Připojení k virtuálním sítím Azure z Azure Logic Apps pomocí prostředí integrační služby (ISE)Connect to Azure virtual networks from Azure Logic Apps by using an integration service environment (ISE)

Pro scénáře, ve kterých aplikace logiky a účty pro integraci potřebují přístup k virtuální síti Azure, vytvořte prostředí ISE (Integration Service Environment ).For scenarios where your logic apps and integration accounts need access to an Azure virtual network, create an integration service environment (ISE). Prostředí integrační služby (ISE) je vyhrazené prostředí, které využívá vyhrazené úložiště a další prostředky oddělené od globální služby Logic Apps pro více tenantů.An ISE is a dedicated environment that uses dedicated storage and other resources that are kept separate from the "global" multi-tenant Logic Apps service. Toto oddělení také snižuje vliv na výkon, který můžou mít jiní klienti Azure na výkon vašich aplikací.This separation also reduces any impact that other Azure tenants might have on your apps' performance. Prostředí integrační služby vám také poskytuje vlastní statickou IP adresu.An ISE also provides you with your own static IP addresses. Tyto IP adresy jsou oddělené od statických IP adres, které jsou sdílené pomocí Logic Apps ve veřejné víceklientské službě.These IP addresses are separate from the static IP addresses that are shared by the logic apps in the public, multi-tenant service.

Při vytváření ISE Azure vloží do vaší virtuální sítě Azure, které ISE, nasadí službu Logic Apps do vaší virtuální sítě.When you create an ISE, Azure injects that ISE into your Azure virtual network, which then deploys the Logic Apps service into your virtual network. Když vytvoříte aplikaci logiky nebo účet pro integraci, vyberte ISE jako své umístění.When you create a logic app or integration account, select your ISE as their location. Vaše aplikace logiky nebo účet pro integraci pak můžou přímo přistupovat k prostředkům, jako jsou virtuální počítače (VM), servery, systémy a služby, ve vaší virtuální síti.Your logic app or integration account can then directly access resources, such as virtual machines (VMs), servers, systems, and services, in your virtual network.

Vybrat prostředí integrační služby

Důležité

Aby Logic Apps a integrační účty fungovaly společně v ISE, musí jako své umístění používat stejný ISE .For logic apps and integration accounts to work together in an ISE, both must use the same ISE as their location.

ISE má vyšší omezení doby trvání spuštění, uchovávání úložiště, propustnosti, požadavků HTTP a časových limitů odpovědí, velikostí zpráv a požadavků vlastních konektorů.An ISE has increased limits on run duration, storage retention, throughput, HTTP request and response timeouts, message sizes, and custom connector requests. Další informace najdete v tématu omezení a konfigurace pro Azure Logic Apps.For more information, see Limits and configuration for Azure Logic Apps. Další informace o ISEs najdete v tématu přístup k prostředkům Azure Virtual Network z Azure Logic Apps.To learn more about ISEs, see Access to Azure Virtual Network resources from Azure Logic Apps.

V tomto článku se dozvíte, jak tyto úlohy dokončit pomocí Azure Portal:This article shows you how to complete these tasks by using the Azure portal:

  • Povolte přístup k vašemu ISE.Enable access for your ISE.
  • Vytvořte své ISE.Create your ISE.
  • Přidejte do svého ISEu další kapacitu.Add extra capacity to your ISE.

Můžete také vytvořit ISE pomocí ukázkové Azure Resource Manager šablony pro rychlé zprovoznění nebo pomocí REST API Logic Apps, včetně nastavení klíčů spravovaných zákazníkem:You can also create an ISE by using the sample Azure Resource Manager quickstart template or by using the Logic Apps REST API, including setting up customer-managed keys:

PožadavkyPrerequisites

  • Účet a předplatné Azure.An Azure account and subscription. Pokud nemáte předplatné Azure, zaregistrujte si bezplatný účet Azure.If you don't have an Azure subscription, sign up for a free Azure account.

    Důležité

    Logic Apps, integrované triggery, integrované akce a konektory spouštěné ve vašem ISE používají Cenový tarif, který se liší od cenového plánu založeného na spotřebě.Logic apps, built-in triggers, built-in actions, and connectors that run in your ISE use a pricing plan different from the consumption-based pricing plan. Informace o cenách a fakturační práci pro ISEs najdete v článku o cenovém modelu Logic Apps.To learn how pricing and billing work for ISEs, see the Logic Apps pricing model. Cenové sazby najdete v tématu Logic Apps ceny.For pricing rates, see Logic Apps pricing.

  • Virtuální síť Azure se čtyřmi prázdnými podsítěmi, které jsou potřeba pro vytváření a nasazování prostředků v ISE a používané těmito interními a skrytými součástmi:An Azure virtual network that has four empty subnets, which are required for creating and deploying resources in your ISE and are used by these internal and hidden components:

    • Logic Apps COMPUTELogic Apps Compute
    • Interní App Service Environment (konektory)Internal App Service Environment (connectors)
    • Interní API Management (konektory)Internal API Management (connectors)
    • Interní Redis pro ukládání do mezipaměti a výkonInternal Redis for caching and performance

    Podsítě můžete vytvořit předem nebo při vytváření ISE, abyste mohli vytvořit podsítě ve stejnou dobu.You can create the subnets in advance or when you create your ISE so that you can create the subnets at the same time. Před vytvořením podsítí ale nezapomeňte zkontrolovat požadavky podsítě.However, before you create your subnets, make sure that you review the subnet requirements.

