Управление средой службы интеграции в Azure Logic Apps

Важно!

31 августа 2024 г. ресурс ISE уйдет в отставку из-за его зависимости от Azure Облачные службы (классическая модель), которая в то же время выходит на пенсию. Перед датой выхода на пенсию экспортируйте все приложения логики из isE в стандартные приложения логики, чтобы избежать нарушений работы служб. Рабочие процессы приложения логики уровня "Стандартный" выполняются в Azure Logic Apps с одним клиентом и предоставляют те же возможности и другие возможности.

Начиная с 1 ноября 2022 г. вы больше не можете создавать новые ресурсы ISE. Однако ресурсы ISE, существующие до этой даты, поддерживаются до 31 августа 2024 г. Дополнительные сведения см. на следующих ресурсах:

• Выход на пенсию ISE — что вам нужно знать
• Однотенантная и мультитенантная среда службы интеграции для Azure Logic Apps
• Цены на Azure Logic Apps
• Экспорт рабочих процессов ISE в стандартное приложение логики
• Среда служб Integration Services будет прекращена 31 августа 2024 г. — переход на Logic Apps Standard
• Прекращение использования модели развертывания Облачных служб (классической модели) с 31 августа 2024 г.

В этой статье показано, как выполнять задачи управления для среды службы интеграции (ISE), например следующие.

• Найдите и просмотрите isE.

• Включение доступа к среде службы интеграции.

• Проверьте работоспособность сети ISE.

• Управление такими ресурсами, как мультитенантные приложения логики, подключения, учетные записи интеграции и соединители в isE.

• Добавьте емкость, перезапустите ISE или удалите ISE, выполнив действия, описанные в этом разделе. Инструкции по добавлению этих артефактов в ISE см. в статье Добавление артефактов в среду службы интеграции.

Просмотр ISE

1. В поле поиска портал Azure введите среды службы интеграции и выберите среды службы Integration Service.

   

2. В списке результатов выберите среду службы интеграции.

   

3. Перейдите к следующим разделам, чтобы найти приложения логики, подключения, соединители или учетные записи интеграции в ISE.

Включение доступа для ISE

Когда вы используете среду службы интеграции в виртуальной сети Azure, часто возникает проблема с блокировкой одного или нескольких нужных портов. Соединители, используемые для создания подключений между средой службы интеграции и конечными системами, также могут иметь собственные требования к портам. Например, если для связи с FTP-системой используется соединитель FTP, убедитесь в доступности порта, который нужен этой FTP-системе (обычно это порт 21) для отправки команд.

Чтобы среда службы интеграции была доступна и приложения логики в среде службы интеграции могли обмениваться данными между каждой подсетью в виртуальной сети, откройте порты, описанные в этой таблице, для каждой подсети. Если необходимые порты недоступны, среда службы интеграции будет работать неправильно.

• Если у вас есть несколько экземпляров среды службы интеграции, которым требуется доступ к другим конечным точкам с ограничениями для IP-адресов, разверните брандмауэр Azure или сетевой виртуальный модуль в виртуальной сети и направьте исходящий трафик через этот брандмауэр или сетевой виртуальный модуль. Затем можно настроить один исходящий общедоступный статический и прогнозируемый IP-адрес, чтобы все экземпляры среды службы интеграции в виртуальной сети могли использовать его для связи с конечными системами. Таким образом, вам не придется настраивать дополнительные пути брандмауэра в целевых системах для каждой ISE.

  Примечание.

  Этот подход можно использовать и в случае одной среды службы интеграции, если требуется ограничить количество IP-адресов, которым требуется доступ. Оцените оправданность дополнительных затрат на брандмауэр или сетевой виртуальный модуль для вашего сценария. Дополнительные сведения о ценах на брандмауэр Azure.

• Если вы создали новую виртуальную сеть Azure и подсети без каких-либо ограничений, для управления трафиком между подсетями вам не нужно настраивать группы безопасности сети в виртуальной сети.

