Gerir o ambiente de serviço de integração (ISE) no Azure Logic Apps
Importante
Em 31 de agosto de 2024, o recurso ISE será aposentado, devido à sua dependência dos Serviços de Nuvem do Azure (clássico), que se aposenta ao mesmo tempo. Antes da data de desativação, exporte todos os aplicativos lógicos do ISE para os aplicativos lógicos padrão para evitar a interrupção do serviço. Os fluxos de trabalho de aplicativos lógicos padrão são executados em Aplicativos Lógicos do Azure de locatário único e fornecem os mesmos recursos e muito mais.
A partir de 1º de novembro de 2022, você não poderá mais criar novos recursos do ISE. No entanto, os recursos do ISE existentes antes dessa data são suportados até 31 de agosto de 2024. Para obter mais informações, consulte os seguintes recursos:
- ISE Retirement - o que precisa de saber
- Inquilino único versus multilocatário e ambiente de serviço de integração para Aplicativos Lógicos do Azure
- Preços dos Aplicativos Lógicos do Azure
- Exportar fluxos de trabalho ISE para um aplicativo lógico padrão
- O ambiente do Integration Services será desativado em 31 de agosto de 2024 - transição para o Logic Apps Standard
- O modelo de implantação dos Serviços de Nuvem (clássico) será desativado em 31 de agosto de 2024
Este artigo mostra como executar tarefas de gerenciamento para seu ambiente de serviço de integração (ISE), por exemplo:
Encontre e visualize o seu ISE.
Habilite o acesso para seu ISE.
Verifique a integridade da rede do seu ISE.
Gerencie os recursos, como aplicativos lógicos baseados em multilocatário, conexões, contas de integração e conectores em seu ISE.
Adicione capacidade, reinicie o ISE ou exclua o ISE, siga as etapas neste tópico. Para adicionar esses artefatos ao ISE, consulte Adicionar artefatos ao ambiente do serviço de integração.
Ver o seu ISE
Na caixa de pesquisa do portal do Azure, insira ambientes de serviço de integração e selecione Ambientes do Serviço de Integração.
Na lista de resultados, selecione seu ambiente de serviço de integração.
Continue para as próximas seções para encontrar aplicativos lógicos, conexões, conectores ou contas de integração em seu ISE.
Habilite o acesso para seu ISE
Quando você usa um ISE com uma rede virtual do Azure, um problema comum de configuração é ter uma ou mais portas bloqueadas. Os conectores que você usa para criar conexões entre seus sistemas ISE e de destino também podem ter seus próprios requisitos de porta. Por exemplo, se você se comunicar com um sistema FTP usando o conector FTP, a porta que você usa no seu sistema FTP precisa estar disponível, por exemplo, a porta 21 para enviar comandos.
Para certificar-se de que seu ISE está acessível e que os aplicativos lógicos nesse ISE podem se comunicar através de cada sub-rede em sua rede virtual, abra as portas descritas nesta tabela para cada sub-rede. Se alguma porta necessária estiver indisponível, seu ISE não funcionará corretamente.
Se você tiver várias instâncias ISE que precisam de acesso a outros pontos de extremidade com restrições de IP, implante um Firewall do Azure ou um dispositivo virtual de rede em sua rede virtual e roteie o tráfego de saída por meio desse firewall ou dispositivo virtual de rede. Em seguida , você pode configurar um endereço IP único, de saída, público, estático e previsível que todas as instâncias ISE em sua rede virtual podem usar para se comunicar com os sistemas de destino. Dessa forma, você não precisa configurar aberturas de firewall extras nesses sistemas de destino para cada ISE.
Nota
Você pode usar essa abordagem para um único ISE quando seu cenário exigir a limitação do número de endereços IP que precisam de acesso. Considere se os custos adicionais do firewall ou do dispositivo de rede virtual fazem sentido para o seu cenário. Saiba mais sobre os preços do Firewall do Azure.
Se você criou uma nova rede virtual do Azure e sub-redes sem restrições, não precisará configurar NSGs (grupos de segurança de rede) em sua rede virtual para controlar o tráfego entre sub-redes.
