Azure Logic Apps で統合サービス環境 (ISE) を管理する
重要
2024 年 8 月 31 日に、ISE リソースは、同時に廃止される Azure Cloud Services (クラシック) に依存しているため廃止されます。 廃止日より前に、サービスの中断を回避できるように、ISE から Standard ロジック アプリにロジック アプリをエクスポートします。 Standard ロジック アプリ ワークフローは、シングルテナントの Azure Logic Apps で実行され、同じ機能に加えてさらに多くの機能を提供します。
2022 年 11 月 1 日から、新しい ISE リソースを作成できなくなります。 ただし、この日付より前に存在する ISE リソースは、2024 年 8 月 31 日までサポートされています。 詳細については、次のリソースを参照してください。
この記事では、統合サービス環境 (ISE) について次のような管理タスクを実行する方法について説明します。
メトリックを見つけて表示する。
ISE のアクセスを有効にします。
ISE のネットワークの正常性の確認。
ISE でマルチテナント ベースのロジック アプリ、接続、統合アカウント、コネクタなどのリソースを管理する。
容量の追加、ISE の再起動、または ISE の削除。このトピックの手順に従ってください。 これらの成果物を ISE に追加するには、成果物の統合サービス環境への追加に関する記事を参照してください。
ISE を表示する
Azure portal 検索ボックスで、統合サービス環境と入力して、[統合サービス環境] を選択します。
結果リストで [統合サービス環境] を選択します。
次のセクションに進み、ISE のロジック アプリ、接続、コネクタ、または統合アカウントを見つけます。
ISE のアクセスを有効にする
Azure 仮想ネットワークで ISE を使用した場合、一般的な設定の問題はブロックされたポートが 1 つ以上あることです。 ISE と宛先システムとの間の接続を作成するために使用するコネクタにも、独自のポート要件がある可能性があります。 たとえば、FTP コネクタを使用して FTP システムと通信する場合、FTP システム上で使用するポート (コマンド送信用のポート 21 など) が使用可能である必要があります。
ISE にアクセスできること、および ISE 内のロジック アプリが仮想ネットワーク内のサブネット間で通信できることを確認するには、各サブネットについてこの表に記載されたポートを開きます。 いずれかの必要なポートが使用できなった場合、ISE は正常に機能しません。
IP 制限がある他のエンドポイントへのアクセスを必要とする ISE インスタンスが複数ある場合は、Azure Firewall またはネットワーク仮想アプライアンスを仮想ネットワークにデプロイし、そのファイアウォールまたはネットワーク仮想アプライアンスを経由して送信トラフィックをルーティングします。 その後、送信先システムとの通信のために仮想ネットワーク内のすべての ISE インスタンスで使用可能な、静的かつ予測可能な 1 つの送信パブリック IP アドレスを設定できます。 このようにすると、それらの送信先システムで ISE ごとに追加のファイアウォールを設定する必要はありません。
注意
アクセスする必要がある IP アドレスの数をシナリオで制限する必要がある場合は、1 つの ISE に対してこの方法を使用できます。 ファイアウォールまたは仮想ネットワーク アプライアンスの追加コストが、シナリオにとって妥当かどうかを検討してください。 Azure Firewall の価格の詳細を確認してください。
新しい Azure 仮想ネットワークとサブネットを制約なしで作成した場合、サブネット間のトラフィックを制御する目的で仮想ネットワーク内にネットワーク セキュリティ グループ (NSG) を設定する必要はありません。
既存の仮想ネットワークの場合は、必要に応じてネットワーク セキュリティ グループ (NSG) を設定して、サブネット間のネットワーク トラフィックをフィルター処理することができます。 このルートを使用する場合、または既に NSG を使用している場合は、NSG のこの表に記載されているポートを開いてください。
NSG セキュリティ規則を設定する場合は、TCP プロトコルと UDP プロトコルの両方を使用するか、代わりに [任意] を選択する必要があります。そうしないと、プロトコルごとに個別のルールを作成する必要があります。 NSG セキュリティ規則では、これらのポートへのアクセスが必要な IP アドレスに対して開く必要があるポートが記述されています。 すべてのファイアウォール、ルーター、またはこれらのエンドポイント間に存在するその他の項目で、これらのポートがこれらの IP アドレスにアクセスできる状態になっていることも確認してください。
