logika atau atur nilainya ke 0.

• Mengaktifkan Private Link tidak memengaruhi lalu lintas keluar, yang masih mengalir melalui infrastruktur App Service.

Prasyarat untuk lalu lintas masuk melalui titik akhir privat

Selain prasyarat pengaturan jaringan virtual di tingkat atas, Anda perlu memiliki alur kerja aplikasi logika berbasis penyewa tunggal baru atau yang ada yang dimulai dengan pemicu bawaan yang dapat menerima permintaan.

Misalnya, pemicu Permintaan membuat titik akhir pada alur kerja Anda yang dapat menerima dan menangani permintaan masuk dari pemanggil lain, termasuk alur kerja. Endpoint ini menyediakan URL yang bisa digunakan untuk memanggil dan memicu alur kerja. Untuk contoh ini, langkah-langkah berlanjut dengan pemicu Permintaan.

Untuk informasi selengkapnya, harap tinjau Menerima dan merespons permintaan HTTP masuk di Microsoft Azure Logic Apps.

Membuat alur kerja

1. Jika Anda belum melakukannya, buat aplikasi logika berbasis penyewa tunggal, dan alur kerja kosong.

2. Setelah perancang terbuka, tambahkan pemicu Permintaan sebagai langkah pertama dalam alur kerja Anda.

3. Berdasarkan persyaratan skenario Anda, tambahkan tindakan lain yang ingin dijalankan di alur kerja.

4. Setelah selesai, simpan alur kerja.

Untuk informasi selengkapnya, tinjau Membuat alur kerja aplikasi logika penyewa tunggal di Microsoft Azure Logic Apps.

Menyalin URL titik akhir

1. Pada menu alur kerja, pilih Gambaran Umum.

2. Pada halaman Gambaran Umum, salin dan simpan URL Alur Kerja untuk digunakan nantinya.

   Untuk memicu alur kerja, Anda memanggil atau mengirim permintaan ke URL ini.

3. Pastikan bahwa URL berfungsi dengan memanggil atau mengirim permintaan ke URL. Anda dapat menggunakan alat yang diinginkan untuk mengirimkan permintaan, misalnya, Postman.

Mengatur koneksi titik akhir privat

1. Pada menu aplikasi logika Anda, dalam Pengaturan, pilih Jaringan.

2. Pada halaman Jaringan, pada kartu Lalu lintas masuk, pilih Titik akhir privat.

3. Pada koneksi Titik Akhir Privat, pilih Tambah.

4. Pada panel Tambahkan Titik Akhir Privat yang terbuka, berikan informasi yang diminta tentang titik akhir.

   Untuk informasi selengkapnya, tinjau Properti Titik Akhir Privat.

5. Setelah Microsoft Azure berhasil menyediakan titik akhir privat, coba lagi untuk memanggil URL alur kerja.

   Kali ini, Anda mendapatkan kesalahan 403 Forbidden yang diharapkan, yang berarti bahwa titik akhir pribadi sudah diatur dan berfungsi dengan benar.

6. Untuk memastikan koneksi berfungsi dengan benar, buat komputer virtual di jaringan virtual yang sama yang memiliki titik akhir privat, dan coba panggil alur kerja aplikasi logika.

Menyiapkan lalu lintas keluar menggunakan integrasi jaringan virtual

Untuk mengamankan lalu lintas keluar dari aplikasi logika, Anda dapat mengintegrasikan aplikasi logika dengan jaringan virtual. Pertama, buat dan uji contoh alur kerja. Lalu, Anda dapat menyiapkan integrasi jaringan virtual.

Pertimbangan untuk lalu lintas keluar melalui integrasi jaringan virtual

• Menyiapkan integrasi jaringan virtual hanya memengaruhi lalu lintas outbound. Untuk mengamankan lalu lintas inbound, yang terus menggunakan titik akhir bersama App Service, tinjau Siapkan lalu lintas masuk melalui titik akhir privat.

• Anda tidak dapat mengubah ukuran subnet setelah penetapan, jadi gunakan subnet yang cukup besar untuk mengakomodasi skala yang mungkin dijangkau aplikasi Anda. Untuk menghindari masalah dengan kapasitas subnet, gunakan /26 dengan 64 alamat. Jika Anda membuat subnet untuk integrasi jaringan virtual dengan portal Azure, Anda harus menggunakan /27 sebagai ukuran subnet minimum.

