Dostęp do sieci wirtualnych platformy Azure z usługi Azure Logic Apps przy użyciu środowiska usługi integracji (ISE)

  • Artykuł

Ważne

31 sierpnia 2024 r. zasób ISE zostanie wycofany ze względu na zależność od usługi Azure Cloud Services (wersja klasyczna), która zostanie wycofana w tym samym czasie. Przed datą wycofania wyeksportuj wszystkie aplikacje logiki ze standardowego oprogramowania ISE do standardowych aplikacji logiki, aby uniknąć zakłóceń w działaniu usługi. Standardowe przepływy pracy aplikacji logiki działają w usłudze Azure Logic Apps z jedną dzierżawą i zapewniają te same możliwości oraz więcej. Na przykład standardowe przepływy pracy obsługują używanie prywatnych punktów końcowych dla ruchu przychodzącego, dzięki czemu przepływy pracy mogą komunikować się prywatnie i bezpiecznie z sieciami wirtualnymi. Standardowe przepływy pracy obsługują również integrację sieci wirtualnej dla ruchu wychodzącego. Aby uzyskać więcej informacji, zobacz Zabezpieczanie ruchu między sieciami wirtualnymi i usługą Azure Logic Apps z jedną dzierżawą przy użyciu prywatnych punktów końcowych.

Od 1 listopada 2022 r. możliwość tworzenia nowych zasobów ŚRODOWISKA ISE nie jest już dostępna, co oznacza również, że możliwość konfigurowania własnych kluczy szyfrowania, znanych jako "Bring Your Own Key" (BYOK) podczas tworzenia środowiska ISE przy użyciu interfejsu API REST usługi Logic Apps nie jest już dostępna. Jednak zasoby ISE istniejące przed tą datą są obsługiwane do 31 sierpnia 2024 r.

Więcej informacji można znaleźć w następujących zasobach:

Ten przegląd zawiera więcej informacji na temat sposobu, w jaki środowisko ISE współpracuje z siecią wirtualną, korzyści wynikające zużywania środowiska ISE, różnice między dedykowaną i wielodostępną usługą Logic Apps oraz sposób bezpośredniego uzyskiwania dostępu do zasobów, które znajdują się wewnątrz sieci wirtualnej platformy Azure lub do niej połączone.

Jak środowisko ISE współpracuje z siecią wirtualną

Podczas tworzenia środowiska ISE wybierasz sieć wirtualną platformy Azure, w której platforma Azure ma wprowadzać lub wdrażać środowisko ISE. Podczas tworzenia aplikacji logiki i kont integracji, które wymagają dostępu do tej sieci wirtualnej, możesz wybrać środowisko ISE jako lokalizację hosta dla tych aplikacji logiki i kont integracji. Wewnątrz środowiska ISE aplikacje logiki działają na dedykowanych zasobach niezależnie od innych w środowisku usługi Azure Logic Apps z wieloma dzierżawami. Dane w środowisku ISE pozostają w tym samym regionie, w którym tworzysz i wdrażasz środowisko ISE.

Zrzut ekranu przedstawia Azure Portal z wybranym środowiskiem usługi integracji.

Dlaczego warto używać rozwiązania ISE

Uruchamianie przepływów pracy aplikacji logiki we własnym osobnym dedykowanym wystąpieniu pomaga zmniejszyć wpływ, jaki mogą mieć inne dzierżawy platformy Azure na wydajność aplikacji, znaną również jako efekt "hałaśliwych sąsiadów". Platforma ISE zapewnia również następujące korzyści:

  • Bezpośredni dostęp do zasobów, które znajdują się wewnątrz sieci wirtualnej lub są połączone z nią

    Aplikacje logiki tworzone i uruchamiane w środowisku ISE mogą używać specjalnie zaprojektowanych łączników uruchamianych w środowisku ISE. Jeśli łącznik ISE istnieje dla lokalnego systemu lub źródła danych, możesz nawiązać połączenie bezpośrednio bez konieczności korzystania z lokalnej bramy danych. Aby uzyskać więcej informacji, zobacz Dedykowane i wielodostępne oraz Dostęp do systemów lokalnych w dalszej części tego tematu.