Para uma rede virtual existente, você pode , opcionalmente , configurar grupos de segurança de rede (NSGs) para filtrar o tráfego de rede entre sub-redes. Se você quiser seguir esse caminho ou se já estiver usando NSGs, certifique-se de abrir as portas descritas nesta tabela para esses NSGs.
Ao configurar regras de segurança NSG, você precisa usar os protocolos TCP e UDP ou pode selecionar Qualquer em vez disso para não precisar criar regras separadas para cada protocolo. As regras de segurança NSG descrevem as portas que você deve abrir para os endereços IP que precisam acessar essas portas. Certifique-se de que quaisquer firewalls, roteadores ou outros itens que existam entre esses pontos de extremidade também mantenham essas portas acessíveis a esses endereços IP.
Para um ISE que tenha acesso ao ponto de extremidade externo , você deve criar um NSG (grupo de segurança de rede), se ainda não tiver um. Você precisa adicionar uma regra de segurança de entrada ao NSG para permitir o tráfego de endereços IP de saída do conector gerenciado. Para configurar esta regra, siga estes passos:
No menu ISE, em Configurações, selecione Propriedades.
Em Endereços IP de saída do conector, copie os intervalos de endereços IP públicos, que também aparecem neste artigo, Limites e configuração - Endereços IP de saída.
Crie um grupo de segurança de rede, se ainda não tiver um.
Com base nas informações a seguir, adicione uma regra de segurança de entrada para os endereços IP de saída públicos copiados. Para obter mais informações, consulte Tutorial: Filtrar tráfego de rede com um grupo de segurança de rede usando o portal do Azure.
Propósito Etiqueta de serviço de origem ou endereços IP Portas de origem Etiqueta de serviço de destino ou endereços IP Portas de destino Notas Permitir tráfego de endereços IP de saída do conector <conector-público-saída-endereços IP> * Espaço de endereçamento para a rede virtual com sub-redes ISE *
Se você configurou o túnel forçado através do firewall para redirecionar o tráfego ligado à Internet, revise os requisitos de encapsulamento forçado.
Portas de rede utilizadas pelo ISE
Esta tabela descreve as portas que o ISE requer para estar acessível e a finalidade dessas portas. Para ajudar a reduzir a complexidade ao configurar regras de segurança, a tabela usa marcas de serviço que representam grupos de prefixos de endereço IP para um serviço específico do Azure. Quando observado, o ISE interno e o ISE externo referem-se ao ponto de extremidade de acesso selecionado durante a criação do ISE. Para obter mais informações, consulte Acesso ao ponto final.
Importante
Para todas as regras, certifique-se de definir as portas de origem como *
porque as portas de origem são efêmeras.
Regras de segurança de entrada
Portas de origem | Portas de destino | Etiqueta de serviço de origem ou endereços IP | Etiqueta de serviço de destino ou endereços IP | Propósito | Notas |
---|---|---|---|---|---|
* | * | Espaço de endereçamento para a rede virtual com sub-redes ISE | Espaço de endereçamento para a rede virtual com sub-redes ISE | Comunicação intersubnet dentro de rede virtual. | Necessário para que o tráfego flua entre as sub-redes em sua rede virtual. Importante: Para que o tráfego flua entre os componentes em cada sub-rede, certifique-se de abrir todas as portas dentro de cada sub-rede. |
* | 443 | ISE interno: Rede virtual ISE externo: Internet ou ver Notas |
Rede virtual | - Comunicação com seu aplicativo lógico - Executa o histórico para o seu aplicativo lógico |
Em vez de usar a marca de serviço da Internet , você pode especificar o endereço IP de origem para estes itens: - O computador ou serviço que chama qualquer solicitação, gatilhos ou webhooks em seu aplicativo lógico - O computador ou serviço de onde você deseja acessar o histórico de execuções do aplicativo lógico Importante: fechar ou bloquear essa porta impede chamadas para aplicativos lógicos que tenham gatilhos de solicitação ou webhooks. Você também está impedido de acessar entradas e saídas para cada etapa do histórico de execuções. No entanto, você não está impedido de acessar o histórico de execuções do aplicativo lógico. |
