Özel uç noktaları kullanarak Standart mantıksal uygulamalar ile Azure sanal ağları arasındaki trafiğin güvenliğini sağlama

Şunlar için geçerlidir: Azure Logic Apps (Standart)

Standart mantıksal uygulama ile Azure sanal ağındaki iş akışınız arasında güvenli ve özel iletişim kurmak için, gelen trafik için özel uç noktalar ayarlayabilir ve giden trafik için sanal ağ tümleştirmesini kullanabilirsiniz.

Özel uç nokta, Azure Özel Bağlantı ile desteklenen bir hizmete özel olarak ve güvenle bağlanan bir ağ arabirimidir. Bu hizmet Azure Logic Apps, Azure Depolama, Azure Cosmos DB, SQL gibi bir Azure hizmeti veya kendi Özel Bağlantı hizmetiniz olabilir. Özel uç nokta, sanal ağınızdaki bir özel IP adresini kullanır ve bu sayede hizmeti sanal ağınıza getirir.

Bu makalede, gelen trafik için özel uç noktalar üzerinden erişimin nasıl ayarlanacağı ve giden trafik için sanal ağ tümleştirmesi gösterilmektedir.

Daha fazla bilgi için aşağıdaki belgeleri gözden geçirin:

• Azure Özel Uç Nokta nedir?
• Özel uç noktalar - Uygulamanızı bir Azure sanal ağıyla tümleştirme
• Azure Özel Bağlantı nedir?
• Bölgesel sanal ağ tümleştirmesi mi?

Önkoşullar

• Herhangi bir temsili olmayan bir alt ağ içeren yeni veya mevcut bir Azure sanal ağı. Bu alt ağ, sanal ağdan özel IP adreslerini dağıtmak ve ayırmak için kullanılır.

  Daha fazla bilgi için aşağıdaki belgeleri gözden geçirin:

  • Hızlı Başlangıç: Azure portalını kullanarak sanal ağ oluşturma
  • Alt ağ temsilcisi nedir?
  • Alt ağ temsilcisi ekleme veya kaldırma

• Çözümünüzü test etmek için HTTP istekleri gönderebilen bir araç yükleyin veya kullanın, örneğin:

  • Visual Studio Market'ten uzantılı Visual Studio Code
  • PowerShell Invoke-RestMethod
  • Microsoft Edge - Ağ Konsolu aracı
  • Bruno
  • Curl

  Dikkat

  Kimlik bilgileri, gizli diziler, erişim belirteçleri, API anahtarları ve diğer benzer bilgiler gibi hassas verileriniz olduğu senaryolarda, verilerinizi gerekli güvenlik özellikleriyle koruyan, çevrimdışı veya yerel olarak çalışan, verilerinizi bulutla eşitlemeyen ve çevrimiçi bir hesapta oturum açmanızı gerektirmeyen bir araç kullandığınızdan emin olun. Bu şekilde, hassas verileri herkese açık hale getirmekle ilgili riski azaltırsınız.

Özel uç noktalar üzerinden gelen trafiği ayarlama

İş akışınıza gelen trafiğin güvenliğini sağlamak için şu üst düzey adımları tamamlayın:

1. İstek tetikleyicisi veya HTTP + Web kancası tetikleyicisi gibi gelen istekleri alıp işleyebilen yerleşik bir tetikleyiciyle iş akışınızı başlatın. Bu tetikleyici, iş akışınızı çağrılabilen bir uç noktayla ayarlar.

2. Mantıksal uygulama kaynağınız için sanal ağınıza özel bir uç nokta ekleyin.

3. Uç noktaya erişimi denetlemek için test çağrıları yapın. Bu uç noktayı ayarladıktan sonra mantıksal uygulama iş akışınızı çağırmak için sanal ağa bağlı olmanız gerekir.

Özel uç noktalar üzerinden gelen trafik için dikkat edilmesi gerekenler

• Sanal ağınızın dışından erişilirse izleme görünümü tetikleyicilerden ve eylemlerden gelen girişlere ve çıkışlara erişemez.

• Yönetilen API web kancası tetikleyicileri (anında iletme tetikleyicileri) ve eylemler genel bulutta çalıştırıldığından ve özel ağınıza çağrılamadığı için çalışmaz. Çağrıları almak için genel uç nokta gerekir. Örneğin, bu tür tetikleyiciler Dataverse tetikleyicisini ve Event Grid tetikleyicisini içerir.

• Office 365 Outlook tetikleyicisini kullanıyorsanız, iş akışı yalnızca saatlik olarak tetikler.

• Visual Studio Code veya Azure CLI'dan dağıtım yalnızca sanal ağın içinden çalışır. Mantıksal uygulamanızı GitHub deposuna bağlamak için Dağıtım Merkezi'ni kullanabilirsiniz. Ardından kodunuzu derlemek ve dağıtmak için Azure altyapısını kullanabilirsiniz.

