你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Azure 逻辑应用中管理集成服务环境 (ISE)
重要
ISE 资源将于 2024 年 8 月 31 日停用,因为它依赖于同时停用的 Azure 云服务(经典)。 请在停用日期之前将 ISE 中的任何逻辑应用导出到标准逻辑应用,以避免服务中断。 标准逻辑应用工作流在单租户 Azure 逻辑应用中运行,提供相同的功能以及其他内容。
从 2022 年 11 月 1 日开始,你无法再创建新的 ISE 资源。 但是,我们仍会为在此日期之前存在的 ISE 资源提供支持,一直到 2024 年 8 月 31 日为止。 有关更多信息,请参见以下资源:
本文介绍如何为集成服务环境 (ISE) 执行管理任务,例如:
查找和查看 ISE。
为 ISE 启用访问权限。
检查 ISE 的网络运行状况。
管理 ISE 中的资源,如基于多租户的逻辑应用、连接、集成帐户和连接器。
若要添加容量、重启 ISE 或删除 ISE,请按本主题中的步骤操作。 若要将这些项目添加到 ISE,请参阅将项目添加到集成服务环境。
查看 ISE
在 Azure 门户的搜索框中,输入“集成服务环境”,然后选择“集成服务环境”。
从结果列表中,选择你的集成服务环境。
继续进行到下一部分,以查找 ISE 中的逻辑应用、连接、连接器或集成帐户。
为 ISE 启用访问权限
将 ISE 用于 Azure 虚拟网络时,常见的设置问题是一个或多个端口被阻止。 用于在 ISE 和目标系统之间创建连接的连接器也可能有其自身的端口要求。 例如,如果使用 FTP 连接器与 FTP 系统通信,则在 FTP 系统上使用的端口(例如用于发送命令的端口 21)必须可用。
为了确保 ISE 可供访问且该 ISE 中的逻辑应用可以跨虚拟网络中的每个子网进行通信,请打开此表中描述的每个子网的端口。 如果任何所需的端口都不可用,则 ISE 将无法正常运行。
如果有多个 ISE 实例需要访问具有 IP 限制的其他终结点,请将 Azure 防火墙或网络虚拟设备部署到虚拟网络中,并通过该防火墙或网络虚拟设备路由出站流量。 然后,可以设置单个、出站、公共、静态、可预测的 IP 地址,虚拟网络中的所有 ISE 实例都可以使用该 IP 地址与目标系统进行通信。 这样就无需在每个 ISE 的那些目标系统上设置额外的防火墙开口。
注意
如果你的场景要求限制需要访问的 IP 地址数,可以将这种方法用于单个 ISE。 考虑防火墙或虚拟网络设备的额外费用是否适合你的场景。 详细了解 Azure 防火墙定价。
如果在没有任何约束的情况下创建了新的 Azure 虚拟网络和子网,则无需在虚拟网络中设置网络安全组 (NSG) 来控制跨子网的流量。
对于现有的虚拟网络,可以有选择性地设置网络安全组 (NSG),以跨子网筛选网络流量。 如果你想这样做或已在使用 NSG,请确保为这些 NSG 打开表中所述的端口。
设置 NSG 安全规则时,需要同时使用 TCP 和 UDP 协议,也可以改为选择任意一个协议,从而不必为每个协议创建单独的规则 。 NSG 安全规则描述了必须为需要访问这些端口的 IP 地址打开的端口。 确保这些终结点之间存在的任何防火墙、路由器或其他项也使这些 IP 地址可以访问这些端口。
对于拥有外部终结点访问权限的 ISE,必须创建一个网络安全组 (NSG)(如果还没有)。 需要添加一个入站安全规则以允许来自托管连接器出站 IP 地址的流量。 若要设置此规则,请执行以下步骤:
在 ISE 菜单中的“设置”下,选择“属性” 。
在“连接器传出 IP 地址”下,复制公共 IP 地址范围,限制和配置 - 出站 IP 地址一文中也列出了这些范围。
如果没有网络安全组,请创建一个。
根据以下信息,针对复制的公共出站 IP 地址添加一个入站安全规则。 有关详细信息,请查看教程:使用 Azure 门户通过网络安全组筛选网络流量。
目的 源服务标记或 IP 地址 源端口 目标服务标记或 IP 地址 目标端口 注释 允许来自连接器出站 IP 地址的流量 <connector-public-outbound-IP-addresses> * 具有 ISE 子网的虚拟网络的地址空间 *
如果通过防火墙设置强制隧道以重定向发往 Internet 的流量,请查看强制隧道要求。
ISE 使用的网络端口
下表介绍了 ISE 需要访问的端口以及这些端口的用途。 为了帮助减少设置安全规则时的复杂性,该表使用服务标记来表示特定 Azure 服务的 IP 地址前缀组。 请注意,内部 ISE 和外部 ISE 表示在 ISE 创建期间选择的访问终结点 。 有关详细信息,请查看终结点访问。
