Gerencie o ambiente do serviço de integração (ISE) nos Aplicativos Lógicos do Azure
Importante
Em 31 de agosto de 2024, o recurso do ISE será desativado devido à sua dependência do Serviços de Nuvem do Azure (clássico), que também será desativado. Antes da data de desativação, exporte todos os aplicativos lógicos do ISE para aplicativos lógicos Standard para evitar a interrupção do serviço. Os fluxos de trabalho de aplicativos lógicos Standard executam em Aplicativos Lógicos do Azure de locatário único e fornecem os mesmos recursos, e muito mais.
Desde 1º de novembro de 2022, não é mais possível criar recursos do ISE. No entanto, os recursos do ISE existentes antes dessa data terão suporte até 31 de agosto de 2024. Para saber mais, consulte os recursos a seguir:
- Desativação do ISE – O que você precisa saber
- Ambiente de locatário único versus multilocatário e o ambiente de serviço de integração para os Aplicativos Lógicos do Azure
- Preço de Aplicativos Lógicos do Azure
- Exportar os fluxos de trabalho do ISE para um aplicativo lógico Standard
- O Ambiente de Serviço de Integração será desativado em 31 de agosto de 2024 – transição para o Aplicativos Lógicos Standard
- O modelo de implantação de Serviços de Nuvem (clássico) será desativado em 31 de agosto de 2024
Este artigo mostra como executar tarefas de gerenciamento para o ISE (ambiente do serviço de integração), por exemplo:
Localize e exiba seu ISE.
Habilitar o acesso para seu ISE.
Verificar a integridade da rede do ISE.
Gerenciar recursos, como aplicativos lógicos baseados em multilocatários, conexões, contas de integração e conectores no ISE.
Adicionar capacidade, reiniciar o ISE ou excluir o ISE, seguindo as etapas neste tópico. Para adicionar esses artefatos ao ISE, confira Adicionar artefatos ao ISE.
Exibir seu ISE
Na caixa de pesquisa portal do Azure, digite ambientes de serviço de integração e selecione Ambientes de Serviço de Integração.
Na lista de resultados, selecione o ISE.
Prossiga para as próximas seções para localizar aplicativos lógicos, conexões, conectores ou contas de integração no ISE.
Habilitar o acesso para seu ISE
Quando você usa um ISE com uma rede virtual do Azure, um problema comum de configuração é ter uma ou mais portas bloqueadas. Os conectores que você usa para criar conexões entre seu ISE e os sistemas de destino também poderão ter requisitos de porta próprios. Quando você se comunica com um sistema FTP usando o conector FTP, a porta usada nesse sistema FTP precisa estar disponível, por exemplo, a porta 21 para enviar comandos.
Para garantir que o ISE esteja acessível e que os aplicativos lógicos nesse ISE possam se comunicar em cada sub-rede em sua rede virtual, abra as portas descritas nesta tabela em cada sub-rede. Se alguma porta necessária estiver indisponível, o ISE não funcionará corretamente.
Se você tiver várias instâncias do ISE que precisam de acesso a outros pontos de extremidade com restrições de IP, implante um Firewall do Azure ou uma solução de virtualização de rede em sua rede virtual e roteie o tráfego de saída por meio do firewall ou da solução de virtualização de rede. Você pode configurar um endereço IP único, de saída, público, estático e previsível que todas as instâncias do ISE em sua rede virtual possam usar para se comunicar com os sistemas de destino. Dessa forma, você não precisa configurar aberturas adicionais do firewall nesses sistemas de destino para cada ISE.
Observação
Você poderá usar essa abordagem para um único ISE quando seu cenário exigir a limitação do número de endereços IP que precisam de acesso. Considere se os custos adicionais para o firewall ou solução de virtualização de rede fazem sentido para o seu cenário. Saiba mais sobre os preços do Firewall do Azure.
Se você tiver criado uma rede virtual do Azure e sub-redes sem nenhuma restrição, não precisará configurar NSGs (grupos de segurança de rede) em sua rede virtual para controlar o tráfego entre sub-redes.
