Azure-beli virtuális hálózatok elérése az Azure Logic Appsből integrációs szolgáltatási környezet (ISE) használatával

  • Cikk

Fontos

2024. augusztus 31-én az ISE-erőforrás kivezeti az Azure Cloud Services (klasszikus) függősége miatt, amely egyidejűleg megszűnik. A kivonás dátuma előtt exportáljon minden logikai alkalmazást az ISE-ből a Standard logikai alkalmazásokba, hogy elkerülje a szolgáltatáskimaradást. A standard logikaialkalmazás-munkafolyamatok egybérlős Azure Logic Appsben futnak, és ugyanazokat a képességeket biztosítják, és még több. A standard munkafolyamatok például támogatják a privát végpontok használatát a bejövő forgalomhoz, hogy a munkafolyamatok privátan és biztonságosan kommunikálhassanak a virtuális hálózatokkal. A standard munkafolyamatok a kimenő forgalom virtuális hálózati integrációját is támogatják. További információkért tekintse át a virtuális hálózatok és az egybérlős Azure Logic Apps privát végpontok használatával történő biztonságos forgalmát ismertető cikket.

2022. november 1-től már nem érhető el új ISE-erőforrások létrehozása, ami azt is jelenti, hogy a logic apps REST API-val történő ISE-létrehozás során a saját titkosítási kulcsok (byok) beállítása is megszűnik. Az ezen dátum előtt meglévő ISE-erőforrások azonban 2024. augusztus 31-ig támogatottak.

További információkat találhat az alábbi forrásokban:

Ez az áttekintés további információkat nyújt arról, hogyan működik az ISE egy virtuális hálózattal, milyen előnyökkel jár az ISE használata, a dedikált és a több-bérlős Logic Apps szolgáltatás közötti különbségek, valamint arról, hogy miként férhet hozzá közvetlenül az Azure-beli virtuális hálózatán belül vagy ahhoz csatlakoztatott erőforrásokhoz.

Az ISE működése virtuális hálózattal

Az ISE létrehozásakor kiválaszthatja azt az Azure-beli virtuális hálózatot, amelyben az Azure be szeretné szúrni vagy üzembe szeretné helyezni az ISE-t. Amikor olyan logikai alkalmazásokat és integrációs fiókokat hoz létre, amelyeknek hozzá kell férnie ehhez a virtuális hálózathoz, kiválaszthatja az ISE-t a logikai alkalmazások és integrációs fiókok gazdagéphelyeként. Az ISE-ben a logikai alkalmazások dedikált erőforrásokon futnak a több-bérlős Azure Logic Apps-környezetben. Az ISE-ben lévő adatok ugyanabban a régióban maradnak, ahol az ISE-t létrehozza és üzembe helyezi.

Képernyőkép Azure Portal, amelyen az integrációs szolgáltatási környezet van kiválasztva.

Miért érdemes ISE-t használni?

A logikaialkalmazás-munkafolyamatok külön dedikált példányban való futtatásával csökkenthető a más Azure-bérlők által az alkalmazások teljesítményére gyakorolt hatás, más néven a "zajos szomszédok" hatása. Az ISE az alábbi előnyöket is biztosítja:

  • Közvetlen hozzáférés a virtuális hálózaton belüli vagy ahhoz kapcsolódó erőforrásokhoz

    Az ISE-ben létrehozott és futtatott logikai alkalmazások kifejezetten az ISE-ben futó összekötőket használhatják. Ha van ISE-összekötő egy helyszíni rendszerhez vagy adatforráshoz, közvetlenül csatlakozhat anélkül, hogy a helyszíni adatátjárót kellene használnia. További információ: A dedikált és a több-bérlős és a helyszíni rendszerekhez való hozzáférés a jelen témakör későbbi részében.

  • Folyamatos hozzáférés a virtuális hálózathoz külső vagy nem csatlakoztatott erőforrásokhoz

    Az ISE-ben létrehozott és futtatott logikai alkalmazások továbbra is használhatnak olyan összekötőket, amelyek akkor is futnak a több-bérlős Logic Apps szolgáltatásban, ha egy ISE-specifikus összekötő nem érhető el. További információ: Dedikált és több-bérlős.

  • Saját statikus IP-címei, amelyek elkülönülnek a több-bérlős szolgáltatás logikai alkalmazásai által megosztott statikus IP-címektől. Egyetlen nyilvános, statikus és kiszámítható kimenő IP-címet is beállíthat a célrendszerekkel való kommunikációhoz. Így nem kell további tűzfalnyílásokat beállítania ezeken a célrendszereken az egyes ISE-khez.

