Hantera din Integration Service Environment (ISE) i Azure Logic Apps
Viktigt!
Den 31 augusti 2024 dras ISE-resursen tillbaka på grund av dess beroende av Azure Cloud Services (klassisk) som dras tillbaka samtidigt. Före slutdatumet exporterar du alla logikappar från din ISE till standardlogikappar så att du kan undvika avbrott i tjänsten. Standardarbetsflöden för logikappar körs i Azure Logic Apps med en enda klientorganisation och ger samma funktioner plus mer.
Från och med den 1 november 2022 kan du inte längre skapa nya ISE-resurser. Ise-resurser som finns före detta datum stöds dock till och med 31 augusti 2024. Mer information finns i följande resurser:
- ISE Pension - vad du behöver veta
- Miljö för en klientorganisation jämfört med flera klienter och integreringstjänst för Azure Logic Apps
- Prissättning för Azure Logic Apps
- Exportera ISE-arbetsflöden till en standardlogikapp
- Integration Services Environment dras tillbaka den 31 augusti 2024 – övergång till Logic Apps Standard
- Distributionsmodellen för Cloud Services (klassisk) upphör den 31 augusti 2024
Den här artikeln visar hur du utför hanteringsuppgifter för din integrationstjänstmiljö (ISE), till exempel:
Hitta och visa din ISE.
Aktivera åtkomst för din ISE.
Kontrollera DIN ISE:s nätverkshälsa.
Hantera resurser som multitenantbaserade logikappar, anslutningar, integrationskonton och anslutningsappar i din ISE.
Lägg till kapacitet, starta om din ISE eller ta bort din ISE, följ stegen i det här avsnittet. Information om hur du lägger till dessa artefakter i ISE finns i Lägga till artefakter i din integrationstjänstmiljö.
Visa din ISE
I sökrutan i Azure-portalen anger du integrationstjänstmiljöer och väljer Integration Service Environments (Integration Service Environments).
I resultatlistan väljer du din integrationstjänstmiljö.
Fortsätt till nästa avsnitt för att hitta logikappar, anslutningar, anslutningsappar eller integrationskonton i din ISE.
Aktivera åtkomst för din ISE
När du använder en ISE med ett virtuellt Azure-nätverk är ett vanligt konfigurationsproblem att ha en eller flera blockerade portar. De anslutningsappar som du använder för att skapa anslutningar mellan ise- och målsystemen kan också ha egna portkrav. Om du till exempel kommunicerar med ett FTP-system med hjälp av FTP-anslutningsappen måste porten som du använder i FTP-systemet vara tillgänglig, till exempel port 21 för att skicka kommandon.
Öppna de portar som beskrivs i den här tabellen för varje undernät för att se till att din ISE är tillgänglig och att logikapparna i ise kan kommunicera över varje undernät i det virtuella nätverket. Om nödvändiga portar inte är tillgängliga fungerar inte DIN ISE korrekt.
Om du har flera ISE-instanser som behöver åtkomst till andra slutpunkter som har IP-begränsningar, distribuerar du en virtuell Azure-brandvägg eller en virtuell nätverksinstallation till ditt virtuella nätverk och dirigerar utgående trafik genom den virtuella brandväggen eller den virtuella nätverksinstallationen. Du kan sedan konfigurera en enda, utgående, offentlig, statisk och förutsägbar IP-adress som alla ISE-instanser i ditt virtuella nätverk kan använda för att kommunicera med målsystem. På så sätt behöver du inte konfigurera extra brandväggsöppningar på dessa målsystem för varje ISE.
Kommentar
Du kan använda den här metoden för en enskild ISE när ditt scenario kräver en begränsning av antalet IP-adresser som behöver åtkomst. Fundera på om de extra kostnaderna för brandväggen eller den virtuella nätverksinstallationen är meningsfulla för ditt scenario. Läs mer om priser för Azure Firewall.
Om du har skapat ett nytt virtuellt Azure-nätverk och undernät utan några begränsningar behöver du inte konfigurera nätverkssäkerhetsgrupper (NSG:er) i det virtuella nätverket för att styra trafiken mellan undernät.
