Özel uç noktaları kullanarak Standart mantıksal uygulamalar ile Azure sanal ağları arasındaki trafiğin güvenliğini sağlama

Şunlar için geçerlidir: Azure Logic Apps (Standart)

Standart mantıksal uygulama ile Azure sanal ağındaki iş akışınız arasında güvenli ve özel iletişim kurmak için gelen trafik için özel uç noktalar ayarlayabilir ve giden trafik için sanal ağ tümleştirmesini kullanabilirsiniz.

Özel uç nokta, Azure Özel Bağlantı ile desteklenen bir hizmete özel olarak ve güvenle bağlanan bir ağ arabirimidir. Bu hizmet Azure Logic Apps, Azure Depolama, Azure Cosmos DB, SQL gibi bir Azure hizmeti veya kendi Özel Bağlantı hizmetiniz olabilir. Özel uç nokta, sanal ağınızdaki bir özel IP adresini kullanır ve bu sayede hizmeti sanal ağınıza getirir.

Bu makalede, gelen trafik için özel uç noktalar üzerinden erişimin nasıl ayarlanacağı ve giden trafik için sanal ağ tümleştirmesi gösterilmektedir.

Daha fazla bilgi için aşağıdaki belgeleri gözden geçirin:

• Azure Özel Uç Nokta nedir?
• Özel uç noktalar - Uygulamanızı azure sanal ağıyla tümleştirme
• Azure Özel Bağlantı nedir?
• Bölgesel sanal ağ tümleştirmesi mi?

Önkoşullar

Herhangi bir temsilci olmadan alt ağ içeren yeni veya mevcut bir Azure sanal ağınız olması gerekir. Bu alt ağ, sanal ağdan özel IP adreslerini dağıtmak ve ayırmak için kullanılır.

Daha fazla bilgi için aşağıdaki belgeleri gözden geçirin:

• Hızlı başlangıç: Azure portalını kullanarak bir sanal ağ oluşturma
• Alt ağ temsilcisi nedir?
• Alt ağ temsilcisi ekleme veya kaldırma

Özel uç noktalar aracılığıyla gelen trafiği ayarlama

İş akışınıza gelen trafiğin güvenliğini sağlamak için şu üst düzey adımları tamamlayın:

1. İş akışınızı İstek tetikleyicisi veya HTTP + Web kancası tetikleyicisi gibi gelen istekleri alıp işleyebilen yerleşik bir tetikleyiciyle başlatın. Bu tetikleyici, iş akışınızı çağrılabilen bir uç noktayla ayarlar.

2. Mantıksal uygulama kaynağınız için sanal ağınıza özel bir uç nokta ekleyin.

3. Uç noktaya erişimi denetlemek için test çağrıları yapın. Bu uç noktayı ayarladıktan sonra mantıksal uygulama iş akışınızı çağırmak için sanal ağa bağlı olmanız gerekir.

Özel uç noktalar üzerinden gelen trafik için dikkat edilmesi gerekenler

• Sanal ağınızın dışından erişilirse izleme görünümü tetikleyicilerden ve eylemlerden gelen girişlere ve çıkışlara erişemez.

• Yönetilen API web kancası tetikleyicileri (anında iletme tetikleyicileri) ve eylemler genel bulutta çalıştırıldığından ve özel ağınıza çağrılamadığı için çalışmaz. Çağrıları almak için genel uç nokta gerekir. Örneğin, bu tür tetikleyiciler Dataverse tetikleyicisini ve Event Grid tetikleyicisini içerir.

• Office 365 Outlook tetikleyicisini kullanırsanız, iş akışı yalnızca saatlik olarak tetikler.

• Visual Studio Code veya Azure CLI'dan dağıtım yalnızca sanal ağın içinden çalışır. Mantıksal uygulamanızı GitHub deposuna bağlamak için Dağıtım Merkezi'ni kullanabilirsiniz. Daha sonra kodunuzu derlemek ve dağıtmak için Azure altyapısını kullanabilirsiniz.

  GitHub tümleştirmesinin WEBSITE_RUN_FROM_PACKAGE çalışması için mantıksal uygulamanızdan ayarı kaldırın veya değerini olarak 0ayarlayın.

• Özel Bağlantı etkinleştirilmesi giden trafiği etkilemez ve bu trafik hala App Service altyapısından akar.

