Ansluta till virtuella Azure-nätverk från Azure Logic Apps med hjälp av en integrationstjänstmiljö (ISE)

Viktigt

Den 31 augusti 2024 dras ISE-resursen tillbaka på grund av dess beroende av Azure Serviços de Nuvem (klassisk), som dras tillbaka samtidigt. Före tillbakadragningsdatumet exporterar du alla logikappar från din ISE till standardlogikappar så att du kan undvika avbrott i tjänsten. Arbetsflöden för standardlogikappar körs i Azure Logic Apps med en enda klientorganisation och ger samma funktioner plus mer.

Från och med 1 november 2022 kan du inte längre skapa nya ISE-resurser. ISE-resurser som finns före detta datum stöds dock till och med 31 augusti 2024. Mer information finns i följande resurser:

För scenarier där resurser för förbrukningslogikappar och integrationskonton behöver åtkomst till ett virtuellt Azure-nätverk skapar du en integrationstjänstmiljö (ISE). En ISE är en miljö som använder dedikerad lagring och andra resurser som hålls åtskilda från den "globala" Azure Logic Apps för flera klientorganisationer. Den här separationen minskar också den påverkan som andra Azure-klientorganisationer kan ha på dina appars prestanda. Med en ISE får du även egna statiska IP-adresser. Dessa IP-adresser är separata från de statiska IP-adresser som delas av logikapparna i den offentliga tjänsten för flera klientorganisationer.

När du skapar en ISE matar Azure in ise-filen i ditt virtuella Azure-nätverk, som sedan distribuerar Azure Logic Apps till ditt virtuella nätverk. När du skapar en logikapp eller ett integrationskonto väljer du din ISE som plats. Logikappen eller integrationskontot kan sedan direkt komma åt resurser, till exempel virtuella datorer, servrar, system och tjänster, i ditt virtuella nätverk.

Välj integrationstjänstmiljö

Viktigt

För att logikappar och integrationskonton ska fungera tillsammans i en ISE måste båda använda samma ISE som deras plats.

En ISE har ökat gränserna för:

  • Körningens varaktighet
  • Kvarhållning
  • Dataflöde
  • Tidsgränser för HTTP-begäran och svar
  • Meddelandestorlekar
  • Anpassade anslutningsbegäranden

Mer information finns i Begränsningar och konfiguration för Azure Logic Apps. Mer information om ISE:er finns i Åtkomst till Azure Virtual Network resurser från Azure Logic Apps.

Den här artikeln visar hur du utför dessa uppgifter med hjälp av Azure-Portal:

  • Aktivera åtkomst för din ISE.
  • Skapa din ISE.
  • Lägg till extra kapacitet i din ISE.

Du kan också skapa en ISE med hjälp av azure Resource Manager-exempelmallen eller med hjälp av REST-API:et för Azure Logic Apps, inklusive att konfigurera kundhanterade nycklar:

Krav

  • Ett Azure-konto och prenumeration. Om du heller inte har någon Azure-prenumeration kan du registrera ett kostnadsfritt Azure-konto.

    Viktigt

    Logikappens arbetsflöden, inbyggda utlösare, inbyggda åtgärder och anslutningsappar som körs i din ISE använder en prisplan som skiljer sig från prisplanen Förbrukning. Information om hur priser och fakturering fungerar för ISE:er finns i prismodellen för Azure Apps. Prisnivåer finns i Prissättning för Azure Apps.

  • Ett virtuellt Azure-nätverk som har fyra tomma undernät som krävs för att skapa och distribuera resurser i ISE och som används av dessa interna och dolda komponenter:

    • Beräkning i Azure Logic Apps
    • Interna App Service Environment (anslutningsappar)
    • Interna Gestione API (anslutningsappar)
    • Intern Redis för cachelagring och prestanda

    Du kan skapa undernäten i förväg eller när du skapar din ISE så att du kan skapa undernäten samtidigt. Innan du skapar undernäten bör du dock granska kraven för undernätet.

Aktivera åtkomst för ISE

När du använder en ISE med ett virtuellt Azure-nätverk är ett vanligt konfigurationsproblem att ha en eller flera blockerade portar. De anslutningsappar som du använder för att skapa anslutningar mellan din ISE och målsystem kan också ha egna portkrav. Om du till exempel kommunicerar med ett FTP-system med hjälp av FTP-anslutningsappen måste porten som du använder i FTP-systemet vara tillgänglig, till exempel port 21 för att skicka kommandon.

Öppna portarna som beskrivs i den här tabellen för varje undernät för att se till att din ISE är tillgänglig och att logikapparna där ISE kan kommunicera i varje undernät i det virtuella nätverket. Om nödvändiga portar inte är tillgängliga fungerar inte ISE:en korrekt.

  • Om du har flera ISE-instanser som behöver åtkomst till andra slutpunkter som har IP-begränsningar distribuerar du en Azure Firewall eller en virtuell nätverksinstallation till ditt virtuella nätverk och dirigerar utgående trafik genom den virtuella brandväggen eller den virtuella nätverksinstallationen. Du kan sedan konfigurera en enda, utgående, offentlig, statisk och förutsägbar IP-adress som alla ISE-instanser i ditt virtuella nätverk kan använda för att kommunicera med målsystem. På så sätt behöver du inte konfigurera extra brandväggsöppningar på dessa målsystem för varje ISE.

    Anteckning

    Du kan använda den här metoden för en enskild ISE när ditt scenario kräver att antalet IP-adresser som behöver åtkomst begränsas. Överväg om de extra kostnaderna för brandväggen eller den virtuella nätverksinstallationen är meningsfulla för ditt scenario. Mer informasjon om prissättning för Azure Firewall.

  • Om du har skapat ett nytt virtuellt Azure-nätverk och undernät utan några begränsningar behöver du inte konfigurera nätverkssäkerhetsgrupper (NSG:er) i det virtuella nätverket för att styra trafiken över undernät.

  • För ett befintligt virtuellt nätverk kan du också konfigurera nätverkssäkerhetsgrupper (NSG:er) för att filtrera nätverkstrafik mellan undernät. Om du vill gå den här vägen, eller om du redan använder NSG:er, måste du öppna portarna som beskrivs i den här tabellen för dessa NSG:er.

    När du konfigurerar NSG-säkerhetsregler måste du använda bådeTCP - och UDP-protokollen , eller så kan du välja Alla i stället så att du inte behöver skapa separata regler för varje protokoll. NSG-säkerhetsregler beskriver de portar som du måste öppna för de IP-adresser som behöver åtkomst till dessa portar. Se till att alla brandväggar, routrar eller andra objekt som finns mellan dessa slutpunkter också håller dessa portar tillgängliga för dessa IP-adresser.

  • Om du konfigurerar tvingad tunneltrafik genom brandväggen för att omdirigera Internetbunden trafik granskar du kraven på tvingad tunneltrafik.

Nätverksportar som används av din ISE

Den här tabellen beskriver de portar som din ISE kräver för att vara tillgängliga och syftet med dessa portar. För att minska komplexiteten när du konfigurerar säkerhetsregler använder tabellen tjänsttaggar som representerar grupper med IP-adressprefix för en specifik Azure-tjänst. Om detta anges refererar intern ISE och extern ISE till den åtkomstslutpunkt som väljs när ISE skapas. Mer information finns i Åtkomst till slutpunkt.

Viktigt

För alla regler kontrollerar du att du anger källportar till * eftersom källportarna är tillfälliga.

Ingående säkerhetsregler

Källportar Målportar Källtjänsttagg eller IP-adresser Måltjänsttagg eller IP-adresser Syfte Kommentarer
* * Adressutrymme för det virtuella nätverket med ISE-undernät Adressutrymme för det virtuella nätverket med ISE-undernät Intersubnet-kommunikation i det virtuella nätverket. Krävs för att trafik ska flöda mellan undernäten i ditt virtuella nätverk.

Viktigt: Se till att du öppnar alla portar i varje undernät för att trafik ska flöda mellan komponenterna i varje undernät.
* 443 Intern ISE:
VirtualNetwork

Extern ISE: Internet eller se Anteckningar
VirtualNetwork – Kommunikation till logikappen

– Kör historik för logikappen
I stället för att använda internettjänsttaggen kan du ange käll-IP-adressen för dessa objekt:

– Den dator eller tjänst som anropar utlösare eller webhooks för förfrågningar i logikappen

– Datorn eller tjänsten där du vill komma åt logikappens körningshistorik

Viktigt: Om du stänger eller blockerar den här porten förhindras anrop till logikappar som har utlösare för begäran eller webhooks. Du hindras också från att komma åt indata och utdata för varje steg i körningshistoriken. Du hindras dock inte från att komma åt logikappens körningshistorik.
* 454 LogicAppsManagement VirtualNetwork Azure Logic Apps-designer – dynamiska egenskaper Begäranden kommer från Azure Logic Apps-åtkomstslutpunktens inkommande IP-adresser för den regionen.

Viktigt: Om du arbetar med Azure Government moln fungerar inte LogicAppsManagement-tjänsttaggen. I stället måste du ange inkommande IP-adresser för Azure Logic Apps för Azure Government.
* 454 LogicApps VirtualNetwork Hälsokontroll för nätverk Begäranden kommer från Azure Logic Apps-åtkomstslutpunktens inkommande IP-adresser och utgående IP-adresser för den regionen.

Viktigt: Om du arbetar med Azure Government moln fungerar inte LogicApps-tjänsttaggen. I stället måste du ange både inkommande IP-adresser för Azure Logic Apps och utgående IP-adresser för Azure Government.
* 454 AzureConnectors VirtualNetwork Distribution av anslutningsapp Krävs för att distribuera och uppdatera anslutningsappar. Om den här porten stängs eller blockeras misslyckas ISE-distributioner och uppdateringar och korrigeringar förhindras.

Viktigt: Om du arbetar med Azure Government moln fungerar inte AzureConnectors-tjänsttaggen. I stället måste du ange utgående IP-adresser för den hanterade anslutningsappen för Azure Government.
* 454, 455 AppServiceManagement VirtualNetwork Serviço de Aplicativo Management-beroende
* Intern ISE: 454

Extern ISE: 443
AzureTrafficManager VirtualNetwork Kommunikation från Azure Traffic Manager
* 3443 APIManagement VirtualNetwork Distribution av anslutningsprincip

Gestione API – hanteringsslutpunkt
För distribution av anslutningsprinciper krävs portåtkomst för att distribuera och uppdatera anslutningsappar. Om den här porten stängs eller blockeras misslyckas ISE-distributioner och uppdateringar och korrigeringar förhindras.
* 6379 – 6383, plus se Anteckningar VirtualNetwork VirtualNetwork Åtkomst Azure Cache for Redis instanser mellan rollinstanser För att ISE ska fungera med Azure Cache for Redis måste du öppna dessa utgående och inkommande portar som beskrivs i Azure Cache for Redis vanliga frågor och svar.

Säkerhetsregler för utgående trafik

Källportar Målportar Källtjänsttagg eller IP-adresser Måltjänsttagg eller IP-adresser Syfte Kommentarer
* * Adressutrymme för det virtuella nätverket med ISE-undernät Adressutrymme för det virtuella nätverket med ISE-undernät Intersubnet-kommunikation i virtuellt nätverk Krävs för att trafik ska flöda mellan undernäten i ditt virtuella nätverk.

Viktigt: Se till att du öppnar alla portar i varje undernät för att trafik ska flöda mellan komponenterna i varje undernät.
* 443, 80 VirtualNetwork Internet Kommunikation från logikappen Den här regeln krävs för verifiering av SSL-certifikat (Secure Socket Layer). Den här kontrollen gäller för olika interna och externa platser, vilket är anledningen till att Internet krävs som mål.
* Varierar beroende på mål VirtualNetwork Varierar beroende på mål Kommunikation från logikappen Målportarna varierar beroende på slutpunkterna för de externa tjänster som logikappen behöver kommunicera med.

Målporten är till exempel port 25 för en SMTP-tjänst, port 22 för en SFTP-tjänst och så vidare.
* 80, 443 VirtualNetwork AzureActiveDirectory Azure Active Directory
* 80, 443, 445 VirtualNetwork Storage Azure Storage-beroende
* 443 VirtualNetwork AppService Anslutningshantering
* 443 VirtualNetwork AzureMonitor Publicera mått för diagnostikloggar &
* 1433 VirtualNetwork SQL SQL do Azure beroende
* 1886 VirtualNetwork AzureMonitor Azure Resource Health Krävs för att publicera hälsostatus till Resource Health.
* 5672 VirtualNetwork EventHub Beroende från logg till Event Hubs-princip och övervakningsagent
* 6379 – 6383, plus se Anteckningar VirtualNetwork VirtualNetwork Åtkomst Azure Cache for Redis instanser mellan rollinstanser För att ISE ska fungera med Azure Cache for Redis måste du öppna dessa utgående och inkommande portar som beskrivs i Azure Cache for Redis vanliga frågor och svar.
* 53 VirtualNetwork IP-adresser för alla anpassade DNS-servrar (Domain Name System) i ditt virtuella nätverk DNS-namnmatchning Krävs endast när du använder anpassade DNS-servrar i ditt virtuella nätverk

Dessutom måste du lägga till utgående regler för App Service Environment (ASE):

  • Om du använder Azure Firewall måste du konfigurera brandväggen med taggen App Service Environment (ASE) fullständigt kvalificerade domännamn (FQDN), vilket tillåter utgående åtkomst till ASE-plattformstrafik.

  • Om du använder en annan brandväggsinstallation än Azure Firewall måste du konfigurera brandväggen med alla regler som anges i de brandväggsintegreringsberoenden som krävs för App Service Environment.

Krav för tvingad tunneltrafik

Om du konfigurerar eller använder tvingad tunneltrafik genom brandväggen måste du tillåta extra externa beroenden för din ISE. Med tvingad tunneltrafik kan du omdirigera Internetbunden trafik till ett angivet nästa hopp, till exempel ditt virtuella privata nätverk (VPN) eller till en virtuell installation, i stället för till Internet så att du kan inspektera och granska utgående nätverkstrafik.

Om du inte tillåter åtkomst för dessa beroenden misslyckas ISE-distributionen och din distribuerade ISE slutar fungera.

Skapa din ISE

  1. I Azure-Portal i huvudsökrutan i Azure anger du integration service environments som filter och väljer Integreringstjänstmiljöer.

    Hitta och välj

  2. I fönstret Integration Service Environments (Integreringstjänstmiljöer ) väljer du Lägg till.

    Välj Lägg till för att skapa en integrationstjänstmiljö

  3. Ange den här informationen för din miljö och välj sedan Granska + skapa, till exempel:

    Ange miljöinformation

    Egenskap Krävs Värde Beskrivning
    Prenumeration Ja <Azure-prenumerationsnamn> Azure-prenumerationen som ska användas för din miljö
    Resursgrupp Ja <Azure-resource-group-name> En ny eller befintlig Azure-resursgrupp där du vill skapa din miljö
    Miljönamn för integrationstjänsten Ja <miljönamn> Ditt ISE-namn, som endast kan innehålla bokstäver, siffror, bindestreck (-), understreck (_) och punkter (.).
    Plats Ja <Azure-datacenter-region> Den Azure-datacenterregion där du distribuerar din miljö
    SKU Ja Premium eller Utvecklare (inget serviceavtal) ISE SKU för att skapa och använda. Information om skillnader mellan dessa SKU:er finns i ISE-SKU:er.

    Viktigt: Det här alternativet är endast tillgängligt när ISE skapas och kan inte ändras senare.

    Ytterligare kapacitet Premium:
    Ja

    Författare:
    Inte tillämpligt

    Premium:
    0 till 10

    Författare:
    Inte tillämpligt

    Antalet extra bearbetningsenheter som ska användas för den här ISE-resursen. Om du vill lägga till kapacitet efter skapandet läser du Lägg till ISE-kapacitet.
    Åtkomstslutpunkt Ja Internt eller externt Typen av åtkomstslutpunkter som ska användas för din ISE. De här slutpunkterna avgör om begärande- eller webhook-utlösare i logikappar i ISE kan ta emot samtal utanför det virtuella nätverket.

    Om du till exempel vill använda följande webhook-baserade utlösare kontrollerar du att du väljer Extern:

    – Azure DevOps
    - Azure Event Grid
    – Common Data Service
    - Office 365
    – SAP (ISE-version)

    Ditt val påverkar också hur du kan visa och komma åt indata och utdata i logikappens körningshistorik. Mer information finns i ISE-slutpunktsåtkomst.

    Viktigt! Du kan bara välja åtkomstslutpunkten när ISE skapas och kan inte ändra det här alternativet senare.

    Virtuellt nätverk Ja <Azure-virtual-network-name> Det virtuella Azure-nätverk där du vill mata in din miljö så att logikappar i den miljön kan komma åt ditt virtuella nätverk. Om du inte har något nätverk skapar du först ett virtuellt Azure-nätverk.

    Viktigt! Du kan bara utföra den här injektionen när du skapar din ISE.

    Undernät Ja <undernätsresurslista> Oavsett om du använder ISE Premium eller Developer kräver ditt virtuella nätverk fyra tomma undernät för att skapa och distribuera resurser i din ISE. Dessa undernät används av interna Azure Logic Apps-komponenter, till exempel anslutningsappar och cachelagring för prestanda.

    Viktigt! Kontrollera att du granskar undernätskraven innan du fortsätter med de här stegen för att skapa dina undernät.

    Skapa undernät

    Oavsett om du planerar att använda ISE Premium eller Developer kontrollerar du att det virtuella nätverket har fyra tomma undernät. Dessa undernät används för att skapa och distribuera resurser i din ISE och används av interna Azure Logic Apps-komponenter, till exempel anslutningsappar och cachelagring för prestanda. Du kan inte ändra dessa undernätsadresser när du har skapat din miljö. Om du skapar och distribuerar din ISE via Azure-Portal kontrollerar du att du inte delegerar dessa undernät till några Azure-tjänster. Men om du skapar och distribuerar din ISE via REST-API:et, Azure PowerShell eller en Azure Resource Manager-mall måste du delegera ett tomt undernät till Microsoft.integrationServiceEnvironment. Mer information finns i Lägg till en delegering av undernät.

    Varje undernät måste uppfylla dessa krav:

    • Använder ett namn som börjar med antingen ett alfabetiskt tecken eller ett understreck (inga siffror) och använder inte följande tecken: <, >, %, &, \\, ?, /.

    • Använder formatet Classless Inter-Domain Routing (CIDR).

      Viktigt

      Använd inte följande IP-adressutrymmen för ditt virtuella nätverk eller undernät eftersom de inte kan matchas av Azure Logic Apps:

      • 0.0.0.0/8
      • 100.64.0.0/10
      • 127.0.0.0/8
      • 168.63.129.16/32
      • 169.254.169.254/32
    • Använder en /27 i adressutrymmet eftersom varje undernät kräver 32 adresser. Har till exempel 10.0.0.0/27 32 adresser eftersom 2(32-27) är 25 eller 32. Fler adresser ger inga extra fördelar. Mer information om hur du beräknar adresser finns i IPv4 CIDR-block.

    • Om du använder ExpressRoute måste du skapa en routningstabell som har följande väg och länka tabellen till varje undernät som används av din ISE:

      Namn: <route-name>
      Adressprefix: 0.0.0.0/0
      Nästa hopp: Internet

    1. Under listan Undernät väljer du Hantera undernätskonfiguration.

      Hantera undernätskonfiguration

    2. I fönstret Undernät väljer du Undernät.

      Lägg till fyra tomma undernät

    3. Ange den här informationen i fönstret Lägg till undernät .

      • Namn: Namnet på undernätet
      • Adressintervall (CIDR-block): Ditt undernäts intervall i ditt virtuella nätverk och i CIDR-format

      Lägg till information om undernät

    4. När du är klar väljer du Ok.

    5. Upprepa dessa steg för ytterligare tre undernät.

      Anteckning

      Om de undernät som du försöker skapa inte är giltiga visar Azure-Portal ett meddelande, men blockerar inte förloppet.