重要
对于所有规则,请确保将源端口设置为 *,因为源端口是临时端口。
入站安全规则
| 源端口 | 目标端口 | 源服务标记或 IP 地址 | 目标服务标记或 IP 地址 | 目的 | 注释 |
|---|---|---|---|---|---|
| * | * | 具有 ISE 子网的虚拟网络的地址空间 | 具有 ISE 子网的虚拟网络的地址空间 | 在虚拟网络中进行子网间通信。 | 虚拟网络中子网之间流量流动所必需。 重要说明:为了使流量在每个子网的组件之间流动,请确保打开每个子网中的所有端口。 |
| * | 443 | 内部 ISE: VirtualNetwork 外部 ISE:Internet 或参阅“说明” |
VirtualNetwork | - 与逻辑应用进行通信 - 逻辑应用的运行历史记录 |
可以指定这些项的源 IP 地址,而不使用 Internet 服务标记: - 在逻辑应用中调用任何请求触发器或 Webhook 的计算机或服务 - 要从中访问逻辑应用运行历史记录的计算机或服务 重要说明:关闭或阻止此端口可防止调用具有请求触发器或 Webhook 的逻辑应用。 还可以阻止你访问运行历史记录中每个步骤的输入和输出。 但是,不会阻止你访问逻辑应用运行历史记录。 |
| * | 454 | LogicAppsManagement | VirtualNetwork | Azure 逻辑应用设计器 - 动态属性 | 请求来自该区域的 Azure 逻辑应用访问终结点的入站 IP 地址。 重要提示:如果使用 Azure 政府云,则 LogicAppsManagement 服务标签将不起作用。 必须转而为 Azure 政府提供 Azure 逻辑应用入站 IP 地址。 |
| * | 454 | LogicApps | VirtualNetwork | 网络运行状况检查 | 请求来自该区域的 Azure 逻辑应用访问终结点的入站 IP 地址和出站 IP 地址。 重要提示:如果使用 Azure 政府云,则 LogicApps 服务标签将不起作用。 必须转而为 Azure 政府提供 Azure 逻辑应用入站 IP 地址和出站 IP 地址。 |
| * | 454 | AzureConnectors | VirtualNetwork | 连接器部署 | 部署和更新连接器需要。 关闭或阻止此端口会导致 ISE 部署失败,并阻止连接器更新和修复。 重要提示:如果使用 Azure 政府云,则 AzureConnectors 服务标签将不起作用。 必须转而为 Azure 政府提供托管的连接器出站 IP 地址。 |
| * | 454、455 | AppServiceManagement | VirtualNetwork | 应用服务管理依赖项 | |
| * | 内部 ISE:454 外部 ISE:443 |
AzureTrafficManager | VirtualNetwork | 来自 Azure 流量管理器的通信 | |
| * | 3443 | APIManagement | VirtualNetwork | 连接器策略部署 API 管理 - 管理终结点 |
对于连接器策略部署,需要端口访问权限才能部署和更新连接器。 关闭或阻止此端口会导致 ISE 部署失败,并阻止连接器更新和修复。 |
| * | 6379 - 6383,另请参阅“说明” | VirtualNetwork | VirtualNetwork | 访问角色实例之间的 Azure Redis 缓存实例 | 为了使 ISE 与 Azure Cache for Redis 一起使用,必须打开 Azure Cache for Redis 常见问题解答中所述的出站和入站端口。 |
入站安全规则
| 源端口 | 目标端口 | 源服务标记或 IP 地址 | 目标服务标记或 IP 地址 | 目的 | 注释 |
|---|---|---|---|---|---|
| * | * | 具有 ISE 子网的虚拟网络的地址空间 | 具有 ISE 子网的虚拟网络的地址空间 | 在虚拟网络中进行子网间通信 | 虚拟网络中子网之间流量流动所必需。 重要说明:为了使流量在每个子网的组件之间流动,请确保打开每个子网中的所有端口。 |
| * | 443, 80 | VirtualNetwork | Internet | 来自逻辑应用的通信 | 安全套接字层 (SSL) 证书验证需要此规则。 此检查适用于各种内部和外部网站,这是需要 Internet 作为目标的原因。 |
