Создание учетных записей интеграции и управление ими для рабочих процессов B2B в Azure Logic Apps с использованием Пакета интеграции Enterprise
Область применения: Azure Logic Apps (Потребление + Стандартный)
Прежде чем создавать рабочие процессы "бизнес-бизнес" (B2B) и корпоративной интеграции, используя Azure Logic Apps, нужно создать ресурс учетной записи интеграции. Эта учетная запись является масштабируемым облачным контейнером в Azure, который упрощает хранение артефактов B2B, которые вы определяете и используете в рабочих процессах для сценариев B2B, и управление ими. Примеры:
Кроме того, нужна учетная запись интеграции для электронного обмена сообщениями B2B с другими организациями. Если другие организации используют протоколы и форматы сообщений, отличающиеся от используемых вашей организацией, нужно преобразовать эти форматы, чтобы система вашей организации могла обработать такие сообщения. С помощью Azure Logic Apps можно создавать рабочие процессы, которые поддерживают следующие стандартные отраслевые протоколы:
Если вы не знакомы с созданием рабочих процессов корпоративной интеграции B2B в Azure Logic Apps, ознакомьтесь с рабочими процессами корпоративной интеграции B2B с Помощью Azure Logic Apps и пакета интеграции Enterprise.
Необходимые компоненты
Учетная запись и подписка Azure. Если у вас еще нет подписки Azure, зарегистрируйтесь для получения бесплатной учетной записи Azure. Убедитесь, что для учетной записи интеграции и ресурса приложения логики используется одна и та же подписка Azure.
Независимо от того, работаете ли вы над рабочим процессом приложения логики или стандартным приложением логики, ресурс приложения логики уже должен существовать, если необходимо связать учетную запись интеграции.
Для ресурсов приложения логики уровня "Потребление" вам нужно установить эту связь, чтобы использовать артефакты из учетной записи интеграции с рабочим процессом. Хотя вы можете создавать артефакты без такой связи, но для использования этих артефактов она нужна. Чтобы создать пример рабочего процесса приложения логики потребления, см . краткое руководство. Создание примера рабочего процесса приложения логики потребления в мультитенантных Azure Logic Apps.
Для ресурсов приложения логики уровня "Стандартный" эта ссылка может потребоваться или необязательна в зависимости от сценария:
Если у вас есть учетная запись интеграции с артефактами, которые вам нужны или которые требуется использовать, свяжите учетную запись интеграции с каждым ресурсом приложения логики уровня "Стандартный", где вы хотите использовать артефакты.
Некоторые соединители учетных записей интеграции, размещенные в Azure, не требуют ссылки и позволяют создать подключение к учетной записи интеграции. Например, например AS2, EDIFACT и X12, не требуют ссылки, но для соединителя AS2 (v2) требуется ссылка.
Встроенные соединители под названием Liquid и Flat File позволяют выбирать сопоставления и схемы, которые вы ранее отправили в ресурс приложения логики или в связанную учетную запись интеграции.
Если у вас нет или вам нужна учетная запись интеграции, можно использовать параметр отправки. В противном случае можно использовать параметр связывания, и при этом вам также не потребуется отправлять сопоставления и схемы в каждый ресурс приложения логики. В любом случае можно использовать эти артефакты во всех дочерних рабочих процессах в одном и том же ресурсе приложения логики.
Чтобы создать пример рабочего процесса приложения логики уровня "Стандартный", см . пример рабочего процесса приложения логики "Стандартный" в azure Logic Apps с одним клиентом.
Учетная запись интеграции Premium поддерживает использование частной конечной точки в виртуальной сети Azure для безопасного взаимодействия с другими ресурсами Azure в той же сети. Учетная запись интеграции, виртуальная сеть и ресурсы Azure также должны существовать в том же регионе Azure. Дополнительные сведения см. в статье "Создание виртуальной сети " и инструкции, описанные в этом руководстве по настройке учетной записи интеграции Premium.
Например, приложение логики уровня "Стандартный" может получить доступ к частной конечной точке, если они существуют в той же виртуальной сети. Однако приложение логики потребления не поддерживает интеграцию виртуальной сети и не может получить доступ к частной конечной точке.
