Развертывание приложений логики уровня "Стандартный" с одним клиентом в частных учетных записях хранения с помощью частных конечных точек

Область применения: Azure Logic Apps (стандартная версия)

При создании ресурса стандартного приложения логики с одним клиентом необходимо иметь учетную запись хранения для хранения артефактов приложения логики. Вы можете ограничить доступ к этой учетной записи хранения, чтобы к рабочему процессу приложения логики могли подключаться только ресурсы в виртуальной сети. Служба хранилища Azure поддерживает добавление частных конечных точек в учетную запись хранения.

В этой статье описываются действия, которые необходимо выполнить для развертывания таких приложений логики в защищенных частных учетных записях хранения.

Дополнительные сведения см. в следующей документации:

• Защита трафика между приложениями логики уровня "Стандартный" и виртуальными сетями Azure с помощью частных конечных точек
• Использование частных конечных точек для службы хранилища Azure

Развертывание с помощью портала Azure или Visual Studio Code

Для этого метода развертывания требуется временный общедоступный доступ к учетной записи хранения. Если вы не можете включить общий доступ из-за политик организации, вы можете развернуть приложение логики в частной учетной записи хранения. Однако необходимо выполнить развертывание с помощью шаблона Azure Resource Manager (шаблон ARM), который описан в следующем разделе.

Примечание

Исключением из предыдущего правила является то, что вы можете использовать портал Azure для развертывания приложения логики в Среда службы приложений, даже если учетная запись хранения защищена частной конечной точкой. Однако вам потребуется подключение между подсетью, используемой Среда службы приложений и подсетью, используемой частной конечной точкой учетной записи хранения.

1. Создайте разные частные конечные точки для каждой службы таблиц, очередей, хранилища BLOB-объектов и файлов.

2. Включите временный общий доступ к учетной записи хранения при развертывании приложения логики.

   1. На портале Azure откройте ресурс учетной записи хранения.

   2. В меню ресурса учетной записи хранения в разделе Безопасность и сеть выберите Сеть.

   3. В области Сеть на вкладке Брандмауэры и виртуальные сети в разделе Разрешить доступ из выберите Все сети.

3. Разверните ресурс приложения логики с помощью портала Azure или Visual Studio Code.

4. После завершения развертывания включите интеграцию виртуальной сети между приложением логики и частными конечными точками в виртуальной сети, подключенной к учетной записи хранения.

   1. Откройте ресурс приложения логики на портале Azure.

   2. В меню ресурса приложения логики выберите в разделе Параметры пункт Сеть.

   3. В разделе конфигурации исходящего трафика рядом с интеграцией виртуальной сети выберите "Не настроена>интеграция виртуальной сети".

   4. На открывающейся панели "Добавление интеграции с виртуальной сетью" выберите подписку Azure и виртуальную сеть.

   5. В списке подсетей выберите подсеть , в которой нужно добавить приложение логики. По завершении нажмите кнопку "Подключить".

5. Чтобы получить доступ к данным рабочего процесса приложения логики через виртуальную сеть, выполните следующие действия.

   1. В меню ресурсов приложения логики в разделе "Параметры" выберите переменные среды.

   2. На вкладке "Параметры приложения" добавьте параметр WEBSITE_CONTENTOVERVNET приложения, если он отсутствует, и задайте значение 1.

   3. Если вы используете собственный сервер доменных имен (DNS) с виртуальной сетью, добавьте параметр приложения WEBSITE_DNS_SERVER , если он отсутствует, и задайте значение IP-адреса для DNS. Если у вас есть дополнительный DNS, добавьте другой параметр приложения с именем WEBSITE_DNS_ALT_SERVER и задайте значение IP-адреса для дополнительного DNS.

6. После применения этих параметров приложения общий доступ можно будет удалить из учетной записи хранения.

   1. На портале Azure откройте ресурс учетной записи хранения.

   2. В меню ресурса учетной записи хранения в разделе Безопасность и сеть выберите Сеть.

   3. В области Сеть на вкладке Брандмауэры и виртуальные сети в разделе Разрешить доступ из снимите флажки Выбранные сети и при необходимости добавьте виртуальные сети.