  GitHub tümleştirmesinin WEBSITE_RUN_FROM_PACKAGE çalışması için, mantıksal uygulamanızdan ayarı kaldırın veya değerini olarak 0ayarlayın.

• Özel Bağlantı etkinleştirilmesi, App Service altyapısı üzerinden akan giden trafiği etkilemez.

Özel uç noktalar üzerinden gelen trafik için önkoşullar

Üst düzey önkoşullardaki sanal ağ kurulumuyla birlikte, istekleri alabilen yerleşik bir tetikleyiciyle başlayan yeni veya mevcut bir Standart mantıksal uygulama iş akışına sahip olmanız gerekir.

Örneğin İstek tetikleyicisi, iş akışınızda iş akışları da dahil olmak üzere diğer arayanlardan gelen istekleri alıp işleyebilen bir uç nokta oluşturur. Bu uç nokta, iş akışını çağırmak ve tetiklemek için kullanabileceğiniz bir URL sağlar. Bu örnekte, adımlar İstek tetikleyicisiyle devam ediyor.

Daha fazla bilgi için Bkz . Azure Logic Apps kullanarak gelen HTTP isteklerini alma ve yanıtlama.

İş akışını oluşturma

1. Henüz yapmadıysanız tek kiracılı bir mantıksal uygulama ve boş bir iş akışı oluşturun.

2. Tasarımcı açıldıktan sonra, İş akışınızın ilk adımı olarak İstek tetikleyicisini ekleyin.

3. Senaryo gereksinimlerinize bağlı olarak, iş akışınızda çalıştırmak istediğiniz diğer eylemleri ekleyin.

4. Tamamladığınızda, iş akışınızı kaydedin.

Daha fazla bilgi için Bkz . Azure Logic Apps'te tek kiracılı mantıksal uygulama iş akışları oluşturma.

Uç nokta URL'sini kopyalama

1. İş akışı menüsünde Genel Bakış'ı seçin.

2. Genel Bakış sayfasında, daha sonra kullanmak üzere İş Akışı URL'sini kopyalayıp kaydedin.

3. URL'yi test etmek ve iş akışını tetiklemek için HTTP istek aracınızı ve yönergelerini kullanarak URL'ye bir HTTP isteği gönderin.

Özel uç nokta bağlantısını ayarlama

1. Mantıksal uygulama kaynak menüsünde, Ayarlar'ın altında Ağ'ı seçin.

2. Ağ sayfasındaki Gelen trafik yapılandırması bölümünde Özel uç noktalar'ın yanındaki bağlantıyı seçin.

3. Özel Uç Nokta bağlantıları sayfasında Hızlı veya Gelişmiş Ekle'yi>seçin.

   Gelişmiş seçeneği hakkında daha fazla bilgi için bkz. Özel uç nokta oluşturma.

4. Özel Uç Nokta Ekle bölmesinde uç nokta hakkında istenen bilgileri sağlayın.

   Daha fazla bilgi için Özel Uç Nokta özellikleri'ni gözden geçirin.

5. Azure özel uç noktayı başarıyla sağladıktan sonra iş akışı URL'sini çağırmayı yeniden deneyin.

   Bu kez, özel uç noktanın ayarlandığı ve düzgün çalıştığı anlamına gelen beklenen 403 Forbidden bir hata alırsınız.

6. Bağlantının doğru çalıştığından emin olmak için, özel uç noktaya sahip aynı sanal ağda bir sanal makine oluşturun ve mantıksal uygulama iş akışını çağırmayı deneyin.

Sanal ağ tümleştirmesi kullanarak giden trafiği ayarlama

Mantıksal uygulamanızdan giden trafiğin güvenliğini sağlamak için mantıksal uygulamanızı bir sanal ağ ile tümleştirebilirsiniz. İlk olarak örnek bir iş akışı oluşturun ve test edin. Ardından sanal ağ tümleştirmesi ayarlayabilirsiniz.

Sanal ağ tümleştirmesi aracılığıyla giden trafik için dikkat edilmesi gerekenler

• Sanal ağ tümleştirmesini ayarlamak yalnızca giden trafiği etkiler. App Service paylaşılan uç noktasını kullanmaya devam eden gelen trafiğin güvenliğini sağlamak için Özel uç noktalar aracılığıyla gelen trafiği ayarlama'yı gözden geçirin.

• Atamadan sonra alt ağ boyutunu değiştiremezsiniz, bu nedenle uygulamanızın ulaşabileceği ölçeğe uyum sağlamak için yeterince büyük bir alt ağ kullanın. Alt ağ kapasitesiyle ilgili sorunları önlemek için 64 adresli bir /26 alt ağ kullanın. Azure portalıyla sanal ağ tümleştirmesi için alt ağ oluşturursanız, en düşük alt ağ boyutu olarak kullanmanız /27 gerekir.