    • Ujistěte se, že vaše virtuální síť umožňuje přístup k vašemu ISE , takže vaše ISE může správně fungovat a zůstat přístupná.Make sure that your virtual network enables access for your ISE so that your ISE can work correctly and stay accessible.

    • Pokud používáte nebo chcete používat ExpressRoute spolu s vynuceným tunelovým propojením, musíte vytvořit směrovací tabulku s následujícím konkrétním směrováním a propojit směrovací tabulku s každou podsítí, kterou používá vaše ISE:If you use or want to use ExpressRoute along with forced tunneling, you must create a route table with the following specific route, and link the route table to each subnet that's used by your ISE:

      Název: <trasa-Name>Name: <route-name>
      Předpona adresy: 0.0.0.0/0Address prefix: 0.0.0.0/0
      Další segment směrování: InternetNext hop: Internet

      Tato konkrétní směrovací tabulka je povinná, aby Logic Apps komponenty mohly komunikovat s dalšími závislými službami Azure, jako jsou Azure Storage a Azure SQL DB.This specific route table is required so that Logic Apps components can communicate with other dependent Azure services, such as Azure Storage and Azure SQL DB. Další informace o této trase najdete v tématu předpona adresy 0.0.0.0/0.For more information about this route, see 0.0.0.0/0 address prefix. Pokud nepoužíváte vynucené tunelování s ExpressRoute, nepotřebujete tuto konkrétní směrovací tabulku.If you don't use forced tunneling with ExpressRoute, you don't need this specific route table.

      ExpressRoute umožňuje rozmístit vaše místní sítě do cloudu Microsoftu a připojit se ke cloudovým službám Microsoftu přes soukromé připojení, které usnadňuje poskytovatel připojení.ExpressRoute lets you extend your on-premises networks into Microsoft cloud and connect to Microsoft cloud services over a private connection that's facilitated by the connectivity provider. Konkrétně ExpressRoute je virtuální privátní síť, která směruje provoz přes soukromou síť, nikoli prostřednictvím veřejného Internetu.Specifically, ExpressRoute is a virtual private network that routes traffic over a private network, rather than through the public internet. Vaše aplikace logiky se můžou připojit k místním prostředkům, které jsou ve stejné virtuální síti, když se připojují prostřednictvím ExpressRoute nebo virtuální privátní sítě.Your logic apps can connect to on-premises resources that are in the same virtual network when they connect through ExpressRoute or a virtual private network.

    • Pokud používáte síťové virtuální zařízení (síťové virtuální zařízení), ujistěte se, že nepovolíte ukončení protokolu TLS/SSL nebo změníte odchozí přenosy TLS/SSL.If you use a network virtual appliance (NVA), make sure that you don't enable TLS/SSL termination or change the outbound TLS/SSL traffic. Také se ujistěte, že nepovolíte kontrolu provozu, který pochází z podsítě ISE.Also, make sure that you don't enable inspection for traffic that originates from your ISE's subnet. Další informace najdete v tématu směrování provozu virtuální sítě.For more information, see Virtual network traffic routing.

    • Pokud chcete pro službu Azure Virtual Network používat vlastní servery DNS, nastavte tyto servery pomocí následujících kroků ještě před nasazením ISE do virtuální sítě.If you want to use custom DNS servers for your Azure virtual network, set up those servers by following these steps before you deploy your ISE to your virtual network. Další informace o správě nastavení serveru DNS najdete v tématu Vytvoření, změna nebo odstranění virtuální sítě.For more information about managing DNS server settings, see Create, change, or delete a virtual network.

      Poznámka

      Pokud změníte nastavení serveru DNS nebo serveru DNS, musíte restartovat ISE, aby ISE mohl tyto změny vyzvednout.If you change your DNS server or DNS server settings, you must restart your ISE so that the ISE can pick up those changes. Další informace najdete v tématu restart vaší ISE.For more information, see Restart your ISE.

Povolení přístupu pro prostředí integrační služby (ISE)Enable access for ISE

Pokud používáte ISE s virtuální sítí Azure, běžný problém instalace je jeden nebo více blokovaných portů.When you use an ISE with an Azure virtual network, a common setup problem is having one or more blocked ports. Konektory používané pro vytváření připojení mezi ISE a cílovými systémy mohou mít také vlastní požadavky na porty.The connectors that you use for creating connections between your ISE and destination systems might also have their own port requirements. Pokud například komunikujete se systémem FTP pomocí konektoru FTP, musí být port, který používáte v systému FTP, k dispozici, například port 21 pro odesílání příkazů.For example, if you communicate with an FTP system by using the FTP connector, the port that you use on your FTP system needs to be available, for example, port 21 for sending commands.

Abyste se ujistili, že je váš ISE přístupný a že aplikace logiky v této ISE můžou komunikovat napříč všemi podsítěmi ve vaší virtuální síti, otevřete porty popsané v této tabulce pro každou podsíť.To make sure that your ISE is accessible and that the logic apps in that ISE can communicate across each subnet in your virtual network, open the ports described in this table for each subnet. Pokud některé požadované porty nejsou k dispozici, vaše ISE nebude fungovat správně.If any required ports are unavailable, your ISE won't work correctly.

