Åtkomst till virtuella Azure-nätverk från Azure Logic Apps med hjälp av en integrationstjänstmiljö (ISE)

Gäller för: Azure Logic Apps (förbrukning)

Ibland behöver logikappens arbetsflöden åtkomst till skyddade resurser, till exempel virtuella datorer (VM) och andra system eller tjänster, som finns i eller är anslutna till ett virtuellt Azure-nätverk. Om du vill komma åt dessa resurser direkt från arbetsflöden som vanligtvis körs i Azure Logic Apps för flera klientorganisationer kan du skapa och köra dina logikappar i en integrationstjänstmiljö (ISE) i stället. En ISE är faktiskt en instans av Azure Logic Apps som körs separat på dedikerade resurser, förutom den globala Azure-miljön för flera klientorganisationer, och som inte lagrar, bearbetar eller replikerar data utanför den region där du distribuerar ISE.

Vissa virtuella Azure-nätverk använder till exempel privata slutpunkter (Azure Private Link) för att ge åtkomst till Azure PaaS-tjänster, till exempel Azure Storage, Azure Cosmos DB eller Azure SQL Database, partnertjänster eller kundtjänster som finns i Azure. Om logikappens arbetsflöden kräver åtkomst till virtuella nätverk som använder privata slutpunkter har du följande alternativ:

Mer information finns i skillnaderna mellan Azure Logic Apps för flera klientorganisationer och integreringstjänstmiljöer.

Så här fungerar en ISE med ett virtuellt nätverk

När du skapar en ISE väljer du det virtuella Azure-nätverk där du vill att Azure ska mata in eller distribuera din ISE. När du skapar logikappar och integrationskonton som behöver åtkomst till det här virtuella nätverket kan du välja din ISE som värdplats för dessa logikappar och integrationskonton. I ISE körs logikappar på dedikerade resurser separat från andra i Azure Logic Apps-miljön för flera klientorganisationer. Data i en ISE finns kvar i samma region där du skapar och distribuerar denna ISE.

Välj integrationstjänstmiljö

Om du vill ha mer kontroll över de krypteringsnycklar som används av Azure Storage kan du konfigurera, använda och hantera din egen nyckel med hjälp av Azure Key Vault. Den här funktionen kallas även "Bring Your Own Key" (BYOK) och din nyckel kallas för en "kundhanterad nyckel". Mer information finns i Konfigurera kundhanterade nycklar för att kryptera vilande data för integrationstjänstmiljöer (ISE) i Azure Logic Apps.

Den här översikten innehåller mer information om varför du vill använda en ISE, skillnaderna mellan den dedikerade Logic Apps-tjänsten och Logic Apps-tjänsten för flera klientorganisationer och hur du direkt kan komma åt resurser som finns i eller är anslutna till ditt virtuella Azure-nätverk.

Varför använda en ISE

Genom att köra logikappar i din egen separata dedikerade instans kan du minska den inverkan som andra Azure-klientorganisationer kan ha på dina appars prestanda, även kallat effekten "bullriga grannar". En ISE ger också följande fördelar:

  • Direkt åtkomst till resurser som finns i eller är anslutna till ditt virtuella nätverk

    Logikappar som du skapar och kör i en ISE kan använda särskilt utformade anslutningsappar som körs i din ISE. Om det finns en ISE-anslutning för ett lokalt system eller en datakälla kan du ansluta direkt utan att behöva använda den lokala datagatewayen. Mer information finns i Dedikerad jämfört med flera klientorganisationer och Åtkomst till lokala system senare i det här avsnittet.

  • Fortsatt åtkomst till resurser som är utanför eller inte anslutna till ditt virtuella nätverk

    Logikappar som du skapar och kör i en ISE kan fortfarande använda anslutningsappar som körs i Logic Apps-tjänsten för flera klientorganisationer när en ISE-specifik anslutningsapp inte är tillgänglig. Mer information finns i Dedikerad jämfört med flera klientorganisationer.

  • Dina egna statiska IP-adresser, som är separata från de statiska IP-adresser som delas av logikapparna i tjänsten för flera klientorganisationer. Du kan också konfigurera en enda offentlig, statisk och förutsägbar utgående IP-adress för att kommunicera med målsystem. På så sätt behöver du inte konfigurera ytterligare brandväggsöppningar på dessa målsystem för varje ISE.

  • Ökade gränser för körningens varaktighet, kvarhållning av lagring, dataflöde, tidsgränser för HTTP-begäranden och svar, meddelandestorlekar och anpassade anslutningsbegäranden. Mer information finns i Begränsningar och konfiguration för Azure Logic Apps.