Özel uç noktalar üzerinden gelen trafik için önkoşullar

Üst düzey önkoşullardaki sanal ağ kurulumuyla birlikte, istekleri alabilen yerleşik bir tetikleyiciyle başlayan yeni veya mevcut bir Standart mantıksal uygulama iş akışına sahip olmanız gerekir.

Örneğin, İstek tetikleyicisi iş akışınızda iş akışları da dahil olmak üzere diğer arayanlardan gelen istekleri alıp işleyebilen bir uç nokta oluşturur. Bu uç nokta, iş akışını çağırmak ve tetiklemek için kullanabileceğiniz bir URL sağlar. Bu örnekte adımlar İstek tetikleyicisiyle devam ediyor.

Daha fazla bilgi için Azure Logic Apps kullanarak gelen HTTP isteklerini alma ve yanıtlama bölümünü gözden geçirin.

İş akışını oluşturma

1. Henüz yapmadıysanız, tek kiracı tabanlı bir mantıksal uygulama ve boş bir iş akışı oluşturun.

2. Tasarımcı açıldıktan sonra, İş akışınızın ilk adımı olarak İstek tetikleyicisini ekleyin.

3. Senaryo gereksinimlerinize bağlı olarak, iş akışınızda çalıştırmak istediğiniz diğer eylemleri ekleyin.

4. İşiniz bittiğinde iş akışınızı kaydedin.

Daha fazla bilgi için Azure Logic Apps'te tek kiracılı mantıksal uygulama iş akışları oluşturma bölümünü gözden geçirin.

Uç nokta URL'sini kopyalama

1. İş akışı menüsünde Genel Bakış'ı seçin.

2. Genel Bakış sayfasında, daha sonra kullanmak üzere İş Akışı URL'sini kopyalayın ve kaydedin.

   İş akışını tetikleyebilmek için bu URL'yi çağırır veya bu URL'ye bir istek gönderirsiniz.

3. URL'yi çağırarak veya URL'ye istek göndererek URL'nin çalıştığından emin olun. İsteği göndermek istediğiniz herhangi bir aracı kullanabilirsiniz, örneğin Postman.

Özel uç nokta bağlantısını ayarlama

1. Mantıksal uygulama menünüzün Ayarlar'ın altında Ağ'ı seçin.

2. Ağ sayfasındaki Gelen trafik kartında Özel uç noktalar'ı seçin.

3. Özel Uç Nokta bağlantılarındaEkle'yi seçin.

4. Açılan Özel Uç Nokta Ekle bölmesinde uç nokta hakkında istenen bilgileri sağlayın.

   Daha fazla bilgi için Özel Uç Nokta özellikleri'ni gözden geçirin.

5. Azure özel uç noktayı başarıyla sağladıktan sonra iş akışı URL'sini çağırmayı yeniden deneyin.

   Bu kez, özel uç noktanın ayarlandığı ve düzgün çalıştığı anlamına gelen beklenen 403 Forbidden bir hata alırsınız.

6. Bağlantının düzgün çalıştığından emin olmak için, özel uç noktası olan aynı sanal ağda bir sanal makine oluşturun ve mantıksal uygulama iş akışını çağırmayı deneyin.

Sanal ağ tümleştirmesi kullanarak giden trafiği ayarlama

Mantıksal uygulamanızdan giden trafiğin güvenliğini sağlamak için mantıksal uygulamanızı bir sanal ağ ile tümleştirebilirsiniz. İlk olarak örnek bir iş akışı oluşturun ve test edin. Daha sonra sanal ağ tümleştirmesi ayarlayabilirsiniz.

Sanal ağ tümleştirmesi aracılığıyla giden trafik için dikkat edilmesi gerekenler

• Sanal ağ tümleştirmesini ayarlamak yalnızca giden trafiği etkiler. Paylaşılan App Service uç noktasını kullanmaya devam eden gelen trafiğin güvenliğini sağlamak için Özel uç noktalar üzerinden gelen trafiği ayarlama bölümünü gözden geçirin.

• Atamadan sonra alt ağ boyutunu değiştiremezsiniz, bu nedenle uygulamanızın ulaşabileceği ölçeğe uyacak kadar büyük bir alt ağ kullanın. Alt ağ kapasitesiyle ilgili sorunları önlemek için 64 adresli bir /26 alt ağ kullanın. Azure portal ile sanal ağ tümleştirmesi için alt ağ oluşturursanız, en düşük alt ağ boyutu olarak kullanmanız /27 gerekir.