  • Pokud máte několik instancí ISE, které potřebují přístup k jiným koncovým bodům s omezeními IP adres, nasaďte Azure firewall nebo síťové virtuální zařízení do své virtuální sítě a přesměrujte odchozí přenosy přes tuto bránu firewall nebo síťové virtuální zařízení.If you have multiple ISE instances that need access to other endpoints that have IP restrictions, deploy an Azure Firewall or a network virtual appliance into your virtual network and route outbound traffic through that firewall or network virtual appliance. Pak můžete nastavit jednu, odchozí, veřejnou, statickou a předvídatelná IP adresu , kterou můžou všechny instance ISE ve vaší virtuální síti používat ke komunikaci s cílovými systémy.You can then set up a single, outbound, public, static, and predictable IP address that all the ISE instances in your virtual network can use to communicate with destination systems. Tímto způsobem nemusíte v těchto cílových systémech pro každý ISE nastavovat dodatečná otevřená brány firewall.That way, you don't have to set up extra firewall openings at those destination systems for each ISE.

    Poznámka

    Tento postup můžete použít pro jeden ISE v případě, že váš scénář vyžaduje omezení počtu IP adres, které potřebují přístup.You can use this approach for a single ISE when your scenario requires limiting the number of IP addresses that need access. Zvažte, jestli pro váš scénář platí mimořádné náklady na bránu firewall nebo zařízení virtuální sítě.Consider whether the extra costs for the firewall or virtual network appliance make sense for your scenario. Přečtěte si další informace o cenách Azure firewall.Learn more about Azure Firewall pricing.

  • Pokud jste vytvořili novou virtuální síť Azure a podsítě bez jakýchkoli omezení, nemusíte ve virtuální síti nastavovat skupiny zabezpečení sítě (skupin zabezpečení sítě) , abyste mohli řídit provoz napříč podsítěmi.If you created a new Azure virtual network and subnets without any constraints, you don't need to set up network security groups (NSGs) in your virtual network to control traffic across subnets.

  • Pro existující virtuální síť můžete volitelně nastavit skupiny zabezpečení sítě (skupin zabezpečení sítě) pro filtrování síťového provozu napříč podsítěmi.For an existing virtual network, you can optionally set up network security groups (NSGs) to filter network traffic across subnets. Pokud chcete přejít k této trase, nebo pokud už používáte skupin zabezpečení sítě, ujistěte se, že jste pro tyto skupin zabezpečení sítě otevřeli porty popsané v této tabulce .If you want to go this route, or if you're already using NSGs, make sure that you open the ports described in this table for those NSGs.

    Při nastavování pravidel zabezpečení NSGje potřeba použít jak protokoly TCP , UDP , nebo můžete vybrat libovolnou , takže nemusíte vytvářet samostatná pravidla pro každý protokol.When you set up NSG security rules, you need to use both the TCP and UDP protocols, or you can select Any instead so you don't have to create separate rules for each protocol. Pravidla zabezpečení NSG popisují porty, které je třeba otevřít pro IP adresy, které potřebují přístup k těmto portům.NSG security rules describe the ports that you must open for the IP addresses that need access to those ports. Ujistěte se, že všechny brány firewall, směrovače nebo jiné položky, které existují mezi těmito koncovými body, také udržují tyto porty dostupné pro tyto IP adresy.Make sure that any firewalls, routers, or other items that exist between these endpoints also keep those ports accessible to those IP addresses.

  • Pokud nastavíte vynucené tunelové propojení přes bránu firewall pro přesměrování internetového provozu, Projděte si požadavky na vynucené tunelování.If you set up forced tunneling through your firewall to redirect Internet-bound traffic, review the forced tunneling requirements.

Síťové porty používané prostředím integrační služby (ISE)Network ports used by your ISE

V této tabulce jsou popsány porty, které vaše ISE vyžaduje k přístupu a účelu pro tyto porty.This table describes the ports that your ISE requires to be accessible and the purpose for those ports. Tabulka používá značky služeb , které reprezentují skupiny předpon IP adres pro konkrétní službu Azure, aby při nastavování pravidel zabezpečení lépe omezila složitost.To help reduce complexity when you set up security rules, the table uses service tags that represent groups of IP address prefixes for a specific Azure service. Pokud je uvedeno jinak, interní ISE a externí ISE odkazují na koncový bod přístupu, který je vybraný při vytváření ISE.Where noted, internal ISE and external ISE refer to the access endpoint that's selected during ISE creation. Další informace najdete v tématu přístup ke koncovému bodu.For more information, see Endpoint access.

Důležité

U všech pravidel nezapomeňte nastavit zdrojové porty na, * protože zdrojové porty jsou dočasné.For all rules, make sure that you set source ports to * because source ports are ephemeral.

Příchozí pravidla zabezpečeníInbound security rules

ÚčelPurpose Značka zdrojové služby nebo IP adresySource service tag or IP addresses Zdrojové portySource ports Značka nebo IP adresa cílové službyDestination service tag or IP addresses Cílové portyDestination ports PoznámkyNotes
Komunikace mezi podsítí v rámci virtuální sítěIntersubnet communication within virtual network Adresní prostor virtuální sítě s ISEmi podsítěmiAddress space for the virtual network with ISE subnets * Adresní prostor virtuální sítě s ISEmi podsítěmiAddress space for the virtual network with ISE subnets * Vyžaduje se pro tok provozu mezi podsítěmi ve vaší virtuální síti.Required for traffic to flow between the subnets in your virtual network.

