A standard logikai alkalmazások és az Azure-beli virtuális hálózatok közötti forgalom védelme privát végpontok használatával
A következőkre vonatkozik: Azure Logic Apps (Standard)
Ha biztonságosan és privát módon szeretne kommunikálni a munkafolyamata között egy Standard logikai alkalmazásban és egy Azure-beli virtuális hálózatban, beállíthat privát végpontokat a bejövő forgalomhoz, és használhatja a virtuális hálózati integrációt a kimenő forgalomhoz.
A privát végpontok olyan hálózati adapterek, amelyek privát és biztonságos módon csatlakoznak az Azure Private Link által működtetett szolgáltatásokhoz. Ilyen szolgáltatás lehet valamely Azure-szolgáltatás, például az Azure Logic Apps, az Azure Storage, az Azure Cosmos DB, az SQL vagy egy saját Private Link-szolgáltatás. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így hatékonyan bekapcsolja a szolgáltatást a virtuális hálózatba.
Ez a cikk bemutatja, hogyan állíthat be privát végpontokon keresztüli hozzáférést a bejövő forgalomhoz és a virtuális hálózati integrációhoz a kimenő forgalomhoz.
További információért tekintse át a következő dokumentációt:
- Mi az az Azure privát végpont?
- Privát végpontok – Az alkalmazás integrálása azure-beli virtuális hálózattal
- Mi az az Azure privát kapcsolat?
- Regionális virtuális hálózati integráció?
Előfeltételek
Rendelkeznie kell egy új vagy meglévő Azure-beli virtuális hálózattal, amely delegálás nélküli alhálózatot tartalmaz. Ez az alhálózat magánhálózati IP-címek virtuális hálózatról történő üzembe helyezésére és lefoglalására szolgál.
További információért tekintse át a következő dokumentációt:
- Rövid útmutató: Virtuális hálózat létrehozása az Azure Portallal
- Mi az az alhálózat-delegálás?
- Alhálózat-delegálás hozzáadása vagy eltávolítása
Bejövő forgalom beállítása privát végpontokon keresztül
A munkafolyamat bejövő forgalmának védelméhez hajtsa végre az alábbi magas szintű lépéseket:
Indítsa el a munkafolyamatot egy beépített eseményindítóval, amely képes fogadni és kezelni a bejövő kéréseket, például a Kérés eseményindítót vagy a HTTP + Webhook eseményindítót. Ez az eseményindító beállítja a munkafolyamatot egy hívható végponttal.
Adjon hozzá egy privát végpontot a logikai alkalmazás erőforrásához a virtuális hálózathoz.
A végponthoz való hozzáférés ellenőrzéséhez hozzon létre teszthívásokat. Ahhoz, hogy a végpont beállítása után meghívhassa a logikai alkalmazás munkafolyamatát, kapcsolódnia kell a virtuális hálózathoz.
Megfontolandó szempontok a privát végpontokon keresztüli bejövő forgalomhoz
Ha a virtuális hálózaton kívülről fér hozzá, a figyelési nézet nem fér hozzá az eseményindítók és műveletek bemeneteihez és kimeneteihez.
A felügyelt API-webhook-eseményindítók (leküldéses triggerek) és a műveletek nem működnek, mert a nyilvános felhőben futnak, és nem tudnak betárcsázni a magánhálózatba. A hívások fogadásához nyilvános végpontra van szükségük. Ilyen eseményindítók például a Dataverse-eseményindító és az Event Grid-eseményindító.
Ha a Office 365 Outlook-eseményindítót használja, a munkafolyamat csak óránként aktiválódik.
A Visual Studio Code-ból vagy az Azure CLI-ből történő üzembe helyezés csak a virtuális hálózaton belülről működik. Az Üzembe helyezési központ segítségével a logikai alkalmazást egy GitHub-adattárhoz csatolhatja. Ezután az Azure-infrastruktúrával létrehozhatja és üzembe helyezheti a kódot.
Ahhoz, hogy a GitHub-integráció működjön, távolítsa el a beállítást a
WEBSITE_RUN_FROM_PACKAGE
logikai alkalmazásból, vagy állítsa az értéket értékre0
.A Private Link engedélyezése nincs hatással a kimenő forgalomra, amely továbbra is áthalad a App Service infrastruktúrán.