| * | 取决于目标 | VirtualNetwork | 取决于目标 | 来自逻辑应用的通信 | 目标端口因逻辑应用需要与之通信的外部服务的终结点而异。 例如,SMTP 服务的目标端口是 25,SFTP 服务的目标端口是 22 等。 |
| * | 80、443 | VirtualNetwork | AzureActiveDirectory | Microsoft Entra ID | |
| * | 80、443、445 | VirtualNetwork | 存储 | Azure 存储依赖项 | |
| * | 443 | VirtualNetwork | AppService | 连接管理 | |
| * | 443 | VirtualNetwork | AzureMonitor | 发布诊断日志和指标 | |
| * | 1433 | VirtualNetwork | SQL | Azure SQL 依赖项 | |
| * | 1886 | VirtualNetwork | AzureMonitor | Azure 资源运行状况 | 将运行状况发布到资源运行状况时需要。 |
| * | 5672 | VirtualNetwork | EventHub | 事件中心日志策略和监视代理中的依赖项 | |
| * | 6379 - 6383,另请参阅“说明” | VirtualNetwork | VirtualNetwork | 访问角色实例之间的 Azure Redis 缓存实例 | 为了使 ISE 与 Azure Cache for Redis 一起使用,必须打开 Azure Cache for Redis 常见问题解答中所述的出站和入站端口。 |
| * | 53 | VirtualNetwork | 虚拟网络中任何自定义域名系统 (DNS) 服务器的 IP 地址 | DNS 名称解析 | 仅当在虚拟网络中使用自定义 DNS 服务器时才需要 |
此外,需要为应用服务环境 (ASE) 添加出站规则:
如果使用 Azure 防火墙,则需要使用应用服务环境 (ASE) 的完全限定域名 (FQDN) 标记设置防火墙,以允许对 ASE 平台流量进行出站访问。
如果使用除 Azure 防火墙以外的其他防火墙设备,则需要使用防火墙集成依赖项中列出的、应用服务环境所需的所有规则设置防火墙。
强制隧道要求
如果通过防火墙设置或使用强制隧道,则必须允许 ISE 的其他外部依赖项。 强制隧道可让你将发往 Internet 的流量重定向到指定的下一个跃点(例如虚拟专用网 (VPN))或虚拟设备,而不是重定向到 Internet,以便可以检查和审核出站网络流量。
如果不允许这些依赖项访问,则 ISE 部署将会失败,并且部署的 ISE 将停止工作。
用户定义路由
若要防止非对称路由,必须使用“Internet”作为下一个跃点,为下面列出的每个 IP 地址定义一个路由。
服务终结点
需要为 Azure SQL、存储、服务总线、密钥保管库和事件中心启用服务终结点,因为无法通过防火墙将流量发送到这些服务。
其他入站和出站依赖项
防火墙必须允许以下入站和出站依赖项:
检查网络运行状况
在 ISE 菜单上的“设置”下,选择“网络运行状况” 。 此窗格显示子网的运行状况和其他服务的出站依赖关系。
注意
如果 ISE 的网络变得不正常,则 ISE 使用的内部应用服务环境 (ASE) 也可能会变得不正常。 如果 ASE 运行状态不正常的时间超过7天,则会挂起该 ASE。 若要解决此状态问题,请检查虚拟网络设置。 解决发现的任何问题,然后重启 ISE。 否则,在 90 天后,挂起的 ASE 会被删除,而你的 ISE 将不可用。 因此,请确保 ISE 始终处于正常状态,以允许必要的流量。
有关详细信息,请参阅以下主题:
管理逻辑应用
可以查看和管理 ISE 中的逻辑应用。
在 ISE 菜单的“设置”下,选择“逻辑应用” 。
若要删除 ISE 中不再需要的逻辑应用,请选择这些逻辑应用,然后选择“删除”。 选择“是”以确认要删除。
注意
如果删除并重新创建了子逻辑应用,则必须重新保存父逻辑应用。 重新创建的子应用将具有不同的元数据。 如果在重新创建父逻辑应用的子逻辑应用后未重新保存父逻辑应用,则对子逻辑应用的调用将失败,并出现“未授权”错误。 此行为适用于父子逻辑应用,例如,那些使用集成帐户中的项目或调用 Azure 函数的逻辑应用。
管理 API 连接
可以查看和管理在 ISE 中运行的逻辑应用创建的连接。
在 ISE 菜单的“设置”下,选择“API 连接” 。
若要删除 ISE 中不再需要的连接,请选择这些连接,然后选择“删除”。 选择“是”以确认要删除。
管理 ISE 连接器
可以查看和管理部署到 ISE 的 API 连接器。