* | 454 | LogicAppsManagement | Rede virtual | Azure Logic Apps designer - propriedades dinâmicas | As solicitações vêm dos endereços IP de entrada do ponto de extremidade de entrada dos Aplicativos Lógicos do Azure para essa região. Importante: Se você estiver trabalhando com a nuvem do Azure Government, a marca de serviço LogicAppsManagement não funcionará. Em vez disso, você precisa fornecer os endereços IP de entrada dos Aplicativos Lógicos do Azure para o Azure Government. |
* | 454 | LogicApps | Rede virtual | Verificação do estado de funcionamento da rede | As solicitações vêm dos endereços IP de entrada e endereços IP de saída do ponto de extremidade de acesso dos Aplicativos Lógicos do Azure para essa região. Importante: Se você estiver trabalhando com a nuvem do Azure Government, a tag de serviço LogicApps não funcionará. Em vez disso, você precisa fornecer os endereços IP de entrada e de saída dos Aplicativos Lógicos do Azure para o Azure Government. |
* | 454 | AzureConnectors | Rede virtual | Implantação do conector | Necessário para implantar e atualizar conectores. Fechar ou bloquear essa porta faz com que as implantações do ISE falhem e impede atualizações e correções do conector. Importante: Se você estiver trabalhando com a nuvem do Azure Government, a marca de serviço AzureConnectors não funcionará. Em vez disso, você precisa fornecer os endereços IP de saída do conector gerenciado para o Azure Government. |
* | 454, 455 | AppServiceManagement | Rede virtual | Dependência do Gerenciamento do Serviço de Aplicativo | |
* | ISE interno: 454 ISE externo: 443 |
AzureTrafficManager | Rede virtual | Comunicação do Azure Traffic Manager | |
* | 3443 | APIManagement | Rede virtual | Implantação da política de conector Gerenciamento de API - endpoint de gerenciamento |
Para a implantação da política de conectores, o acesso à porta é necessário para implantar e atualizar conectores. Fechar ou bloquear essa porta faz com que as implantações do ISE falhem e impede atualizações e correções do conector. |
* | 6379 - 6383, mais ver Notas | Rede virtual | Rede virtual | Acessar o Cache do Azure para instâncias Redis entre instâncias de função | Para que o ISE funcione com o Cache do Azure para Redis, você deve abrir essas portas de entrada e saída descritas pelas Perguntas frequentes sobre o Cache do Azure para Redis. |
Regras de segurança de saída
Portas de origem | Portas de destino | Etiqueta de serviço de origem ou endereços IP | Etiqueta de serviço de destino ou endereços IP | Propósito | Notas |
---|---|---|---|---|---|
* | * | Espaço de endereçamento para a rede virtual com sub-redes ISE | Espaço de endereçamento para a rede virtual com sub-redes ISE | Comunicação inter-rede dentro de rede virtual | Necessário para que o tráfego flua entre as sub-redes em sua rede virtual. Importante: Para que o tráfego flua entre os componentes em cada sub-rede, certifique-se de abrir todas as portas dentro de cada sub-rede. |
* | 443, 80 | Rede virtual | Internet | Comunicação a partir da sua aplicação lógica | Esta regra é necessária para a verificação do certificado SSL (Secure Socket Layer). Esta verificação é para vários sites internos e externos, que é a razão pela qual a Internet é necessária como o destino. |
* | Varia de acordo com o destino | Rede virtual | Varia de acordo com o destino | Comunicação a partir da sua aplicação lógica | As portas de destino variam com base nos pontos de extremidade dos serviços externos com os quais seu aplicativo lógico precisa se comunicar. Por exemplo, a porta de destino é a porta 25 para um serviço SMTP, a porta 22 para um serviço SFTP e assim por diante. |