Para uma rede virtual existente, você tem a opção de configurar NSGs (grupos de segurança de rede) para filtrar o tráfego de rede entre sub-redes. Se você quiser seguir essa rota ou se já estiver usando NSGs, abra as portas descritas nesta tabela para esses NSGs.
Ao configurar regras de segurança de NSG, você precisará usar ambos os protocolos TCP e UDP ou poderá selecionar Qualquer um em vez disso, para não precisar criar regras separadas para cada protocolo. As regras de segurança de NSG descrevem as portas que você deve abrir para os endereços IP que precisam de acesso a essas portas. Todos os firewalls, roteadores ou outros itens existentes entre esses pontos de extremidade também devem manter essas portas acessíveis a esses endereços IP.
Para um ISE que tem acesso ao ponto de extremidade externo, você deverá criar um NSG (grupo de segurança de rede), caso ainda não tenha um. Você precisa adicionar uma regra de segurança de entrada ao NSG para permitir o tráfego de endereços IP de saída do conector gerenciado. Para configurar essa regra, siga estas etapas:
No menu ISE, em Configurações, escolha Propriedades.
Em Endereços IP de saída do conector, copie os intervalos de endereços IP públicos, que também aparecem neste artigo, Limites e configuração - Endereços IP de saída.
Crie um grupo de segurança de rede, se você ainda não tiver um.
Com base nas informações a seguir, adicione uma regra de segurança de entrada para os endereços IP de saída públicos que você copiou. Para obter mais informações, confira Tutorial: filtrar o tráfego de rede com um grupo de segurança de rede usando o portal do Azure.
Finalidade Endereços IP ou marca de serviço de origem Portas de origem Endereços IP ou marca de serviço de destino Portas de destino Observações Permitir o tráfego de endereços IP de saída do conector <Endereços-IP-saída-públicos-conector> * Espaço de endereço da rede virtual com sub-redes do ISE *
Se você configurar o túnel forçado por meio do firewall para redirecionar o tráfego de entrada na Internet, examine os requisitos de túnel forçado.
Portas de rede usadas pelo ISE
Esta tabela descreve as portas que o ISE exige que estejam acessíveis e a finalidade dessas portas. Para ajudar a reduzir a complexidade quando você configura regras de segurança, a tabela usa marcas de serviço que representam grupos de prefixos de endereço IP para um serviço específico do Azure. Onde indicado, o ISE interno e o ISE externo referem-se ao ponto de extremidade de acesso selecionado durante a criação do ISE. Para obter mais informações, confira Acesso ao ponto de extremidade.
Importante
Para todas as regras, defina as portas de origem como * porque elas são efêmeras.
Regras de segurança de entrada
| Portas de origem | Portas de destino | Endereços IP ou marca de serviço de origem | Endereços IP ou marca de serviço de destino | Finalidade | Observações |
|---|---|---|---|---|---|
| * | * | Espaço de endereço da rede virtual com sub-redes do ISE | Espaço de endereço da rede virtual com sub-redes do ISE | Comunicação entre sub-redes na rede virtual. | Necessário para que o tráfego flua entre as sub-redes de sua rede virtual. Importante: Para que o tráfego flua entre os componentes em cada sub-rede, abra todas as portas em cada sub-rede. |
| * | 443 | ISE interno: VirtualNetwork ISE externo: Internet ou confira as Notas |
VirtualNetwork | – Comunicação com o aplicativo lógico – Histórico de execuções para o seu aplicativo lógico |
Em vez de usar a marca de serviço de Internet, você pode especificar o endereço IP de origem para estes itens: – O computador ou serviço que chama os gatilhos de solicitação ou webhooks em seu aplicativo lógico – O computador ou serviço do qual você deseja acessar o histórico de execuções do aplicativo lógico Importante: Fechar ou bloquear essa porta impede chamadas para aplicativos lógicos que têm gatilhos de solicitação ou webhooks. Você também é impedido de acessar entradas e saídas para cada etapa no histórico de execuções. No entanto, você não é impedido de acessar o histórico de execuções do aplicativo lógico. |