   Примечание

   В приложении логики может возникать прерывание, так как переключение между общедоступными и частными конечными точками может занять некоторое время. Это нарушение может привести к тому, что рабочие процессы будут на время исчезать. В этом случае можно попытаться перезагрузить рабочие процессы, перезапустив приложение логики, и подождать несколько минут.

Развертывание с помощью шаблона Azure Resource Manager

Этот метод развертывания не требует общего доступа к учетной записи хранения. Пример шаблона ARM см. в статье Развертывание приложения логики с использованием защищенной учетной записи хранения с частными конечными точками. Используемый для примера шаблон создает следующие ресурсы:

• Учетная запись хранения, запрещающая общий трафик
• Виртуальная сеть Azure и подсети
• Частные зоны DNS и частные конечные точки для служб BLOB-объектов, файлов, очередей и таблиц
• Общая папка для каталогов и файлов среды выполнения Azure Logic Apps. Дополнительные сведения см. в статье Настройка узла и приложения для приложений логики в одноклиентской службе Azure Logic Apps.
• План службы приложений (стандартный рабочий процесс WS1) для размещения стандартных ресурсов приложений логики
• Ресурс приложения логики уровня "Стандартный" с конфигурацией сети, настроенной для использования интеграции с виртуальной сетью. Эта конфигурация позволяет приложению логики получать доступ к учетной записи хранения через частные конечные точки.

Устранение типичных ошибок

Следующие ошибки обычно происходят с частной учетной записью хранения, которая находится за брандмауэром, и указывает, что приложение логики не может получить доступ к службам учетной записи хранения.

Проблема	Ошибка
Отказано в доступе к файлу host.json	"System.Private.CoreLib: Access to the path 'C:\\home\\site\\wwwroot\\host.json' is denied."
Не удается загрузить рабочие процессы в ресурсе приложения логики	"Encountered an error (ServiceUnavailable) from host runtime."

Так как приложение логики не выполняется при возникновении этих ошибок, для устранения этих ошибок невозможно использовать службу отладки консоли Kudu на платформе Azure. Однако можно использовать следующие методы:

• Создайте виртуальную машину Azure в другой подсети внутри виртуальной сети, которая интегрирована с приложением логики. Попробуйте подключиться к учетной записи хранения из виртуальной машины.

• Проверьте доступ к службам учетной записи хранения с помощью средства «Обозреватель службы хранилища».

  Если вы обнаружите проблемы с подключением при использовании этого средства, выполните следующие действия:

  1. В командной строке выполните nslookup, чтобы проверить, разрешаются ли службы хранилища для частных IP-адресов виртуальной сети:

     C:\>nslookup {storage-account-host-name} [optional-DNS-server]

  2. Проверьте все службы хранилища:

     C:\nslookup {storage-account-host-name}.blob.core.windows.net

     C:\nslookup {storage-account-host-name}.file.core.windows.net

     C:\nslookup {storage-account-host-name}.queue.core.windows.net

     C:\nslookup {storage-account-host-name}.table.core.windows.net

  3. Если эти запросы DNS разрешаются, запустите psping или tcpping, чтобы проверить трафик в направлении к учетной записи хранения через порт 443:

     C:\psping {storage-account-host-name} {port} [optional-DNS-server]

  4. Проверьте все службы хранилища:

     C:\psping {storage-account-host-name}.blob.core.windows.net:443

     C:\psping {storage-account-host-name}.queue.core.windows.net:443

     C:\psping {storage-account-host-name}.table.core.windows.net:443

     C:\psping {storage-account-host-name}.file.core.windows.net:443

  5. Если запросы разрешаются из виртуальной машины, выполните следующие действия:

     1. На виртуальной машине найдите DNS-сервер, используемый для разрешения.

     2. В приложении логики найдите и задайте для параметра приложения WEBSITE_DNS_SERVER то же значение DNS-сервера, которое вы определили на предыдущем шаге.

     3. Убедитесь, что интеграция виртуальной сети настроена в соответствии с виртуальной сетью и подсетью в приложении логики.

Следующие шаги

• Повсеместное использование Logic Apps: сетевые возможности использования службы Logic Apps (с одним клиентом)