Сведения о создании приложения логики уровня "Стандартный" с интеграцией с виртуальной сетью см. в статье "Создание примера рабочего процесса приложения логики "Стандартный" в azure Logic Apps с одним клиентом.
Сведения о настройке существующего приложения логики "Стандартный" с интеграцией виртуальной сети см. в статье "Настройка интеграции виртуальной сети".
Создание учетной записи интеграции
Учетные записи интеграции доступны на разных уровнях, которые различаются по цене. В зависимости от выбранного уровня создание учетной записи интеграции может повлечь за собой расходы. Дополнительные сведения см. в статье о ценах и моделях выставления счетов Azure Logic Apps и ценах на Azure Logic Apps.
На основе своих требований и сценариев определите подходящий уровень для создаваемой учетной записи интеграции. В следующей таблице содержится описание доступных уровней:
Ваша учетная запись интеграции использует автоматически созданное и назначаемое системой управляемое удостоверение для проверки подлинности доступа.
Уровень | Description |
---|---|
Премиум (предварительная версия) | Примечание. Эта возможность доступна в предварительной версии и распространяется на дополнительные условия использования для предварительных версий Microsoft Azure. Для сценариев со следующими критериями: — Хранение и использование неограниченных артефактов, таких как партнеры, соглашения, схемы, карты, сертификаты и т. д. — Принесите и используйте собственное хранилище, содержащее соответствующие состояния среды выполнения для конкретных действий B2B и стандартов EDI. Например, эти состояния включают номер MIC для действий AS2 и контрольные номера для действий X12, если они настроены для ваших соглашений. Для доступа к этому хранилищу учетная запись интеграции использует управляемое удостоверение, назначаемое системой, которое автоматически создается и включено для учетной записи интеграции. Вы также можете применить к данным больше управления и политик, таких как ключи, управляемые клиентом ("Принести собственный") для шифрования данных. Для хранения этих ключей потребуется хранилище ключей. — настройте и используйте хранилище ключей для хранения частных сертификатов или ключей, управляемых клиентом. Чтобы получить доступ к этим ключам, учетная запись интеграции Premium использует управляемое удостоверение, назначаемое системой, а не общий субъект-служба Azure Logic Apps. — Настройте частную конечную точку, которая создает безопасное подключение между учетной записью интеграции Premium и службами Azure в виртуальной сети Azure. Цены соответствуют ценам на учетную запись интеграции уровня "Стандартный". Примечание. Во время предварительной версии счет Azure использует то же имя и идентификатор счетчика, что и учетная запись интеграции уровня "Стандартный", но изменяется, когда уровень "Премиум" становится общедоступным. Ограничения и известные проблемы: — Если вы используете хранилище ключей для хранения частных сертификатов, управляемое удостоверение учетной записи интеграции может не работать. Теперь используйте управляемое удостоверение приложения логики. — В настоящее время не поддерживает Azure CLI для Azure Logic Apps. |
Стандартные | Для сценариев, в которых имеются более сложные отношения B2B и увеличенное количество объектов, которыми необходимо управлять. Поддерживается Соглашением об уровне обслуживания Azure Logic Apps. |
Базовая | Для сценариев, в которых требуется только обработка сообщений или работа в качестве небольшого партнера по бизнесу, имеющего торговые партнерские связи с более крупным объектом бизнеса. Поддерживается Соглашением об уровне обслуживания Azure Logic Apps. |
Бесплатно | Для исследовательских сценариев, а не для производственных сценариев. Этот уровень имеет границы доступности региона, пропускной способности и потребления. Например, уровень "Бесплатный" доступен только для общедоступных регионов в Azure, например западной части США или юго-восточной Азии, но не для Microsoft Azure, управляемой 21Vianet или Azure для государственных организаций. Примечание. Не поддерживается Соглашением об уровне обслуживания Azure Logic Apps. |
Для этой задачи можно использовать портал Azure, Azure CLI или Azure PowerShell.
Внимание
Для успешного связывания и использования учетной записи интеграции с приложением логики убедитесь, что оба ресурса существуют в одной подписке Azure и одном регионе Azure.
В поле поиска портал Azure введите учетные записи интеграции и выберите учетные записи интеграции.
В разделе Учетные записи интеграции выберите Создать.