• Для существующей виртуальной сети можно дополнительно настроить группы безопасности сети, чтобы фильтровать сетевой трафик между подсетями. Если вы хотите использовать этот маршрут или вы уже используете группы безопасности сети, убедитесь, что порты, описанные в этой таблице, открыты для этих групп безопасности сети.

  При настройке групповых правил безопасности необходимо использовать одновременно протоколы TCP и UDP, либо вместо этого выбрать любой из них, чтобы не создавать отдельные правила для каждого протокола. Групповые правила безопасности описывают порты, которые необходимо открыть для IP-адресов, которым требуется доступ к этим портам. Убедитесь, что все брандмауэры, маршрутизаторы и другие элементы, существующие между этими конечными точками, также сохраняют эти порты доступными для этих IP-адресов.

• Для isE с внешним доступом к конечной точке необходимо создать группу безопасности сети (NSG), если у вас еще нет. Чтобы разрешить трафик с исходящих IP-адресов управляемого соединителя, необходимо добавить правило безопасности для входящего трафика в группу безопасности сети. Чтобы настроить это правило, выполните следующие действия.

  1. В меню ISE в разделе Параметры выберите пункт Свойства.

  2. В разделе Исходящие IP-адреса соединителя скопируйте диапазоны общедоступных IP-адресов, которые также указаны в статье Ограничения и конфигурации — исходящие IP-адреса.

  3. Создайте группу безопасности сети, если она еще не создана.

  4. На основе следующих сведений добавьте правило безопасности входящего трафика для скопированных общедоступных исходящих IP-адресов. Дополнительные сведения см. в статье Учебник. Фильтрация сетевого трафика с помощью групп безопасности сети, используя портал Azure.

     Характер использования	Тег или IP-адрес службы источника	Исходные порты	Тег или IP-адрес службы назначения	Конечные порты	Примечания.
     Разрешение трафика с исходящих IP-адресов соединителя	<connector-public-outbound-IP-addresses>	*	Адресное пространство для виртуальной сети с подсетями среды службы интеграции	*

• Если вы настроили принудительное туннелирование через брандмауэр для перенаправления трафика, связанного с Интернетом, ознакомьтесь с требованиями к принудительному туннелированию.

Сетевые порты, используемые средой службы интеграции

В этой таблице описаны порты, которые должны быть доступны среде службы интеграции, и назначение для этих портов. Чтобы упростить настройку правил безопасности, в таблице используются служебные теги, представляющие группы префиксов IP-адресов для конкретной службы Azure. Если указано Внутренняя среда службы интеграции и Внешняя среда службы интеграции — это означает обозначение конечной точки, которая выбирается во время создания среды службы интеграции. Дополнительные сведения см. в разделе Доступ к конечной точке.

Важно!

Для всех правил убедитесь, что для исходных портов задано значение *, так как исходные порты являются временными.

