統合サービス環境 (ISE) を使用して Azure Logic Apps から Azure 仮想ネットワークにアクセスする

[アーティクル]
08/25/2023

重要

2024 年 8 月 31 日に、ISE リソースは、同時に廃止される Azure Cloud Services (クラシック) に依存しているため廃止されます。廃止日より前に、サービスの中断を回避できるように、ISE から Standard ロジックアプリにロジックアプリをエクスポートします。 Standard ロジックアプリワークフローは、シングルテナントの Azure Logic Apps で実行され、同じ機能に加えてさらに多くの機能を提供します。たとえば、お使いのワークフローが仮想ネットワークと非公開かつ安全に通信できるよう、標準のワークフローでは受信トラフィックにプライベートエンドポイントの使用がサポートされています。標準ワークフローでは、送信トラフィックに仮想ネットワーク統合もサポートされます。詳細については、プライベートエンドポイントを使用した仮想ネットワークとシングルテナント Azure Logic Apps 間のトラフィックの保護に関するページをご覧ください。

2022 年 11 月 1 日以降、新しい ISE リソースを作成する機能は使用できなくなりました。つまり、Logic Apps REST API を使用し、ISE 作成中、"Bring Your Own Key" (BYOK) と呼ばれている独自の暗号化キーを設定する機能も使用できなくなります。ただし、この日付より前に存在する ISE リソースは、2024 年 8 月 31 日までサポートされています。

詳細については、次のリソースを参照してください。

この概要では、ISE と仮想ネットワークが連動するしくみ、ISE 使用の利点、専用の場合とマルチテナントの場合の Logic Apps サービスの違い、Azure 仮想ネットワーク内にあるリソース、または仮想ネットワークに接続されているリソースに直接アクセスできる方法について詳しく説明します。

ISE と仮想ネットワークの連携

ISE を作成するとき、Azure で ISE を "挿入" またはデプロイする Azure 仮想ネットワークを選択します。この仮想ネットワークへのアクセスを必要とするロジックアプリと統合アカウントを作成するときに、そのロジックアプリと統合アカウントのホストの場所として ISE を選択できます。 ISE 内では、ロジックアプリは、マルチテナント Azure Logic Apps 環境内の他のリソースとは別に、専用リソースで実行されます。 ISE 内のデータは、その ISE を作成して展開するリージョンと同じ場所にあります。

Azure portal のスクリーンショット。統合サービス環境が選択されています。

ISE を使用する理由

分離された自分専用のインスタンスでロジックアプリワークフローを実行することで、他の Azure テナントが自分のアプリのパフォーマンスに与える可能性がある影響 ("うるさい隣人" エフェクトとも呼ばれる) を減らすことができます。 ISE には、次の利点があります。

仮想ネットワーク内にあるリソース、または仮想ネットワークに接続されているリソースへの直接アクセス

ISE で作成して実行するロジックアプリでは、ISE で実行される特別に設計されたコネクタを使用できます。オンプレミスのシステムまたはデータソース用の ISE コネクタが存在する場合は、オンプレミスのデータゲートウェイを使用しなくても、直接接続できます。詳細については、このトピックの後の方の「専用とマルチテナント」および「オンプレミスシステムへのアクセス」のセクションを参照してください。
仮想ネットワーク外にあるリソース、または仮想ネットワークに接続されていないリソースへの継続的なアクセス

ISE で作成して実行するロジックアプリでは、ISE 固有のコネクタが使用できない場合、マルチテナント Logic Apps サービスで実行されているコネクタを引き続き使用できます。詳細については、「専用とマルチテナント」のセクションを参照してください。
自分専用の静的 IP アドレス。これらの IP アドレスは、マルチテナントサービスのロジックアプリによって共有される静的 IP アドレスとは区別されています。また、送信先システムとの通信のために、単一の予測可能な静的パブリックアウトバウンド IP アドレスを自分で設定することもできます。このようにすると、それらの送信先システムで ISE ごとに追加のファイアウォールを設定する必要はありません。
実行継続時間、ストレージのリテンション期間、スループット、HTTP の要求と応答のタイムアウト、メッセージのサイズ、カスタムコネクタの要求の上限が引き上げられました。詳細については、Azure Logic Apps の制限と構成に関するページを参照してください。