För ett befintligt virtuellt nätverk kan du också konfigurera nätverkssäkerhetsgrupper (NSG:er) för att filtrera nätverkstrafik mellan undernät. Om du vill gå den här vägen, eller om du redan använder NSG:er, måste du öppna portarna som beskrivs i den här tabellen för dessa NSG:er.
När du konfigurerar NSG-säkerhetsregler måste du använda både TCP- och UDP-protokollen, eller så kan du välja Alla i stället så att du inte behöver skapa separata regler för varje protokoll. NSG-säkerhetsregler beskriver de portar som du måste öppna för de IP-adresser som behöver åtkomst till dessa portar. Kontrollera att alla brandväggar, routrar eller andra objekt som finns mellan dessa slutpunkter också håller dessa portar tillgängliga för dessa IP-adresser.
För en ISE som har extern slutpunktsåtkomst måste du skapa en nätverkssäkerhetsgrupp (NSG) om du inte redan har en. Du måste lägga till en regel för inkommande säkerhet i NSG för att tillåta trafik från utgående IP-adresser för hanterade anslutningsappar. Följ dessa steg för att konfigurera den här regeln:
Välj Egenskaper under Inställningar på ISE-menyn.
Under Anslut eller utgående IP-adresser kopierar du de offentliga IP-adressintervallen, som också visas i den här artikeln Gränser och konfiguration – Utgående IP-adresser.
Skapa en nätverkssäkerhetsgrupp om du inte redan har en.
Baserat på följande information lägger du till en inkommande säkerhetsregel för de offentliga utgående IP-adresser som du kopierade. Mer information finns i Självstudie: Filtrera nätverkstrafik med en nätverkssäkerhetsgrupp med hjälp av Azure-portalen.
Syfte Källtjänsttagg eller IP-adresser Källportar Måltjänsttagg eller IP-adresser Målportar Kommentar Tillåt trafik från utgående IP-adresser för anslutningsappen <connector-public-outbound-IP-addresses> * Adressutrymme för det virtuella nätverket med ISE-undernät *
Om du konfigurerar tvingad tunneltrafik genom brandväggen för att omdirigera Internetbunden trafik granskar du kraven för tvingad tunneltrafik.
Nätverksportar som används av din ISE
Den här tabellen beskriver de portar som din ISE kräver för att vara tillgänglig och syftet med dessa portar. För att minska komplexiteten när du konfigurerar säkerhetsregler använder tabellen tjänsttaggar som representerar grupper av IP-adressprefix för en specifik Azure-tjänst. Om detta anges refererar intern ISE och extern ISE till den åtkomstslutpunkt som väljs när ISE skapas. Mer information finns i Åtkomst till slutpunkter.
Viktigt!
För alla regler kontrollerar du att du anger källportar till *
eftersom källportarna är tillfälliga.