  • Megnövelt korlátok a futtatás időtartamára, a tárterület megőrzésére, az átviteli sebességre, a HTTP-kérésekre és a válaszidőkorlátokra, az üzenetméretekre és az egyéni összekötőkre vonatkozó kérelmekre. További információ: Az Azure Logic Apps korlátai és konfigurálása.

Dedikált és több-bérlős

Amikor logikai alkalmazásokat hoz létre és futtat egy ISE-ben, ugyanazokat a felhasználói élményeket és hasonló képességeket kapja, mint a több-bérlős Logic Apps szolgáltatás. A több-bérlős Logic Apps szolgáltatásban elérhető összes beépített eseményindítót, műveletet és felügyelt összekötőt használhatja. Egyes felügyelt összekötők további ISE-verziókat kínálnak. Az ISE-összekötők és a nem ISE-összekötők közötti különbség abban a helyen van, ahol futnak, és a logikai alkalmazásban található címkék Tervező, amikor egy ISE-ben dolgozik.

Összekötők címkékkel és címkék nélkül isE-ben

  • A beépített eseményindítók és műveletek, például a HTTP megjelenítik a CORE címkét, és ugyanabban az ISE-ben futnak, mint a logikai alkalmazás.

  • Az ISE címkét megjelenítő felügyelt összekötők kifejezetten az ISE-khez készültek, és mindig ugyanabban az ISE-ben futnak, mint a logikai alkalmazás. Íme például néhány összekötő, amelyek ISE-verziókat kínálnak:

    • Azure Blob Storage, fájltárolás és táblatároló
    • Azure Service Bus, Azure Queues, Azure Event Hubs
    • Azure Automation, Azure Key Vault, Azure Event Grid és Azure Monitor-naplók
    • FTP, SFTP-SSH, fájlrendszer és SMTP
    • SAP, IBM MQ, IBM DB2 és IBM 3270
    • SQL Server, Azure Synapse Analytics, Azure Cosmos DB
    • AS2, X12 és EDIFACT

    Ritka kivételek esetén, ha egy ISE-összekötő elérhető egy helyszíni rendszerhez vagy adatforráshoz, közvetlenül, a helyszíni adatátjáró használata nélkül is csatlakozhat. További információ: Hozzáférés a helyszíni rendszerekhez a jelen témakör későbbi részében.

  • Azok a felügyelt összekötők, amelyek nem jelenítik meg az ISE címkét, továbbra is működnek az ISE-ben található logikai alkalmazásokhoz. Ezek az összekötők mindig a több-bérlős Logic Apps szolgáltatásban futnak, nem az ISE-ben.

  • Az ISE-n kívül létrehozott egyéni összekötők, függetlenül attól, hogy szükségük van-e a helyszíni adatátjáróra, továbbra is működnek az ISE-n belüli logikai alkalmazásokhoz. Az ISE-ben létrehozott egyéni összekötők azonban nem működnek a helyszíni adatátjáróval. További információ: Hozzáférés a helyszíni rendszerekhez.

Hozzáférés a helyszíni rendszerekhez

Az ISE-n belül futó logikaialkalmazás-munkafolyamatok az alábbi elemek használatával közvetlenül hozzáférhetnek az Azure-beli virtuális hálózaton belüli vagy ahhoz kapcsolódó helyszíni rendszerekhez és adatforrásokhoz:

  • A CORE címkét megjelenítő HTTP-eseményindító vagy művelet

  • Az ISE-összekötő , ha van, helyszíni rendszerhez vagy adatforráshoz

    Ha elérhető ISE-összekötő, közvetlenül hozzáférhet a rendszerhez vagy az adatforráshoz a helyszíni adatátjáró nélkül. Ha azonban hozzá kell férnie SQL Server egy ISE-ből, és Windows-hitelesítést kell használnia, az összekötő nem ISE-verzióját és a helyszíni adatátjárót kell használnia. Az összekötő ISE-verziója nem támogatja a Windows-hitelesítést. További információ: ISE-összekötők és csatlakozás integrációs szolgáltatási környezetből.

  • Egyéni összekötő

    • Az ISE-n kívül létrehozott egyéni összekötők, függetlenül attól, hogy szükségük van-e a helyszíni adatátjáróra, továbbra is működnek az ISE-n belüli logikai alkalmazásokhoz.

    • Az ISE-ben létrehozott egyéni összekötők nem működnek a helyszíni adatátjáróval. Ezek az összekötők azonban közvetlenül hozzáférhetnek a helyszíni rendszerekhez és adatforrásokhoz, amelyek az ISE-t üzemeltető virtuális hálózaton belül vagy ahhoz csatlakoznak. Tehát az ISE-ben található logikai alkalmazásoknak általában nincs szükségük az adatátjáróra az erőforrások elérésekor.