専用とマルチテナント

ISE にロジックアプリを作成して実行すると、マルチテナント Logic Apps サービスと同じユーザーエクスペリエンスおよび同様の機能が得られます。マルチテナント Logic Apps サービスで使用できるのと同じすべての組み込みトリガー、アクション、マネージドコネクタを使用できます。一部のマネージドコネクタでは、追加の ISE バージョンが提供されます。 ISE コネクタと非 ISE コネクタの違いは、ISE 内で作業するときにロジックアプリデザイナーに付けられるラベルと実行される場所です。

ISE 内のラベルが付いているコネクタと付いていないコネクタ

HTTP のような組み込みのトリガーとアクションには、CORE というラベルが表示され、これらはロジックアプリと同じ ISE で実行されます。
ISE というラベルが表示されるマネージドコネクタは、ISE 用に特別に設計されており、"常にロジックアプリと同じ ISE で実行されます"。たとえば、以下に ISE のバージョンを提供するコネクタをいくつか示します。
- Azure Blob Storage、Azure File Storage、Azure Table Storage
- Azure Service Bus、Azure Queues、Azure Event Hubs
- Azure Automation、Azure Key Vault、Azure Event Grid、および Azure Monitor ログ
- FTP、SFTP-SSH、File System、および SMTP
- SAP、IBM MQ、IBM DB2、および IBM 3270
- SQL Server、Azure Synapse Analytics、Azure Cosmos DB
- AS2、X12、EDIFACT
オンプレミスのシステムまたはデータソース用の ISE コネクタを使用できる場合は、ほぼ例外なく、オンプレミスのデータゲートウェイを使用せずに、直接接続できます。詳細については、このトピックの後の方の「オンプレミスシステムへのアクセス」のセクションを参照してください。
ISE というラベルが表示されないマネージドコネクタは、ISE 内のロジックアプリのために、引き続き機能します。これらのコネクタは、ISE 内ではなく、"常にマルチテナント Logic Apps サービスで実行されます"。
"ISE の外部" で作成するカスタムコネクタは、オンプレミスデータゲートウェイが必要かどうかにかかわらず、ISE 内のロジックアプリのために、引き続き機能します。ただし、"ISE 内" で作成するカスタムコネクタは、オンプレミスデータゲートウェイでは動作しません。詳細については、「オンプレミスシステムへのアクセス」のセクションを参照してください。

オンプレミスシステムへのアクセス

ISE 内で実行されるロジックアプリワークフローは、これらの項目を使用して、Azure 仮想ネットワーク内にある、または Azure 仮想ネットワークに接続されている、オンプレミスシステムおよびデータソースに直接アクセスできます。

CORE というラベルが表示される HTTP トリガーまたはアクション
オンプレミスのシステムまたはデータソース用の ISE コネクタ (使用可能な場合)

ISE コネクタを使用できる場合は、オンプレミスデータゲートウェイなしで、システムまたはデータソースに直接アクセスできます。ただし、ISE から SQL Server にアクセスし、Windows 認証を使用する必要がある場合は、コネクタの ISE 以外のバージョンとオンプレミスデータゲートウェイを使用する必要があります。コネクタの ISE バージョンでは、Windows 認証はサポートされていません。詳細については、「ISE コネクタ」および「統合サービス環境から接続する」のセクションを参照してください。
カスタムコネクタ
- "ISE の外部" で作成するカスタムコネクタは、オンプレミスデータゲートウェイが必要かどうかにかかわらず、ISE 内のロジックアプリのために、引き続き機能します。
- "ISE 内" で作成するカスタムコネクタは、オンプレミスデータゲートウェイでは動作しません。ただし、これらのコネクタでは、ISE をホストしている仮想ネットワーク内にある、またはそのような仮想ネットワークに接続されている、オンプレミスのシステムおよびデータソースに直接アクセスできます。そのため、ISE 内のロジックアプリでは、ほとんどの場合、それらのリソースにアクセスするときにデータゲートウェイは不要です。

