在 Azure Logic Apps 中為一或多個整合服務環境設定單一 IP 位址

重要

ISE 資源將於 2024 年 8 月 31 日淘汰，因為它對 Azure 雲端服務 (傳統) 的相依性，而該資源會同時淘汰。 在退休日期之前，請將任何邏輯應用程式從 ISE 匯出到標準邏輯應用程式，以避免服務斷。 標準邏輯應用程式工作處理序會在單租使用者 Azure Logic Apps 執行，並提供相同的功能以及更多。

自 2022 年 11 月 1 日起，您無法再建立新的 ISE 資源。 不過，在這個日期之前存在的 ISE 資源將支援到 2024 年 8 月 31 日為止。 如需詳細資訊，請參閱以下資源：

• ISE 淘汰 - 須知事項
• Azure Logic Apps 的單一租用戶與多租用戶與整合服務環境
• Azure Logic Apps 定價
• 將 ISE 工作處理序匯出至標準邏輯應用程式
• 整合服務環境將於 2024 年 8 月 31 日淘汰 - 轉換為邏輯應用程式標準
• 雲端服務 (傳統) 部署模型將於 2024 年 8 月 31 日淘汰

當您使用 Azure Logic Apps 時，您可以設定整合服務環境 （ISE），以裝載需要存取 Azure 虛擬網路中資源的邏輯應用程式。 當您有多個 ISE 執行個體需要存取具有 IP 限制的其他端點時，請將 Azure 防火牆或網路虛擬設備 部署到虛擬網路，並透過該防火牆或網路虛擬設備來路由輸出流量。 接著，您可以讓虛擬網路中的所有 ISE 執行個體都使用單一、公用、靜態和可預測的 IP 位址來與所需的目的地系統進行通訊。 如此一來，您就不需要在每個 ISE 的目的地系統上設定額外的開放式防火牆。

本主題說明如何透過 Azure 防火牆路由輸出流量，但您可以將類似的概念套用至網路虛擬設備，例如來自 Azure Marketplace 的協力廠商防火牆。 雖然本主題著重於設定多個 ISE 執行個體，但當您的案例需要限制需要存取的 IP 位址數目時，您也可以針對單一 ISE 使用此方法。 請考慮防火牆或虛擬網路設備的額外成本對您的案例是否有意義。 深入了解 Azure 防火牆定價。

必要條件

• 在與 ISE 相同的虛擬網路中執行的 Azure 防火牆。 如果您沒有防火牆，請先將名為 AzureFirewallSubnet 的子網路新增至您的虛擬網路。 然後，您可以在虛擬網路中建立和部署防火牆。

• Azure 路由表。 如果您沒有路由表，請先建立一個路由表。 如需關於路由的詳細資訊，請參閱虛擬網路流量路由。

設定路由表

1. 在 Azure 入口網站中，選取路由表，例如：

   

2. 若要新增路由，請在路由表功能表上，選取 [路由]>[新增]。

   

3. 在 [新增路由] 窗格中，使用指定所有輸出流量到目的地系統遵循此行為的規則來設定新的路由：

   • 使用虛擬設備作為下一個躍點類型。

   • 移至防火牆執行個體的私人 IP 位址以作為下一個躍點位址。

     若要尋找此 IP 位址，請在防火牆功能表上選取 [概觀]，然後在 [私人 IP 位址] 下尋找該位址，例如：

     

   以下是示範此類規則外觀的範例：

   

   屬性	數值	Description
   路由名稱	<unique-route-name>	為路由表中路由的唯一名稱
   位址前置詞	<destination-address>	您希望輸出流量前往目的地系統的位址首碼。 請確定您為此位址使用無類別網域間路由選擇 (CIDR) 標記法。 在此範例中，此位址首碼適用於 SFTP 伺服器，如設定網路規則一節中所述。
   下一個躍點類型	虛擬設備	輸出流量所使用的躍點類型
   下一個躍點位址	<firewall-private-IP-address>	防火牆的私人 IP 位址

設定網路規則

1. 在 Azure 入口網站中，尋找並選取您的防火牆。 在防火牆功能表上的 [設定] 底下，選取 [規則]。 在 [規則] 窗格中，選取 [網路規則集合]>[新增網路規則集合]。

   

2. 在集合中，新增允許流量到目的地系統的規則。

   例如，假設您有在 ISE 中執行的邏輯應用程式，且需要與 SFTP 伺服器通訊。 您可以建立名為 LogicApp_ISE_SFTP_Outbound 的網路規則集合，其中包含名為 ISE_SFTP_Outbound 的網路規則。 此規則允許使用防火牆的私人 IP 位址，從您 ISE 在虛擬網路中所執行任何子網路的 IP 位址到目的地 SFTP 伺服器的流量。

   

   網路規則集合屬性

   屬性	數值	描述
   名稱	<network-rule-collection-name>	網路規則集合的名稱
   優先順序	<priority-level>	用來執行規則集合的優先順序。 如需詳細資訊，請參閱什麼是一些 Azure 防火牆概念？
   動作	允許	要為此規則執行的動作類型

   網路規則屬性

   屬性	數值	描述
   名稱	<network-rule-name>	網路規則的名稱
   通訊協定	<connection-protocols>	要使用的連線通訊協定。 例如，如果您使用 NSG 規則，請同時選取 TCP 和 UDP，而不只是 TCP。
   來源位址	<ISE-subnet-addresses>	ISE 執行所在的子網路 IP 位址，以及來自邏輯應用程式的流量來源
   目的地位址	<destination-IP-address>	您希望輸出流量前往目的地系統的 IP 位址。 在此範例中，此 IP 位址適用於 SFTP 伺服器。
   目的地連接埠	<destination-ports>	目的地系統用於輸入通訊的任何連接埠

   如需網路規則的詳細資訊，請參閱下列文章：

   • 設定網路規則
   • Azure 防火牆規則處理邏輯
   • Azure 防火牆常見問題集
   • Azure PowerShell: New-AzFirewallNetworkRule
   • Azure CLI: az network firewall network-rule

下一步

• 從 Azure Logic Apps 連線到 Azure 虛擬網路