A standard logikai alkalmazások és az Azure-beli virtuális hálózatok közötti forgalom védelme privát végpontok használatával

A következőkre vonatkozik: Azure Logic Apps (Standard)

Ha biztonságosan és privát módon szeretne kommunikálni a munkafolyamata között egy Standard logikai alkalmazásban és egy Azure-beli virtuális hálózatban, beállíthat privát végpontokat a bejövő forgalomhoz, és használhatja a virtuális hálózati integrációt a kimenő forgalomhoz.

A privát végpontok olyan hálózati adapterek, amelyek privát és biztonságos módon csatlakoznak az Azure Private Link által működtetett szolgáltatásokhoz. Ilyen szolgáltatás lehet valamely Azure-szolgáltatás, például az Azure Logic Apps, az Azure Storage, az Azure Cosmos DB, az SQL vagy egy saját Private Link-szolgáltatás. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így hatékonyan bekapcsolja a szolgáltatást a virtuális hálózatba.

Ez a cikk bemutatja, hogyan állíthat be privát végpontokon keresztüli hozzáférést a bejövő forgalomhoz és a virtuális hálózati integrációhoz a kimenő forgalomhoz.

További információért tekintse át a következő dokumentációt:

• Mi az az Azure privát végpont?
• Privát végpontok – Az alkalmazás integrálása azure-beli virtuális hálózattal
• Mi az az Azure privát kapcsolat?
• Regionális virtuális hálózati integráció?

Előfeltételek

Rendelkeznie kell egy új vagy meglévő Azure-beli virtuális hálózattal, amely delegálás nélküli alhálózatot tartalmaz. Ez az alhálózat magánhálózati IP-címek virtuális hálózatról történő üzembe helyezésére és lefoglalására szolgál.

További információért tekintse át a következő dokumentációt:

• Rövid útmutató: Virtuális hálózat létrehozása az Azure Portallal
• Mi az az alhálózat-delegálás?
• Alhálózat-delegálás hozzáadása vagy eltávolítása

Bejövő forgalom beállítása privát végpontokon keresztül

A munkafolyamat bejövő forgalmának védelméhez hajtsa végre az alábbi magas szintű lépéseket:

1. Indítsa el a munkafolyamatot egy beépített eseményindítóval, amely képes fogadni és kezelni a bejövő kéréseket, például a Kérés eseményindítót vagy a HTTP + Webhook eseményindítót. Ez az eseményindító beállítja a munkafolyamatot egy hívható végponttal.

2. Adjon hozzá egy privát végpontot a logikai alkalmazás erőforrásához a virtuális hálózathoz.

3. A végponthoz való hozzáférés ellenőrzéséhez hozzon létre teszthívásokat. Ahhoz, hogy a végpont beállítása után meghívhassa a logikai alkalmazás munkafolyamatát, kapcsolódnia kell a virtuális hálózathoz.

Megfontolandó szempontok a privát végpontokon keresztüli bejövő forgalomhoz

• Ha a virtuális hálózaton kívülről fér hozzá, a figyelési nézet nem fér hozzá az eseményindítók és műveletek bemeneteihez és kimeneteihez.

• A felügyelt API-webhook-eseményindítók (leküldéses triggerek) és a műveletek nem működnek, mert a nyilvános felhőben futnak, és nem tudnak betárcsázni a magánhálózatba. A hívások fogadásához nyilvános végpontra van szükségük. Ilyen eseményindítók például a Dataverse-eseményindító és az Event Grid-eseményindító.

• Ha a Office 365 Outlook-eseményindítót használja, a munkafolyamat csak óránként aktiválódik.

• A Visual Studio Code-ból vagy az Azure CLI-ből történő üzembe helyezés csak a virtuális hálózaton belülről működik. Az Üzembe helyezési központ segítségével a logikai alkalmazást egy GitHub-adattárhoz csatolhatja. Ezután az Azure-infrastruktúrával létrehozhatja és üzembe helyezheti a kódot.

  Ahhoz, hogy a GitHub-integráció működjön, távolítsa el a beállítást a WEBSITE_RUN_FROM_PACKAGE logikai alkalmazásból, vagy állítsa az értéket értékre 0.

• A Private Link engedélyezése nincs hatással a kimenő forgalomra, amely továbbra is áthalad a App Service infrastruktúrán.