Dedikerad jämfört med flera klientorganisationer

När du skapar och kör logikappar i en ISE får du samma användarupplevelser och liknande funktioner som Logic Apps-tjänsten för flera klientorganisationer. Du kan använda samma inbyggda utlösare, åtgärder och hanterade anslutningsappar som är tillgängliga i Logic Apps-tjänsten för flera klientorganisationer. Vissa hanterade anslutningsappar erbjuder ytterligare ISE-versioner. Skillnaden mellan ISE-anslutningsappar och icke-ISE-anslutningsappar finns där de körs och de etiketter som de har i Logikappdesignern när du arbetar i en ISE.

Anslutningsappar med och utan etiketter i en ISE

  • Inbyggda utlösare och åtgärder, till exempel HTTP, visar CORE-etiketten och körs i samma ISE som din logikapp.

  • Hanterade anslutningsappar som visar ISE-etiketten är särskilt utformade för ISE:er och körs alltid i samma ISE som din logikapp. Här är till exempel några anslutningsappar som erbjuder ISE-versioner:

    • Azure Blob Storage, File Storage och Table Storage
    • Azure Service Bus, Azure Queues, Azure Event Hubs
    • Azure Automation, Azure Key Vault, Azure Event Grid och Azure Monitor-loggar
    • FTP, SFTP-SSH, filsystem och SMTP
    • SAP, IBM MQ, IBM DB2 och IBM 3270
    • SQL Server, Azure Synapse Analytics, Azure Cosmos DB
    • AS2, X12 och EDIFACT

    Med sällsynta undantag kan du ansluta direkt utan att använda den lokala datagatewayen om en ISE-anslutning är tillgänglig för ett lokalt system eller en datakälla. Mer information finns i Åtkomst till lokala system senare i det här avsnittet.

  • Hanterade anslutningsappar som inte visar ISE-etiketten fortsätter att fungera för logikappar i en ISE. Dessa anslutningsappar körs alltid i Logic Apps-tjänsten för flera klientorganisationer, inte i ISE.

  • Anpassade anslutningsappar som du skapar utanför en ISE, oavsett om de kräver den lokala datagatewayen eller inte, fortsätter att fungera för logikappar i en ISE. Anpassade anslutningsappar som du skapar i en ISE fungerar dock inte med den lokala datagatewayen. Mer information finns i Åtkomst till lokala system.

Åtkomst till lokala system

Logikappar som körs i en ISE kan direkt komma åt lokala system och datakällor som finns i eller är anslutna till ett virtuellt Azure-nätverk med hjälp av följande objekt:

  • HTTP-utlösaren eller åtgärden, som visar CORE-etiketten

  • ISE-anslutningsappen, om tillgänglig, för ett lokalt system eller en datakälla

    Om en ISE-anslutning är tillgänglig kan du komma åt systemet eller datakällan direkt utan den lokala datagatewayen. Men om du behöver komma åt SQL Server från en ISE och använda Windows-autentisering måste du använda anslutningsappens icke-ISE-version och den lokala datagatewayen. Anslutningsappens ISE-version stöder inte Windows-autentisering. Mer information finns i ISE-anslutningsappar och Ansluta från en integrationstjänstmiljö.

  • En anpassad anslutningsapp

    • Anpassade anslutningsappar som du skapar utanför en ISE, oavsett om de kräver den lokala datagatewayen eller inte, fortsätter att fungera för logikappar i en ISE.

    • Anpassade anslutningsappar som du skapar i en ISE fungerar inte med den lokala datagatewayen. Dessa anslutningsappar kan dock direkt komma åt lokala system och datakällor som finns i eller är anslutna till det virtuella nätverk som är värd för din ISE. Därför behöver logikappar som finns i en ISE vanligtvis inte datagatewayen vid åtkomst till dessa resurser.

Om du vill komma åt lokala system och datakällor som inte har ISE-anslutningsappar, som är utanför ditt virtuella nätverk eller inte är anslutna till ditt virtuella nätverk, måste du fortfarande använda den lokala datagatewayen. Logikappar i en ISE kan fortsätta att använda anslutningsappar som inte har CORE- eller ISE-etiketten . Dessa anslutningsappar körs i Logic Apps-tjänsten för flera klientorganisationer i stället för i din ISE.

ISE-SKU:er

När du skapar din ISE kan du välja Developer SKU eller Premium SKU. Det här SKU-alternativet är endast tillgängligt när ISE skapas och kan inte ändras senare. Här är skillnaderna mellan dessa SKU:er:

  • Utvecklare

    Tillhandahåller en ISE med lägre kostnad som du kan använda för utforskning, experiment, utveckling och testning, men inte för produktions- eller prestandatestning. Utvecklar-SKU:n innehåller inbyggda utlösare och åtgärder, Standard-anslutningsappar, Enterprise-anslutningsappar och ett enda integrationskonto på den kostnadsfria nivån för ett fast månadspris.