Правила безопасности для входящего трафика

Исходные порты	Конечные порты	Тег или IP-адрес службы источника	Тег или IP-адрес службы назначения	Цель	Примечания.
*	*	Адресное пространство для виртуальной сети с подсетями среды службы интеграции	Адресное пространство для виртуальной сети с подсетями среды службы интеграции	Обмен данными между подсетями в виртуальной сети.	Требуется для передачи трафика между подсетями в виртуальной сети. Важно. Для потокового трафика между компонентами в каждой подсети убедитесь, что вы открываете все порты в каждой подсети.
*	443	Внутренняя ise: VirtualNetwork; Внешний ISE: Интернет или см . заметки	VirtualNetwork;	— обмен данными с приложением логики - Открытие журнала выполнения для приложения логики.	Вместо использования тега службы Интернета можно указать исходный IP-адрес для следующих элементов: — компьютер или служба, которая вызывает триггеры запросов или веб-перехватчики в приложении логики. — Компьютер или служба, из которой требуется получить доступ к журналу выполнения приложения логики Важно. Закрытие или блокировка этого порта предотвращает вызовы приложений логики с триггерами запросов или веб-перехватчиками. Вы также не сможете получить доступ к входным и выходным данным для каждого шага в журнале выполнения. Однако доступ к журналу выполнения приложений логики не запрещен.
*	454	LogicAppsManagement	VirtualNetwork;	Конструктор Azure Logic Apps — динамические свойства	Запросы исходят из входящих IP-адресов конечной точки доступа Azure Logic Apps для этого региона. Важно! При работе с облаком Azure для государственных организаций тег службы LogicAppsManagement не будет работать. Вместо этого необходимо предоставить для Azure для государственных организаций входящие IP-адреса Azure Logic Apps.
*	454	LogicApps	VirtualNetwork;	Проверка работоспособности сети	Запросы исходят из входящих IP-адресов и исходящих IP-адресов конечной точки доступа Azure Logic Apps для этого региона. Важно! При работе с облаком Azure для государственных организаций тег службы LogicApps не будет работать. Вместо этого необходимо предоставить для Azure для государственных организаций как входящие IP-адреса, так и исходящие IP-адреса Azure Logic Apps.
*	454	AzureConnectors	VirtualNetwork;	Развертывание соединителя	Требуется для развертывания и обновления соединителей. Закрытие или блокировка этого порта приводит к сбою развертываний среды службы интеграции и предотвращает обновления и исправления соединителя. Важно! При работе с облаком Azure для государственных организаций тег службы AzureConnectors не будет работать. Вместо этого необходимо предоставить для Azure для государственных организаций входящие IP-адреса управляемого соединителя.
*	454, 455	AppServiceManagement	VirtualNetwork;	Зависимость от управления службой приложений
*	Внутренняя ise: 454 Внешний ISE: 443	AzureTrafficManager	VirtualNetwork;	Обмен данными с диспетчером трафика Azure
*	3443	APIManagement	VirtualNetwork;	развертывание политики Подключение or Управление API — конечная точка управления	Для развертывания политик соединителя требуется доступ к портам для развертывания и обновления соединителей. Закрытие или блокировка этого порта приводит к сбою развертываний среды службы интеграции и предотвращает обновления и исправления соединителя.
*	6379–6383, также см. Примечания	VirtualNetwork;	VirtualNetwork;	Доступ к экземплярам кэша Azure для Redis между экземплярами ролей	Чтобы интегрированная среда сценариев работала с кэшем Azure для Redis, необходимо открыть входящие и исходящие порты, описанные в разделе часто задаваемых вопросов о кэше Azure для Redis.

Правила безопасности для исходящего трафика

Исходные порты	Конечные порты	Тег или IP-адрес службы источника	Тег или IP-адрес службы назначения	Цель	Примечания.
*	*	Адресное пространство для виртуальной сети с подсетями среды службы интеграции	Адресное пространство для виртуальной сети с подсетями среды службы интеграции	Обмен данными между подсетями в виртуальной сети	Требуется для передачи трафика между подсетями в виртуальной сети. Важно. Для потокового трафика между компонентами в каждой подсети убедитесь, что вы открываете все порты в каждой подсети.
*	443, 80	VirtualNetwork;	Интернет	Обмен данными из приложения логики	Это правило требуется для проверки SSL-сертификата. Эта проверка предназначена для различных внутренних и внешних сайтов. Именно по этой причине в качестве места назначения нужно указать Интернет.
*	Зависит от места назначения	VirtualNetwork;	Зависит от места назначения	Обмен данными из приложения логики	Порты назначения зависят от конечных точек внешней службы, с которыми должно взаимодействовать приложение логики. Например, порт назначения —25 для службы SMTP, порт 22 — для службы SFTP и т. д.
*	80, 443	VirtualNetwork;	AzureActiveDirectory	Microsoft Entra ID
*	80, 443, 445	VirtualNetwork;	Память	Зависимость от службы хранилища Azure
*	443	VirtualNetwork;	AppService	Управление соединениями
*	443	VirtualNetwork;	AzureMonitor	Публикация журналов диагностики и метрик
*	1433	VirtualNetwork;	SQL	Зависимость SQL Azure
*	1886	VirtualNetwork;	AzureMonitor	Служба работоспособности ресурса Azure	Требуется для публикации состояния работоспособности в Работоспособности ресурсов Azure.
*	5672	VirtualNetwork;	EventHub	Зависимость от политики передачи журнала в центры событий и от агента мониторинга
*	6379–6383, также см. Примечания	VirtualNetwork;	VirtualNetwork;	Доступ к экземплярам кэша Azure для Redis между экземплярами ролей	Чтобы интегрированная среда сценариев работала с кэшем Azure для Redis, необходимо открыть входящие и исходящие порты, описанные в разделе часто задаваемых вопросов о кэше Azure для Redis.
*	53	VirtualNetwork;	IP-адреса для любых настраиваемых DNS-серверов в виртуальной сети	Разрешение DNS-имен	Требуется только при использовании настраиваемых DNS-серверов в виртуальной сети.