| * | 454 | LogicAppsManagement | VirtualNetwork | Designer de Aplicativos Lógicos do Azure – Propriedades dinâmicas | As solicitações são provenientes dos endereços IP de entrada do ponto de extremidade de acesso dos Aplicativos Lógicos do Azure para essa região. Importante: se você estiver trabalhando com a nuvem do Azure governamental, a marca de serviço LogicAppsManagement não funcionará. Em vez disso, você precisa fornecer os endereços IP de entrada dos Aplicativos Lógicos do Azure para o Azure Government. |
| * | 454 | LogicApps | VirtualNetwork | Verificação da integridade da rede | As solicitações são provenientes dos endereços IP de entrada e dos endereços IP de saída do ponto de extremidade de acesso dos Aplicativos Lógicos do Azure para essa região. Importante: se você estiver trabalhando com a nuvem do Azure governamental, a marca de serviço LogicApps não funcionará. Em vez disso, você precisa fornecer os endereços IP de entrada dos Aplicativos Lógicos do Azure e os endereços IP de saída para o Azure Government. |
| * | 454 | AzureConnectors | VirtualNetwork | Implantação do conector | Necessário para implantar e atualizar conectores. Fechar ou bloquear essa porta causa falha nas implantações do ISE e impedem atualizações e correções do conector. Importante: se você estiver trabalhando com a nuvem do Azure governamental, a marca de serviço AzureConnectors não funcionará. Em vez disso, você precisa fornecer os endereços IP de saída do conector gerenciado para o Azure governamental. |
| * | 454, 455 | AppServiceManagement | VirtualNetwork | Dependência de Gerenciamento de Serviço de Aplicativo | |
| * | ISE interno: 454 ISE externo: 443 |
AzureTrafficManager | VirtualNetwork | Comunicação do Gerenciador de Tráfego do Azure | |
| * | 3443 | APIManagement | VirtualNetwork | Implantação de política do conector Gerenciamento de API - ponto de extremidade de gerenciamento |
Na implantação da política de conector, o acesso à porta é necessário para implantar e atualizar conectores. Fechar ou bloquear essa porta causa falha nas implantações do ISE e impedem atualizações e correções do conector. |
| * | 6379 – 6383, confira também Notas | VirtualNetwork | VirtualNetwork | Acessar Instâncias do Cache do Azure para Redis entre Instâncias de Função | Para que o ISE funcione com o Cache do Azure para Redis, você deverá abrir essas portas de entrada e saída descritas pelas perguntas frequentes do Cache do Azure para o Redis. |
Regras de segurança de saída
| Portas de origem | Portas de destino | Endereços IP ou marca de serviço de origem | Endereços IP ou marca de serviço de destino | Finalidade | Observações |
|---|---|---|---|---|---|
| * | * | Espaço de endereço da rede virtual com sub-redes do ISE | Espaço de endereço da rede virtual com sub-redes do ISE | Comunicação entre sub-redes na rede virtual | Necessário para que o tráfego flua entre as sub-redes de sua rede virtual. Importante: Para que o tráfego flua entre os componentes em cada sub-rede, abra todas as portas em cada sub-rede. |
| * | 443, 80 | VirtualNetwork | Internet | Comunicação a partir do aplicativo lógico | Essa regra é necessária para a verificação de certificado SSL (Secure Socket Layer). Essa verificação é para vários sites internos e externos, que é o motivo pelo qual a Internet é necessária como destino. |
| * | Varia com base no destino | VirtualNetwork | Varia com base no destino | Comunicação a partir do aplicativo lógico | Os portos de destino variam de acordo com os pontos de extremidade dos serviços externos com os quais seu aplicativo lógico precisa se comunicar. Por exemplo, a porta de destino é 25 para um serviço SMTP, a porta 22 para um serviço SFTP, e assim por diante. |