外部 エンドポイント アクセス権を持つ ISE の場合は、ネットワーク セキュリティ グループ (NSG) をまだ持っていなければ、作成する必要があります。 マネージド コネクタの送信 IP アドレスからのトラフィックを許可するには、NSG に受信セキュリティ規則を追加する必要があります。 このルールを設定するには、次の手順に従います。
ISE メニューの [設定] で、 [プロパティ] を選択します。
[コネクタ発信 IP アドレス] でパブリック IP アドレス範囲をコピーします。これは制限と構成情報に関する記事の「送信 IP アドレス」にもあります。
ネットワーク セキュリティ グループがまだ存在しない場合、それを作成します。
次の情報に基づいて、コピーしたパブリック送信 IP アドレスの受信セキュリティ規則を追加します。 詳細については、「チュートリアル: Azure portal を使用してネットワーク セキュリティ グループでネットワーク トラフィックをフィルター処理する」を参照してください。
目的 ソース サービス タグまたは IP アドレス ソース ポート 宛先サービス タグまたは IP アドレス 宛先ポート Notes コネクタ送信 IP アドレスからのトラフィックを許可する <connector-public-outbound-IP-addresses> * 仮想ネットワークと ISE サブネットのアドレス空間 *
ファイアウォールを経由してインターネットへのトラフィックをリダイレクトする強制トンネリングを設定した場合は、強制トンネリングの要件を確認してください。
ISE で使用されるネットワーク ポート
この表は、ISE でのアクセスが要求されるポートとそれらのポートの目的を示しています。 セキュリティ規則をもっと簡単に設定できるように、テーブルのサービス タグは、特定の Azure サービスの IP アドレス プレフィックス グループを表わしています。 明記されている場合、内部 ISE および外部 ISE は、ISE の作成中に選択されたアクセス エンドポイントを意味します。 詳細については、エンドポイント アクセスに関する記事を参照してください。
重要
ソース ポートは一時的なものであるため、すべての規則において、ソース ポートが * に設定されていることを確認してください。
受信セキュリティ規則
| ソース ポート | 宛先ポート | ソース サービス タグまたは IP アドレス | 宛先サービス タグまたは IP アドレス | 目的 | メモ |
|---|---|---|---|---|---|
| * | * | 仮想ネットワークと ISE サブネットのアドレス空間 | 仮想ネットワークと ISE サブネットのアドレス空間 | 仮想ネットワーク内のサブネット間通信。 | トラフィックが仮想ネットワーク内のサブネットの "間" を通過するために必要です。 重要:トラフィックが各サブネット内の "コンポーネント" 間を通過するには、各サブネット内のすべてのポートを開いていることを確認します。 |
| * | 443 | 内部 ISE: VirtualNetwork 外部 ISE:インターネット (またはメモを参照) |
VirtualNetwork | - ロジック アプリへの通信 - ロジック アプリの実行履歴 |
Internet サービス タグを使用する代わりに、これらの項目に発信元 IP アドレスを指定できます。 - ロジック アプリ内の任意の要求トリガーまたは Webhook を呼び出すコンピューターまたはサービス - ロジック アプリの実行履歴へのアクセス元となるコンピューターまたはサービス 重要:このポートを閉じるかブロックすると、要求トリガーまたは Webhook を持つロジック アプリへの呼び出しができなくなります。 また、実行履歴の各ステップの入力と出力にアクセスすることもできなくなります。 ただし、ロジック アプリの実行履歴にアクセスすることはできます。 |
| * | 454 | LogicAppsManagement | VirtualNetwork | Azure Logic Apps デザイナー - 動的プロパティ | 要求は、そのリージョンの受信 IP アドレスに対して Azure Logic Apps アクセス エンドポイントから送信されます。 重要: Azure Government クラウドで作業している場合は、LogicAppsManagement サービス タグが機能しません。 代わりに、Azure Government 用の Azure Logic Apps 受信 IP アドレスを指定する必要があります。 |
| * | 454 | LogicApps | VirtualNetwork | ネットワーク正常性チェック | 要求は、そのリージョンの受信 IP アドレスと送信 IP アドレスに対して Azure Logic Apps アクセス エンドポイントから送信されます。 重要: Azure Government クラウドで作業している場合は、LogicApps サービス タグが機能しません。 代わりに、Azure Government 用の Azure Logic Apps 受信 IP アドレスと送信 IP アドレスの両方を指定する必要があります。 |
| * | 454 | AzureConnectors | VirtualNetwork | コネクタのデプロイ | コネクタをデプロイおよび更新するために必要です。 このポートを閉じたりブロックしたりすると、ISE のデプロイが失敗し、コネクタの更新や修正ができなくなります。このポートを閉じたりブロックしたりすると、ISE のデプロイが失敗し、コネクタの更新や修正ができなくなります。 重要: Azure Government クラウドで作業している場合は、AzureConnectors サービス タグが機能しません。 代わりに、Azure Government 用のマネージド コネクタ送信 IP アドレスを指定する必要があります。 |
| * | 454、455 | AppServiceManagement | VirtualNetwork | App Service の管理の依存関係 | |
| * | 内部 ISE: 454 外部 ISE:443 |
AzureTrafficManager | VirtualNetwork | Azure Traffic Manager からの通信 | |
| * | 3443 | APIManagement | VirtualNetwork | コネクタ ポリシーのデプロイ API Management - 管理エンドポイント |
コネクタ ポリシーのデプロイについては、コネクタをデプロイおよび更新するためにポート アクセスが必要です。 このポートを閉じたりブロックしたりすると、ISE のデプロイが失敗し、コネクタの更新や修正ができなくなります。このポートを閉じたりブロックしたりすると、ISE のデプロイが失敗し、コネクタの更新や修正ができなくなります。 |
| * | 6379 - 6383、(さらに、メモを参照) | VirtualNetwork | VirtualNetwork | ロール インスタンス間での Azure Cache for Redis インスタンスへのアクセス | Azure Cache for Redis で動作する ISE の場合は、Azure Cache for Redis の FAQ で説明されている送信ポートと受信ポートを開く必要があります。 |
送信セキュリティ規則
| ソース ポート | 宛先ポート | ソース サービス タグまたは IP アドレス | 宛先サービス タグまたは IP アドレス | 目的 | メモ |
|---|---|---|---|---|---|
| * | * | 仮想ネットワークと ISE サブネットのアドレス空間 | 仮想ネットワークと ISE サブネットのアドレス空間 | 仮想ネットワーク内のサブネット間通信 | トラフィックが仮想ネットワーク内のサブネットの "間" を通過するために必要です。 重要:トラフィックが各サブネット内の "コンポーネント" 間を通過するには、各サブネット内のすべてのポートを開いていることを確認します。 |
| * | 443、80 | VirtualNetwork | インターネット | ロジック アプリからの通信 | この規則は、Secure Socket Layer (SSL) 証明書の検証に必要です。 このチェックは、内外のさまざまなサイトに対して行われるため、宛先としてインターネットが必要です。 |
| * | 宛先によって異なる | VirtualNetwork | 宛先によって異なる | ロジック アプリからの通信 | 使用するポートは、ロジック アプリでの通信に必要な外部サービスのエンドポイントによって異なります。 たとえば、宛先ポートは、SMTP サービスでは 25 番ポート、SFTP サービスでは 22 番ポートというようになります。 |
| * | 80、443 | VirtualNetwork | AzureActiveDirectory | Microsoft Entra ID | |
| * | 80、443、445 | VirtualNetwork | Storage | Azure Storage の依存関係 | |
| * | 443 | VirtualNetwork | AppService | 接続管理 | |
| * | 443 | VirtualNetwork | AzureMonitor | 診断ログとメトリックの発行 | |
| * | 1433 | VirtualNetwork | SQL | Azure SQL 依存関係 | |
| * | 1886 | VirtualNetwork | AzureMonitor | Azure Resource Health | 正常性の状態を Resource Health に公開するために必要。 |
| * | 5672 | VirtualNetwork | EventHub | ログから Event Hubs ポリシーおよび監視エージェントへの依存関係 | |
| * | 6379 - 6383、(さらに、メモを参照) | VirtualNetwork | VirtualNetwork | ロール インスタンス間での Azure Cache for Redis インスタンスへのアクセス | Azure Cache for Redis で動作する ISE の場合は、Azure Cache for Redis の FAQ で説明されている送信ポートと受信ポートを開く必要があります。 |
| * | 53 | VirtualNetwork | 仮想ネットワーク上のカスタム ドメイン ネーム システム (DNS) サーバーの IP アドレス | DNS 名前解決 | 仮想ネットワークでカスタム DNS サーバーを使用する場合にのみ必要です |
また、App Service Environment (ASE) のアウトバウンド規則を追加する必要があります。
Azure Firewall を使用する場合は、App Service Environment (ASE) の完全修飾ドメイン名 (FQDN) タグを使用してファイアウォールを設定する必要があります。これにより、ASE プラットフォームのトラフィックへの発信アクセスが許可されます。
Azure Firewall 以外のファイアウォール アプライアンスを使用する場合は、App Service Environment に必要とされる、ファイアウォール統合の依存関係にリストされている "すべて" の規則を使用してファイアウォールを設定する必要があります。
強制トンネリングの要件
ファイアウォール経由の強制トンネリングを設定または使用する場合は、ISE の追加の外部依存関係を許可する必要があります。 強制トンネリングを使用すると、インターネットへのトラフィックを、インターネットではなく、仮想プライベート ネットワーク (VPN) や仮想アプライアンスなどの特定のホップにリダイレクトできます。これにより、送信ネットワーク トラフィックを検査および監査することができます。
これらの依存関係へのアクセスが許可されていない場合、ISE のデプロイは失敗し、デプロイされた ISE は動作を停止します。
ユーザー定義のルート
非対称ルーティングを回避するには、以下に一覧表示されているすべての IP アドレスそれぞれに対してインターネットで次ホップとしてルートを定義する必要があります。
サービス エンドポイント
Azure SQL、Storage、Service Bus、KeyVault、および Event Hubs のサービス エンドポイントを有効にする必要があります。これは、ファイアウォールを経由してこれらのサービスにトラフィックを送信することはできないためです。
その他の受信および送信の依存関係
ファイアウォールで、次の受信および送信の依存関係を許可する "必要" があります。
ネットワーク正常性を確認する
ISE メニューの [設定] で、 [ネットワーク正常性] を選択します。 このウィンドウには、サブネットの正常性状態と、他のサービスに対する送信依存関係が表示されます。
注意事項
ISE のネットワークが異常になった場合、ISE によって使用されている内部 App Service Environment (ASE) も異常になることがあります。 ASE が異常な状態になったまま 7 日が過ぎると、ASE は停止されます。 この状態を解決するには、仮想ネットワークのセットアップを確認します。 見つかった問題を解決してから、ISE を再起動します。 そうしないと、90 日後に、停止されている ASE が削除され、ISE を使用できなくなります。 そのため、必要なトラフィックが許可されるよう ISE を正常な状態に保ってください。
詳細については、以下のトピックを参照してください。
ロジック アプリを管理する
ISE 内のロジック アプリを表示および管理できます。
ISE メニューの [設定] で、 [ロジック アプリ] を選択します。
ISE で不要になったロジック アプリを削除するには、それらのロジック アプリを選択し、 [削除] を選択します。 削除することを確認するために、 [はい] を選択します。
注意
子ロジック アプリを削除して再作成する場合は、親ロジック アプリを再保存する必要があります。 再作成された子アプリのメタデータは異なります。 子を再作成した後に親ロジック アプリを再保存しないと、子ロジック アプリへの呼び出しは失敗し、"未承認" というエラーが表示されます。 この動作は、統合アカウントのアーティファクトを使用する親子ロジック アプリや、Azure Functions を呼び出す親子ロジック アプリに当てはまります。
API 接続を管理する
ISE で実行されているロジック アプリによって作成された接続を表示および管理できます。
ISE メニューの [設定] で [API 接続] を選択します。
ISE で不要になった接続を削除するには、それらの接続を選択し、 [削除] を選択します。 削除することを確認するために、 [はい] を選択します。
ISE コネクタを管理する
ISE にデプロイされている API コネクタを表示および管理できます。
ISE メニューの [設定] で、 [マネージド コネクタ] を選択します。
ISE で使用しないコネクタを削除するには、それらのコネクタを選択し、 [削除] を選択します。 削除することを確認するために、 [はい] を選択します。
カスタム コネクタを管理する
ISE にデプロイしたカスタム コネクタを表示および管理できます。
ISE メニューの [設定] で、 [カスタム コネクタ] を選択します。
ISE で不要になったカスタム コネクタを削除するには、それらのコネクタを選択し、 [削除] を選択します。 削除することを確認するために、 [はい] を選択します。
統合アカウントを管理する
ISE メニューの [設定] で、 [統合アカウント] を選択します。
不要になった統合アカウントを ISE から削除するには、該当する統合アカウントを選択し、 [削除] を選択します。
統合アカウントのエクスポート (プレビュー)
ISE 内から作成された Standard 統合アカウントの場合、その統合アカウントを既存の Premium 統合アカウントにエクスポートできます。 エクスポート プロセスには、成果物をエクスポートしてから、契約の状態をエクスポートする 2 つの手順があります。 成果物には、パートナー、契約、証明書、スキーマ、マップが含まれます。 ただし、エクスポート プロセスでは現在、アセンブリと RosettaNet PIP はサポートされていません。
統合アカウントには、AS2 アクションの MIC 番号や X12 アクションの制御番号など、特定の B2B アクションと EDI 標準のランタイム状態も保存されます。 トランザクションが処理されるたびにこれらの状態を更新し、これらの状態をメッセージ調整と重複検出に使用するように契約を構成した場合は、必ずこれらの状態もエクスポートしてください。 すべての契約状態または一度に 1 つの契約状態をエクスポートできます。
重要
状態の不一致を避けるために、ソース統合アカウントに契約内のアクティビティがない時間枠を必ず選択してください。
前提条件
Premium 統合アカウントをお持ちでない場合は、Premium 統合アカウントを作成します。
成果物をエクスポートする
このプロセスにより、成果物がソースからエクスポート先にコピーされます。
Azure portal で、Standard 統合アカウントを開きます。
統合アカウント メニューの [設定] で、[エクスポート] を選択します。
Note
[エクスポート] オプションが表示されない場合は、ISE 内から作成された Standard 統合アカウントを選択していることを確認します。
[エクスポート] ページのツール バーで、[成果物のエクスポート] を選択します。
Azure サブスクリプション内のすべての Premium アカウントを含む [ターゲット統合アカウント] リストを開き、目的の Premium 統合アカウントを選択し、[OK] を選択します。
[エクスポート] ページに、成果物のエクスポート状態が表示されるようになりました。
エクスポートされた成果物を確認するには、エクスポート先の Premium 統合アカウントを開きます。
契約状態のエクスポート (省略可能)
[エクスポート] ページのツール バーで、[契約状態のエクスポート] を選択します。
[契約の状態のエクスポート] ペインで、[ターゲット統合アカウント] リストを開き、目的の Premium 統合アカウントを選択します。
すべての契約状態をエクスポートするには、[契約] リストから契約を選択しないでください。 個々の契約状態をエクスポートするには、[契約] リストから契約を選択します。
終了したら、OK を選択します。
[エクスポート] ページに、契約状態のエクスポート状態が表示されるようになりました。
ISE の容量を追加する
Premium ISE ベース ユニットの容量は固定されているため、さらにスループットが必要な場合は、作成中または作成後にスケール ユニットを追加できます。 Developer SKU には、スケール ユニットを追加する機能が含まれていません。
重要
ISE のスケールアウトには、平均で 20 - 30 分かかる場合があります。
Azure portal で ISE に移動します。
ISE の使用状況とパフォーマンスのメトリックを確認するには、ISE メニューで、 [概要] を選択します。
[設定] で、 [スケールアウト] を選択します。 [構成] ペインで、次のオプションを選択します。
- [Manual scale](手動スケーリング):使用する処理ユニット数に基づいてスケーリングします。
- [カスタム自動スケーリング]:さまざまな条件から選択し、その条件を満たすしきい値条件を指定して、パフォーマンス メトリックに基づいてスケーリングします。
手動でのスケーリング
[Manual scale](手動スケーリング) を選択したら、追加容量について、使用するスケーリング ユニット数を選択します。
終了したら、 [保存] を選択します。
カスタム自動スケーリング
[カスタム自動スケーリング] を選択したら、自動スケーリング設定の名前について、設定の名前を指定し、必要に応じて、設定が属す Azure リソース グループを選択します。
[既定値] 条件について、 [メトリックに基づいてスケーリングする] または [特定のインスタンス数にスケーリングする] のいずれかを選択します。
インスタンスベースを選択した場合は、0 から 10 の範囲で処理ユニット数を入力します。
メトリック ベースを選択した場合は、次の手順に従います。
[ルール] セクションで、 [ルールの追加] を選択します。
[スケール ルール] ウィンドウで、ルールがトリガーされる条件とその際に実行するアクションを設定します。
[インスタンスの制限] で、次の値を指定します。
- 最小:使用する処理ユニットの最小数
- Maximum: 使用する処理ユニットの最大数
- 既定:リソース メトリックの読み取り中に問題が発生した場合は、現在の容量が既定の容量を下回り、自動スケーリングが処理ユニットの既定数に対してスケールアウトされます。 ただし、現在の容量が既定の容量を超えた場合、自動スケーリングはスケールインしません。
他の条件を追加するには、 [スケーリング条件を追加する] を選択します。
自動スケーリングの設定が終了したら、変更を保存します。
ISE を再起動する
DNS サーバーまたはその設定に変更を加えた場合は、それらの変更を ISE が取得できるよう、ISE を再起動する必要があります。 Premium SKU ISE は、リサイクル中に 1 つずつ再起動されるコンポーネントと冗長性を備えているため、再起動してもダウンタイムは発生しません。 ただし Developer SKU ISE は、冗長性を備えていないためダウンタイムが発生します。 詳細については、「ISE SKU」を参照してください。
Azure portal で ISE に移動します。
ISE メニューで [概要] を選択します。 [概要] ツール バーの [再起動] を選択します。
ISE の削除
不要になった ISE、または ISE を含む Azure リソース グループを削除する前に、これらのリソースを含む Azure リソース グループ、または Azure 仮想ネットワークにポリシーやロックがないことを確認してください。これらの項目が削除をブロックする可能性があるからです。
ISE を削除した後、Azure 仮想ネットワークまたはサブネットの削除を試みる前に、最大 9 時間の待機が必要な場合があります。