你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用集成服务环境 (ISE) 从 Azure 逻辑应用访问 Azure 虚拟网络

  • 项目

重要

ISE 资源将于 2024 年 8 月 31 日停用,因为它依赖于同时停用的 Azure 云服务(经典)。 请在停用日期之前将 ISE 中的任何逻辑应用导出到标准逻辑应用,以避免服务中断。 标准逻辑应用工作流在单租户 Azure 逻辑应用中运行,提供相同的功能以及其他内容。 例如,标准工作流支持对入站流量使用专用终结点,以便工作流可以私密且安全地与虚拟网络通信。 标准工作流还支持出站流量的虚拟网络集成。 有关详细信息,请参阅使用专用终结点保护虚拟网络和单租户 Azure 逻辑应用之间的流量

自 2022 年 11 月 1 日起,创建新 ISE 资源的功能不再可用,这还意味着在使用逻辑应用 REST API 创建 ISE 期间设置自己的加密密钥(称为“创建自己的密钥”(BYOK))的功能也不再可用。 但是,我们仍会为在此日期之前存在的 ISE 资源提供支持,一直到 2024 年 8 月 31 日为止。

有关更多信息,请参见以下资源:

此概述详细介绍了 ISE 如何与虚拟网络一起工作使用 ISE 的好处专用和多租户逻辑应用服务之间的差异,以及如何直接访问 Azure 虚拟网络内部或与之连接的资源。

ISE 如何与虚拟网络一起工作

创建 ISE 时,选择希望 Azure 注入或部署 ISE 的 Azure 虚拟网络。 创建需要访问此虚拟网络的逻辑应用和集成帐户时,可以选择 ISE 作为这些逻辑应用和集成帐户的主机位置。 在 ISE 中,逻辑应用独立于多租户 Azure 逻辑应用环境中的其他资源在专用资源上运行。 ISE 中的数据保留在创建和部署该 ISE 的同一区域中。

选中“集成服务环境”的 Azure 门户的屏幕截图。

为何使用 ISE

在你自己的专用实例中运行逻辑应用工作流有助于降低其他 Azure 租户可能对应用性能产生的影响,此影响也称为“邻近干扰”影响。 ISE 还带来以下好处:

  • 直接访问虚拟网络内部或与之连接的资源

    在 ISE 中创建和运行的逻辑应用可以使用专门设计的在 ISE 中运行的连接器。 如果某个本地系统或数据源存在 ISE 连接器,则无需使用本地数据网关即可直接连接。 有关详细信息,请参阅本主题后面部分中的专用与多租户以及访问本地系统

  • 继续访问虚拟网络外部或未与之连接的资源

    当 ISE 特定的连接器不可用时,在 ISE 中创建和运行的逻辑应用仍然可以使用在多租户逻辑应用服务中运行的连接器。 有关详细信息,请参阅专用与多租户

  • 你自己的静态 IP 地址,它们不同于多租户服务中的逻辑应用共享的静态 IP 地址。 还可以设置单个公共的、静态的和可预测的出站 IP 地址,以便与目标系统通信。 这样就无需在每个 ISE 的那些目标系统上设置其他防火墙开口。

  • 增加了对运行持续时间、存储保留、吞吐量、HTTP 请求和响应超时、消息大小和自定义连接器请求的限制。 有关详细信息,请参阅 Azure 逻辑应用的限制和配置

专用与多租户

在 ISE 中创建和运行逻辑应用时,可以获得与多租户逻辑应用服务相同的用户体验和类似的功能。 在多租户逻辑应用服务中可用的所有内置触发器、操作和托管连接器都一样可用。 某些托管连接器还提供了额外的 ISE 版本。 ISE 连接器与非 ISE 连接器之间的区别在于运行位置不同,以及在 ISE 中运行时二者在逻辑应用设计器中对应的标签不同。

在 ISE 中含有和不含标签的连接器

  • 内置触发器和操作(例如 HTTP)显示 CORE 标签,并在与逻辑应用相同的 ISE 中运行。

  • 显示 ISE 标签的托管连接器是专门设计用于 ISE,并且始终在与逻辑应用相同的 ISE 中运行。 例如,以下是一些提供了 ISE 版本的连接器

    • Azure Blob 存储、文件存储和表存储
    • Azure 服务总线、Azure 队列、Azure 事件中心
    • Azure 自动化、Azure 密钥保管库、Azure 事件网格和 Azure Monitor 日志
    • FTP、SFTP-SSH、文件系统和 SMTP
    • SAP、IBM MQ、IBM DB2 和 IBM 3270
    • SQL Server、Azure Synapse Analytics、Azure Cosmos DB
    • AS2、X12 和 EDIFACT