A privát végpontokon keresztüli bejövő forgalom előfeltételei

A legfelső szintű előfeltételekben a virtuális hálózat beállításával együtt rendelkeznie kell egy új vagy meglévő Standard logikai alkalmazás-munkafolyamattal, amely egy beépített triggerrel kezdődik, amely képes fogadni a kéréseket.

A Kérés eseményindító például létrehoz egy végpontot a munkafolyamaton, amely képes fogadni és kezelni a többi hívótól érkező bejövő kéréseket, beleértve a munkafolyamatokat is. Ez a végpont egy URL-címet biztosít, amellyel meghívhatja és elindíthatja a munkafolyamatot. Ebben a példában a lépések a Kérelem eseményindítóval folytatódnak.

További információ: Bejövő HTTP-kérések fogadása és megválaszolása az Azure Logic Apps használatával.

A munkafolyamat létrehozása

1. Ha még nem tette meg, hozzon létre egy egybérlős logikai alkalmazást és egy üres munkafolyamatot.

2. A tervező megnyitása után adja hozzá a Kérelem eseményindítót a munkafolyamat első lépéseként.

3. A forgatókönyv követelményei alapján adjon hozzá további műveleteket, amelyeket futtatni szeretne a munkafolyamatban.

4. Ha elkészült, mentse a munkafolyamatot.

További információ: Egybérlős logikaialkalmazás-munkafolyamatok létrehozása az Azure Logic Appsben.

A végpont URL-címének másolása

1. A munkafolyamat menüben válassza az Áttekintés lehetőséget.

2. Az Áttekintés lapon másolja ki és mentse a munkafolyamat URL-címét későbbi használatra.

   A munkafolyamat aktiválásához meghív vagy elküld egy kérést erre az URL-címre.

3. Győződjön meg arról, hogy az URL-cím működik, ha meghív vagy elküld egy kérést az URL-címre. Bármilyen eszközt használhat, amelyet el szeretne küldeni, például Postman.

Privát végponti kapcsolat beállítása

1. A logikai alkalmazás menüjében, a Beállítások területen válassza a Hálózatkezelés lehetőséget.

2. A Hálózat lapBejövő forgalom kártyáján válassza a Privát végpontok lehetőséget.

3. A Privát végponti kapcsolatok területen válassza a Hozzáadás lehetőséget.

4. A megnyíló Privát végpont hozzáadása panelen adja meg a végpontra vonatkozó kért információkat.

   További információ: Privát végpont tulajdonságai.

5. Miután az Azure sikeresen kiépít egy privát végpontot, próbálkozzon újra a munkafolyamat URL-címének meghívásával.

   Ezúttal egy várt 403 Forbidden hibaüzenet jelenik meg, ami azt jelenti, hogy a privát végpont be van állítva, és megfelelően működik.

6. Annak érdekében, hogy a kapcsolat megfelelően működjön, hozzon létre egy virtuális gépet ugyanabban a virtuális hálózatban, amely rendelkezik a privát végponttal, és próbálja meg meghívni a logikai alkalmazás munkafolyamatát.

Kimenő forgalom beállítása virtuális hálózati integrációval

A logikai alkalmazás kimenő forgalmának védelméhez integrálhatja a logikai alkalmazást egy virtuális hálózattal. Először hozzon létre és tesztelje a példa-munkafolyamatot. Ezután beállíthatja a virtuális hálózati integrációt.

Megfontolandó szempontok a virtuális hálózati integráción keresztüli kimenő forgalomhoz

• A virtuális hálózati integráció beállítása csak a kimenő forgalmat érinti. A App Service megosztott végpontot továbbra is használó bejövő forgalom védelméhez tekintse meg a bejövő forgalom privát végpontokon keresztüli beállítását ismertető cikket.

• A hozzárendelés után nem módosíthatja az alhálózat méretét, ezért olyan alhálózatot használjon, amely elég nagy ahhoz, hogy elférjen az alkalmazás által elért méretben. Az alhálózati kapacitással kapcsolatos problémák elkerülése érdekében használjon /26 64 címmel rendelkező alhálózatot. Ha létrehozza az alhálózatot a Azure Portal való virtuális hálózati integrációhoz, akkor a minimális alhálózatméretet kell használnia/27.

