Compartilhar via


Proteger o tráfego entre aplicativos lógicos Standard e redes virtuais do Azure usando pontos de extremidade privados

Aplica-se a: Aplicativos Lógicos do Azure (Standard)

Para se comunicar de maneira segura e privada entre o fluxo de trabalho do aplicativo lógico Standard e uma rede virtual do Azure, você pode configurar pontos de extremidade privados para o tráfego de entrada e usar a integração de rede virtual para o tráfego de saída.

O ponto de extremidade privado é uma interface de rede que se conecta, de forma privada e segura, a um serviço com tecnologia do Link Privado do Azure. Este serviço pode ser um serviço do Azure, como os Aplicativos Lógicos do Azure, Armazenamento do Azure, o Azure Cosmos DB, o SQL ou o seu Serviço de Link Privado. O ponto de extremidade privado usa um endereço IP privado da rede virtual, que coloca efetivamente o serviço na sua rede virtual.

Este artigo mostra como configurar o acesso através de pontos de extremidade privados para tráfego de entrada e integração de rede virtual para o tráfego de saída.

Para mais informações, consulte a seguinte documentação:

Pré-requisitos

Configurar o tráfego de entrada através de pontos de extremidade privados

Para proteger o tráfego de entrada para seu fluxo de trabalho, conclua estas etapas de alto nível:

  1. Inicie o fluxo de trabalho com um gatilho interno que possa receber e tratar solicitações de entrada, como o gatilho de Solicitação ou o gatilho de Webhook + HTTP. Esse gatilho configura seu fluxo de trabalho com um ponto de extremidade resgatável.

  2. Adicione um ponto de extremidade privado para seu recurso de aplicativo lógico à sua rede virtual.

  3. Faça chamadas de teste para verificar o acesso ao ponto de extremidade. Para chamar o fluxo de trabalho do aplicativo lógico depois de configurar esse ponto de extremidade, você deve estar conectado à rede virtual.

Considerações sobre o tráfego de entrada através de pontos de extremidade privados

  • Se acessado de fora de sua rede virtual, o modo de exibição de monitoramento não poderá acessar as entradas e saídas de gatilhos e ações.

  • Gatilhos de webhook de API gerenciada (gatilhospush) e ações não funcionarão porque são executados na nuvem pública e não podem chamar sua rede privada. Eles exigem um ponto de extremidade público para receber chamadas. Por exemplo, esses gatilhos incluem o gatilho do Dataverse e o gatilho da Grade de Eventos.

  • Se você usar o gatilho do Office 365 Outlook, o fluxo de trabalho será disparado somente por hora.

  • A implantação do Visual Studio Code ou da CLI do Azure funciona somente de dentro da rede virtual. Você pode usar o Centro de Implantação para vincular seu aplicativo lógico a um repositório GitHub. Em seguida, você pode usar a infraestrutura do Azure para criar e implantar seu código.

    Para que a integração do GitHub funcione, remova a WEBSITE_RUN_FROM_PACKAGE configuração do aplicativo lógico ou defina o valor como 0.

  • A habilitação do Link Privado não afeta o tráfego de saída, que ainda flui pela infraestrutura do Serviço de Aplicativo.

Pré-requisitos para tráfego de entrada através de pontos de extremidade privados

Junto com a configuração da rede virtual nos pré-requisitos de nível superior, você precisa ter um fluxo de trabalho de aplicativo lógico Standard novo ou existente que comece com um gatilho interno que possa receber solicitações.

Por exemplo, o gatilho de Solicitação cria um ponto de extremidade no fluxo de trabalho que pode receber e tratar solicitações de entrada de outros chamadores, incluindo fluxos de trabalho. Esse ponto de extremidade fornece uma URL que você pode usar para chamar e disparar o fluxo de trabalho. Para este exemplo, as etapas continuam com o gatilho de Solicitação.

Para obter mais informações, examine Receber e responder a solicitações HTTP de entrada usando os Aplicativos Lógicos do Azure.

Criar o fluxo de trabalho

  1. Caso ainda não tenha feito isso, crie um aplicativo lógico baseado em locatário único e um fluxo de trabalho em branco.

  2. Depois que o designer abrir, adicione o gatilho de Solicitação como a primeira etapa no fluxo de trabalho.

  3. Com base em seus requisitos de cenário, adicione outras ações que você deseja executar em seu fluxo de trabalho.

  4. Quando terminar, salve o fluxo de trabalho.

Para obter mais informações, consulte Criar fluxos de trabalho de aplicativo lógico de locatário único nos Aplicativos Lógicos do Azure.

Copie a URL do ponto de extremidade

  1. No menu de fluxo de trabalho, selecione Visão geral.

  2. Na página Visão geral, copie e salve a URL do Fluxo de Trabalho para uso posterior.

  3. Para testar a URL e disparar o fluxo de trabalho, envie uma solicitação HTTP para a URL usando sua ferramenta de solicitação HTTP e suas instruções.

Configurar conexão de ponto de extremidade privado

  1. No menu de recursos do aplicativo lógico, em Configurações, selecione Rede.

  2. Na página Rede, na seção Configuração do tráfego de entrada, selecione o link ao lado de Pontos de extremidade privados.

  3. Na página Conexões do Ponto de Extremidade Privado, selecione Adicionar>Expressa ou Avançada.

    Para obter mais informações sobre a opção Avançada, confira Criar um ponto de extremidade privado.