Кроме того, необходимо добавить правила исходящего трафика для Среды службы приложений (ASE):

• Если вы используете брандмауэр Azure, необходимо настроить брандмауэр с помощью тега полного доменного имени Среды службы приложений (ASE), который разрешает исходящий доступ к трафику платформы ASE.

• При использовании устройства брандмауэра, отличного от брандмауэра Azure, необходимо настроить брандмауэр, используя все правила, перечисленные в зависимостях интеграции брандмауэра, необходимые для Среды службы приложений.

Требования к принудительному туннелированию

Если вы настроили или используете принудительное туннелирование через брандмауэр, необходимо разрешить дополнительные внешние зависимости для ISE. Принудительное туннелирование позволяет перенаправлять трафик, связанный с Интернетом, на назначенный следующий прыжок, например виртуальную частную сеть (VPN) или виртуальное устройство, а не через Интернет, чтобы исходящий сетевой трафик можно было проверять.

Если вы не разрешите доступ к этим зависимостям, развертывание ISE завершится сбоем, и развернутая среда ISE перестанет работать.

• Определяемые пользователем маршруты

  Чтобы предотвратить асимметричную маршрутизацию, необходимо определить маршрут для каждого IP-адреса, приведенного ниже, с Интернетом в качестве следующего прыжка.

  • Входящие и исходящие адреса Azure Logic Apps для региона ISE
  • IP-адреса Azure для соединителей в регионе ISE, доступные в этом загружаемом файле
  • адреса управления Среда службы приложений
  • Адреса управления Диспетчера трафика Azure
  • IP-адреса уровня управления Azure API Management

• Конечные точки служб

  Необходимо включить конечные точки службы для Azure SQL, хранилища, Служебной шины, KeyVault и Центров событий, поскольку вы не сможете отправить трафик через брандмауэр в эти службы.

• Другие входящие и исходящие зависимости

  В брандмауэре должны быть разрешены следующие входящие и исходящие зависимости:

  • Зависимости службы приложений Azure
  • Зависимости службы кэша Azure
  • Зависимости управления API Azure

Проверка работоспособности сети

В меню ISE в разделе Параметры выберите Работоспособность сети. В этой области отображаются сведения о состоянии работоспособности для подсетей и исходящих зависимостей от других служб.

Внимание

Если сеть ISE становится неработоспособной, внутренняя Среда службы приложений (ASE), используемая средой ISE, также может стать неработоспособной. Если ASE находится в неработоспособном состоянии более семи дней, работа ASE приостанавливается. Чтобы устранить это состояние, проверьте настройку виртуальной сети. Устраните все найденные проблемы и перезапустите ISE. В противном случае после 90 дней приостановления работы ASE удаляется, и среда ISE становится непригодной для использования. Поэтому убедитесь, что среда ISE работоспособна, чтобы разрешить необходимый трафик.

Дополнительные сведения см. в следующих статьях:

• Общие сведения о диагностике в службе приложений Azure
• Ведение журнала сообщений для Среды службы приложений Azure

Управление приложениями логики

Вы можете просматривать приложения логики, которые находятся в ISE, и управлять ими.

1. В меню ISE в разделе Параметры выберите пункт Приложения логики.

   

2. Чтобы удалить приложения логики, которые больше не нужны в ISE, выберите эти приложения логики и нажмите кнопку Удалить. Выберите Да, чтобы подтвердить удаление.

Примечание.