  • Ciągły dostęp do zasobów, które znajdują się poza siecią wirtualną lub nie są połączone z nią

    Aplikacje logiki tworzone i uruchamiane w środowisku ISE nadal mogą używać łączników uruchamianych w usłudze Logic Apps z wieloma dzierżawami, gdy łącznik specyficzny dla środowiska ISE jest niedostępny. Aby uzyskać więcej informacji, zobacz Dedykowane i wielodostępne.

  • Własne statyczne adresy IP, które są oddzielone od statycznych adresów IP udostępnianych przez aplikacje logiki w usłudze wielodostępnej. Można również skonfigurować pojedynczy publiczny, statyczny i przewidywalny adres IP ruchu wychodzącego w celu komunikowania się z systemami docelowymi. W ten sposób nie trzeba konfigurować dodatkowych otworów zapory w tych systemach docelowych dla każdego ze środowisk ISE.

  • Zwiększone limity czasu trwania uruchamiania, przechowywania magazynu, przepływności, limitów czasu żądań HTTP i odpowiedzi, rozmiarów komunikatów i żądań łącznika niestandardowego. Aby uzyskać więcej informacji, zobacz Limity i konfiguracja usługi Azure Logic Apps.

Dedykowana a wielodostępna

Podczas tworzenia i uruchamiania aplikacji logiki w środowisku ISE uzyskujesz te same środowiska użytkownika i podobne możliwości co usługa Logic Apps z wieloma dzierżawami. Możesz użyć wszystkich wbudowanych wyzwalaczy, akcji i zarządzanych łączników, które są dostępne w usłudze Logic Apps z wieloma dzierżawami. Niektóre zarządzane łączniki oferują dodatkowe wersje ise. Różnica między łącznikami ISE i łącznikami innych niż ISE istnieje w miejscu, w którym są uruchamiane, oraz etykiety, które mają w aplikacji logiki Projektant podczas pracy w środowisku ISE.

Łączniki z etykietami i bez etykiet w środowisku ISE

  • Wbudowane wyzwalacze i akcje, takie jak HTTP, wyświetlają etykietę CORE i są uruchamiane w tym samym środowisku ISE co aplikacja logiki.

  • Zarządzane łączniki, które wyświetlają etykietę ISE , są specjalnie zaprojektowane dla środowisk ISE i zawsze działają w tym samym środowisku ISE co aplikacja logiki. Oto na przykład niektóre łączniki, które oferują wersje ISE:

    • Azure Blob Storage, File Storage i Table Storage
    • Azure Service Bus, kolejki platformy Azure, Azure Event Hubs
    • Azure Automation, azure Key Vault, Azure Event Grid i dzienniki usługi Azure Monitor
    • FTP, SFTP-SSH, system plików i SMTP
    • SAP, IBM MQ, IBM DB2 i IBM 3270
    • SQL Server, Azure Synapse Analytics, Azure Cosmos DB
    • AS2, X12 i EDIFACT

    Z rzadkimi wyjątkami, jeśli łącznik ISE jest dostępny dla lokalnego systemu lub źródła danych, możesz nawiązać połączenie bezpośrednio bez korzystania z lokalnej bramy danych. Aby uzyskać więcej informacji, zobacz Dostęp do systemów lokalnych w dalszej części tego tematu.

  • Zarządzane łączniki, które nie wyświetlają etykiety ISE , nadal działają dla aplikacji logiki wewnątrz isE. Te łączniki są zawsze uruchamiane w usłudze Logic Apps z wieloma dzierżawami, a nie w środowisku ISE.

  • Łączniki niestandardowe tworzone poza środowiskiem ISE, bez względu na to, czy wymagają lokalnej bramy danych, nadal działają w przypadku aplikacji logiki wewnątrz środowiska ISE. Jednak łączniki niestandardowe tworzone wewnątrz środowiska ISE nie będą działać z lokalną bramą danych. Aby uzyskać więcej informacji, zobacz Dostęp do systemów lokalnych.