Důležité: Pokud chcete provoz směrovat mezi součásti v každé podsíti, ujistěte se, že jste otevřeli všechny porty v každé podsíti.Important: For traffic to flow between the components in each subnet, make sure that you open all the ports within each subnet.

ProtokolyBoth:

Komunikace s aplikací logikyCommunication to your logic app

Historie spuštění aplikace logikyRuns history for logic app

Interní ISE:Internal ISE:
VirtualNetworkVirtualNetwork

Externí ISE: Internet nebo zobrazit poznámkyExternal ISE: Internet or see Notes

* VirtualNetworkVirtualNetwork 443443 Místo toho, abyste mohli používat značku internetové služby, můžete zadat zdrojovou IP adresu pro tyto položky:Rather than use the Internet service tag, you can specify the source IP address for these items:

– Počítač nebo služba, které ve vaší aplikaci logiky volají jakékoli triggery žádostí nebo Webhooky- The computer or service that calls any request triggers or webhooks in your logic app

– Počítač nebo služba, ze kterých chcete získat přístup k historii spuštění aplikace logiky- The computer or service from where you want to access logic app runs history

Důležité: zavření nebo blokování tohoto portu brání volání aplikací logiky, které mají triggery požadavků nebo Webhooky.Important: Closing or blocking this port prevents calls to logic apps that have request triggers or webhooks. Nebudete také mít přístup k vstupům a výstupům pro každý krok v historii spuštění.You're also prevented from accessing inputs and outputs for each step in runs history. Nebudete se však bránit v přístupu k historii spuštění aplikace logiky.However, you're not prevented from accessing logic app runs history.

Návrhář Logic Apps – dynamické vlastnostiLogic Apps designer - dynamic properties LogicAppsManagementLogicAppsManagement * VirtualNetworkVirtualNetwork 454454 Požadavky pocházejí z příchozích IP adres koncového bodu přístupu Logic Apps pro tuto oblast.Requests come from the Logic Apps access endpoint's inbound IP addresses for that region.

Důležité: Pokud pracujete s Azure Government cloudem, značka služby LogicAppsManagement nebude fungovat.Important: If you're working with Azure Government cloud, the LogicAppsManagement service tag won't work. Místo toho musíte zadat Logic Apps příchozí IP adresy pro Azure Government.Instead, you have to provide the Logic Apps inbound IP addresses for Azure Government.

Kontrolu stavu sítěNetwork health check LogicAppsLogicApps * VirtualNetworkVirtualNetwork 454454 Požadavky pocházejí z IP adresy koncového bodu přístupu Logic Apps a odchozích IP adres pro tuto oblast.Requests come from the Logic Apps access endpoint's inbound IP addresses and outbound IP addresses for that region.

Důležité: Pokud pracujete s Azure Government cloudem, značka služby LogicApps nebude fungovat.Important: If you're working with Azure Government cloud, the LogicApps service tag won't work. Místo toho musíte pro Azure Government zadat vstupní IP adresy Logic Apps a odchozí IP adresy .Instead, you have to provide both the Logic Apps inbound IP addresses and outbound IP addresses for Azure Government.

Nasazení konektoruConnector deployment AzureConnectorsAzureConnectors * VirtualNetworkVirtualNetwork 454454 Vyžaduje se pro nasazení a aktualizaci konektorů.Required to deploy and update connectors. Zavřením nebo blokováním tohoto portu dojde k selhání nasazení ISE a zabráníte aktualizaci konektoru a opravám.Closing or blocking this port causes ISE deployments to fail and prevents connector updates and fixes.

Důležité: Pokud pracujete s Azure Government cloudem, značka služby AzureConnectors nebude fungovat.Important: If you're working with Azure Government cloud, the AzureConnectors service tag won't work. Místo toho musíte zadat odchozí IP adresy spravovaného konektoru pro Azure Government.Instead, you have to provide the managed connector outbound IP addresses for Azure Government.

Závislost správy App ServiceApp Service Management dependency AppServiceManagementAppServiceManagement * VirtualNetworkVirtualNetwork 454, 455454, 455
Komunikace z Azure Traffic ManagerCommunication from Azure Traffic Manager AzureTrafficManagerAzureTrafficManager * VirtualNetworkVirtualNetwork Interní ISE: 454Internal ISE: 454

Externí ISE: 443External ISE: 443

ProtokolyBoth:

Nasazení zásad konektoruConnector policy deployment

Koncový bod správy API ManagementAPI Management - management endpoint

APIManagementAPIManagement * VirtualNetworkVirtualNetwork 34433443 Pro nasazení zásad konektoru se pro nasazení a aktualizaci konektorů vyžaduje přístup k portu.For connector policy deployment, port access is required to deploy and update connectors. Zavřením nebo blokováním tohoto portu dojde k selhání nasazení ISE a zabráníte aktualizaci konektoru a opravám.Closing or blocking this port causes ISE deployments to fail and prevents connector updates and fixes.
Přístup k mezipaměti Azure pro instance Redis mezi instancemi rolíAccess Azure Cache for Redis Instances between Role Instances VirtualNetworkVirtualNetwork * VirtualNetworkVirtualNetwork 6379-6383 a navíc zobrazit poznámky6379 - 6383, plus see Notes Aby ISE mohl pracovat s Azure cache pro Redis, musíte otevřít tyto odchozí a příchozí porty popsané v mezipaměti Azure pro Redis Nejčastější dotazy.For ISE to work with Azure Cache for Redis, you must open these outbound and inbound ports described by the Azure Cache for Redis FAQ.