| * | 80, 443 | VirtualNetwork | AzureActiveDirectory | ID do Microsoft Entra | |
| * | 80, 443, 445 | VirtualNetwork | Storage | Dependência de Armazenamento do Azure | |
| * | 443 | VirtualNetwork | AppService | Gerenciamento de Conexão | |
| * | 443 | VirtualNetwork | AzureMonitor | Publicar métricas e logs de diagnóstico | |
| * | 1433 | VirtualNetwork | SQL | Dependência SQL Azure | |
| * | 1886 | VirtualNetwork | AzureMonitor | Azure Resource Health | Necessário para publicar o status da integridade no Resource Health. |
| * | 5672 | VirtualNetwork | EventHub | Dependência do Log para agente de monitoramento e política de Hubs de Eventos | |
| * | 6379 – 6383, confira também Notas | VirtualNetwork | VirtualNetwork | Acessar Instâncias do Cache do Azure para Redis entre Instâncias de Função | Para que o ISE funcione com o Cache do Azure para Redis, você deverá abrir estas portas de entrada e saída descritas pelas perguntas frequentes do Cache do Azure para o Redis. |
| * | 53 | VirtualNetwork | Endereços IP para servidores de DNS (sistema de nomes de domínio) personalizados em sua rede virtual | Resolução de nomes DNS | Necessário somente quando você usa servidores DNS personalizados em sua rede virtual |
Além disso, você precisa adicionar regras de saída para Ambiente do Serviço de Aplicativo (ASE):
Se você usar o Firewall do Azure, precisará configurar o firewall com a marca de FQDN (nome de domínio totalmente qualificado) do Ambiente do Serviço de Aplicativo (ASE), que permite o acesso de saída ao tráfego da plataforma ASE.
Se você usar um dispositivo de firewall diferente do firewall do Azure, precisará configurar o firewall com todas as regras listadas nas dependências de integração do firewall necessárias para Ambiente do Serviço de Aplicativo.
Requisitos de túnel forçado
Se você configurar ou usar o túnel forçado por meio do firewall, precisará permitir dependências externas adicionais para o ISE. O túnel forçado permite redirecionar o tráfego de entrada pela Internet para um próximo salto designado, como sua VPN (rede virtual privada) ou para um dispositivo virtual, em vez de para a Internet para que você possa inspecionar e auditar o tráfego de rede de saída.
Se você não permitir o acesso a essas dependências, a implantação do ISE falhará e o ISE implantado deixará de funcionar.
Rotas definidas pelo usuário
Para evitar o roteamento assimétrico, você deve definir uma rota para cada endereço IP listado abaixo com a Internet como o próximo salto.
- Endereços de entrada e saída dos Aplicativos Lógicos do Azure para a região do ISE
- Endereços IP do Azure para conectores na região do ISE, disponíveis neste arquivo de download
- Endereços de gerenciamento de Ambiente de Serviço de Aplicativo
- Endereços de gerenciamento do Gerenciador de tráfego do Azure
- Endereços IP do painel de controle de Gerenciamento de API do Azure
Pontos de extremidade de serviço
Você precisa habilitar pontos de extremidade de serviço para SQL do Azure, armazenamento, barramento de serviço, keyvault e hubs de eventos, pois não é possível enviar tráfego por meio de um firewall para esses serviços.
Outras dependências de entrada e de saída
O firewall deve permitir as seguintes dependências de entrada e saída:
Verificar a integridade da rede
No menu ISE, em Configurações, selecione Integridade da rede. Esse painel mostra o status de integridade para suas sub-redes e dependências de saída em outros serviços.
Cuidado
Se a rede do ISE se tornar não íntegra, o ASE (Ambiente do Serviço de Aplicativo) interno que é usado pelo ISE também pode se tornar não íntegro. Se o ASE não estiver íntegro por mais de sete dias, o ASE será suspenso. Para resolver esse estado, verifique sua configuração de rede virtual. Resolva os problemas encontrados e reinicie o ISE. Caso contrário, após 90 dias, o ASE suspenso será excluído e o ISE se tornará inutilizável. Portanto, mantenha seu ISE íntegro para permitir o tráfego necessário.