在 ISE 菜单的“设置”下,选择“托管连接器” 。
若要删除你不希望在 ISE 中可用的连接器,请选择这些连接器,然后选择“删除”。 选择“是”以确认要删除。
管理自定义连接器
可以查看和管理部署到 ISE 的自定义连接器。
在 ISE 菜单的“设置”下,选择“自定义连接器” 。
若要删除 ISE 中不再需要的自定义连接器,请选择这些连接器,然后选择“删除”。 选择“是”以确认要删除。
管理集成帐户
在 ISE 菜单的“设置”下,选择“集成帐户” 。
若要删除 ISE 中不再需要的集成帐户,请选择这些集成帐户,然后选择“删除”。
导出集成帐户(预览版)
对于从 ISE 内部创建的标准集成帐户,可以将该集成帐户导出到现有的高级集成帐户。 导出过程有两个步骤:导出项目,然后导出协议状态。 项目包括合作伙伴、协议、证书、架构和映射。 但导出过程当前不支持程序集和 RosettaNet PIP。
集成帐户还存储特定 B2B 操作和 EDI 标准的运行时状态,例如 AS2 操作的 MIC 编号和 X12 操作的控制编号。 如果将协议配置为在每次处理事务时更新这些状态,并使用这些状态进行消息对帐和重复检测,请确保也将这些状态导出。 可以导出所有协议状态,也可以一次导出一个协议状态。
重要
请确保在所选择的时间范围内源集成帐户在协议中没有任何活动,以避免状态不一致。
先决条件
如果没有高级集成帐户,请创建一个高级集成帐户。
导出组件
此过程将项目从源复制到目标。
在 Azure 门户中,打开标准集成帐户。
在集成帐户菜单的“设置”下,选择“导出”。
注意
如果未显示“导出”选项,请确保选择了从 ISE 内部创建的标准集成帐户。
在“导出”页工具栏上,选择“导出项目”。
打开包含 Azure 订阅中所有高级帐户的“目标集成帐户”列表,选择所需的高级集成帐户,然后选择“确定”。
“导出”页现在显示了项目的导出状态。
若要确认导出的项目,请打开目标高级集成帐户。
导出协议状态(可选)
在“导出”页工具栏上,选择“导出协议状态”。
在“导出协议状态”窗格中,打开“目标集成帐户”列表,然后选择所需的高级集成帐户。
若要导出所有协议状态,请勿从“协议”列表中选择任何协议。 若要导出单个协议状态,请从“协议”列表中选择一个协议。
完成后,请选择“确定”。
“导出”页现在显示了协议状态的导出状态。
添加 ISE 容量
高级 ISE 基本单元有固定容量,因此,如果需要更多的吞吐量,可在创建期间或之后添加更多缩放单元。 开发人员 SKU 不包括添加缩放单元的功能。
重要
横向扩展 ISE 平均需要 20-30 分钟。
在 Azure 门户中,转到你的 ISE。
若要查看 ISE 的使用情况和性能指标,请在 ISE 菜单中选择“概述”。
在“设置”下,选择“横向扩展” 。在“配置”窗格中,从以下选项中选择:
手动缩放
选择“手动缩放”后,在“其他容量”中选择要使用的缩放单元数 。
完成后,选择“保存”。
自定义自动缩放
选择“自定义自动缩放”后,为“自动缩放设置名称”提供名称,并且可以根据需要选择设置所属的 Azure 资源组 。
对于“默认”条件,请选择“基于指标缩放”或“缩放到特定实例计数” 。
如果选择基于实例,请输入处理单元的数量,该值介于 0 到 10 之间。
如果选择基于指标,请执行以下步骤:
在“规则”部分,单击“添加规则” 。
在“缩放规则”窗格上,设置在触发规则时要执行的条件和操作。
对于“实例限制”,请指定以下值:
- 最小值:要使用的处理单元的最小数量
- 最大值:要使用的处理单元的最大数量
- 默认值:如果在读取资源指标时发生任何问题,且当前容量低于默认容量,则自动缩放会横向扩展到默认的处理单元数。 但是,如果当前容量超出了默认容量,则自动缩放不会横向缩减。
若要添加其他条件,请选择“添加缩放条件”。
在完成自动缩放设置后,请保存所做更改。
重启 ISE
如果更改 DNS 服务器或 DNS 服务器设置,则必须重启 ISE,使 ISE 可以接收这些更改。 重启高级 SKU ISE 不会导致停机,因为有冗余,并且组件在回收过程中一次重启一个。 但是,开发人员 SKU ISE 会经历停机,因为没有冗余存在。 有关详细信息,请参阅 ISE SKU。
在 Azure 门户中,转到你的 ISE。
在 ISE 菜单上选择“概述”。 在“概述”工具栏上,选择“重启”。
删除 ISE
在删除不再需要的 ISE 或包含 ISE 的 Azure 资源组之前,请先检查是否在包含这些资源的 Azure 资源组或 Azure 虚拟网络上没有策略或锁定,因为这些项可能会阻止删除。
在删除 ISE 之后,可能最多会需要等待 9 小时,然后再尝试删除 Azure 虚拟网络或子网。