Odchozí pravidla zabezpečeníOutbound security rules

ÚčelPurpose Značka zdrojové služby nebo IP adresySource service tag or IP addresses Zdrojové portySource ports Značka nebo IP adresa cílové službyDestination service tag or IP addresses Cílové portyDestination ports PoznámkyNotes
Komunikace mezi podsítí v rámci virtuální sítěIntersubnet communication within virtual network Adresní prostor virtuální sítě s ISEmi podsítěmiAddress space for the virtual network with ISE subnets * Adresní prostor virtuální sítě s ISEmi podsítěmiAddress space for the virtual network with ISE subnets * Vyžaduje se pro tok provozu mezi podsítěmi ve vaší virtuální síti.Required for traffic to flow between the subnets in your virtual network.

Důležité: Pokud chcete provoz směrovat mezi součásti v každé podsíti, ujistěte se, že jste otevřeli všechny porty v každé podsíti.Important: For traffic to flow between the components in each subnet, make sure that you open all the ports within each subnet.

Komunikace z aplikace logikyCommunication from your logic app VirtualNetworkVirtualNetwork * Liší se v závislosti na cíli.Varies based on destination 80, 44380, 443 Cíl se liší v závislosti na koncových bodech externí služby, se kterou vaše aplikace logiky potřebuje komunikovat.Destination varies based on the endpoints for the external service with which your logic app needs to communicate.
Azure Active DirectoryAzure Active Directory VirtualNetworkVirtualNetwork * Azureactivedirectory selhalaAzureActiveDirectory 80, 44380, 443
Azure Storage závislostAzure Storage dependency VirtualNetworkVirtualNetwork * StorageStorage 80, 443, 44580, 443, 445
Správa připojeníConnection management VirtualNetworkVirtualNetwork * AppServiceAppService 443443
Publikování diagnostických protokolů & metrikyPublish diagnostic logs & metrics VirtualNetworkVirtualNetwork * AzureMonitorAzureMonitor 443443
Závislost Azure SQLAzure SQL dependency VirtualNetworkVirtualNetwork * SQLSQL 14331433
Azure Resource HealthAzure Resource Health VirtualNetworkVirtualNetwork * AzureMonitorAzureMonitor 18861886 Požadováno pro publikování stavu Resource Health.Required for publishing health status to Resource Health.
Závislost z protokolu k zásadám centra událostí a agentům monitorováníDependency from Log to Event Hub policy and monitoring agent VirtualNetworkVirtualNetwork * Centrum událostíEventHub 56725672
Přístup k mezipaměti Azure pro instance Redis mezi instancemi rolíAccess Azure Cache for Redis Instances between Role Instances VirtualNetworkVirtualNetwork * VirtualNetworkVirtualNetwork 6379-6383 a navíc zobrazit poznámky6379 - 6383, plus see Notes Aby ISE mohl pracovat s Azure cache pro Redis, musíte otevřít tyto odchozí a příchozí porty popsané v mezipaměti Azure pro Redis Nejčastější dotazy.For ISE to work with Azure Cache for Redis, you must open these outbound and inbound ports described by the Azure Cache for Redis FAQ.
Překlad názvů DNSDNS name resolution VirtualNetworkVirtualNetwork * IP adresy pro všechny vlastní servery DNS (Domain Name System) ve virtuální sítiIP addresses for any custom Domain Name System (DNS) servers on your virtual network 5353 Vyžadováno jenom v případě, že ve virtuální síti používáte vlastní servery DNSRequired only when you use custom DNS servers on your virtual network

Kromě toho je potřeba přidat odchozí pravidla pro App Service Environment (POmocného mechanismu):In addition, you need to add outbound rules for App Service Environment (ASE):

  • Pokud používáte Azure Firewall, musíte bránu firewall nastavit pomocí značky plně kvalifikovaného názvu domény (FQDN) App Service Environment (pomocného programu), která umožňuje odchozí přístup k provozu platformy pomocného mechanismu.If you use Azure Firewall, you need to set up your firewall with the App Service Environment (ASE) fully qualified domain name (FQDN) tag, which permits outbound access to ASE platform traffic.

  • Pokud používáte jiné zařízení brány firewall než Azure Firewall, je třeba nastavit bránu firewall se všemi pravidly uvedenými v integračních závislostech brány firewall , které jsou požadovány pro App Service Environment.If you use a firewall appliance other than Azure Firewall, you need to set up your firewall with all the rules listed in the firewall integration dependencies that are required for App Service Environment.