Ha olyan helyszíni rendszereket és adatforrásokat szeretne elérni, amelyek nem rendelkeznek ISE-összekötőkkel, a virtuális hálózaton kívül vannak, vagy nem csatlakoznak a virtuális hálózathoz, továbbra is a helyszíni adatátjárót kell használnia. Az ISE-ben lévő logikai alkalmazások továbbra is használhatnak olyan összekötőket, amelyek nem rendelkeznek CORE vagy ISE címkével. Ezek az összekötők nem az ISE-ben, hanem a több-bérlős Logic Apps szolgáltatásban futnak.

Titkosított adatok inaktív állapotban

Az Azure Storage alapértelmezés szerint a Microsoft által felügyelt kulcsokkal titkosítja az adatokat. Az Azure Logic Apps az Azure Storage-ra támaszkodik az inaktív adatok tárolására és automatikus titkosítására. Ez a titkosítás megvédi az adatait, és segít a szervezet által előírt biztonsági és megfelelőségi követelmények teljesítésében. Az Azure Storage-titkosítás működésével kapcsolatos további információkért lásd: Inaktív adatok Azure Storage-titkosítása és Azure Data Encryption-at-Rest.

Az Azure Storage által használt titkosítási kulcsok nagyobb mértékű szabályozása érdekében az ISE támogatja a saját kulcs használatát és kezelését az Azure Key Vault használatával. Ezt a képességet "Saját kulcs használata" (BYOK) néven ismerjük, a kulcsot pedig "ügyfél által felügyelt kulcsnak" nevezzük. Ez a képesség azonban csak akkor érhető el, ha létrehozza az ISE-t, utána nem. A kulcs nem tiltható le az ISE létrehozása után. Jelenleg nincs támogatás az ÜGYFÉL által felügyelt kulcsok ISE-hez való elforgatására.

  • Az ISE ügyfél által felügyelt kulcstámogatása csak a következő régiókban érhető el:

    • Azure: USA 2. nyugati régiója, USA keleti régiója és AZ USA déli középső régiója.

    • Azure Government: Arizona, Virginia és Texas.

  • Az ügyfél által felügyelt kulcsot tároló kulcstartónak ugyanabban az Azure-régióban kell lennie, mint az ISE-nek.

  • Az ügyfél által felügyelt kulcsok támogatásához az ISE-nek engedélyeznie kell a rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitást. Ez az identitás lehetővé teszi, hogy az ISE hitelesítse a hozzáférést az Azure-beli virtuális hálózatban található vagy ahhoz csatlakoztatott biztonságos erőforrásokhoz, például virtuális gépekhez és más rendszerekhez vagy szolgáltatásokhoz. Így nem kell bejelentkeznie a hitelesítő adataival.

  • Hozzáférést kell adnia a kulcstartónak az ISE felügyelt identitásához, de az időzítés attól függ, hogy melyik felügyelt identitást használja.

    • Rendszer által hozzárendelt felügyelt identitás: Az ISE-t létrehozó HTTPS PUT kérés elküldése után 30 percen belül. Ellenkező esetben az ISE létrehozása meghiúsul, és engedélyhiba jelenik meg.

    • Felhasználó által hozzárendelt felügyelt identitás: Az ISE-t létrehozó HTTPS PUT-kérés elküldése előtt

ISE termékváltozatok

Az ISE létrehozásakor kiválaszthatja a fejlesztői termékváltozatot vagy a prémium termékváltozatot. Ez a termékváltozat-beállítás csak az ISE létrehozásakor érhető el, és később nem módosítható. Az alábbiakban a következő termékváltozatok közötti különbségeket mutatjuk be:

  • Fejlesztő

    Alacsonyabb költségű ISE-t biztosít, amelyet feltáráshoz, kísérletekhez, fejlesztéshez és teszteléshez használhat, éles vagy teljesítményteszteléshez azonban nem. A fejlesztői termékváltozat beépített eseményindítókat és műveleteket, standard összekötőket, vállalati összekötőket és egyetlen ingyenes szintű integrációs fiókot tartalmaz fix havi áron.

    Fontos

    Ez a termékváltozat nem rendelkezik szolgáltatói szerződéssel (SLA), vertikális felskálázási képességgel vagy redundanciával az újrahasznosítás során, ami azt jelenti, hogy késést vagy állásidőt tapasztalhat. A háttérfrissítések időnként megszakíthatják a szolgáltatást.

    A kapacitásra és a korlátokra vonatkozó információkért lásd: ISE-korlátok az Azure Logic Appsben. Az ISE-k számlázásának működését a Logic Apps díjszabási modelljében tekintheti meg.

  • Prémium

    Olyan ISE-t biztosít, amelyet éles és teljesítményteszteléshez használhat. A prémium termékváltozat tartalmazza az SLA-támogatást, a beépített triggereket és műveleteket, a Standard összekötőket, a vállalati összekötőket, az egyetlen standard szintű integrációs fiókot, a vertikális felskálázási képességet és a redundanciát az újrahasznosítás során rögzített havi áron.