    在少数例外情况下,如果 ISE 连接器可用于本地系统或数据源,则无需使用本地数据网关即可直接连接。 有关详细信息,请参阅本主题后面部分中的访问本地系统

  • 不显示 ISE 标签的托管连接器将继续适用于 ISE 内部的逻辑应用。 这些连接器始终在多租户逻辑应用服务中运行,而不是在 ISE 中运行。

  • 对于在 ISE 以外创建的自定义连接器,无论是否需要本地数据网关,都将继续可用于 ISE 内部的逻辑应用。 但是,在 ISE 中创建的自定义连接器将无法与本地数据网关一起使用。 有关详细信息,请参阅访问本地系统

访问本地系统

通过使用以下项,在 ISE 内部运行的逻辑应用工作流可以直接访问 Azure 虚拟网络内部或与之连接的本地系统和数据源:

  • 显示 CORE 标签的 HTTP 触发器或操作

  • 适用于本地系统或数据源的 ISE 连接器(如果可用)

    如果 ISE 连接器可用,则无需本地数据网关即可直接访问系统或数据源。 但是,如果需要从 ISE 访问 SQL Server 并使用 Windows 身份验证,则必须使用连接器的非 ISE 版本和本地数据网关。 连接器的 ISE 版本不支持 Windows 身份验证。 有关详细信息,请参阅 ISE 连接器从集成服务环境连接

  • 自定义连接器

    • 对于在 ISE 以外创建的自定义连接器,无论是否需要本地数据网关,都将继续可用于 ISE 内部的逻辑应用。

    • 在 ISE 中创建的自定义连接器无法与本地数据网关一起使用。 但是,这些连接器可以直接访问 ISE 所在的虚拟网络内部或与之连接的本地系统和数据源。 因此,在访问这些资源时,ISE 内的逻辑应用通常不需要数据网关。

若要访问没有 ISE 连接器、位于虚拟网络外部或未连接到虚拟网络的本地系统和数据源,则仍需使用本地数据网关。 ISE 中的逻辑应用可以继续使用没有 COREISE 标签的连接器。 这些连接器在多租户逻辑应用服务中运行,而不是在 ISE 中运行。

加密的静态数据

默认情况下,Azure 存储使用 Microsoft 托管密钥来加密数据。 Azure 逻辑应用依赖 Azure 存储来存储和自动加密静态数据。 此加密可保护数据,并帮助你履行组织的安全性和符合性承诺。 有关 Azure 存储加密工作原理的详细信息,请参阅静态数据的 Azure 存储加密Azure 静态数据加密

要更好地控制 Azure 存储使用的加密密钥,ISE 支持通过 Azure 密钥保管库使用和管理自己的密钥。 此功能也称为“创建自己的密钥”(BYOK),密钥称为“客户管理的密钥”。 但是,此功能仅在创建 ISE 时可用,创建之后无法使用。 创建 ISE 之后无法禁用此密钥。 目前不支持为 ISE 轮换客户管理的密钥。

  • 只有以下区域为 ISE 提供客户管理的密钥支持:

    • Azure:美国西部 2、美国东部和美国中南部。

    • Azure 政府:亚利桑那州、弗吉尼亚州和德克萨斯州。

  • 存储客户管理的密钥的密钥保管库必须与 ISE 位于同一 Azure 区域。

  • 为了支持客户管理的密钥,ISE 要求启用系统分配的或用户分配的托管标识。 ISE 通过此标识验证对位于或连接到 Azure 虚拟网络中的受保护资源(例如虚拟机和其他系统或服务)的访问权限。 如此,你便无需使用凭据就可以登录。