A privát végpontokon keresztüli bejövő forgalom előfeltételei
A legfelső szintű előfeltételekben a virtuális hálózat beállításával együtt rendelkeznie kell egy új vagy meglévő Standard logikai alkalmazás-munkafolyamattal, amely egy beépített triggerrel kezdődik, amely képes fogadni a kéréseket.
A Kérés eseményindító például létrehoz egy végpontot a munkafolyamaton, amely képes fogadni és kezelni a többi hívótól érkező bejövő kéréseket, beleértve a munkafolyamatokat is. Ez a végpont egy URL-címet biztosít, amellyel meghívhatja és elindíthatja a munkafolyamatot. Ebben a példában a lépések a Kérelem eseményindítóval folytatódnak.
További információ: Bejövő HTTP-kérések fogadása és megválaszolása az Azure Logic Apps használatával.
A munkafolyamat létrehozása
Ha még nem tette meg, hozzon létre egy egybérlős logikai alkalmazást és egy üres munkafolyamatot.
A tervező megnyitása után adja hozzá a Kérelem eseményindítót a munkafolyamat első lépéseként.
A forgatókönyv követelményei alapján adjon hozzá további műveleteket, amelyeket futtatni szeretne a munkafolyamatban.
Ha elkészült, mentse a munkafolyamatot.
További információ: Egybérlős logikaialkalmazás-munkafolyamatok létrehozása az Azure Logic Appsben.
A végpont URL-címének másolása
A munkafolyamat menüben válassza az Áttekintés lehetőséget.
Az Áttekintés lapon másolja ki és mentse a munkafolyamat URL-címét későbbi használatra.
A munkafolyamat aktiválásához meghív vagy elküld egy kérést erre az URL-címre.
Győződjön meg arról, hogy az URL-cím működik, ha meghív vagy elküld egy kérést az URL-címre. Bármilyen eszközt használhat, amelyet el szeretne küldeni, például Postman.
Privát végponti kapcsolat beállítása
A logikai alkalmazás menüjében, a Beállítások területen válassza a Hálózatkezelés lehetőséget.
A Hálózat lapBejövő forgalom kártyáján válassza a Privát végpontok lehetőséget.
A Privát végponti kapcsolatok területen válassza a Hozzáadás lehetőséget.
A megnyíló Privát végpont hozzáadása panelen adja meg a végpontra vonatkozó kért információkat.
További információ: Privát végpont tulajdonságai.
Miután az Azure sikeresen kiépít egy privát végpontot, próbálkozzon újra a munkafolyamat URL-címének meghívásával.
Ezúttal egy várt
403 Forbidden
hibaüzenet jelenik meg, ami azt jelenti, hogy a privát végpont be van állítva, és megfelelően működik.Annak érdekében, hogy a kapcsolat megfelelően működjön, hozzon létre egy virtuális gépet ugyanabban a virtuális hálózatban, amely rendelkezik a privát végponttal, és próbálja meg meghívni a logikai alkalmazás munkafolyamatát.
Kimenő forgalom beállítása virtuális hálózati integrációval
A logikai alkalmazás kimenő forgalmának védelméhez integrálhatja a logikai alkalmazást egy virtuális hálózattal. Először hozzon létre és tesztelje a példa-munkafolyamatot. Ezután beállíthatja a virtuális hálózati integrációt.
Megfontolandó szempontok a virtuális hálózati integráción keresztüli kimenő forgalomhoz
A virtuális hálózati integráció beállítása csak a kimenő forgalmat érinti. A App Service megosztott végpontot továbbra is használó bejövő forgalom védelméhez tekintse meg a bejövő forgalom privát végpontokon keresztüli beállítását ismertető cikket.