Vynucené tunelování – požadavkyForced tunneling requirements

Pokud nastavíte nebo použijete vynucené tunelování přes bránu firewall, budete muset povolit další externí závislosti pro ISE.If you set up or use forced tunneling through your firewall, you have to permit extra external dependencies for your ISE. Vynucené tunelové propojení umožňuje přesměrovat provoz vázaný na Internet na určené další segmenty směrování, jako je vaše virtuální privátní síť (VPN) nebo virtuální zařízení, a ne na Internet, abyste mohli kontrolovat a auditovat odchozí síťový provoz.Forced tunneling lets you redirect Internet-bound traffic to a designated next hop, such as your virtual private network (VPN) or to a virtual appliance, rather than to the Internet so that you can inspect and audit outbound network traffic.

Pokud pro tyto závislosti nepovolíte přístup, nasazení ISE se nepovede a vaše nasazené ISE přestane fungovat.If you don't permit access for these dependencies, your ISE deployment fails and your deployed ISE stops working.

Vytvoření prostředí integrační služby (ISE)Create your ISE

  1. V Azure Portaldo hlavního pole Azure Search zadejte integration service environments jako filtr a vyberte prostředí integrační služby.In the Azure portal, in the main Azure search box, enter integration service environments as your filter, and select Integration Service Environments.

    Najde a vybere "prostředí integrační služby".

  2. V podokně prostředí integrační služby vyberte Přidat.On the Integration Service Environments pane, select Add.

    Pokud chcete vytvořit prostředí integrační služby, vyberte Přidat.

  3. Zadejte tyto údaje pro vaše prostředí a pak vyberte zkontrolovat + vytvořit, například:Provide these details for your environment, and then select Review + create, for example:

    Zadání podrobností prostředí

    VlastnostProperty Požaduje seRequired HodnotaValue PopisDescription
    PředplatnéSubscription YesYes <Azure – předplatné – název><Azure-subscription-name> Předplatné Azure, které se má použít pro vaše prostředíThe Azure subscription to use for your environment
    Skupina prostředkůResource group YesYes <Azure-Resource-Group-Name><Azure-resource-group-name> Nová nebo existující skupina prostředků Azure, ve které chcete vytvořit prostředí.A new or existing Azure resource group where you want to create your environment
    Název prostředí integrační službyIntegration service environment name YesYes <Název prostředí><environment-name> Název ISE, který může obsahovat jenom písmena, číslice, spojovníky ( - ), podtržítka ( _ ) a tečky ( . ).Your ISE name, which can contain only letters, numbers, hyphens (-), underscores (_), and periods (.).
    UmístěníLocation YesYes <Azure – Datacenter – oblast><Azure-datacenter-region> Oblast datacenter Azure, kde se má vaše prostředí nasaditThe Azure datacenter region where to deploy your environment
    SKUSKU YesYes Premium nebo Developer (bez smlouvy SLA)Premium or Developer (No SLA) SKU ISE, která se má vytvořit a použít.The ISE SKU to create and use. Rozdíly mezi těmito SKU najdete v tématu ISE SKU.For differences between these SKUs, see ISE SKUs.

    Důležité: Tato možnost je k dispozici pouze při vytváření ISE a nedá se změnit později.Important: This option is available only at ISE creation and can't be changed later.

    Další kapacitaAdditional capacity Premium:Premium:
    YesYes

    MaximalizacDeveloper:
    NeuvedenoNot applicable

    Premium:Premium:
    0 až 100 to 10

    MaximalizacDeveloper:
    NeuvedenoNot applicable

    Počet dodatečných jednotek zpracování, které se mají použít pro tento prostředek ISE.The number of extra processing units to use for this ISE resource. Pokud chcete přidat kapacitu po vytvoření, přečtěte si téma Přidání kapacity ISE.To add capacity after creation, see Add ISE capacity.
    Koncový bod přístupuAccess endpoint YesYes Interní nebo externíInternal or External Typ koncových bodů přístupu, které se mají použít pro ISE.The type of access endpoints to use for your ISE. Tyto koncové body určují, jestli triggery Request nebo Webhooku v Logic Apps ve vašem ISE můžou přijímat volání z vnějšku vaší virtuální sítě.These endpoints determine whether request or webhook triggers on logic apps in your ISE can receive calls from outside your virtual network.

    Pokud například chcete použít následující triggery založené na webhookech, ujistěte se, že jste vybrali možnost externí:For example, if you want to use the following webhook-based triggers, make sure that you select External:

    – Azure DevOps- Azure DevOps
    -Azure Event Grid- Azure Event Grid
    -Common Data Service- Common Data Service
    – Office 365- Office 365
    -SAP (verze ISE)- SAP (ISE version)

    Váš výběr také ovlivňuje způsob zobrazení a přístupu ke vstupům a výstupům v historii spuštění aplikace logiky.Your selection also affects the way that you can view and access inputs and outputs in your logic app runs history. Další informace najdete v tématu ISE Endpoint Access.For more information, see ISE endpoint access.

    Důležité: během vytváření ISE můžete vybrat koncový bod přístupu a tuto možnost nemůžete později změnit.Important: You can select the access endpoint only during ISE creation and can't change this option later.

    Virtuální síťVirtual network YesYes <Azure – Virtual-Network-Name><Azure-virtual-network-name> Virtuální síť Azure, do které chcete vložit své prostředí, aby měly aplikace logiky v tomto prostředí přístup k vaší virtuální síti.The Azure virtual network where you want to inject your environment so logic apps in that environment can access your virtual network. Pokud nemáte síť, vytvořte nejdřív virtuální síť Azure.If you don't have a network, create an Azure virtual network first.