• Azure Logic Apps çalışma zamanının çalışması için arka uç depolamaya kesintisiz bir bağlantınız olması gerekir. Arka uç depolama alanı özel bir uç nokta üzerinden sanal ağa açıksa, aşağıdaki bağlantı noktalarının açık olduğundan emin olun:

  Kaynak bağlantı noktası	Hedef bağlantı noktası	Kaynak	Hedef	Protokol	Amaç
  *	443	Standart mantıksal uygulamayla tümleştirilmiş alt ağ	Depolama hesabı	TCP	Depolama hesabı
  *	445	Standart mantıksal uygulamayla tümleştirilmiş alt ağ	Depolama hesabı	TCP	Sunucu İleti Bloğu (SMB) Dosya Paylaşımı

• Azure tarafından barındırılan yönetilen bağlayıcıların çalışması için yönetilen API hizmetine kesintisiz bir bağlantınız olması gerekir. Sanal ağ tümleştirmesi ile hiçbir güvenlik duvarının veya ağ güvenlik ilkesinin bu bağlantıları engellemediğinden emin olun. Sanal ağınız bir ağ güvenlik grubu (NSG), kullanıcı tanımlı yol tablosu (UDR) veya güvenlik duvarı kullanıyorsa, sanal ağın ilgili bölgedeki tüm yönetilen bağlayıcı IP adreslerine giden bağlantılara izin verdiğinden emin olun. Aksi takdirde Azure tarafından yönetilen bağlayıcılar çalışmaz.

Daha fazla bilgi için aşağıdaki belgeleri gözden geçirin:

• Uygulamanızı bir Azure sanal ağı ile tümleştirme
• Ağ güvenlik grupları
• Sanal ağ trafiğini yönlendirme

İş akışını oluşturma ve test edin

1. Henüz yapmadıysanız, Azure portal tek kiracı tabanlı bir mantıksal uygulama ve boş bir iş akışı oluşturun.

2. Tasarımcı açıldıktan sonra, İş akışınızın ilk adımı olarak İstek tetikleyicisini ekleyin.

3. İnternet üzerinden kullanılamayan ve gibi özel bir IP adresiyle çalışan bir iç hizmeti çağırmak için 10.0.1.3bir HTTP eylemi ekleyin.

4. İşiniz bittiğinde iş akışınızı kaydedin.

5. Tasarımcıdan iş akışını el ile çalıştırın.

   İş akışı bulutta çalıştığından ve iç hizmetinize erişemediğinden HTTP eylemi başarısız olur ve bu işlem tasarım gereği beklenen bir işlemdir.

Sanal ağ tümleştirmesi ayarlama

1. Azure portal mantıksal uygulama kaynak menüsündeki Ayarlar'ın altında Ağ'ı seçin.

2. Ağ bölmesindeki Giden trafik kartında VNet tümleştirmesi'ni seçin.

3. Sanal Ağ Tümleştirme bölmesinde Sanalağ ekle'yi seçin.

4. Sanal Ağ Tümleştirmesi Ekle bölmesinde, iç hizmetinize bağlanan aboneliği ve sanal ağı seçin.

   Sanal ağ tümleştirmesini ekledikten sonra, Sanal Ağ Tümleştirme bölmesinde Tümünü Yönlendir ayarı varsayılan olarak etkindir. Bu ayar tüm giden trafiği sanal ağ üzerinden yönlendirir. Bu ayar etkinleştirildiğinde uygulama WEBSITE_VNET_ROUTE_ALL ayarı yoksayılır.

5. Sanal ağınızla kendi etki alanı adı sunucunuzu (DNS) kullanıyorsanız mantıksal uygulama kaynağınızın WEBSITE_DNS_SERVER uygulama ayarını DNS'nizin IP adresi olarak ayarlayın. İkincil bir DNS'niz varsa adlı WEBSITE_DNS_ALT_SERVERbaşka bir uygulama ayarı ekleyin ve değerini de DNS'nizin IP'sine ayarlayın.

6. Azure sanal ağ tümleştirmesini başarıyla sağladıktan sonra iş akışını yeniden çalıştırmayı deneyin.

   HTTP eylemi artık başarıyla çalıştırılır.

Sonraki adımlar

• Logic Apps Anywhere: Logic Apps ile ağ olanakları (tek kiracılı)