Säkerhetsregler för inkommande trafik
Källportar | Målportar | Källtjänsttagg eller IP-adresser | Måltjänsttagg eller IP-adresser | Purpose | Kommentar |
---|---|---|---|---|---|
* | * | Adressutrymme för det virtuella nätverket med ISE-undernät | Adressutrymme för det virtuella nätverket med ISE-undernät | Intersubnet-kommunikation i det virtuella nätverket. | Krävs för att trafik ska flöda mellan undernäten i ditt virtuella nätverk. Viktigt: Se till att du öppnar alla portar i varje undernät för att trafik ska flöda mellan komponenterna i varje undernät. |
* | 443 | Intern ISE: VirtualNetwork Extern ISE: Internet eller se Anteckningar |
VirtualNetwork | – Kommunikation till logikappen – Kör historik för logikappen |
I stället för att använda internettjänsttaggen kan du ange käll-IP-adressen för följande objekt: – Den dator eller tjänst som anropar alla begärandeutlösare eller webhooks i logikappen – Datorn eller tjänsten där du vill komma åt logikappens körningshistorik Viktigt: Om du stänger eller blockerar den här porten förhindras anrop till logikappar som har begärandeutlösare eller webhooks. Du hindras också från att komma åt indata och utdata för varje steg i körningshistoriken. Du hindras dock inte från att komma åt logikappens körningshistorik. |
* | 454 | LogicAppsManagement | VirtualNetwork | Azure Logic Apps-designer – dynamiska egenskaper | Begäranden kommer från Azure Logic Apps-åtkomstslutpunktens inkommande IP-adresser för den regionen. Viktigt: Om du arbetar med Azure Government-molnet fungerar inte LogicAppsManagement-tjänsttaggen . I stället måste du ange inkommande IP-adresser för Azure Logic Apps för Azure Government. |
* | 454 | LogicApps | VirtualNetwork | Hälsokontroll för nätverk | Begäranden kommer från Azure Logic Apps-åtkomstslutpunktens inkommande IP-adresser och utgående IP-adresser för den regionen. Viktigt: Om du arbetar med Azure Government-molnet fungerar inte LogicApps-tjänsttaggen . I stället måste du ange både inkommande IP-adresser för Azure Logic Apps och utgående IP-adresser för Azure Government. |
* | 454 | Azure Anslut orer | VirtualNetwork | Anslut eller distribution | Krävs för att distribuera och uppdatera anslutningsappar. Att stänga eller blockera den här porten gör att ISE-distributioner misslyckas och förhindrar uppdateringar och korrigeringar av anslutningsprogram. Viktigt: Om du arbetar med Azure Government-molnet fungerar inte azure Anslut ors-tjänsttaggen. I stället måste du ange utgående IP-adresser för den hanterade anslutningsappen för Azure Government. |
* | 454, 455 | AppServiceManagement | VirtualNetwork | Beroende för App Service Management | |
* | Intern ISE: 454 Extern ISE: 443 |
AzureTrafficManager | VirtualNetwork | Kommunikation från Azure Traffic Manager | |
* | 3443 | APIManagement | VirtualNetwork | Anslut eller principdistribution API Management – hanteringsslutpunkt |
För distribution av anslutningsprinciper krävs portåtkomst för att distribuera och uppdatera anslutningsappar. Att stänga eller blockera den här porten gör att ISE-distributioner misslyckas och förhindrar uppdateringar och korrigeringar av anslutningsprogram. |
* | 6379 - 6383, plus se Anteckningar | VirtualNetwork | VirtualNetwork | Få åtkomst till Azure Cache for Redis-instanser mellan rollinstanser | För att ISE ska fungera med Azure Cache for Redis måste du öppna dessa utgående och inkommande portar som beskrivs i vanliga frågor och svar om Azure Cache for Redis. |
Utgående säkerhetsregler
Källportar | Målportar | Källtjänsttagg eller IP-adresser | Måltjänsttagg eller IP-adresser | Purpose | Kommentar |
---|---|---|---|---|---|
* | * | Adressutrymme för det virtuella nätverket med ISE-undernät | Adressutrymme för det virtuella nätverket med ISE-undernät | Kommunikation mellan undernät i det virtuella nätverket | Krävs för att trafik ska flöda mellan undernäten i ditt virtuella nätverk. Viktigt: Se till att du öppnar alla portar i varje undernät för att trafik ska flöda mellan komponenterna i varje undernät. |
* | 443, 80 | VirtualNetwork | Internet | Kommunikation från logikappen | Den här regeln krävs för verifiering av SSL-certifikat (Secure Socket Layer). Den här kontrollen gäller för olika interna och externa platser, vilket är anledningen till att Internet krävs som mål. |