• Azure Logic Apps çalışma zamanının çalışması için arka uç depolamaya kesintisiz bir bağlantınız olmalıdır. Arka uç depolama alanı özel bir uç nokta üzerinden sanal ağa açıksa, aşağıdaki bağlantı noktalarının açık olduğundan emin olun:

  Kaynak bağlantı noktası	Hedef bağlantı noktası	Kaynak	Hedef	Protokol	Purpose
  *	443	Standart mantıksal uygulamayla tümleştirilmiş alt ağ	Storage account	TCP	Storage account
  *	445	Standart mantıksal uygulamayla tümleştirilmiş alt ağ	Storage account	TCP	Sunucu İleti Bloğu (SMB) Dosya Paylaşımı

• Azure tarafından barındırılan yönetilen bağlayıcıların çalışması için yönetilen API hizmetine kesintisiz bir bağlantınız olmalıdır. Sanal ağ tümleştirmesi ile hiçbir güvenlik duvarının veya ağ güvenlik ilkesinin bu bağlantıları engellemediğinden emin olun. Sanal ağınız bir ağ güvenlik grubu (NSG), kullanıcı tanımlı yol tablosu (UDR) veya güvenlik duvarı kullanıyorsa, sanal ağın ilgili bölgedeki tüm yönetilen bağlayıcı IP adreslerine giden bağlantılara izin verdiğinden emin olun. Aksi takdirde Azure tarafından yönetilen bağlayıcılar çalışmaz.

Daha fazla bilgi için aşağıdaki belgeleri gözden geçirin:

• Uygulamanızı bir Azure sanal ağı ile tümleştirme
• Ağ güvenlik grupları
• Sanal ağ trafiğini yönlendirme

İş akışını oluşturma ve test edin

1. Henüz yapmadıysanız, Azure portalında tek kiracılı bir mantıksal uygulama ve boş bir iş akışı oluşturun.

2. Tasarımcı açıldıktan sonra, İş akışınızın ilk adımı olarak İstek tetikleyicisini ekleyin.

3. İnternet üzerinden kullanılamayan ve gibi özel bir IP adresiyle çalışan bir iç hizmeti çağırmak için 10.0.1.3bir HTTP eylemi ekleyin.

4. Tamamladığınızda, iş akışınızı kaydedin.

5. Tasarımcıdan iş akışını el ile çalıştırın.

   İş akışı bulutta çalıştığından ve iç hizmetinize erişemediğinden HTTP eylemi tasarım gereği başarısız olur ve beklenen bir işlemdir.

Sanal ağ tümleştirmesi ayarlama

1. Azure portalındaki mantıksal uygulama kaynak menüsünde, Ayarlar'ın altında Ağ'ı seçin.

2. Ağ sayfasındaki Giden trafik yapılandırması bölümünde Sanal ağ tümleştirmesi'nin yanındaki bağlantıyı seçin.

3. Sanal ağ tümleştirme sayfasında Sanal ağ tümleştirmesi ekle'yi seçin.

4. Sanal ağ tümleştirmesi ekle bölmesinde aboneliği, iç hizmetinize bağlanan sanal ağı ve mantıksal uygulamanın ekleneceği alt ağı seçin. bitirdiğinizde Bağlan'ı seçin.

   Sanal Ağ Tümleştirme sayfasında, tüm giden trafiği sanal ağ üzerinden yönlendiren Giden İnternet trafiği ayarı varsayılan olarak seçilidir. Bu senaryoda, WEBSITE_VNET_ROUTE_ALL adlı uygulama ayarı yoksayılır.

   Bu uygulama ayarını bulmak için mantıksal uygulama kaynak menüsünde, Ayarlar'ın altında Ortam değişkenleri'ni seçin.

5. Sanal ağınızla kendi etki alanı adı sunucunuzu (DNS) kullanıyorsanız, yoksa WEBSITE_DNS_SERVER uygulama ayarını ekleyin ve değeri DNS'nizin IP adresine ayarlayın. İkincil DNS'niz varsa, WEBSITE_DNS_ALT_SERVER adlı başka bir uygulama ayarı ekleyin ve değeri ikincil DNS'nizin IP'sine ayarlayın.

6. Azure sanal ağ tümleştirmesini başarıyla sağladıktan sonra iş akışını yeniden çalıştırmayı deneyin.

   HTTP eylemi artık başarıyla çalıştırılır.

Sonraki adımlar

• Logic Apps Anywhere: Logic Apps ile ağ olanakları (tek kiracılı)