    A kapacitásra és a korlátokra vonatkozó információkért lásd: ISE-korlátok az Azure Logic Appsben. Az ISE-k számlázásának működését a Logic Apps díjszabási modelljében tekintheti meg.

ISE-végpont elérése

Az ISE létrehozása során dönthet úgy, hogy belső vagy külső hozzáférési végpontokat használ. A kiválasztás határozza meg, hogy az ISE-ben lévő logikai alkalmazások kérés- vagy webhook-eseményindítói fogadhatnak-e hívásokat a virtuális hálózaton kívülről. Ezek a végpontok a logikai alkalmazások futtatási előzményeiből származó bemenetek és kimenetek elérésének módját is befolyásolják.

Fontos

A hozzáférési végpontot csak az ISE létrehozásakor választhatja ki, és ezt a beállítást később nem módosíthatja.

  • Belső: A privát végpontok engedélyezik az ISE-ben lévő logikai alkalmazások hívásait, ahol a logikai alkalmazás munkafolyamatának bemeneteit és kimeneteit csak a virtuális hálózaton belülről tekintheti meg és érheti el.

    Fontos

    Ha ezeket a webhook-alapú eseményindítókat kell használnia, és a szolgáltatás kívül esik a virtuális hálózaton és a társviszonyban álló virtuális hálózatokon, használjon külső végpontokat, nem belső végpontokat az ISE létrehozásakor:

    • Azure DevOps
    • Azure Event Grid
    • Common Data Service
    • Office 365
    • SAP (több-bérlős verzió)

    Győződjön meg arról is, hogy rendelkezik hálózati kapcsolattal a privát végpontok és a számítógép között, ahonnan a futtatási előzményeket el szeretné érni. Ellenkező esetben, amikor megpróbálja megtekinteni a munkafolyamat futtatási előzményeit, a következő hibaüzenet jelenik meg: "Váratlan hiba. Nem sikerült beolvasni".

    Képernyőkép a Azure Portal és az Azure Storage művelethibájáról, amely a forgalom tűzfalon keresztüli küldésének képtelenségéből ered.

    Az ügyfélszámítógép például létezhet az ISE virtuális hálózatán belül, vagy olyan virtuális hálózaton belül, amely társviszony-létesítéssel vagy virtuális magánhálózattal csatlakozik az ISE virtuális hálózatához.

  • Külső: A nyilvános végpontok lehetővé teszik a logikai alkalmazás munkafolyamatainak hívását az ISE-ben, ahol megtekintheti és elérheti a logikai alkalmazások futtatási előzményeiből származó bemeneteket és kimeneteket a virtuális hálózaton kívülről. Ha hálózati biztonsági csoportokat (NSG-ket) használ, győződjön meg arról, hogy be vannak állítva bejövő szabályokkal a futtatási előzmények bemeneteihez és kimeneteihez való hozzáférés engedélyezéséhez.

Annak megállapításához, hogy az ISE belső vagy külső hozzáférési végpontot használ-e, az ISE menüjének Beállítások területén válassza a Tulajdonságok lehetőséget, és keresse meg az Access-végpont tulajdonságot:

Képernyőkép Azure Portal ISE menüjéről, amelyen a Beállítások, a Tulajdonságok és az Access-végpont beállítás van kiválasztva.

Díjszabási modell

Az ISE-ben futó logikai alkalmazások, beépített eseményindítók, beépített műveletek és összekötők a használatalapú díjszabási csomagtól eltérő rögzített díjszabási csomagot használnak. További információ: Az Azure Logic Apps díjszabási modellje. A díjszabásról az Azure Logic Apps díjszabását ismertető cikkben olvashat.

Integrációs fiókok az ISE-vel

Az integrációs fiókokat logikai alkalmazásokkal is használhatja egy integrációs szolgáltatási környezetben (ISE). Ezeknek az integrációs fiókoknak azonban ugyanazt az ISE-t kell használniuk, mint a csatolt logikai alkalmazásoknak. Az ISE logikai alkalmazásai csak az azonos ISE-ben található integrációs fiókokra hivatkozhatnak. Integrációs fiók létrehozásakor kiválaszthatja az ISE-t az integrációs fiók helyeként. Az ISE-vel rendelkező integrációs fiókok díjszabásának és számlázásának működéséről az Azure Logic Apps díjszabási modelljében tájékozódhat. A díjszabásról az Azure Logic Apps díjszabását ismertető cikkben olvashat. A korlátokkal kapcsolatos információkért lásd: Integrációs fiókok korlátai.

Következő lépések