* | Varierar beroende på mål | VirtualNetwork | Varierar beroende på mål | Kommunikation från logikappen | Målportarna varierar beroende på slutpunkterna för de externa tjänster som logikappen behöver kommunicera med. Målporten är till exempel port 25 för en SMTP-tjänst, port 22 för en SFTP-tjänst och så vidare. |
* | 80, 443 | VirtualNetwork | AzureActiveDirectory | Microsoft Entra-ID | |
* | 80, 443, 445 | VirtualNetwork | Lagring | Azure Storage-beroende | |
* | 443 | VirtualNetwork | AppService | hantering av Anslut ion | |
* | 443 | VirtualNetwork | AzureMonitor | Publicera diagnostikloggar och mått | |
* | 1433 | VirtualNetwork | SQL | Azure SQL-beroende | |
* | 1886 | VirtualNetwork | AzureMonitor | Azure Resource Health | Krävs för att publicera hälsostatus till Resource Health. |
* | 5672 | VirtualNetwork | EventHub | Beroende från logg till Event Hubs-princip och övervakningsagent | |
* | 6379 - 6383, plus se Anteckningar | VirtualNetwork | VirtualNetwork | Få åtkomst till Azure Cache for Redis-instanser mellan rollinstanser | För att ISE ska fungera med Azure Cache for Redis måste du öppna dessa utgående och inkommande portar som beskrivs i vanliga frågor och svar om Azure Cache for Redis. |
* | 53 | VirtualNetwork | IP-adresser för alla anpassade DNS-servrar (Domain Name System) i ditt virtuella nätverk | DNS-namnmatchning | Krävs endast när du använder anpassade DNS-servrar i ditt virtuella nätverk |
Dessutom måste du lägga till utgående regler för App Service-miljön (ASE):
Om du använder Azure Firewall måste du konfigurera brandväggen med taggen App Service-miljön (ASE) fullständigt kvalificerade domännamn (FQDN), vilket tillåter utgående åtkomst till ASE-plattformstrafik.
Om du använder en annan brandväggsinstallation än Azure Firewall måste du konfigurera brandväggen med alla regler som anges i de brandväggsintegreringsberoenden som krävs för App Service-miljön.
Krav för tvingad tunneltrafik
Om du konfigurerar eller använder tvingad tunneltrafik genom brandväggen måste du tillåta extra externa beroenden för din ISE. Med tvingad tunneltrafik kan du omdirigera Internetbunden trafik till ett angivet nästa hopp, till exempel ditt virtuella privata nätverk (VPN) eller till en virtuell installation, i stället för till Internet så att du kan inspektera och granska utgående nätverkstrafik.
Om du inte tillåter åtkomst för dessa beroenden misslyckas ISE-distributionen och din distribuerade ISE slutar fungera.
Användardefinierade vägar
För att förhindra asymmetrisk routning måste du definiera en väg för varje IP-adress som anges nedan med Internet som nästa hopp.
- Inkommande och utgående Azure Logic Apps-adresser för ISE-regionen
- Azure IP-adresser för anslutningsappar i ISE-regionen, som är tillgängliga i den här nedladdningsfilen
- App Service-miljön hanteringsadresser
- Hanteringsadresser för Azure Traffic Manager
- IP-adresser för Kontrollplan för Azure API Management
Tjänstslutpunkter
Du måste aktivera tjänstslutpunkter för Azure SQL, Storage, Service Bus, KeyVault och Event Hubs eftersom du inte kan skicka trafik via en brandvägg till dessa tjänster.
Andra inkommande och utgående beroenden
Brandväggen måste tillåta följande inkommande och utgående beroenden:
Kontrollera nätverkshälsa
Välj Nätverkshälsa under Inställningar på ISE-menyn. I det här fönstret visas hälsostatus för dina undernät och utgående beroenden för andra tjänster.
Varning
Om ise-nätverket blir felfritt kan även den interna App Service-miljön (ASE) som används av din ISE bli felaktig. Om ASE inte är felfri i mer än sju dagar pausas ASE. Lös det här tillståndet genom att kontrollera konfigurationen av det virtuella nätverket. Lös eventuella problem som du hittar och starta sedan om DIN ISE. I annat fall tas den inaktiverade ASE bort efter 90 dagar och din ISE blir oanvändbar. Så se till att du håller din ISE felfri för att tillåta nödvändig trafik.
Mer information finns i följande avsnitt:
Hantera dina logikappar
Du kan visa och hantera de logikappar som finns i din ISE.
Välj Logikappar under Inställningar på ISE-menyn.