ISE コネクタがないか、仮想ネットワークの外部にあるか、または仮想ネットワークに接続されていないオンプレミスのシステムおよびデータソースにアクセスするには、引き続きオンプレミスデータゲートウェイを使用する必要があります。 ISE 内のロジックアプリは、引き続き、CORE または ISE というラベルを持たないコネクタを使用できます。それらのコネクタは、ISE 内ではなくマルチテナント Logic Apps サービスで実行されます。

保存データの暗号化

既定では、Azure Storage は Microsoft マネージドキーを使用してデータを暗号化します。 Azure Logic Apps は Azure Storage を利用して、データを格納し、自動的に保存データを暗号化します。この暗号化によってデータが保護され、組織のセキュリティとコンプライアンスの要件を満たすことができます。 Azure Storage の暗号化の仕組みについて詳しくは、「保存データに対する Azure Storage 暗号化」と「Azure Data Encryption-at-Rest」を参照してください。

Azure Storage によって使用される暗号化キーをより詳細に制御するため、ISE では、Azure Key Vault を使用した独自のキーの使用と管理がサポートされています。この機能は "Bring Your Own Key" (BYOK) とも呼ばれ、キーは "カスタマーマネージドキー" と呼ばれます。ただし、この機能は、ISE を作成するときにのみ使用できます。作成後は使用できません。 ISE を作成した後に、このキーを無効にすることはできません。現時点では、ISE でのカスタマーマネージドキーのローテーションはサポートされていません。

ISE のカスタマーマネージドキーサポートは、次のリージョンでのみご利用いただけます。
- Azure: 米国西部 2、米国東部、米国中南部
- Azure Government: アリゾナ州、バージニア州、テキサス州
カスタマーマネージドキーを格納するキーコンテナーは、ISE と同じ Azure リージョンに存在する必要があります。
カスタマーマネージドキーをサポートするには、ISE でシステム割り当てまたはユーザー割り当てのマネージド ID が有効になっている必要があります。この ID により、Azure 仮想ネットワーク内にある、または仮想ネットワークに接続されている、セキュリティで保護されたリソース (仮想マシンや他のシステムまたはサービスなど) へのアクセスを ISE で認証できます。このようにすると、資格情報を使用してサインインする必要はありません。
ISE のマネージド ID にキーコンテナーのアクセス権を付与する必要がありますが、このタイミングは使用するマネージド ID によって異なります。
- システム割り当てマネージド ID: ISE を作成する HTTPS PUT 要求を送信してから "30 分以内"。そうしないと、ISE の作成は失敗し、アクセス許可エラーが発生します。
- ユーザー割り当てマネージド ID: ISE を作成する HTTPS PUT 要求を送信する前

ISE SKU

ISE を作成するときは、Developer SKU または Premium SKU を選択できます。この SKU オプションは、ISE 作成時にのみ使用できます。後で変更することはできません。これらの SKU の違いを以下に示します。

開発者

探索、実験、開発、テストには使用できますが、運用環境とパフォーマンステストには使用できない、低コストの ISE が提供されます。 Developer SKU には、組み込みのトリガーとアクション、標準コネクタ、エンタープライズコネクタ、および固定月額料金用の 1 つの Free レベル統合アカウントが含まれています。

重要

この SKU には、サービスレベルアグリーメント (SLA)、スケールアップ機能、リサイクル中の冗長性がありません。これは、遅延やダウンタイムが発生する可能性があることを意味します。バックエンドの更新により、サービスが断続的に中断する場合があります。

容量と制限については、Azure Logic Apps での ISE の制限に関する記事を参照してください。 ISE の課金のしくみについては、Logic Apps の料金モデルに関する記事を参照してください。
Premium