Para saber mais, consulte esses tópicos:
Gerenciar seus aplicativos lógicos
Você pode exibir e gerenciar os aplicativos lógicos que estão no ISE.
No menu do ISE, em Configurações, selecione Aplicativos lógicos.
Para remover os aplicativos lógicos que você não precisa mais no ISE, selecione esses aplicativos lógicos e, em seguida, Excluir. Selecione Sim para confirmar que você deseja excluir o aplicativo.
Observação
Ao excluir e recriar um aplicativo lógico filho, deverá salvar novamente o aplicativo lógico pai. O aplicativo filho recriado terá metadados diferentes. Se você não salvar novamente o aplicativo lógico pai depois de recriar o filho, suas chamadas para o aplicativo lógico filho falharão com um erro “não autorizado”. Esse comportamento se aplica a aplicativos lógicos pai-filho, por exemplo, aqueles que usam artefatos em contas de integração ou chamam funções do Azure.
Gerenciar conexões de API
Você pode exibir e gerenciar as conexões que foram criadas pelos aplicativos lógicos em execução no ISE.
No menu do ISE, em Configurações, selecione Conexões de API.
Para remover as conexões que você não precisa mais no ISE, selecione essas conexões e, em seguida, Excluir. Selecione Sim para confirmar que você deseja excluir o aplicativo.
Gerenciar os conectores do ISE
Você pode exibir e gerenciar os conectores de API que são implantados no ISE.
No menu do ISE, em Configurações, selecione Conectores gerenciados.
Para remover os conectores que você não deseja disponibilizar no ISE, selecione-os e, em seguida, selecione Excluir. Selecione Sim para confirmar que você deseja excluir o aplicativo.
Gerenciar conectores personalizados
Você pode exibir e gerenciar os conectores personalizados que você implantou no ISE.
No menu ISE, em Configurações, selecione Conectores personalizados.
Para remover os conectores personalizados que você não precisa mais no ISE, selecione-os e, em seguida, Excluir. Selecione Sim para confirmar que você deseja excluir o aplicativo.
Gerenciar contas de integração
No menu ISE, em Configurações, selecione Contas de integração.
Para remover contas de integração do ISE quando não forem mais necessárias, selecione-as e depois selecione Excluir.
Exportar conta de integração (versão prévia)
Para uma conta de integração Standard criada dentro de um ISE, você pode exportar essa conta de integração para uma conta de integração Premium existente. O processo de exportação tem duas etapas: exportar os artefatos e exportar os estados do contrato. Os artefatos incluem parceiros, contratos, certificados, esquemas e mapas. No entanto, o processo de exportação atualmente não dá suporte a assemblies e PIPs do RosettaNet.
Sua conta de integração também armazena os estados de runtime para ações B2B específicas e padrões EDI, como o número do MIC para ações AS2 e os números de controle para ações X12. Se você configurou seus contratos para atualizar esses estados sempre que uma transação for processada e usar esses estados para reconciliação de mensagens e detecção de duplicidades, certifique-se de também exportar esses estados. Você pode exportar todos os estados do contrato ou um estado de contrato por vez.
Importante
Certifique-se de escolher uma janela de tempo quando sua conta de integração de origem não tiver nenhuma atividade em seus contratos para evitar inconsistências de estado.
Pré-requisitos
Se você ainda não tem uma conta de integração Premium, crie uma conta de integração Premium.
Exportar artefatos
Esse processo copia artefatos da origem para o destino.
No portal do Azure, abra sua conta de integração Standard.
No menu da conta de integração, em Configurações, selecione Exportar.
Observação
Se a opção Exportar não aparecer, verifique se você selecionou uma conta de integração Standard que foi criada dentro de um ISE.
Na barra de ferramentas da página Exportar, selecione Exportar Artefatos.
Abra a lista Conta de integração de destino, que contém todas as contas Premium em sua assinatura do Azure, selecione a conta de integração Premium desejada e selecione OK.
A página Exportar agora mostra o status de exportação de seus artefatos.
Para confirmar os artefatos exportados, abra sua conta de integração Premium de destino.