* | 80, 443 | Rede virtual | AzureActiveDirectory | Microsoft Entra ID | |
* | 80, 443, 445 | Rede virtual | Armazenamento | Dependência do Armazenamento do Azure | |
* | 443 | Rede virtual | AppService | Gestão de ligações | |
* | 443 | Rede virtual | AzureMonitor | Publicar logs de diagnóstico e métricas | |
* | 1433 | Rede virtual | SQL | Dependência do SQL do Azure | |
* | 1886 | Rede virtual | AzureMonitor | Azure Resource Health | Necessário para publicar o status de integridade no Resource Health. |
* | 5672 | Rede virtual | Hub de Eventos | Dependência do log para a política de Hubs de Eventos e agente de monitoramento | |
* | 6379 - 6383, mais ver Notas | Rede virtual | Rede virtual | Acessar o Cache do Azure para instâncias Redis entre instâncias de função | Para que o ISE funcione com o Cache do Azure para Redis, você deve abrir essas portas de entrada e saída descritas pelas Perguntas frequentes sobre o Cache do Azure para Redis. |
* | 53 | Rede virtual | Endereços IP para quaisquer servidores DNS (Sistema de Nomes de Domínio) personalizados na sua rede virtual | Resolução de nomes DNS | Necessário somente quando você usa servidores DNS personalizados em sua rede virtual |
Além disso, você precisa adicionar regras de saída para o Ambiente do Serviço de Aplicativo (ASE):
Se você usa o Firewall do Azure, precisa configurar seu firewall com a marca FQDN (nome de domínio totalmente qualificado) do Ambiente do Serviço de Aplicativo (ASE), que permite o acesso de saída ao tráfego da plataforma ASE.
Se você usar um dispositivo de firewall diferente do Firewall do Azure, precisará configurar seu firewall com todas as regras listadas nas dependências de integração de firewall necessárias para o Ambiente do Serviço de Aplicativo.
Requisitos de tunelamento forçado
Se você configurar ou usar o túnel forçado através do firewall, precisará permitir dependências externas extras para o ISE. O túnel forçado permite redirecionar o tráfego ligado à Internet para um próximo salto designado, como sua rede virtual privada (VPN) ou para um dispositivo virtual, em vez de para a Internet, para que você possa inspecionar e auditar o tráfego de rede de saída.
Se você não permitir o acesso para essas dependências, sua implantação do ISE falhará e o ISE implantado para de funcionar.
Rotas definidas pelo utilizador
Para evitar o roteamento assimétrico, você deve definir uma rota para cada endereço IP listado abaixo com a Internet como o próximo salto.
- Endereços de entrada e saída dos Aplicativos Lógicos do Azure para a região ISE
- Endereços IP do Azure para conectores na região ISE, disponíveis neste arquivo de download
- Endereços de gerenciamento do Ambiente do Serviço de Aplicativo
- Endereços de gerenciamento do Azure Traffic Manager
- Endereços IP do Plano de Controle de Gerenciamento de API do Azure
Pontos finais de serviço
Você precisa habilitar pontos de extremidade de serviço para SQL do Azure, Armazenamento, Service Bus, KeyVault e Hubs de Eventos porque não é possível enviar tráfego por meio de um firewall para esses serviços.
Outras dependências de entrada e saída
O firewall deve permitir as seguintes dependências de entrada e saída:
Verificar a integridade da rede
No menu ISE, em Configurações, selecione Integridade da rede. Este painel mostra o estado de funcionamento das suas sub-redes e dependências de saída de outros serviços.
Atenção
Se a rede do ISE não estiver íntegra, o ambiente interno do Serviço de Aplicativo (ASE) usado pelo ISE também poderá se tornar não íntegro. Se o ASE não estiver saudável por mais de sete dias, o ASE é suspenso. Para resolver esse estado, verifique a configuração da rede virtual. Resolva quaisquer problemas que encontrar e, em seguida, reinicie o ISE. Caso contrário, após 90 dias, o ASE suspenso é excluído e seu ISE se torna inutilizável. Portanto, certifique-se de manter seu ISE saudável para permitir o tráfego necessário.