運用環境とパフォーマンステストに使用できる ISE が提供されます。 Premium SKU には、SLA のサポート、組み込みのトリガーとアクション、標準コネクタ、エンタープライズコネクタ、単一の Standard レベルの統合アカウント、スケールアップ機能、固定月額料金のリサイクル中の冗長性などが含まれています。

容量と制限については、Azure Logic Apps での ISE の制限に関する記事を参照してください。 ISE の課金のしくみについては、Logic Apps の料金モデルに関する記事を参照してください。

ISE エンドポイントへのアクセス

ISE の作成時、内部アクセスエンドポイントと外部アクセスエンドポイントのどちらを使用するかを選択できます。この選択により、ISE 内のロジックアプリ上で要求または Webhook トリガーが仮想ネットワークの外からの呼び出しを受信できるかどうかが決まります。これらのエンドポイントは、ロジックアプリの実行履歴から入力と出力にアクセスする方法にも影響します。

重要

アクセスエンドポイントは、ISE 作成中にのみ選択できます。後でこのオプションを変更することはできません。

内部: プライベートエンドポイントでは、ロジックアプリワークフローの実行履歴の入力と出力を "仮想ネットワーク内からのみ" 表示し、アクセスできる ISE でロジックアプリの呼び出しが許可されます。
重要

これらの Webhook ベースのトリガーを使用する必要があり、サービスが仮想ネットワークおよびピアリングされた仮想ネットワークの外部にある場合は、ISE を作成するときに、内部エンドポイントでは "なく" 外部エンドポイントを使用します。
- Azure DevOps
- Azure Event Grid
- Common Data Service
- Office 365
- SAP (マルチテナントバージョン)
また、プライベートエンドポイントと、実行履歴へのアクセス元として使用するコンピューターの間にネットワーク接続があることを確認します。そうでないと、ワークフローの実行履歴を表示しようとしたときに、"予期しないエラーが発生しました。フェッチできませんでした。" というエラーが発生します。

たとえば、クライアントコンピューターは、ISE の仮想ネットワーク内にも、ピアリングや仮想プライベートネットワークを介して ISE の仮想ネットワークに接続されている仮想ネットワーク内にも配置できます。
外部: ロジックアプリワークフローの実行履歴から、"仮想ネットワーク外からの" 入力と出力を表示およびアクセスできる ISE のロジックアプリの呼び出しを許可するパブリックエンドポイント。ネットワークセキュリティグループ (NSG) を使用する場合は、実行履歴の入力と出力へのアクセスを許可する受信規則が設定されていることを確認します。

ISE が内部アクセスエンドポイントを使用しているか、外部アクセスエンドポイントを使用しているかを確認するには、ISE のメニューで、 [設定] の下にある [プロパティ] を選択し、 [アクセスエンドポイント] プロパティを見つけます。

Azure portal の ISE メニューのスクリーンショット。[設定]、[プロパティ]、[アクセスエンドポイント] でオプションが選択されています。

価格モデル

ISE 内で実行されるロジックアプリ、組み込みトリガー、組み込みアクション、コネクタでは、従量課金価格プランとは異なる固定価格プランが使用されます。詳細については、「Azure Logic Apps の価格モデル」を参照してください。価格については、Azure Logic Apps の価格に関する記事を参照してください。

ISE での統合アカウント

統合サービス環境 (ISE) の内部のロジックアプリで統合アカウントを使用できます。ただし、これらの統合アカウントでは、リンクされているロジックアプリと "同じ ISE" を使用する必要があります。 ISE のロジックアプリは、同じ ISE にある統合アカウントのみを参照できます。統合アカウントを作成すると、ご利用の統合アカウントの場所として、自分の ISE を選択できます。統合アカウントと ISE に対する価格と課金のしくみについては、「Azure Logic Apps の価格モデル」を参照してください。価格については、Azure Logic Apps の価格に関する記事を参照してください。制限の詳細については、「統合アカウントの制限」をご覧ください。

次のステップ

ISE ワークフローを Standard ロジックアプリにエクスポートする