Om du vill ta bort logikappar som du inte längre behöver i din ISE väljer du dessa logikappar och väljer sedan Ta bort. Bekräfta att du vill ta bort genom att välja Ja.
Kommentar
Om du tar bort och återskapar en underordnad logikapp måste du återskapa den överordnade logikappen. Den återskapade underordnade appen har olika metadata. Om du inte återskapar den överordnade logikappen när du har återskapat dess underordnade program misslyckas dina anrop till den underordnade logikappen med felet "obehörig". Det här beteendet gäller för överordnade och underordnade logikappar, till exempel de som använder artefakter i integrationskonton eller anropar Azure-funktioner.
Hantera API-anslutningar
Du kan visa och hantera de anslutningar som skapades av logikapparna som körs i din ISE.
Välj API-anslutningar under Inställningar på ISE-menyn.
Om du vill ta bort anslutningar som du inte längre behöver i din ISE väljer du dessa anslutningar och väljer sedan Ta bort. Bekräfta att du vill ta bort genom att välja Ja.
Hantera ISE-anslutningsappar
Du kan visa och hantera DE API-anslutningsappar som distribueras till din ISE.
På ISE-menyn går du till Inställningar och väljer Hanterade anslutningsappar.
Om du vill ta bort anslutningsappar som du inte vill ha tillgängliga i DIN ISE väljer du dessa anslutningsappar och väljer sedan Ta bort. Bekräfta att du vill ta bort genom att välja Ja.
Hantera anpassade anslutningsappar
Du kan visa och hantera de anpassade anslutningsappar som du har distribuerat till din ISE.
Välj Anpassade anslutningsappar under Inställningar på ISE-menyn.
Om du vill ta bort anpassade anslutningsappar som du inte längre behöver i din ISE väljer du dessa anslutningsappar och väljer sedan Ta bort. Bekräfta att du vill ta bort genom att välja Ja.
Hantera integrationskonton
Välj Integrationskonton under Inställningar på ISE-menyn.
Om du vill ta bort integrationskonton från din ISE när de inte längre behövs väljer du dessa integrationskonton och väljer sedan Ta bort.
Exportera integrationskonto (förhandsversion)
För ett standardintegreringskonto som skapats inifrån en ISE kan du exportera det integrationskontot till ett befintligt Premium-integrationskonto. Exportprocessen har två steg: exportera artefakterna och exportera sedan avtalstillstånden. Artefakter omfattar partner, avtal, certifikat, scheman och kartor. Exportprocessen stöder dock för närvarande inte sammansättningar och RosettaNet-PIP:er.
Ditt integrationskonto lagrar även körningstillstånden för specifika B2B-åtgärder och EDI-standarder, till exempel MIC-nummer för AS2-åtgärder och kontrollnummer för X12-åtgärder. Om du har konfigurerat dina avtal för att uppdatera dessa tillstånd varje gång en transaktion bearbetas och för att använda dessa tillstånd för meddelandeavstämning och dubblettidentifiering kontrollerar du att du även exporterar dessa tillstånd. Du kan exportera antingen alla avtalstillstånd eller ett avtalstillstånd i taget.
Viktigt!
Se till att välja ett tidsfönster när källintegreringskontot inte har någon aktivitet i dina avtal för att undvika tillståndsinkonsekvenser.
Förutsättningar
Om du inte har ett Premium-integrationskonto skapar du ett Premium-integrationskonto.
Exportera artefakter
Den här processen kopierar artefakter från källan till målet.
Öppna standardintegreringskontot i Azure-portalen.
På menyn integrationskonto går du till Inställningar och väljer Exportera.
Kommentar
Om alternativet Exportera inte visas kontrollerar du att du har valt ett standardintegreringskonto som skapades inifrån en ISE.
I verktygsfältet Exportera väljer du Exportera artefakter.
Öppna listan Målintegreringskonto, som innehåller alla Premium-konton i din Azure-prenumeration, välj det Premium-integrationskonto som du vill använda och välj sedan OK.
På sidan Exportera visas nu exportstatus för dina artefakter.