Para obter mais informações, consulte estes tópicos:
Gerencie seus aplicativos lógicos
Você pode exibir e gerenciar os aplicativos lógicos que estão em seu ISE.
No menu ISE, em Configurações, selecione Aplicativos lógicos.
Para remover aplicativos lógicos que você não precisa mais em seu ISE, selecione esses aplicativos lógicos e, em seguida, selecione Excluir. Para confirmar que deseja excluir, selecione Sim.
Nota
Se você excluir e recriar um aplicativo lógico filho, deverá salvar novamente o aplicativo lógico pai. O aplicativo filho recriado terá metadados diferentes. Se você não salvar novamente o aplicativo lógico pai depois de recriar seu filho, suas chamadas para o aplicativo lógico filho falharão com um erro de "não autorizado". Esse comportamento se aplica a aplicativos lógicos pai-filho, por exemplo, aqueles que usam artefatos em contas de integração ou chamam funções do Azure.
Gerenciar conexões de API
Você pode visualizar e gerenciar as conexões que foram criadas pelos aplicativos lógicos em execução no ISE.
No menu ISE, em Configurações, selecione Conexões de API.
Para remover conexões que você não precisa mais no ISE, selecione essas conexões e, em seguida, selecione Excluir. Para confirmar que deseja excluir, selecione Sim.
Gerenciar conectores ISE
Você pode exibir e gerenciar os conectores de API que são implantados no ISE.
No menu ISE, em Configurações, selecione Conectores gerenciados.
Para remover conectores que você não deseja que estejam disponíveis no ISE, selecione esses conectores e, em seguida, selecione Excluir. Para confirmar que deseja excluir, selecione Sim.
Gerenciar conectores personalizados
Você pode exibir e gerenciar os conectores personalizados que implantou no ISE.
No menu ISE, em Configurações, selecione Conectores personalizados.
Para remover conectores personalizados que você não precisa mais no ISE, selecione esses conectores e, em seguida, selecione Excluir. Para confirmar que deseja excluir, selecione Sim.
Gerir contas de integração
No menu ISE, em Configurações, selecione Contas de integração.
Para remover contas de integração do ISE quando não forem mais necessárias, selecione essas contas de integração e, em seguida, selecione Excluir.
Conta de integração de exportação (visualização)
Para uma conta de integração Standard criada de dentro de um ISE, você pode exportar essa conta de integração para uma conta de integração Premium existente. O processo de exportação tem duas etapas: exportar os artefatos e, em seguida, exportar os estados do contrato. Os artefatos incluem parceiros, contratos, certificados, esquemas e mapas. No entanto, o processo de exportação atualmente não suporta assemblies e PIPs RosettaNet.
Sua conta de integração também armazena os estados de tempo de execução para ações B2B específicas e padrões EDI, como o número MIC para ações AS2 e os números de controle para ações X12. Se você configurou seus contratos para atualizar esses estados sempre que uma transação é processada e para usar esses estados para reconciliação de mensagens e deteção de duplicatas, certifique-se de também exportar esses estados. Você pode exportar todos os estados do contrato ou um estado do contrato de cada vez.
Importante
Certifique-se de escolher uma janela de tempo em que sua conta de integração de origem não tenha nenhuma atividade em seus contratos para evitar inconsistências de estado.
Pré-requisitos
Se você não tiver uma conta de integração Premium, crie uma conta de integração Premium.
Exportar artefatos
Esse processo copia artefatos da origem para o destino.
No portal do Azure, abra sua conta de integração Standard.
No menu da conta de integração, em Configurações, selecione Exportar.
Nota
Se a opção Exportar não aparecer, certifique-se de que selecionou uma conta de integração Standard que foi criada a partir de um ISE.
Na barra de ferramentas da página Exportar, selecione Exportar Artefatos.
Abra a lista Conta de integração de destino, que contém todas as contas Premium na sua subscrição do Azure, selecione a conta de integração Premium que pretende e, em seguida, selecione OK.
A página Exportar agora mostra o status de exportação de seus artefatos.