Dostęp do systemów lokalnych

Przepływy pracy aplikacji logiki uruchamiane wewnątrz środowiska ISE mogą uzyskiwać bezpośredni dostęp do systemów lokalnych i źródeł danych, które znajdują się wewnątrz sieci wirtualnej platformy Azure lub są połączone z nią przy użyciu następujących elementów:

  • Wyzwalacz lub akcja HTTP, która wyświetla etykietę CORE

  • Łącznik ISE , jeśli jest dostępny, dla systemu lokalnego lub źródła danych

    Jeśli łącznik ISE jest dostępny, możesz uzyskać bezpośredni dostęp do systemu lub źródła danych bez lokalnej bramy danych. Jeśli jednak musisz uzyskać dostęp do SQL Server z poziomu środowiska ISE i uwierzytelniania systemu Windows, musisz użyć wersji innej niż ISE łącznika i lokalnej bramy danych. Wersja środowiska ISE łącznika nie obsługuje uwierzytelniania systemu Windows. Aby uzyskać więcej informacji, zobacz Łączniki ISE i Łączenie ze środowiska usługi integracji.

  • Łącznik niestandardowy

    • Łączniki niestandardowe tworzone poza środowiskiem ISE, bez względu na to, czy wymagają lokalnej bramy danych, nadal działają w przypadku aplikacji logiki wewnątrz środowiska ISE.

    • Łączniki niestandardowe tworzone wewnątrz środowiska ISE nie działają z lokalną bramą danych. Jednak te łączniki mogą uzyskiwać bezpośredni dostęp do systemów lokalnych i źródeł danych, które znajdują się wewnątrz sieci wirtualnej lub są połączone z siecią wirtualną, która hostuje środowisko ISE. Dlatego aplikacje logiki, które znajdują się wewnątrz środowiska ISE, zwykle nie potrzebują bramy danych podczas uzyskiwania dostępu do tych zasobów.

Aby uzyskać dostęp do lokalnych systemów i źródeł danych, które nie mają łączników ŚRODOWISKA ISE, znajdują się poza siecią wirtualną lub nie są połączone z siecią wirtualną, nadal musisz użyć lokalnej bramy danych. Aplikacje logiki w środowisku ISE mogą nadal korzystać z łączników, które nie mają etykiety CORE lub ISE . Te łączniki działają w usłudze Logic Apps z wieloma dzierżawami, a nie w środowisku ISE.

Zaszyfrowane dane magazynowane

Domyślnie usługa Azure Storage na potrzeby szyfrowania danych używa kluczy zarządzanych przez firmę Microsoft. Usługa Azure Logic Apps korzysta z usługi Azure Storage do przechowywania i automatycznego szyfrowania danych magazynowanych. To szyfrowanie chroni dane i pomaga sprostać wymaganiom w zakresie bezpieczeństwa i zgodności w organizacji. Aby uzyskać więcej informacji na temat sposobu działania szyfrowania usługi Azure Storage, zobacz Szyfrowanie usługi Azure Storage dla danych magazynowanych i Szyfrowanie danych w spoczynku azure.

Aby uzyskać większą kontrolę nad kluczami szyfrowania używanymi przez usługę Azure Storage, środowisko ISE obsługuje używanie własnego klucza i zarządzanie nim przy użyciu usługi Azure Key Vault. Ta funkcja jest również znana jako "Bring Your Own Key" (BYOK), a klucz jest nazywany "kluczem zarządzanym przez klienta". Ta funkcja jest jednak dostępna tylko podczas tworzenia własnego programu ISE, a nie później. Nie można wyłączyć tego klucza po utworzeniu programu ISE. Obecnie nie ma obsługi rotacji klucza zarządzanego przez klienta dla środowiska ISE.

  • Obsługa klucza zarządzanego przez klienta dla środowiska ISE jest dostępna tylko w następujących regionach:

    • Azure: Zachodnie stany USA 2, Wschodnie stany USA i Południowo-środkowe stany USA.

    • Azure Government: Arizona, Virginia i Texas.

  • Magazyn kluczy, w którym przechowywany jest klucz zarządzany przez klienta, musi istnieć w tym samym regionie świadczenia usługi Azure co środowisko ISE.

  • Aby obsługiwać klucze zarządzane przez klienta, środowisko ISE wymaga włączenia tożsamości zarządzanej przypisanej przez system lub przypisanej przez użytkownika. Ta tożsamość umożliwia środowisku ISE uwierzytelnianie dostępu do zabezpieczonych zasobów, takich jak maszyny wirtualne i inne systemy lub usługi, które znajdują się w sieci wirtualnej platformy Azure lub są połączone z nią. W ten sposób nie musisz logować się przy użyciu swoich poświadczeń.

  • Musisz przyznać magazynowi kluczy dostęp do tożsamości zarządzanej środowiska ISE, ale czas zależy od używanej tożsamości zarządzanej.

    • Tożsamość zarządzana przypisana przez system: w ciągu 30 minut po wysłaniu żądania HTTPS PUT, które tworzy twój program ISE. W przeciwnym razie tworzenie programu ISE kończy się niepowodzeniem i występuje błąd uprawnień.

    • Tożsamość zarządzana przypisana przez użytkownika: przed wysłaniem żądania HTTPS PUT, które tworzy środowisko ISE

Jednostki SKU ISE

Podczas tworzenia środowiska ISE możesz wybrać jednostkę SKU dewelopera lub jednostkę SKU Premium. Ta opcja jednostki SKU jest dostępna tylko podczas tworzenia jednostki ISE i nie można jej później zmienić. Poniżej przedstawiono różnice między tymi jednostkami SKU:

  • Deweloper

    Zapewnia niższy koszt środowiska ISE, którego można użyć do eksploracji, eksperymentów, programowania i testowania, ale nie do testowania produkcyjnego lub wydajnościowego. Jednostka SKU dewelopera obejmuje wbudowane wyzwalacze i akcje, łączniki standardowe, łączniki dla przedsiębiorstw i jedno konto integracji w warstwie Bezpłatna dla stałej miesięcznej ceny.

    Ważne

    Ta jednostka SKU nie ma umowy dotyczącej poziomu usług (SLA), możliwości skalowania w górę ani nadmiarowości podczas recyklingu, co oznacza, że mogą wystąpić opóźnienia lub przestoje. Aktualizacje zaplecza mogą sporadycznie przerywać usługę.

    Aby uzyskać informacje o pojemności i limitach, zobacz Limity isE w usłudze Azure Logic Apps. Aby dowiedzieć się, jak działa rozliczenia dla ises, zobacz Model cen usługi Logic Apps.

  • Premium

    Zapewnia środowisko ISE, którego można użyć do testowania produkcyjnego i wydajnościowego. Jednostka SKU w warstwie Premium obejmuje obsługę umów SLA, wbudowane wyzwalacze i akcje, łączniki standardowe, łączniki dla przedsiębiorstw, konto integracji z pojedynczą warstwą Standardowa , możliwość skalowania w górę i nadmiarowość podczas recyklingu dla stałej ceny miesięcznej.

    Aby uzyskać informacje o pojemności i limitach, zobacz Limity isE w usłudze Azure Logic Apps. Aby dowiedzieć się, jak działa rozliczenia dla ises, zobacz Model cen usługi Logic Apps.

Dostęp do punktu końcowego ISE

Podczas tworzenia środowiska ISE można użyć wewnętrznych lub zewnętrznych punktów końcowych dostępu. Wybór określa, czy wyzwalacze żądań lub elementów webhook w aplikacjach logiki w środowisku ISE mogą odbierać wywołania spoza sieci wirtualnej. Te punkty końcowe mają również wpływ na sposób uzyskiwania dostępu do danych wejściowych i wyjściowych z historii przebiegów aplikacji logiki.

Ważne

Możesz wybrać punkt końcowy dostępu tylko podczas tworzenia ise i nie można później zmienić tej opcji.

  • Wewnętrzne: prywatne punkty końcowe zezwalają na wywołania aplikacji logiki w środowisku ISE, gdzie można wyświetlać dane wejściowe i wyjściowe oraz uzyskiwać do niej dostęp z historii uruchamiania przepływu pracy aplikacji logiki tylko z poziomu sieci wirtualnej.

    Ważne

    Jeśli musisz użyć tych wyzwalaczy opartych na elementach webhook, a usługa znajduje się poza siecią wirtualną i równorzędnymi sieciami wirtualnymi, użyj zewnętrznych punktów końcowych, a nie wewnętrznych punktów końcowych podczas tworzenia środowiska ISE:

    • Azure DevOps
    • Azure Event Grid
    • Common Data Service
    • Office 365
    • SAP (wersja z wieloma dzierżawami)

    Upewnij się również, że masz łączność sieciową między prywatnymi punktami końcowymi a komputerem, z którego chcesz uzyskać dostęp do historii uruchamiania. W przeciwnym razie podczas próby wyświetlenia historii uruchamiania przepływu pracy zostanie wyświetlony komunikat o błędzie "Nieoczekiwany błąd. Nie można pobrać".

    Zrzut ekranu przedstawia Azure Portal i błąd akcji usługi Azure Storage, który wynika z braku możliwości wysyłania ruchu przez zaporę.

    Na przykład komputer kliencki może istnieć w sieci wirtualnej środowiska ISE lub w sieci wirtualnej połączonej z siecią wirtualną środowiska ISE za pośrednictwem komunikacji równorzędnej lub wirtualnej sieci prywatnej.

  • Zewnętrzne: publiczne punkty końcowe zezwalają na wywołania przepływów pracy aplikacji logiki w środowisku ISE, w których można wyświetlać dane wejściowe i wyjściowe oraz uzyskiwać do ich dostępu z historii przebiegów aplikacji logiki spoza sieci wirtualnej. Jeśli używasz sieciowych grup zabezpieczeń, upewnij się, że są one skonfigurowane z regułami ruchu przychodzącego, aby zezwolić na dostęp do danych wejściowych i wyjściowych historii uruchamiania.

Aby określić, czy środowisko ISE używa wewnętrznego lub zewnętrznego punktu końcowego dostępu, w menu środowiska ISE w obszarze Ustawienia wybierz pozycję Właściwości i znajdź właściwość punktu końcowego dostępu :

Zrzut ekranu przedstawiający Azure Portal, menu środowiska ISE z opcjami wybranymi dla pozycji Ustawienia, Właściwości i Punkt końcowy dostępu.

Model cen

Aplikacje logiki, wbudowane wyzwalacze, wbudowane akcje i łączniki uruchamiane w środowisku ISE używają stałego planu cenowego, który różni się od planu cenowego Zużycie. Aby uzyskać więcej informacji, zobacz Model cen usługi Azure Logic Apps. Aby uzyskać ceny, zobacz Cennik usługi Azure Logic Apps.

Konta integracji z platformą ISE

Możesz używać kont integracji z aplikacjami logiki wewnątrz środowiska usługi integracji (ISE). Jednak te konta integracji muszą używać tego samego środowiska ISE co połączone aplikacje logiki. Aplikacje logiki w środowisku ISE mogą odwoływać się tylko do tych kont integracji, które znajdują się w tym samym środowisku ISE. Podczas tworzenia konta integracji możesz wybrać środowisko ISE jako lokalizację konta integracji. Aby dowiedzieć się, jak działają ceny i rozliczenia dla kont integracji ze środowiskiem ISE, zobacz model cen usługi Azure Logic Apps. Aby uzyskać ceny, zobacz Cennik usługi Azure Logic Apps. Aby uzyskać informacje o limitach, zobacz Limity kont integracji.

Następne kroki