• Ahhoz, hogy az Azure Logic Apps-futtatókörnyezet működjön, folyamatos kapcsolatot kell létesítenie a háttértárolóval. Ha a háttértár privát végponton keresztül van elérhetővé téve a virtuális hálózatnak, győződjön meg arról, hogy a következő portok nyitva vannak:

  Forrásport	Célport	Forrás	Cél	Protokoll	Cél
  *	443	Standard logikai alkalmazással integrált alhálózat	Tárfiók	TCP	Tárfiók
  *	445	Standard logikai alkalmazással integrált alhálózat	Tárfiók	TCP	Kiszolgálói üzenetblokk (SMB) fájlmegosztása

• Ahhoz, hogy az Azure által üzemeltetett felügyelt összekötők működjenek, folyamatos kapcsolatot kell létesítenie a felügyelt API-szolgáltatással. A virtuális hálózati integrációval győződjön meg arról, hogy a tűzfal vagy a hálózati biztonsági szabályzat nem blokkolja ezeket a kapcsolatokat. Ha a virtuális hálózat hálózati biztonsági csoportot (NSG-t), felhasználó által definiált útválasztási táblát (UDR) vagy tűzfalat használ, győződjön meg arról, hogy a virtuális hálózat engedélyezi a kimenő kapcsolatokat a megfelelő régióban található összes felügyelt összekötő IP-címéhez . Ellenkező esetben az Azure által felügyelt összekötők nem működnek.

További információért tekintse át a következő dokumentációt:

• Alkalmazás integrálása egy Azure-beli virtuális hálózattal
• Hálózati biztonsági csoportok
• Virtuális hálózat forgalmának útválasztása

A munkafolyamat létrehozása és tesztelése

1. Ha még nem tette meg, a Azure Portal hozzon létre egy egybérlős logikai alkalmazást és egy üres munkafolyamatot.

2. A tervező megnyitása után adja hozzá a Kérelem eseményindítót a munkafolyamat első lépéseként.

3. Adjon hozzá egy HTTP-műveletet egy olyan belső szolgáltatás meghívásához, amely nem érhető el az interneten keresztül, és egy privát IP-címmel (például 10.0.1.3) fut.

4. Ha végzett, mentse a munkafolyamatot.

5. A tervezőben manuálisan futtassa a munkafolyamatot.

   A HTTP-művelet meghiúsul, ami terv szerint és elvárt, mert a munkafolyamat a felhőben fut, és nem fér hozzá a belső szolgáltatáshoz.

Virtuális hálózati integráció beállítása

1. A Azure Portal logikai alkalmazás erőforrásmenüjének Beállítások csoportjában válassza a Hálózatkezelés lehetőséget.

2. A Hálózat panelKimenő forgalom kártyáján válassza a VNet-integráció lehetőséget.

3. A VNet-integráció panelen válassza a Virtuális hálózat hozzáadása lehetőséget.

4. A VNet-integráció hozzáadása panelen válassza ki a belső szolgáltatáshoz csatlakozó előfizetést és virtuális hálózatot.

   A virtuális hálózati integráció hozzáadása után a VNet-integráció panelen alapértelmezés szerint engedélyezve van a Minden útvonal beállítása. Ez a beállítás az összes kimenő forgalmat a virtuális hálózaton keresztül irányítja. Ha ez a beállítás engedélyezve van, a rendszer figyelmen kívül hagyja az WEBSITE_VNET_ROUTE_ALL alkalmazásbeállítást.

5. Ha saját tartománynév-kiszolgálót (DNS) használ a virtuális hálózattal, állítsa a logikaialkalmazás-erőforrás alkalmazásbeállítását WEBSITE_DNS_SERVER a DNS IP-címére. Ha másodlagos DNS-sel rendelkezik, adjon hozzá egy másik nevű alkalmazásbeállítást WEBSITE_DNS_ALT_SERVER, és állítsa be az értéket a DNS IP-címére is.

6. Miután az Azure sikeresen kiépít egy virtuális hálózati integrációt, próbálja meg újra futtatni a munkafolyamatot.

   A HTTP-művelet most már sikeresen fut.

Következő lépések

• Logic Apps Anywhere: Hálózatkezelési lehetőségek a Logic Appsszel (egybérlős)