Para confirmar os artefatos exportados, abra sua conta de integração Premium de destino.
Estado do contrato de exportação (opcional)
Na barra de ferramentas da página Exportar, selecione Estado do Contrato de Exportação.
No painel Estado do Contrato de Exportação, abra a lista Conta de integração de destino e selecione a conta de integração Premium desejada.
Para exportar todos os estados do contrato, não selecione nenhum contrato na lista Contrato . Para exportar um estado de contrato individual, selecione um contrato na lista Contrato .
Quando tiver terminado, selecione OK.
A página Exportar agora mostra o status de exportação dos estados do contrato.
Adicionar a capacidade do ISE
A unidade base ISE Premium tem capacidade fixa, portanto, se você precisar de mais rendimento, poderá adicionar mais unidades de escala, durante a criação ou depois. O SKU do desenvolvedor não inclui a capacidade de adicionar unidades de escala.
Importante
A expansão de um ISE pode levar de 20 a 30 minutos, em média.
No portal do Azure, vá para o ISE.
Para revisar as métricas de uso e desempenho do ISE, no menu ISE, selecione Visão geral.
Em Configurações, selecione Dimensionamento. No painel Configurar , selecione uma destas opções:
- Escala manual: escala com base no número de unidades de processamento que você deseja usar.
- Dimensionamento automático personalizado: dimensione com base em métricas de desempenho selecionando entre vários critérios e especificando as condições de limite para atender a esses critérios.
Dimensionamento manual
Depois de selecionar Escala manual, em Capacidade adicional, selecione o número de unidades de dimensionamento que deseja usar.
Quando tiver terminado, selecione Guardar.
Dimensionamento automático personalizado
Depois de selecionar Dimensionamento automático personalizado, para Nome da configuração de escala automática, forneça um nome para sua configuração e, opcionalmente, selecione o grupo de recursos do Azure ao qual a configuração pertence.
Para a condição Padrão , selecione Dimensionar com base em uma métrica ou Dimensionar para uma contagem de instâncias específica.
Se você escolher baseado em instância, insira o número para as unidades de processamento, que é um valor de 0 a 10.
Se você escolher baseado em métrica, siga estas etapas:
Na seção Regras, selecione Adicionar uma regra.
No painel Regra de escala, configure os critérios e a ação a ser tomada quando a regra for acionada.
Para Limites de instância, especifique estes valores:
- Mínimo: O número mínimo de unidades de processamento a utilizar
- Máximo: O número máximo de unidades de processamento a utilizar
- Padrão: Se ocorrer algum problema durante a leitura das métricas de recursos e a capacidade atual estiver abaixo da capacidade padrão, o dimensionamento automático será dimensionado para o número padrão de unidades de processamento. No entanto, se a capacidade atual exceder a capacidade padrão, o dimensionamento automático não será dimensionado.
Para adicionar outra condição, selecione Adicionar condição de escala.
Quando terminar as configurações de dimensionamento automático, salve as alterações.
Reiniciar o ISE
Se você alterar as configurações do servidor DNS ou do servidor DNS, será necessário reiniciar o ISE para que o ISE possa pegar essas alterações. Reiniciar um ISE de SKU Premium não resulta em tempo de inatividade devido à redundância e componentes que reiniciam um de cada vez durante a reciclagem. No entanto, um ISE de SKU de desenvolvedor experimenta tempo de inatividade porque não existe redundância. Para obter mais informações, consulte ISE SKUs.
No portal do Azure, vá para o ISE.
No menu ISE, selecione Visão geral. Na barra de ferramentas Visão geral, Reiniciar.
Eliminar o ISE
Antes de excluir um ISE que você não precisa mais ou um grupo de recursos do Azure que contém um ISE, verifique se você não tem políticas ou bloqueios no grupo de recursos do Azure que contém esses recursos ou em sua rede virtual do Azure, pois esses itens podem bloquear a exclusão.
Depois de excluir seu ISE, talvez seja necessário aguardar até 9 horas antes de tentar excluir sua rede virtual ou sub-redes do Azure.
Próximos passos
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários