Skydda trafik mellan standardlogikappar och virtuella Azure-nätverk med hjälp av privata slutpunkter

Artikel
07/20/2024

Gäller för: Azure Logic Apps (Standard)

Om du vill kommunicera på ett säkert och privat sätt mellan arbetsflödet i en standardlogikapp och ett virtuellt Azure-nätverk kan du konfigurera privata slutpunkter för inkommande trafik och använda integrering av virtuella nätverk för utgående trafik.

En privat slutpunkt är ett nätverksgränssnitt som ansluter privat och säkert till en tjänst som drivs av Azure Private Link. Tjänsten kan vara en Azure-tjänst, till exempel Azure Logic Apps, Azure Storage, Azure Cosmos DB, SQL eller din egna Private Link-tjänst. Den privata slutpunkten använder en privat IP-adress från ditt virtuella nätverk, vilket effektivt tar in tjänsten i ditt virtuella nätverk.

Den här artikeln visar hur du konfigurerar åtkomst via privata slutpunkter för inkommande trafik och integrering av virtuella nätverk för utgående trafik.

Mer information finns i följande dokumentation:

Förutsättningar

Ett nytt eller befintligt virtuellt Azure-nätverk som innehåller ett undernät utan delegeringar. Det här undernätet används för att distribuera och allokera privata IP-adresser från det virtuella nätverket.

Mer information finns i följande dokumentation:

Installera eller använd ett verktyg som kan skicka HTTP-begäranden för att testa din lösning, till exempel:
Varning

För scenarier där du har känsliga data, till exempel autentiseringsuppgifter, hemligheter, åtkomsttoken, API-nycklar och annan liknande information, bör du använda ett verktyg som skyddar dina data med nödvändiga säkerhetsfunktioner, fungerar offline eller lokalt, inte synkroniserar dina data till molnet och inte kräver att du loggar in på ett onlinekonto. På så sätt minskar du risken för att exponera känsliga data för allmänheten.

Konfigurera inkommande trafik via privata slutpunkter

Utför följande övergripande steg för att skydda inkommande trafik till arbetsflödet:

Starta arbetsflödet med en inbyggd utlösare som kan ta emot och hantera inkommande begäranden, till exempel utlösaren Förfrågning eller HTTP + Webhook-utlösaren . Den här utlösaren konfigurerar arbetsflödet med en anropsbar slutpunkt.
Lägg till en privat slutpunkt för logikappresursen i ditt virtuella nätverk.
Gör testanrop för att kontrollera åtkomsten till slutpunkten. Om du vill anropa logikappens arbetsflöde när du har konfigurerat den här slutpunkten måste du vara ansluten till det virtuella nätverket.

Överväganden för inkommande trafik via privata slutpunkter

Om den nås utanför det virtuella nätverket kan övervakningsvyn inte komma åt indata och utdata från utlösare och åtgärder.
Hanterade API webhook-utlösare (push-utlösare ) och åtgärder fungerar inte eftersom de körs i det offentliga molnet och inte kan anropa till ditt privata nätverk. De kräver en offentlig slutpunkt för att ta emot samtal. Sådana utlösare inkluderar till exempel Dataverse-utlösaren och Event Grid-utlösaren.
Om du använder Office 365 Outlook-utlösaren utlöses arbetsflödet bara per timme.
Distribution från Visual Studio Code eller Azure CLI fungerar endast inifrån det virtuella nätverket. Du kan använda Distributionscenter för att länka logikappen till en GitHub-lagringsplats. Du kan sedan använda Azure-infrastrukturen för att skapa och distribuera din kod.

För att GitHub-integreringen WEBSITE_RUN_FROM_PACKAGE ska fungera tar du bort inställningen från logikappen eller anger värdet till 0.
Aktivering av Private Link påverkar inte utgående trafik, som fortfarande flödar genom App Service-infrastrukturen.

Krav för inkommande trafik via privata slutpunkter

Tillsammans med konfigurationen av det virtuella nätverket i de högsta kraven måste du ha ett nytt eller befintligt standardarbetsflöde för logikappar som börjar med en inbyggd utlösare som kan ta emot begäranden.

Till exempel skapar utlösaren Begäran en slutpunkt i arbetsflödet som kan ta emot och hantera inkommande begäranden från andra anropare, inklusive arbetsflöden. Den här slutpunkten innehåller en URL som du kan använda för att anropa och utlösa arbetsflödet. I det här exemplet fortsätter stegen med utlösaren Förfrågning .

Mer information finns i Ta emot och svara på inkommande HTTP-begäranden med hjälp av Azure Logic Apps.

Skapa arbetsflödet

Om du inte redan har gjort det skapar du en logikapp baserad på en klientorganisation och ett tomt arbetsflöde.
När designern har öppnats lägger du till utlösaren Förfrågning som det första steget i arbetsflödet.
Baserat på dina scenariokrav lägger du till andra åtgärder som du vill köra i arbetsflödet.
Spara arbetsflödet när du är klar.

Mer information finns i Skapa logikapparbetsflöden för en klientorganisation i Azure Logic Apps.

Kopiera slutpunkts-URL:en

På arbetsflödesmenyn väljer du Översikt.
På sidan Översikt kopierar och sparar du arbetsflödes-URL :en för senare användning.
Om du vill testa URL:en och utlösa arbetsflödet skickar du en HTTP-begäran till URL:en med hjälp av http-begärandeverktyget och dess instruktioner.

Konfigurera privat slutpunktsanslutning

På resursmenyn för logikappen går du till Inställningar och väljer Nätverk.
På sidan Nätverk går du till avsnittet Konfiguration av inkommande trafik och väljer länken bredvid Privata slutpunkter.
På sidan Privata slutpunktsanslutningar väljer du Lägg till>Express eller Avancerat.

Mer information om alternativet Avancerat finns i Skapa en privat slutpunkt.
I fönstret Lägg till privat slutpunkt anger du den begärda informationen om slutpunkten.

Mer information finns i Egenskaper för privat slutpunkt.
När Azure har etablerat den privata slutpunkten försöker du igen för att anropa arbetsflödets URL.

Den här gången får du ett förväntat 403 Forbidden fel, vilket innebär att den privata slutpunkten har konfigurerats och fungerar korrekt.
För att säkerställa att anslutningen fungerar korrekt skapar du en virtuell dator i samma virtuella nätverk som har den privata slutpunkten och försöker anropa logikappens arbetsflöde.

Konfigurera utgående trafik med hjälp av integrering av virtuella nätverk

För att skydda utgående trafik från logikappen kan du integrera logikappen med ett virtuellt nätverk. Skapa och testa först ett exempelarbetsflöde. Du kan sedan konfigurera integrering av virtuella nätverk.

Överväganden för utgående trafik via integrering av virtuella nätverk

Att konfigurera integrering av virtuella nätverk påverkar endast utgående trafik. Om du vill skydda inkommande trafik, som fortsätter att använda den delade Slutpunkten för App Service, läser du Konfigurera inkommande trafik via privata slutpunkter.
Du kan inte ändra undernätsstorleken efter tilldelningen, så använd ett undernät som är tillräckligt stort för att hantera den skala som din app kan nå. Om du vill undvika problem med undernätskapacitet använder du ett /26 undernät med 64 adresser. Om du skapar undernätet för integrering av virtuella nätverk med Azure-portalen måste du använda /27 som minsta undernätsstorlek.

För att Azure Logic Apps-körningen ska fungera måste du ha en oavbruten anslutning till serverdelslagringen. Om serverdelslagringen exponeras för det virtuella nätverket via en privat slutpunkt kontrollerar du att följande portar är öppna:

Källport	Målport	Källa	Mål	Protokoll	Syfte
*	443	Undernät integrerat med standardlogikapp	Lagringskonto	TCP	Lagringskonto
*	445	Undernät integrerat med standardlogikapp	Lagringskonto	TCP	SMB-filresurs (Server Message Block)

För att hanterade azure-värdbaserade anslutningsappar ska fungera måste du ha en oavbruten anslutning till den hanterade API-tjänsten. Med integrering av virtuella nätverk kontrollerar du att ingen brandväggs- eller nätverkssäkerhetsprincip blockerar dessa anslutningar. Om ditt virtuella nätverk använder en nätverkssäkerhetsgrupp (NSG), användardefinierad routningstabell (UDR) eller en brandvägg kontrollerar du att det virtuella nätverket tillåter utgående anslutningar till alla HANTERADE ANSLUTNINGS-IP-adresser i motsvarande region. Annars fungerar inte Azure-hanterade anslutningsappar.