Если вы удаляете и повторно создаете дочернее приложение логики, необходимо повторно сохранить родительское приложение логики. Повторно созданное дочернее приложение будет иметь другие метаданные. Если после повторного создания дочернего приложения логики не будет изменено, вызовы дочернего приложения логики завершаются ошибкой "несанкционированного". Это поведение характерно для родительских и дочерних приложений логики, например для тех, которые используют артефакты в учетных записях интеграции или вызывают функции Azure.

Управление подключениями API

Вы можете просматривать подключения, которые создают приложения логики, работающие в ISE, и управлять такими подключениями.

1. В меню ISE в разделе Параметры выберите Подключения API.

   

2. Чтобы удалить подключения, которые больше не нужны в ISE, выберите эти подключения и нажмите кнопку Удалить. Выберите Да, чтобы подтвердить удаление.

Управление соединителями ISE

Вы можете просматривать соединители API, развернутые в ISE, и управлять ими.

1. В меню ISE в разделе Параметры выберите Управляемые соединители.

   

2. Чтобы удалить соединители, которые не должны быть доступны в ISE, выберите эти соединители и нажмите кнопку Удалить. Выберите Да, чтобы подтвердить удаление.

Управление настраиваемыми соединителями

Вы можете просматривать настраиваемые соединители, развернутые в ISE, и управлять ими.

1. В меню ISE в разделе Параметры выберите Настраиваемые соединители.

   

2. Чтобы удалить настраиваемые подключения, которые больше не нужны в ISE, выберите эти подключения и нажмите кнопку Удалить. Выберите Да, чтобы подтвердить удаление.

Управление учетными записями интеграции

1. В меню ISE в разделе Настройки выберите Учетные записи интеграции.

   

2. Чтобы удалить учетные записи интеграции из ISE, которые больше не нужны, выберите эти учетные записи и нажмите кнопку Удалить.

Экспорт учетной записи интеграции (предварительная версия)

Для учетной записи интеграции уровня "Стандартный", созданной из среды isE, можно экспортировать эту учетную запись интеграции в существующую учетную запись интеграции Premium. Процесс экспорта состоит из двух шагов: экспорт артефактов, а затем экспорт состояний соглашения. Артефакты включают партнеров, соглашения, сертификаты, схемы и карты. Однако в настоящее время процесс экспорта не поддерживает сборки и IP-адреса RosettaNet.

Учетная запись интеграции также сохраняет состояния среды выполнения для определенных действий B2B и стандартов EDI, таких как номер MIC для действий AS2 и контрольные номера для действий X12. Если вы настроили соглашения для обновления этих состояний каждый раз, когда транзакция обрабатывается и используется для выверки сообщений и обнаружения повторяющихся сообщений, убедитесь, что вы также экспортируете эти состояния. Вы можете экспортировать все государства соглашения или одно состояние соглашения одновременно.

Важно!

Не забудьте выбрать период времени, когда учетная запись интеграции источника не имеет никаких действий в соглашениях, чтобы избежать несоответствий состояний.

Необходимые компоненты

Если у вас нет учетной записи интеграции Premium, создайте учетную запись интеграции Premium.

Экспорт артефактов

Этот процесс копирует артефакты из источника в место назначения.

1. В портал Azure откройте учетную запись интеграции "Стандартный".

2. В меню учетной записи интеграции в Параметры выберите "Экспорт".

   Примечание.

   Если параметр экспорта не отображается, убедитесь, что выбрана учетная запись интеграции уровня "Стандартный", созданная из среды isE.

3. На панели инструментов "Экспорт" выберите "Экспорт артефактов".

4. Откройте список учетных записей целевой интеграции, который содержит все учетные записи Premium в подписке Azure, выберите нужную учетную запись интеграции Premium и нажмите кнопку "ОК".

   Теперь на странице экспорта отображается состояние экспорта артефактов.

5. Чтобы подтвердить экспортированные артефакты, откройте целевую учетную запись интеграции Premium.

Состояние соглашения экспорта (необязательно)

1. На панели инструментов "Экспорт" выберите "Состояние соглашения экспорта".