  4. No painel Adicionar Ponto de Extremidade Privado, forneça as informações solicitadas sobre o ponto de extremidade.

    Para obter mais informações, consulte Propriedades do ponto de extremidade privado.

  5. Depois que o Azure provisiona com êxito o ponto de extremidade privado, tente novamente chamar a URL do fluxo de trabalho.

    Desta vez, você obterá um erro 403 Forbidden esperado, o que significa que o ponto de extremidade privado está definido e funciona corretamente.

  6. Para garantir que a conexão esteja funcionando corretamente, crie uma máquina virtual na mesma rede virtual que tenha o ponto de extremidade privado e tente chamar o fluxo de trabalho do aplicativo lógico.

Configure o tráfego de saída usando a integração de rede virtual

Para proteger o tráfego de saída de seu aplicativo lógico, você pode integrar seu aplicativo lógico a uma rede virtual. Primeiro, crie e teste um fluxo de trabalho de exemplo. Em seguida, você pode configurar a integração de rede virtual.

Considerações sobre o tráfego de saída através da integração de rede virtual

  • Configurar a integração de rede virtual afeta apenas o tráfego de saída. Para proteger o tráfego de entrada, que continua a usar o ponto de extremidade compartilhado do Serviço de Aplicativo, revise Configurar o tráfego de entrada por meio de pontos de extremidade privados.

  • Você não pode alterar o tamanho da sub-rede após a atribuição, portanto, use uma sub-rede que seja grande o suficiente para acomodar a escala que seu aplicativo pode alcançar. Para evitar problemas com a capacidade de sub-rede, use uma sub-rede /26 com 64 endereços. Se você criar a sub-rede para integração de rede virtual com o portal do Azure, deverá usar /27 como o tamanho mínimo da sub-rede.

  • Para que o runtime dos Aplicativos Lógicos do Azure funcione, você precisa ter uma conexão ininterrupta com o armazenamento de back-end. Se o armazenamento de back-end for exposto à rede virtual por meio de um ponto de extremidade privado, verifique se as seguintes portas estão abertas:

    Porta de origem Porta de destino Fonte Destino Protocolo Finalidade
    * 443 Sub-rede integrada ao aplicativo lógico Standard Conta de armazenamento TCP Conta de armazenamento
    * 445 Sub-rede integrada ao aplicativo lógico Standard Conta de armazenamento TCP Compartilhamento de arquivos SMB (protocolo SMB)
  • Para que os conectores gerenciados hospedados no Azure funcionem, você precisa ter uma conexão ininterrupta com o serviço de API gerenciada. Com a integração de rede virtual, verifique se nenhuma política de segurança de rede ou firewall bloqueia essas conexões. Se sua rede virtual usa um NSG (grupo de segurança de rede), uma UDR (tabela de rotas definida pelo usuário) ou um firewall, verifique se a rede virtual permite conexões de saída para todos os endereços IP do conector gerenciado na região correspondente. Caso contrário, os conectores gerenciados pelo Azure não funcionarão.

Para saber mais, consulte a seguinte documentação:

Criar e testar o fluxo de trabalho

  1. Caso ainda não tenha feito isso, crie um aplicativo lógico baseado em locatário único e um fluxo de trabalho em branco no portal do Azure.

  2. Depois que o designer abrir, adicione o gatilho de Solicitação como a primeira etapa no fluxo de trabalho.

  3. Adicione uma ação HTTP para chamar um serviço interno que não esteja disponível pela Internet e seja executado com um endereço IP privado, como 10.0.1.3.

  4. Quando terminar, salve o fluxo de trabalho.

  5. No designer, execute manualmente o fluxo de trabalho.

    A ação HTTP falha, o que é proposital e esperado porque o fluxo de trabalho é executado na nuvem e não pode acessar seu serviço interno.

Configurar integração de rede virtual

  1. No portal do Azure, no menu de recursos do aplicativo lógico, em Configurações, selecione Rede.

  2. Na página Rede, na seção Configuração do tráfego de saída, selecione o link ao lado da Integração de rede virtual.

  3. Na página Integração de rede virtual, selecione Adicionar integração de rede virtual.

  4. No painel Adicionar integração de rede virtual, selecione a assinatura, a rede virtual que se conecta ao serviço interno e a sub-rede em que o aplicativo lógico será adicionado. Quando terminar, selecione Conectar.

    Na página Integração de Rede Virtual, por padrão, a configuração Tráfego da Internet de saída é selecionada, que roteia todo o tráfego de saída pela rede virtual. Nesse cenário, a configuração de aplicativo chamada WEBSITE_VNET_ROUTE_ALL é ignorada.

    Para encontrar essa configuração de aplicativo, no menu de recursos do aplicativo lógico, em Configurações, selecione Variáveis de ambiente.

  5. Se você usar seu servidor de nomes de domínio (DNS) com a rede virtual, adicione a configuração de aplicativo WEBSITE_DNS_SERVER, caso não haja uma, e defina o valor como o endereço IP do DNS. Se você tiver um DNS secundário, adicione outra configuração de aplicativo chamada WEBSITE_DNS_ALT_SERVER e defina o valor como o IP para o DNS secundário.

  6. Depois que o Azure provisionar a integração de rede virtual com êxito, tente executar o fluxo de trabalho novamente.

    A ação HTTP agora é executada com êxito.

Próximas etapas