    Důležité: Toto vkládání můžete provést jenom při vytváření ISE.Important: You can only perform this injection when you create your ISE.

    PodsítěSubnets YesYes <podsíť-Resource-list><subnet-resource-list> ISE vyžaduje čtyři prázdné podsítě, které jsou potřeba pro vytváření a nasazování prostředků v ISE a používají je interní Logic Apps komponenty, jako jsou konektory a ukládání do mezipaměti pro výkon.An ISE requires four empty subnets, which are required for creating and deploying resources in your ISE and are used by internal Logic Apps components, such as connectors and caching for performance.

    Důležité: před pokračováním v provádění těchto kroků, abyste mohli vytvořit podsítě, zkontrolujte, že jste zkontrolovali požadavky podsítě.Important: Make sure that you review the subnet requirements before continuing with these steps to create your subnets.

    Vytvoření podsítíCreate subnets

    Vaše ISE vyžaduje čtyři prázdné podsítě, které jsou potřeba k vytváření a nasazování prostředků ve vašich ISE a jsou používané interními součástmi Logic Apps, jako jsou konektory a ukládání do mezipaměti pro výkon.Your ISE requires four empty subnets, which are needed to create and deploy resources in your ISE and are used by internal Logic Apps components, such as connectors and caching for performance. Po vytvoření prostředí nemůžete tyto adresy podsítě změnit.You can't change these subnet addresses after you create your environment. Pokud ISE vytvoříte a nasadíte prostřednictvím Azure Portal, ujistěte se, že tyto podsítě nedelegujete na žádné služby Azure.If you create and deploy your ISE through the Azure portal, make sure that you don't delegate these subnets to any Azure services. Pokud však vytvoříte a nasadíte své ISE prostřednictvím šablony REST API, Azure PowerShell nebo Azure Resource Manager, je nutné delegovat jednu prázdnou podsíť na Microsoft.integrationServiceEnvironment .However, if you create and deploy your ISE through the REST API, Azure PowerShell, or an Azure Resource Manager template, you need to delegate one empty subnet to Microsoft.integrationServiceEnvironment. Další informace najdete v tématu Přidání delegování podsítě.For more information, see Add a subnet delegation.

    Každá podsíť musí splňovat tyto požadavky:Each subnet needs to meet these requirements:

    • Používá název, který začíná abecedním znakem nebo podtržítkem (bez čísel), a nepoužívá tyto znaky: < , > , % , & , \\ , ? , / .Uses a name that starts with either an alphabetic character or an underscore (no numbers), and doesn't use these characters: <, >, %, &, \\, ?, /.

    • Používá Formát směrování Inter-Domain ve třídě (CIDR).Uses the Classless Inter-Domain Routing (CIDR) format.

      Důležité

      Pro virtuální síť nebo podsítě nepoužívejte následující adresní prostory IP adres, protože je nelze přeložit pomocí Azure Logic Apps:Don't use the following IP address spaces for your virtual network or subnets because they aren't resolvable by Azure Logic Apps:

      • 0.0.0.0/80.0.0.0/8
      • 100.64.0.0/10100.64.0.0/10
      • 127.0.0.0/8127.0.0.0/8
      • 168.63.129.16/32168.63.129.16/32
      • 169.254.169.254/32169.254.169.254/32
    • Používá /27 v adresním prostoru, protože každá podsíť vyžaduje 32 adres.Uses a /27 in the address space because each subnet requires 32 addresses. Například 10.0.0.0/27 má 32 adres, protože 2(32-27) je 25 nebo 32.For example, 10.0.0.0/27 has 32 addresses because 2(32-27) is 25 or 32. Další adresy neposkytují další výhody.More addresses won't provide extra benefits. Další informace o výpočtu adres najdete v tématu bloky CIDR protokolu IPv4.To learn more about calculating addresses, see IPv4 CIDR blocks.

    • Pokud používáte ExpressRoute, musíte vytvořit směrovací tabulku , která má následující trasu a propojit ji s každou podsítí, kterou používá vaše ISE:If you use ExpressRoute, you have to create a route table that has the following route and link that table with each subnet that's used by your ISE:

      Název: <trasa-Name>Name: <route-name>
      Předpona adresy: 0.0.0.0/0Address prefix: 0.0.0.0/0
      Další segment směrování: InternetNext hop: Internet

    1. V seznamu podsítě vyberte spravovat konfiguraci podsítě.Under the Subnets list, select Manage subnet configuration.

      Správa konfigurace podsítě

    2. V podokně podsítě vyberte podsíť.On the Subnets pane, select Subnet.

      Přidat čtyři prázdné podsítě

    3. V podokně Přidat podsíť zadejte tyto informace.On the Add subnet pane, provide this information.

      • Název: název vaší podsítě.Name: The name for your subnet
      • Rozsah adres (blok CIDR): rozsah vaší podsítě ve virtuální síti a ve formátu CIDRAddress range (CIDR block): Your subnet's range in your virtual network and in CIDR format

      Přidat podrobnosti podsítě

    4. Až to bude hotové, vyberte OK.When you're done, select OK.

    5. Opakujte tyto kroky pro tři další podsítě.Repeat these steps for three more subnets.

      Poznámka

      Pokud podsítě, které se pokoušíte vytvořit, nejsou platné, Azure Portal zobrazí zprávu, ale neblokuje průběh.If the subnets you try to create aren't valid, the Azure portal shows a message, but doesn't block your progress.