A hozzárendelés után nem módosíthatja az alhálózat méretét, ezért olyan alhálózatot használjon, amely elég nagy ahhoz, hogy elférjen az alkalmazás által elért méretben. Az alhálózati kapacitással kapcsolatos problémák elkerülése érdekében használjon
/26
64 címmel rendelkező alhálózatot. Ha létrehozza az alhálózatot a Azure Portal való virtuális hálózati integrációhoz, akkor a minimális alhálózatméretet kell használnia/27
.Ahhoz, hogy az Azure Logic Apps-futtatókörnyezet működjön, folyamatos kapcsolatot kell létesítenie a háttértárolóval. Ha a háttértár privát végponton keresztül van elérhetővé téve a virtuális hálózatnak, győződjön meg arról, hogy a következő portok nyitva vannak:
Forrásport Célport Forrás Cél Protokoll Cél * 443 Standard logikai alkalmazással integrált alhálózat Tárfiók TCP Tárfiók * 445 Standard logikai alkalmazással integrált alhálózat Tárfiók TCP Kiszolgálói üzenetblokk (SMB) fájlmegosztása Ahhoz, hogy az Azure által üzemeltetett felügyelt összekötők működjenek, folyamatos kapcsolatot kell létesítenie a felügyelt API-szolgáltatással. A virtuális hálózati integrációval győződjön meg arról, hogy a tűzfal vagy a hálózati biztonsági szabályzat nem blokkolja ezeket a kapcsolatokat. Ha a virtuális hálózat hálózati biztonsági csoportot (NSG-t), felhasználó által definiált útválasztási táblát (UDR) vagy tűzfalat használ, győződjön meg arról, hogy a virtuális hálózat engedélyezi a kimenő kapcsolatokat a megfelelő régióban található összes felügyelt összekötő IP-címéhez . Ellenkező esetben az Azure által felügyelt összekötők nem működnek.
További információért tekintse át a következő dokumentációt:
- Alkalmazás integrálása egy Azure-beli virtuális hálózattal
- Hálózati biztonsági csoportok
- Virtuális hálózat forgalmának útválasztása
A munkafolyamat létrehozása és tesztelése
Ha még nem tette meg, a Azure Portal hozzon létre egy egybérlős logikai alkalmazást és egy üres munkafolyamatot.
A tervező megnyitása után adja hozzá a Kérelem eseményindítót a munkafolyamat első lépéseként.
Adjon hozzá egy HTTP-műveletet egy olyan belső szolgáltatás meghívásához, amely nem érhető el az interneten keresztül, és egy privát IP-címmel (például
10.0.1.3
) fut.Ha végzett, mentse a munkafolyamatot.
A tervezőben manuálisan futtassa a munkafolyamatot.
A HTTP-művelet meghiúsul, ami terv szerint és elvárt, mert a munkafolyamat a felhőben fut, és nem fér hozzá a belső szolgáltatáshoz.
Virtuális hálózati integráció beállítása
A Azure Portal logikai alkalmazás erőforrásmenüjének Beállítások csoportjában válassza a Hálózatkezelés lehetőséget.
A Hálózat panelKimenő forgalom kártyáján válassza a VNet-integráció lehetőséget.
A VNet-integráció panelen válassza a Virtuális hálózat hozzáadása lehetőséget.
A VNet-integráció hozzáadása panelen válassza ki a belső szolgáltatáshoz csatlakozó előfizetést és virtuális hálózatot.
A virtuális hálózati integráció hozzáadása után a VNet-integráció panelen alapértelmezés szerint engedélyezve van a Minden útvonal beállítása. Ez a beállítás az összes kimenő forgalmat a virtuális hálózaton keresztül irányítja. Ha ez a beállítás engedélyezve van, a rendszer figyelmen kívül hagyja az
WEBSITE_VNET_ROUTE_ALL
alkalmazásbeállítást.Ha saját tartománynév-kiszolgálót (DNS) használ a virtuális hálózattal, állítsa a logikaialkalmazás-erőforrás alkalmazásbeállítását
WEBSITE_DNS_SERVER
a DNS IP-címére. Ha másodlagos DNS-sel rendelkezik, adjon hozzá egy másik nevű alkalmazásbeállítástWEBSITE_DNS_ALT_SERVER
, és állítsa be az értéket a DNS IP-címére is.Miután az Azure sikeresen kiépít egy virtuális hálózati integrációt, próbálja meg újra futtatni a munkafolyamatot.
A HTTP-művelet most már sikeresen fut.