На панели Создание учетной записи интеграции укажите следующие сведения о своей учетной записи интеграции:
Свойство Обязательное поле значение Описание Подписка Да <имя-подписки-Azure> Название вашей подписки Azure Группа ресурсов Да <имя-группы-ресурсов-Azure> Имя используемой группы ресурсов Azure для упорядочения связанных ресурсов. Для этого примера создайте группу ресурсов с именем FabrikamIntegration-RG. Имя учетной записи интеграции Да <integration-account-name> Имя учетной записи интеграции, которое может содержать только буквы, цифры, дефисы ( -
), символы подчеркивания (_
), круглые скобки (()
) и точки (.
). В этом примере используется имя Fabrikam-Integration.Ценовая категория Да <pricing-level> Ценовая категория для учетной записи интеграции, которую можно изменить позже. Для этого примера выберите Бесплатный. Дополнительные сведения см. в следующей документации:
- Модель ценообразования приложений логики
- Ограничения и настройка Logic Apps
- Цены на Logic AppsУчетная запись хранения Доступно только для учетной записи интеграции уровня "Премиум" (предварительная версия) нет Имя существующей учетной записи хранения Azure. В этом руководстве этот параметр не применяется. Регион Да <Azure-region> Регион Azure для хранения метаданных вашей учетной записи интеграции. Выберите то же расположение, что и для приложения логики, или создайте ресурс приложения логики в том же расположении, что и учетную запись интеграции. В этом примере используйте регион Западная часть США. Включение анализа журналов No не выбрано В этом примере не выбирайте этот параметр. Когда все будет готово, выберите Просмотр и создание.
После завершения развертывания Azure откроет учетную запись интеграции.
Если вы создали учетную запись интеграции Premium, обязательно настройте доступ к связанной учетной записи хранения Azure. Вы также можете создать частное подключение между учетной записью интеграции Premium и службами Azure, настроив частную конечную точку для учетной записи интеграции.
Настройка доступа к хранилищу для учетной записи интеграции Premium
Для чтения артефактов и записи сведений о состоянии учетная запись интеграции Premium должна получить доступ к выбранной и связанной учетной записи хранения Azure. Учетная запись интеграции использует автоматически созданное и назначаемое системой управляемое удостоверение для проверки подлинности доступа.
В портал Azure откройте учетную запись интеграции Premium.
В меню учетной записи интеграции в разделе "Параметры" выберите "Удостоверение".
На вкладке "Назначаемое системой", где отображается управляемое удостоверение, назначаемое системой, в разделе "Разрешения" выберите назначения ролей Azure.
На панели инструментов назначений ролей Azure выберите "Добавить назначение ролей (предварительная версия)", укажите следующие сведения, нажмите кнопку "Сохранить", а затем повторите для каждой требуемой роли:
Параметр Стоимость Описание Область применения Память Дополнительные сведения см. в статье Общие сведения об области в Azure RBAC. Подписка <Подписка Azure> Подписка Azure для доступа к ресурсу. Ресурс <Azure-storage-account-name> Имя для доступа к учетной записи хранения Azure.
Обратите внимание , что если у вас нет разрешений на добавление назначений ролей в этой области, необходимо получить эти разрешения. Дополнительные сведения см. в статье Встроенные роли Microsoft Entra.Роль - Участник учетной записи хранения
- Участник данных хранилища BLOB-объектов
- Участник данных таблицы хранилищаРоли, необходимые учетной записи интеграции Premium для доступа к учетной записи хранения. Дополнительные сведения см. в статье "Назначение роли Azure управляемому удостоверению, назначаемого системой"
Настройка частной конечной точки для учетной записи интеграции Premium (предварительная версия)
Примечание.
Эта возможность входит в предварительную версию, и на нее распространяются Дополнительные условия использования предварительных версий Microsoft Azure.
Чтобы создать безопасное подключение между учетной записью интеграции Premium и службами Azure, можно настроить частную конечную точку для учетной записи интеграции. Эта конечная точка — это сетевой интерфейс, использующий частный IP-адрес из виртуальной сети Azure. Таким образом, трафик между виртуальной сетью и службами Azure остается в магистральной сети Azure и никогда не проходит через общедоступный Интернет. Частные конечные точки обеспечивают безопасный, частный канал связи между ресурсами и службами Azure, предоставляя следующие преимущества:
Устраняет воздействие на общедоступный Интернет и снижает риски атак.
