Configurar um único endereço IP para um ou mais ambientes de serviço de integração no serviço Aplicativos Lógicos do Azure

Quando trabalhar com o serviço Aplicativos Lógicos do Azure, você pode configurar um ambiente do serviço de integração (ISE) para hospedar aplicativos lógicos que precisam acessar recursos em uma rede virtual do Azure. Quando você tem várias instâncias do ISE que precisam de acesso a outros pontos de extremidade que têm restrições de IP, implante um Firewall do Azure ou uma solução de virtualização de rede em sua rede virtual e roteie o tráfego de saída por meio do firewall ou da solução de virtualização de rede. Você pode fazer com que todas as instâncias do ISE em sua rede virtual usem um único endereço IP público, estático e previsível para se comunicar com os sistemas de destino desejados. Dessa forma, você não precisa configurar aberturas adicionais do firewall nos seus sistemas de destino para cada ISE.

Este tópico mostra como rotear o tráfego de saída por meio de um Firewall do Azure, mas você pode aplicar conceitos semelhantes a uma solução de virtualização de rede e, como um firewall de terceiros do Azure Marketplace. Embora este tópico se concentre na configuração de várias instâncias do ISE, você também pode usar essa abordagem para um único ISE quando seu cenário exigir a limitação do número de endereços IP que precisam de acesso. Considere se os custos adicionais para o firewall ou solução de virtualização de rede fazem sentido para o seu cenário. Saiba mais sobre os preços do Firewall do Azure.

Pré-requisitos

• Um firewall do Azure que é executado na mesma rede virtual que o ISE. Se você não tiver um firewall, você deve primeiro adicionar uma sub-rede denominada AzureFirewallSubnet à sua rede virtual. Em seguida, você pode criar e implantar um firewall em sua rede virtual.

• Uma tabela de rotas do Azure. Se não tiver uma, você deve primeiro criar uma tabela de rotas. Para saber mais sobre roteamento, consulte Roteamento de tráfego de rede virtual.

Configurar tabela de rotas

1. No portal do Azure, selecione a tabela de rotas, por exemplo:

   

2. Para adicionar uma nova rota, no menu tabela de rotas, selecione Rotas>Adicionar.

   

3. No painel Adicionar rota, configure a nova rota com uma regra que especifica que todo o tráfego de saída para o sistema de destino segue esse comportamento:

   • Usa a Solução de virtualização como o tipo do próximo salto.

   • Vai para o endereço IP privado da instância de firewall como o endereço do próximo salto.

     Para localizar esse endereço IP, no menu do firewall, selecione Visão geral, localize o endereço em Endereço IP privado, por exemplo:

     

   Veja um exemplo que mostra como pode ser essa regra:

   

   Propriedade	Valor	Descrição
   Nome da rota	<unique-route-name>	Um nome exclusivo para a rota na tabela de rotas
   Prefixo de endereço	<destination-address>	O prefixo de endereço do sistema de destino para onde você deseja que vá o tráfego de saída. Certifique-se de usar notação de Roteamento entre Domínios sem Classificação (CIDR) para esse endereço. Neste exemplo, esse prefixo de endereço é para um servidor SFTP, que é descrito na seção Configurar a regra de rede.
   Tipo do próximo salto	Solução de virtualização	O tipo de salto usado pelo tráfego de saída
   Endereço do próximo salto	<firewall-private-IP-address>	O endereço IP privado para o seu firewall

Configurar regra de rede

1. No portal do Azure, encontre e selecione o seu firewall. No menu de firewall, em Configurações, selecione Regras. No painel de regras, selecione Coleção de regras de rede>Adicionar coleção de regras de rede.

   

2. Na coleção, adicione uma regra que permita o tráfego para o sistema de destino.

   Por exemplo, suponha que você tenha um aplicativo lógico executado em um ISE e que precise se comunicar com um servidor SFTP. Você cria uma coleção de regras de rede chamada LogicApp_ISE_SFTP_Outbound, que contém uma regra de rede chamada ISE_SFTP_Outbound. Essa regra permite o tráfego do endereço IP de qualquer sub-rede na qual o ISE é executado em sua rede virtual para o servidor de destino SFTP usando o endereço IP privado do firewall.

   

   Propriedades da coleção de regras de rede

   Propriedade	Valor	Descrição
   Nome	<network-rule-collection-name>	O nome da coleção de regras de rede
   Prioridade	<priority-level>	A ordem de prioridade a ser usada para executar a coleção de regras. Para obter mais informações, consulte Quais são alguns dos conceitos do Firewall do Azure?
   Ação	Permitir	O tipo de ação a ser executado para esta regra

   Propriedades da regra de rede

   Propriedade	Valor	Descrição
   Nome	<network-rule-name>	O nome da regra de rede
   Protocolo	<connection-protocols>	Os protocolos de conexão a serem usados. Por exemplo, se você estiver usando regras NSG, selecione TCP e UDP, não apenas TCP.
   Endereços de origem	<ISE-subnet-addresses>	Os endereços IP de sub-rede onde o ISE é executado e onde o tráfego do seu aplicativo lógico é originado
   Endereços de destino	<destination-IP-address>	O endereço IP do sistema de destino para onde você deseja que vá o tráfego de saída. Neste exemplo, esse endereço IP é para o servidor SFTP.
   Portas de destino	<destination-ports>	Todas as portas que o sistema de destino usa para comunicação de entrada

   Para saber mais sobre as regras de rede, consulte estes artigos:

   • Configurar uma regra de rede
   • Lógica de processamento de regra do Firewall do Azure
   • Perguntas frequentes sobre o Firewall do Azure
   • Azure PowerShell: New-AzFirewallNetworkRule
   • CLI do Azure: az network firewall network-rule

Próximas etapas

• Conectar-se a redes virtuais do Azure a partir do serviço Aplicativos Lógicos do Azure