  • 必须向 ISE 的托管标识授予你的密钥保管库访问权限,但授予权限的时机取决于所用的托管标识。

    • 系统分配的托管标识:在发送创建 ISE 的 HTTPS PUT 请求后的 30 分钟内。 否则 ISE 创建将会失败,并出现权限错误。

    • 用户分配的托管标识:在发送创建 ISE 的 HTTPS PUT 请求之前

ISE SKU

创建 ISE 时,可以选择开发人员 SKU 或高级 SKU。 此 SKU 选项仅在创建 ISE 时可用,以后不能更改。 下面是这些 SKU 之间的差异:

  • 开发人员

    提供了可用于探索、试验、开发和测试,但不能用于生产或性能测试的较低成本 ISE。 开发人员 SKU 包括内置触发器和操作、标准连接器、企业连接器,以及每月固定价格的单个免费层集成帐户。

    重要

    此 SKU 在回收期间没有服务级别协议 (SLA)、纵向扩展功能或冗余,这意味着你可能会遇到延迟或停机。 后端更新可能会间歇性地中断服务。

    有关容量和限制信息,请参阅 Azure 逻辑应用中的 ISE 限制。 若要了解 ISE 的计费原理,请参阅逻辑应用定价模型

  • 高级

    提供了可用于生产和性能测试的 ISE。 高级 SKU 包括 SLA 支持、内置触发器和操作、标准连接器、企业连接器、单个标准层集成帐户、纵向扩展功能以及回收期间的冗余,实现每月固定价格

    有关容量和限制信息,请参阅 Azure 逻辑应用中的 ISE 限制。 若要了解 ISE 的计费原理,请参阅逻辑应用定价模型

ISE 终结点访问权限

创建 ISE 期间,可以选择使用内部或外部访问终结点。 具体选择将决定 ISE 中逻辑应用上的请求或 Webhook 触发器能否接收来自虚拟网络外部的调用。 这些终结点还会影响从逻辑应用的运行历史记录访问输入和输出的方式。

重要

只能在创建 ISE 的过程中选择访问终结点,以后不能更改此选项。

  • 内部:专用终结点允许调用 ISE 中的逻辑应用,其中只能从虚拟网络内部查看和访问逻辑应用工作流的运行历史记录中的输入和输出。

    重要

    如果需要使用这些基于 Webhook 的触发器,并且服务在虚拟网络和对等互连虚拟网络外部,请在创建 ISE 时使用外部终结点,而不是内部终结点:

    • Azure DevOps
    • Azure 事件网格
    • Common Data Service
    • Office 365
    • SAP(多租户版本)

    此外,请确保专用终结点与要从中访问运行历史记录的计算机之间存在网络连接。 否则,当尝试查看工作流的运行历史记录时,会收到一条错误消息,提示“意外错误。 未能提取”。

    Azure 门户和 Azure 存储操作错误的屏幕截图,错误原因是无法通过防火墙发送流量。

    例如,客户端计算机可能位于 ISE 的虚拟网络中,也可能存在于通过对等互连或虚拟专用网络连接到 ISE 的虚拟网络的某个虚拟网络中。

  • 外部:公共终结点允许调用 ISE 中的逻辑应用工作流,其中可以从虚拟网络外部查看和访问逻辑应用的运行历史记录中的输入和输出。 如果使用网络安全组 (NSG),请确保设置适当的入站规则,以允许访问运行历史记录的输入和输出。

若要确定 ISE 使用内部还是外部访问终结点,请在 ISE 菜单上的“设置”下,选择“属性”,然后找到“访问终结点”属性:

Azure 门户 ISE 菜单的屏幕截图,其中选中了“设置”>“属性”>“访问终结点”选项。

定价模型

在 ISE 中运行的逻辑应用、内置触发器、内置操作和连接器使用不同于消耗定价计划的固定定价计划。 有关详细信息,请参阅 Azure 逻辑应用定价模型。 有关定价费率,请参阅 Azure 逻辑应用定价

集成帐户与 ISE

可以在集成服务环境 (ISE) 中将集成帐户与逻辑应用结合使用。 但是,这些集成帐户必须使用相同的 ISE 作为链接的逻辑应用。 ISE 中的逻辑应用只能引用同一 ISE 中的这些集成帐户。 创建集成帐户时,可以选择 ISE 作为集成帐户的位置。 若要了解 ISE 集成帐户的定价和计费原理,请参阅 Azure 逻辑应用定价模型。 有关定价费率,请参阅 Azure 逻辑应用定价。 有关限制信息,请参阅集成帐户限制

后续步骤