Помогает вашей организации соответствовать требованиям к конфиденциальности и соответствию данным, сохраняя данные в управляемой и защищенной среде.
Снижает задержку и повышает производительность рабочего процесса, сохраняя трафик в магистральной сети Azure.
Удаляет необходимость сложных сетевых настроек, таких как виртуальные частные сети или ExpressRoute.
Экономит затраты, уменьшая дополнительную сетевую инфраструктуру и избегая исходящего трафика данных через общедоступные конечные точки.
Рекомендации по частным конечным точкам
Тщательно спланируйте архитектуру виртуальной сети и подсети для размещения частных конечных точек. Убедитесь, что вы правильно сегментируете и защищаете подсети.
Убедитесь, что параметры системы доменных имен актуальны и правильно настроены для обработки разрешения имен для частных конечных точек.
Управляйте потоком трафика из частных конечных точек и применяйте строгие политики безопасности с помощью групп безопасности сети.
Тщательно проверьте подключение и производительность учетной записи интеграции, чтобы убедиться, что все работает должным образом с частными конечными точками перед развертыванием в рабочей среде.
Регулярно отслеживайте сетевой трафик в частные конечные точки и из нее. Аудит и анализ шаблонов трафика с помощью таких средств, как Azure Monitor и Центр безопасности Azure.
Создание частной конечной точки
Перед началом работы убедитесь, что у вас есть виртуальная сеть Azure с соответствующими подсетями и группами безопасности сети для управления и безопасного трафика.
В портал Azure в поле поиска введите частную конечную точку и выберите частные конечные точки.
На странице частных конечных точек нажмите кнопку "Создать".
На вкладке Основные сведения укажите следующую информацию.
Свойство Значение Подписка <Подписка Azure> Группа ресурсов <Azure-resource-group> Имя <частная конечная точка> Имя сетевого интерфейса <частная конечная точка-сетевой> адаптер Регион <Azure-region> На вкладке "Ресурс" укажите следующие сведения:
Свойство Значение Метод подключения - Подключитесь к ресурсу Azure в моем каталоге: создает частную конечную точку, которая автоматически утверждена и готова к немедленному использованию. Свойство состояния подключения конечной точки имеет значение "Утверждено" после создания.
- Подключитесь к ресурсу Azure по идентификатору ресурса или псевдониму: создайте частную конечную точку, утвержденную вручную и требующую утверждения администратора данных, прежде чем любой пользователь сможет использовать. Свойство состояния подключения конечной точки имеет значение "Ожидание" после создания.
Примечание. Если конечная точка утверждена вручную, вкладка DNS недоступна.Подписка <Подписка Azure> Тип ресурса Microsoft.Logic/integrationAccounts Ресурс <Учетная запись premium-integration-account> Целевой вложенный ресурс integrationAccount На вкладке виртуальная сеть укажите вируативную сеть и подсеть, где нужно создать конечную точку:
Свойство Значение Виртуальная сеть <виртуальная сеть> Подсеть <подсеть для конечной точки> Виртуальная сеть использует сетевой интерфейс, подключенный к частной конечной точке.
На вкладке DNS укажите следующие сведения, чтобы убедиться, что aps может разрешить частный IP-адрес учетной записи интеграции. Возможно, потребуется настроить частную зону DNS и связаться с виртуальной сетью.
Свойство Значение Подписка <Подписка Azure> Группа ресурсов <Azure-resource-group-for-private-DNS-zone> После завершения подтвердите все предоставленные сведения и нажмите кнопку "Создать".
Убедившись, что Azure создала частную конечную точку, проверьте подключение и проверьте настройку, чтобы убедиться, что ресурсы в виртуальной сети могут безопасно подключаться к учетной записи интеграции через частную конечную точку.
Просмотр ожидающих подключений конечных точек
Для частной конечной точки, требующей утверждения, выполните следующие действия.
В портал Azure перейдите на страницу Приватный канал.
В меню слева выберите "Ожидающие подключения".