Om du vill bekräfta de exporterade artefakterna öppnar du ditt Premium-målintegreringskonto.
Exportavtalstillstånd (valfritt)
I verktygsfältet Exportera väljer du Exportera avtalstillstånd.
I fönstret Exportavtalstillstånd öppnar du listan Målintegreringskonto och väljer det Premium-integrationskonto som du vill använda.
Om du vill exportera alla avtalstillstånd väljer du inget avtal från listan Avtal . Om du vill exportera ett enskilt avtalstillstånd väljer du ett avtal i listan Avtal .
När du är klar väljer du OK.
På sidan Exportera visas nu exportstatus för dina avtalstillstånd.
Lägg till ISE-kapacitet
Premium ISE-basenheten har fast kapacitet, så om du behöver mer dataflöde kan du lägga till fler skalningsenheter, antingen när du skapar eller efteråt. Utvecklar-SKU:n innehåller inte möjligheten att lägga till skalningsenheter.
Viktigt!
Det kan ta i genomsnitt 20–30 minuter att skala ut en ISE.
I Azure-portalen går du till din ISE.
Om du vill granska användnings- och prestandamått för din ISE går du till ISE-menyn och väljer Översikt.
Under Inställningar väljer du Skala ut. I fönstret Konfigurera väljer du bland följande alternativ:
- Manuell skalning: Skala baserat på antalet bearbetningsenheter som du vill använda.
- Anpassad autoskalning: Skala baserat på prestandamått genom att välja bland olika kriterier och ange tröskelvärdena för att uppfylla kriterierna.
Manuell skala
När du har valt Manuell skalning väljer du det antal skalningsenheter som du vill använda för Ytterligare kapacitet.
När du är klar väljer du Spara.
Anpassad autoskalning
När du har valt Anpassad autoskalning anger du ett namn för inställningen för autoskalning och väljer den Azure-resursgrupp som inställningen tillhör.
För standardvillkoret väljer du antingen Skala baserat på ett mått eller Skala till ett specifikt instansantal.
Om du väljer instansbaserad anger du numret för bearbetningsenheterna, vilket är ett värde från 0 till 10.
Om du väljer måttbaserad följer du dessa steg:
I avsnittet Regler väljer du Lägg till en regel.
I fönstret Skalningsregel konfigurerar du dina kriterier och åtgärder som ska vidtas när regeln utlöses.
För Instansgränser anger du följande värden:
- Minimum: Det minsta antalet bearbetningsenheter som ska användas
- Max: Det maximala antalet bearbetningsenheter som ska användas
- Standard: Om några problem uppstår vid läsning av resursmåtten och den aktuella kapaciteten ligger under standardkapaciteten skalar automatisk skalning ut till standardantalet bearbetningsenheter. Men om den aktuella kapaciteten överskrider standardkapaciteten skalas inte autoskalning in.
Om du vill lägga till ett annat villkor väljer du Lägg till skalningsvillkor.
Spara ändringarna när du är klar med inställningarna för autoskalning.
Starta om ISE
Om du ändrar inställningarna för DNS-servern eller DNS-servern måste du starta om DIN ISE så att ISE kan hämta ändringarna. Att starta om en Premium SKU ISE resulterar inte i stilleståndstid på grund av redundans och komponenter som startar om en i taget under återvinningen. En developer SKU ISE upplever dock driftstopp eftersom det inte finns någon redundans. Mer information finns i ISE-SKU:er.
I Azure-portalen går du till din ISE.
På ISE-menyn väljer du Översikt. Starta om i verktygsfältet Översikt.
Ta bort ISE
Innan du tar bort en ISE som du inte längre behöver eller en Azure-resursgrupp som innehåller en ISE kontrollerar du att du inte har några principer eller lås på Azure-resursgruppen som innehåller dessa resurser eller i ditt virtuella Azure-nätverk eftersom dessa objekt kan blockera borttagningen.
När du har tagit bort din ISE kan du behöva vänta upp till 9 timmar innan du försöker ta bort ditt virtuella Azure-nätverk eller undernät.