    Mer information om hur du skapar undernät finns i Lägg till ett virtuellt nätverksundernät.

  4. När Azure har verifierat din ISE-information väljer du Skapa, till exempel:

    När valideringen är klar väljer du

    Azure börjar distribuera din miljö, vilket vanligtvis tar inom två timmar att slutföra. Ibland kan distributionen ta upp till fyra timmar. Om du vill kontrollera distributionsstatusen väljer du meddelandeikonen i azure-verktygsfältet, som öppnar meddelandefönstret.

    Kontrollera distributionsstatus

    Om distributionen har slutförts visar Azure det här meddelandet:

    Distributionen lyckades

    Annars följer du anvisningarna i Azure-Portal för felsökning av distribution.

    Anteckning

    Om distributionen misslyckas eller om du tar bort din ISE kan det ta upp till en timme eller kanske längre tid i sällsynta fall innan undernäten släpps. Därför kan du behöva vänta innan du kan återanvända dessa undernät i en annan ISE.

    Om du tar bort ditt virtuella nätverk tar Azure vanligtvis upp till två timmar innan undernäten frigörs, men den här åtgärden kan ta längre tid. När du tar bort virtuella nätverk kontrollerar du att inga resurser fortfarande är anslutna. Mer information finns i Ta bort virtuellt nätverk.

  5. Om du vill visa din miljö väljer du Gå till resurs om Azure inte automatiskt går till din miljö när distributionen är klar.

  6. För en ISE som har extern slutpunktsåtkomst måste du skapa en nätverkssäkerhetsgrupp (NSG) om du inte redan har en. Du måste lägga till en inkommande säkerhetsregel i NSG:n för att tillåta trafik från utgående IP-adresser för hanterade anslutningsappar. Följ dessa steg för att konfigurera den här regeln:

    1. På ISE-menyn går du till Inställningar och väljer Egenskaper.

    2. Under Utgående IP-adresser för anslutningsprogram kopierar du de offentliga IP-adressintervallen, som också visas i den här artikeln , Gränser och konfiguration – Utgående IP-adresser.

    3. Skapa en nätverkssäkerhetsgrupp om du inte redan har en.

    4. Baserat på följande information lägger du till en inkommande säkerhetsregel för de offentliga utgående IP-adresserna som du kopierade. Mer information finns i Självstudie: Filtrera nätverkstrafik med en nätverkssäkerhetsgrupp med hjälp av Azure-Portal.

      Syfte Källtjänsttagg eller IP-adresser Källportar Måltjänsttagg eller IP-adresser Målportar Kommentarer
      Tillåt trafik från utgående IP-adresser för anslutningsappen <connector-public-outbound-IP-addresses> * Adressutrymme för det virtuella nätverket med ISE-undernät *
  7. Om du vill kontrollera nätverkshälsan för din ISE läser du Hantera din integrationstjänstmiljö.

    Varning

    Om ISE:ns nätverk blir felfritt kan även den interna App Service Environment (ASE) som används av ISE bli skadad. Om ASE inte är felfri i mer än sju dagar pausas ASE. Lös det här tillståndet genom att kontrollera konfigurationen av det virtuella nätverket. Lös eventuella problem som du hittar och starta sedan om DIN ISE. Annars tas den inaktiverade ASE:en bort efter 90 dagar och din ISE blir oanvändbar. Se därför till att din ISE är felfri för att tillåta nödvändig trafik.

    Mer information finns i följande avsnitt:

  8. Om du vill börja skapa logikappar och andra artefakter i DIN ISE läser du Lägga till resurser i integreringstjänstmiljöer.

    Viktigt

    När du har skapat din ISE blir hanterade ISE-anslutningsappar tillgängliga för dig att använda, men de visas inte automatiskt i anslutningsväljaren i Logic App Designer. Innan du kan använda dessa ISE-anslutningsappar måste du manuellt lägga till och distribuera dessa anslutningsappar till din ISE så att de visas i Logikappdesignern.

Nästa steg