Утверждение ожидающей частной конечной точки
Для частной конечной точки, требующей утверждения, выполните следующие действия.
В портал Azure перейдите на страницу Приватный канал.
В меню слева выберите "Ожидающие подключения".
Выберите ожидающий подключения. На панели инструментов нажмите кнопку "Утвердить". Дождитесь завершения операции.
Свойство состояния подключения конечной точки изменяется на "Утверждено".
Включение вызовов приложения логики уровня "Стандартный" через частную конечную точку в учетной записи интеграции Premium
- Выберите один из следующих параметров:
Сведения о создании приложения логики уровня "Стандартный" с интеграцией с виртуальной сетью см. в статье "Создание примера рабочего процесса приложения логики "Стандартный" в azure Logic Apps с одним клиентом.
Сведения о настройке существующего приложения логики "Стандартный" с интеграцией виртуальной сети см. в статье "Настройка интеграции виртуальной сети".
Чтобы выполнить вызовы через частную конечную точку , включите действие HTTP в рабочий процесс приложения логики "Стандартный", где требуется вызвать учетную запись интеграции.
В портал Azure перейдите к учетной записи интеграции Premium. В меню учетной записи интеграции в разделе "Параметры" выберите URL-адрес обратного вызова и скопируйте URL-адрес.
В действии HTTP рабочего процесса на вкладке "Параметры " в свойстве URI введите URL-адрес обратного вызова, используя следующий формат:
https://{domain-name}-{integration-account-ID}.cy.integrationaccounts.microsoftazurelogicapps.net:443/integrationAccounts/{integration-account-ID}?api-version=2015-08-01-preview&sp={sp}&sv={sv}&sig={sig}
В следующем примере показаны примеры значений:
https://prod-02-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.cy.integrationaccounts.microsoftazurelogicapps.net:443/integrationAccounts/XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX?api-version=2015-08-01-preview&sp={sp}&sv={sv}&sig={sig}
Для свойства метода действия HTTP выберите GET.
Завершите настройку действия HTTP по мере необходимости и проверьте рабочий процесс.
Привязка к приложению логики
Для успешного связывания учетной записи интеграции с ресурсом приложения логики убедитесь, что оба ресурса существуют в одной подписке Azure и одном регионе Azure.
В этом разделе описано, как выполнить эту задачу с помощью портала Azure. Если вы используете Visual Studio и приложение логики находится в проекте группы ресурсов Azure, вы можете связать приложение логики с учетной записью интеграции с помощью Visual Studio.
Откройте ресурс приложения логики на портале Azure.
В меню навигации приложения логики в разделе Параметры выберите Параметры рабочего процесса. В разделе Учетная запись интеграции откройте список Выберите учетную запись интеграции и выберите нужную учетную запись интеграции.
Чтобы завершить связывание, нажмите кнопку Сохранить.
После успешной привязки учетной записи интеграции к приложению логики в Azure отобразится подтверждение.
Теперь рабочий процесс приложения логики может использовать артефакты, содержащиеся в учетной записи интеграции, а также соединители B2B, например проверку XML и кодирование и декодирование неструктурированного файла.
Смена ценовой категории
Чтобы увеличить ограничения для учетной записи интеграции, можно выполнить обновление до более высокой ценовой категории, если она доступна. Например, можно обновить уровень "Бесплатный" до уровня "Базовый", "Стандартный" или "Премиум". Можно также перейти на более низкую категорию, если она доступна. Для получения дополнительной информации о ценах просмотрите следующую документацию:
Обновление ценовой категории
Чтобы внести это изменение, можно использовать либо портал Azure, либо Azure CLI.
В поле поиска портал Azure введите учетные записи интеграции и выберите учетные записи интеграции.
Azure отображает все учетные записи интеграции в подписках Azure.
В разделе Учетные записи интеграции выберите учетную запись интеграции, которую необходимо переместить. В меню ресурсов учетной записи интеграции выберите "Обзор".
На странице "Обзор" выберите ценовую категорию обновления, в которой перечислены все доступные более высокие уровни. После выбора категории изменение вступает в силу немедленно.
Понижение уровня ценовой категории
Чтобы внести это изменение, используйте Azure CLI.
Установите обязательные компоненты для Azure CLI, если это еще не сделано.