    Viktigt

    Denna SKU har inget serviceavtal (SLA), uppskalningskapacitet eller redundans under återvinning, vilket innebär att det kan uppstå fördröjningar eller driftstopp. Serverdelsuppdateringar kan tillfälligt avbryta tjänsten.

    Information om kapacitet och begränsningar finns i ISE-gränser i Azure Logic Apps. Information om hur fakturering fungerar för ISE:er finns i Prissättningsmodellen för Logic Apps.

  • Premium

    Tillhandahåller en ISE som du kan använda för produktions- och prestandatestning. Premium-SKU:n innehåller SLA-stöd, inbyggda utlösare och åtgärder, Standard-anslutningsappar, Enterprise-anslutningsappar, ett enda standardnivåintegreringskonto, uppskalningskapacitet och redundans under återvinning till ett fast månadspris.

    Information om kapacitet och begränsningar finns i ISE-gränser i Azure Logic Apps. Information om hur fakturering fungerar för ISE:er finns i Prissättningsmodellen för Logic Apps.

ISE-slutpunktsåtkomst

När du skapar din ISE kan du välja att använda antingen interna eller externa åtkomstslutpunkter. Ditt val avgör om begärande- eller webhook-utlösare i logikappar i ISE kan ta emot samtal utanför det virtuella nätverket. Dessa slutpunkter påverkar också hur du kan komma åt indata och utdata från logikapparnas körningshistorik.

Viktigt

Du kan bara välja åtkomstslutpunkten när ISE skapas och kan inte ändra det här alternativet senare.

  • Internt: Privata slutpunkter tillåter anrop till logikappar i din ISE där du kan visa och komma åt indata och utdata från logikappars körningshistorik endast inifrån ditt virtuella nätverk.

    Viktigt

    Om du behöver använda dessa webhook-baserade utlösare och tjänsten ligger utanför ditt virtuella nätverk och peer-kopplade virtuella nätverk använder du externa slutpunkter, inte interna slutpunkter, när du skapar din ISE:

    • Azure DevOps
    • Azure Event Grid
    • Common Data Service
    • Office 365
    • SAP (version av flera klientorganisationer)

    Kontrollera också att du har nätverksanslutning mellan de privata slutpunkterna och datorn där du vill komma åt körningshistoriken. Om du försöker visa logikappens körningshistorik får du annars ett felmeddelande med texten "Oväntat fel. Det gick inte att hämta".

    Azure Storage-åtgärdsfel som beror på att det inte går att skicka trafik via brandväggen

    Klientdatorn kan till exempel finnas i ISE:ns virtuella nätverk eller i ett virtuellt nätverk som är anslutet till ISE:s virtuella nätverk via peering eller ett virtuellt privat nätverk.

  • Extern: Offentliga slutpunkter tillåter anrop till logikappar i din ISE där du kan visa och komma åt indata och utdata från logikappars körningshistorik utanför ditt virtuella nätverk. Om du använder nätverkssäkerhetsgrupper (NSG:er) kontrollerar du att de har konfigurerats med inkommande regler för att tillåta åtkomst till körningshistorikens indata och utdata. Mer information finns i Aktivera åtkomst för ISE.

För att avgöra om din ISE använder en intern eller extern åtkomstslutpunkt går du till DIN ISE-meny under Inställningar, väljer Egenskaper och letar upp egenskapen Åtkomstslutpunkt :

Hitta ISE-åtkomstslutpunkten

Prismodell

Logikappar, inbyggda utlösare, inbyggda åtgärder och anslutningsappar som körs i din ISE använder en fast prisplan som skiljer sig från den förbrukningsbaserade prisplanen. Mer information finns i Logic Apps prismodell. Priser finns i Prissättning för Logic Apps.

Integreringskonton med ISE

Du kan använda integrationskonton med logikappar i en integrationstjänstmiljö (ISE). Dessa integrationskonton måste dock använda samma ISE som de länkade logikapparna. Logikappar i en ISE kan bara referera till de integrationskonton som finns i samma ISE. När du skapar ett integrationskonto kan du välja din ISE som plats för ditt integrationskonto. Information om hur priser och fakturering fungerar för integrationskonton med en ISE finns i prissättningsmodellen för Logic Apps. Priser finns i Prissättning för Logic Apps. Information om begränsningar finns i Begränsningar för integrationskonto.

Nästa steg