• Agar runtime Azure Logic Apps berfungsi, Anda harus memiliki koneksi tanpa gangguan ke penyimpanan backend. Jika penyimpanan backend diekspos ke jaringan virtual melalui titik akhir privat, pastikan port berikut telah terbuka:

  Port sumber	Port tujuan	Sumber	Tujuan	Protokol	Tujuan
  *	443	Subnet terintegrasi dengan aplikasi logika Standar	Akun penyimpanan	TCP	Akun penyimpanan
  *	445	Subnet terintegrasi dengan aplikasi logika Standar	Akun penyimpanan	TCP	Berbagi File Server Message Block (SMB)

• Agar konektor terkelola yang dihosting Microsoft Azure berfungsi, Anda harus memiliki koneksi tanpa gangguan ke layanan API terkelola. Dengan integrasi jaringan virtual, pastikan tidak ada firewall atau kebijakan keamanan jaringan yang memblokir koneksi ini. Jika jaringan virtual Anda menggunakan grup keamanan jaringan (NSG), tabel rute yang ditentukan pengguna (UDR), atau firewall, pastikan bahwa jaringan virtual mengizinkan koneksi keluar ke semua alamat IP konektor terkelola di wilayah. Jika tidak, konektor yang dikelola Azure tidak akan berfungsi.

Untuk informasi selengkapnya, tinjau dokumentasi berikut ini:

• Mengintegrasikan aplikasi Anda dengan Azure virtual network
• Grup keamanan jaringan
• Perutean lalu lintas jaringan virtual

Membuat dan menguji alur kerja

1. Jika Anda belum melakukannya, di portal Azure, buat aplikasi logika berbasis penyewa tunggal, dan alur kerja kosong.

2. Setelah perancang terbuka, tambahkan pemicu Permintaan sebagai langkah pertama dalam alur kerja Anda.

3. Tambahkan tindakan HTTP untuk memanggil layanan internal yang tidak tersedia melalui Internet dan berjalan dengan alamat IP privat seperti 10.0.1.3.

4. Setelah selesai, simpan alur kerja.

5. Dari desainer, jalankan alur kerja secara manual.

   Tindakan HTTP gagal, yang dirancang dan diharapkan karena alur kerja berjalan di cloud dan tidak dapat mengakses layanan internal Anda.

Menyiapkan integrasi jaringan virtual

1. Di portal Azure, pada menu sumber daya aplikasi logika, di bawah Pengaturan, pilih Jaringan.

2. Di panel Jaringan, pada kartu Lalu lintas keluar, pilih integrasi VNet.

3. Di panel Integrasi VNET, pilih Tambahkan VNet.

4. Pada panel Tambahkan Integrasi VNet, pilih langganan dan jaringan virtual yang terhubung ke layanan internal Anda.

   Setelah Anda menambahkan integrasi jaringan virtual, pada panel Integrasi VNet , pengaturan Rutekan Semua diaktifkan secara default. Pengaturan ini merutekan semua lalu lintas keluar melalui jaringan virtual. Saat pengaturan ini diaktifkan, WEBSITE_VNET_ROUTE_ALL pengaturan aplikasi diabaikan.

5. Jika Anda menggunakan server nama domain (DNS) Anda sendiri dengan jaringan virtual, setel WEBSITE_DNS_SERVER setelan aplikasi sumber daya aplikasi logika Anda ke alamat IP untuk DNS Anda. Jika Anda memiliki DNS sekunder, tambahkan setelan aplikasi lain bernama WEBSITE_DNS_ALT_SERVER, dan tetapkan nilainya juga ke IP untuk DNS Anda.

6. Setelah Azure berhasil memprovisikan integrasi jaringan virtual, coba jalankan alur kerja lagi.

   Tindakan HTTP sekarang berjalan dengan sukses.

Langkah berikutnya

• Logic Apps Di Mana Saja: Kemungkinan jaringan dengan Logic Apps (penyewa tunggal)