Exportar estado do contrato (opcional)
Na barra de ferramentas da página Exportar, selecione Exportar Estado do Contrato.
No painel Exportar Estado do Contrato, abra a lista Conta de integração de destino e selecione a conta de integração Premium desejada.
Para exportar todos os estados de contrato, não selecione nenhum contrato na lista Contrato. Para exportar um estado do contrato individual, selecione um contrato na lista Contrato.
Após terminar, selecione OK.
A página Exportar agora mostra o status de exportação dos estados do contrato.
Adicionar capacidade de ISE
A unidade base do ISE Premium tem capacidade fixa, portanto, se você precisar de mais taxa de transferência, poderá adicionar mais unidades de escala, seja durante a criação ou depois. A SKU (Unidade de Manutenção de Estoque) do Desenvolvedor não inclui a capacidade de adicionar unidades de escala.
Importante
A expansão de um ISE pode levar de 20 a 30 minutos em média.
No portal do Azure, acesse o ISE.
Para examinar o uso e as métricas de desempenho do ISE, no menu do ISE, selecione Visão geral.
Em Configurações, selecione Escalar horizontalmente. No painel Configurar, selecione uma destas opções:
- Escala manual: escala com base no número de unidades de processamento que você deseja usar.
- Dimensionamento automático personalizado: escala com base nas métricas de desempenho por meio da seleção de vários critérios e especificação das condições de limite para atender aos critérios.
Dimensionamento manual
Depois de selecionar a Escala manual, para Capacidade adicional, selecione o número de unidades de escala que você deseja usar.
Quando terminar, selecione Salvar.
Dimensionamento automático personalizado
Depois de selecionar o Dimensionamento automático personalizado, para o Nome da configuração de dimensionamento automático, forneça um nome para sua configuração e, opcionalmente, selecione o grupo de recursos do Azure ao qual essa configuração pertence.
Para a condição Padrão, selecione Escalar com base em uma métrica ou Escalar com base em uma contagem de instâncias específica.
Se você escolher baseado em instância, insira o número para as unidades de processamento, que é um valor de 0 a 10.
Se você escolher baseado em métrica, siga estas etapas:
Na seção Regras, selecione Adicionar uma regra.
No painel Regra de dimensionamento, configure os critérios e a ação a ser tomada quando a regra for disparada.
Para Limites de instância, especifique estes valores:
- Mínimo: o número mínimo de unidades de processamento a serem usadas
- Máximo: o número máximo de unidades de processamento a serem usadas
- Padrão: se algum problema ocorrer durante a leitura das métricas de recurso e a capacidade atual estiver abaixo da capacidade padrão, o dimensionamento automático escalará horizontalmente para o número padrão de unidades de processamento. No entanto, se a capacidade atual exceder a capacidade padrão, o dimensionamento automático não será reduzido horizontalmente.
Para adicionar outra condição, selecione Adicionar condição de escala.
Quando tiver concluído as configurações de dimensionamento automático, salve as alterações.
Reiniciar o ISE
Se você alterar o servidor DNS ou as configurações desse servidor, terá que reiniciar o ISE para que ele possa utilizar essas alterações. Reiniciar um ISE do SKU Premium não resulta em tempo de inatividade devido à redundância e aos componentes que reiniciam um de cada vez durante a reciclagem. No entanto, um ISE de SKU de Desenvolvedor experimenta tempo de inatividade porque não existe nenhuma redundância. Para saber mais, confira SKUs do ISE.
No portal do Azure, acesse o ISE.
No menu do ISE, selecione Visão geral. Na barra de ferramentas Visão Geral, Reiniciar.
Excluir o ISE
Antes de excluir um ISE que não é mais necessário ou um grupo de recursos do Azure que contém um ISE, verifique se você não tem políticas ou bloqueios no grupo de recursos do Azure que contém esses recursos ou em sua rede virtual do Azure porque esses itens podem bloquear a exclusão.
Depois de excluir o ISE, talvez seja preciso aguardar até nove horas para excluir sua rede virtual ou sub-redes do Azure.