2. На панели "Состояние экспорта" откройте список учетных записей целевой интеграции и выберите нужную учетную запись интеграции Premium.

3. Чтобы экспортировать все государства соглашения, не выбирайте любое соглашение из списка соглашений. Чтобы экспортировать отдельное состояние соглашения, выберите соглашение из списка соглашений.

4. По завершении нажмите кнопку OK.

   Теперь на странице экспорта отображается состояние экспорта для состояний соглашения.

Добавьте емкость ISE.

Базовая единица ISE "Премиум" имеет фиксированную емкость, поэтому, если требуется дополнительная пропускная способность, вы можете добавить дополнительные единицы масштабирования во время создания или позже. SKU для разработчиков не включают возможность добавления единиц масштабирования.

Важно!

Горизонтальное увеличение масштаба для среды службы интеграции в среднем может занимать 20–30 минут.

1. На портале Azure перейдите в ISE.

2. Чтобы посмотреть метрики использования и производительности ISE, в меню ISE выберите Обзор.

   

3. В разделе Параметры выберите Горизонтальное увеличение масштаба. На панели Настройка выберите следующие параметры.

   • Ручное масштабирование: масштабирование на основе количества единиц обработки, которое вы хотите использовать.
   • Настраиваемое автомасштабирование: масштабирование на основе метрик производительности путем выбора различных критериев и указания пороговых условий для удовлетворения этих условий.

   

Ручное масштабирование

1. Выбрав Ручное масштабирование, в поле Дополнительная емкость укажите необходимое количество единиц масштабирования.

   

2. По завершении выберите Сохранить.

Пользовательское автомасштабирование

1. Выбрав параметр Настраиваемое автомасштабирование, в поле Имя параметров автомасштабирования укажите имя для параметра и при необходимости выберите группу ресурсов Azure, к которой он относится.

   

2. Для условия По умолчанию выберите либо Масштабировать на основе метрики, либо Масштабировать до указанного числа экземпляров.

   • Если выбран вариант на основе экземпляра, введите количество единиц обработки от 0 до 10.

   • Если выбран вариант на основе метрик, выполните следующие действия.

     1. В разделе Правила выберите Добавить правило.

     2. На панели Правило масштабирования настройте критерии и действия, которые будут выполняться при срабатывании правила.

     3. Для Пределов экземпляра укажите следующие значения.

        • Минимум: минимальное количество единиц обработки для использования.
        • Максимум: максимальное количество единиц обработки для использования.
        • По умолчанию: если при чтении метрик ресурсов возникают проблемы, а текущая емкость меньше емкости по умолчанию, выполняется автоматическое горизонтальное увеличение масштаба до количества единиц обработки по умолчанию. Если же текущая емкость больше емкости по умолчанию, автоматическое горизонтальное уменьшение масштаба не выполняется.

3. Чтобы добавить еще одно условие, выберите Добавить условие масштабирования.

4. Завершив настройку параметров автомасштабирования, сохраните изменения.

Перезапуск ISE

При изменении DNS-сервера или его параметров необходимо перезапустить среду службы интеграции, чтобы среда службы интеграции могла получить эти изменения. Перезапуск ISE SKU уровня "Премиум" не приводит к простою из-за избыточности и компонентов, которые во время повторного запуска перезапускаются по очереди. В ISE SKU для разработчиков возникает простой, поскольку избыточности нет. Дополнительные сведения см. в статье SKU ISE.

1. На портале Azure перейдите в ISE.

2. В меню ISE выберите Обзор. На панели инструментов "Обзор" выберите Перезапустить.

Удалите ISE.

Прежде чем удалить ISE, которая больше не нужна, или группу ресурсов Azure, содержащую ISE, убедитесь в том, что в вашей группе ресурсов Azure, содержащей эти ресурсы, или в виртуальной сети Azure нет политик или блокировок, так как эти элементы могут блокировать удаление.

Возможность удаления виртуальной сети или подсетей Azure после удаления ISE появится в течение 9 часов.

Следующие шаги

• Добавление ресурсов в среды службы интеграции