На портале Azure откройте среду Azure Cloud Shell.
В командной строке введите команду az resource и установите для
skuName
более низкую категорию.az resource update --resource-group <resourceGroupName> --resource-type Microsoft.Logic/integrationAccounts --name <integrationAccountName> --subscription <AzureSubscriptionID> --set sku.name=<skuName>
Например, если у вас категория "Стандартный", можно задать для
skuName
значениеBasic
:az resource update --resource-group FabrikamIntegration-RG --resource-type Microsoft.Logic/integrationAccounts --name Fabrikam-Integration --subscription XXXXXXXXXXXXXXXXX --set sku.name=Basic
Удаление привязки к приложению логики
Чтобы связать приложение логики с другой учетной записью интеграции или прекратить использование учетной записи интеграции в приложении логики, можно удалить привязку, используя обозреватель ресурсов Azure.
В браузере перейдите в обозреватель ресурсов Azure (https://resources.azure.com). Войдите, используя свои учетные данные Azure.
В поле поиска введите имя приложения логики, чтобы найти и открыть нужное приложение логики.
В строке заголовка обозревателя выберите Чтение и запись.
На вкладке Данные выберите Изменить.
В редакторе найдите объект integrationAccount , имеющий следующий формат, и удалите объект:
{ // <other-attributes> "integrationAccount": { "name": "<integration-account-name>", "id": "<integration-account-resource-ID>", "type": "Microsoft.Logic/integrationAccounts" }, }
Например:
На вкладке Данные нажмите кнопку Отправить, чтобы сохранить изменения.
Откройте приложение логики на портале Azure. В меню приложения логики в разделе "Параметры рабочего процесса" убедитесь, что свойство учетной записи интеграции теперь отображается пустым.
Перемещение учетной записи интеграции
Вы можете переместить учетную запись интеграции в другую группу ресурсов или подписку Azure. При перемещении ресурсов Azure создает новые идентификаторы ресурсов, поэтому убедитесь, что вместо них используются новые идентификаторы, и обновите все сценарии или инструменты, связанные с перемещенными ресурсами. Если вы хотите изменить подписку, необходимо также указать имеющуюся или новую группу ресурсов.
Для этой задачи можно использовать либо портал Azure, выполнив действия, описанные в этом разделе, либо Azure CLI.
В поле поиска портал Azure введите учетные записи интеграции и выберите учетные записи интеграции.
Azure отображает все учетные записи интеграции в подписках Azure.
В разделе Учетные записи интеграции выберите учетную запись интеграции, которую необходимо переместить. В меню учетной записи интеграции выберите Обзор.
На странице "Обзор" рядом с именем группы ресурсов или подписки выберите изменение.
Выберите связанные ресурсы, которые также необходимо переместить.
В зависимости от выбранного варианта выполните следующие действия, чтобы изменить группу ресурсов или подписку.
Группа ресурсов: в списке Группа ресурсов выберите целевую группу ресурсов. Чтобы создать другую группу ресурсов, выберите Создать группу ресурсов.
Подписка: в списке Подписка выберите целевую подписку. В списке Группа ресурсов выберите целевую группу ресурсов. Чтобы создать другую группу ресурсов, выберите Создать группу ресурсов.
Чтобы подтвердить, что вы понимаете, что все скрипты и инструменты, связанные с перемещенными ресурсами, перестанут работать до тех пор, пока вы не укажете в них новые идентификаторы ресурсов, установите флажок подтверждения и нажмите кнопку ОК.
По завершении убедитесь, что во всех скриптах используются новые идентификаторы для перемещенных ресурсов.
Удаление учетной записи интеграции
Для этой задачи можно использовать либо портал Azure, выполнив действия, описанные в этом разделе, либо Azure CLI или Azure PowerShell.
В поле поиска портал Azure введите учетные записи интеграции и выберите учетные записи интеграции.
Azure отображает все учетные записи интеграции в подписках Azure.
В разделе Учетные записи интеграции выберите учетную запись интеграции, которую необходимо удалить. В меню учетной записи интеграции выберите Обзор.
На странице Обзор выберите Удалить.
Чтобы подтвердить удаление учетной записи интеграции, выберите Да.