    Další informace o vytváření podsítí najdete v tématu Přidání podsítě virtuální sítě.For more information about creating subnets, see Add a virtual network subnet.

  4. Až Azure úspěšně ověří vaše ISE informace, vyberte vytvořit, například:After Azure successfully validates your ISE information, select Create, for example:

    Po úspěšném ověření vyberte vytvořit.

    Azure začne nasazovat vaše prostředí, které obvykle trvá do dvou hodin, než se dokončí.Azure starts deploying your environment, which usually takes within two hours to finish. V některých případech může nasazení trvat až čtyři hodiny.Occasionally, deployment might take up to four hours. Pokud chcete zjistit stav nasazení, na panelu nástrojů Azure vyberte ikonu oznámení, která otevře podokno oznámení.To check deployment status, on your Azure toolbar, select the notifications icon, which opens the notifications pane.

    Zkontroluje stav nasazení.

    Pokud se nasazení úspěšně dokončí, Azure zobrazí toto oznámení:If deployment finishes successfully, Azure shows this notification:

    Nasazení bylo úspěšné.

    Jinak postupujte podle pokynů Azure Portal pro řešení potíží s nasazením.Otherwise, follow the Azure portal instructions for troubleshooting deployment.

    Poznámka

    Pokud se nasazení nepovede nebo odstraníte ISE, může Azure ve výjimečných případech trvat až hodinu nebo déle, než se vaše podsítě uvolní.If deployment fails or you delete your ISE, Azure might take up to an hour, or possibly longer in rare cases, before releasing your subnets. Proto může být nutné počkat, než budete moci tyto podsítě znovu použít v jiném ISE.So, you might have to wait before you can reuse those subnets in another ISE.

    Pokud virtuální síť odstraníte, Azure obvykle trvá až dvě hodiny, než se uvolní vaše podsítě, ale tato operace může trvat delší dobu.If you delete your virtual network, Azure generally takes up to two hours before releasing up your subnets, but this operation might take longer. Při odstraňování virtuálních sítí se ujistěte, že nejsou připojené žádné prostředky.When deleting virtual networks, make sure that no resources are still connected. Viz odstranění virtuální sítě.See Delete virtual network.

  5. Pokud chcete zobrazit své prostředí, vyberte Přejít k prostředku , pokud Azure po dokončení nasazení automaticky nepřejde do vašeho prostředí.To view your environment, select Go to resource if Azure doesn't automatically go to your environment after deployment finishes.

  6. Pro ISE, který má přístup k externímu koncovému bodu, je potřeba vytvořit skupinu zabezpečení sítě, pokud ji ještě nemáte, a přidat příchozí pravidlo zabezpečení, které povolí přenos z odchozích IP adres spravovaného konektoru.For an ISE that has external endpoint access, you need to create a network security group, if you don't have one already, and add an inbound security rule to allow traffic from managed connector outbound IP addresses. Chcete-li nastavit toto pravidlo, postupujte podle následujících kroků:To set up this rule, follow these steps:

    1. V nabídce ISE v části Nastavení vyberte vlastnosti.On your ISE menu, under Settings, select Properties.

    2. V části konektor odchozí IP adresy zkopírujte rozsahy veřejných IP adres, které se také zobrazí v tomto článku, omezení a konfigurace – odchozí IP adresy.Under Connector outgoing IP addresses, copy the public IP address ranges, which also appear in this article, Limits and configuration - Outbound IP addresses.

    3. Vytvořte skupinu zabezpečení sítě, pokud ji ještě nemáte.Create a network security group, if you don't have one already.

    4. Na základě následujících informací přidejte příchozí pravidlo zabezpečení pro veřejné odchozí IP adresy, které jste zkopírovali.Based on the following information, add an inbound security rule for the public outbound IP addresses that you copied. Další informace najdete v tématu kurz: filtrování síťového provozu pomocí skupiny zabezpečení sítě pomocí Azure Portal.For more information, see Tutorial: Filter network traffic with a network security group using the Azure portal.

      ÚčelPurpose Značka zdrojové služby nebo IP adresySource service tag or IP addresses Zdrojové portySource ports Značka nebo IP adresa cílové službyDestination service tag or IP addresses Cílové portyDestination ports PoznámkyNotes
      Povolit přenosy z odchozích IP adres konektoruPermit traffic from connector outbound IP addresses <Connector – Public-Outbound-IP-addresss><connector-public-outbound-IP-addresses> * Adresní prostor virtuální sítě s ISEmi podsítěmiAddress space for the virtual network with ISE subnets *
  7. Pokud chcete zjistit stav sítě pro svůj ISE, přečtěte si téma Správa prostředí integrační služby.To check the network health for your ISE, see Manage your integration service environment.

    Upozornění

    Pokud se vaše síť ISE stane ve špatném stavu, může se stát, že se interní App Service Environment (pomocného mechanismu), který používá váš ISE, stane také špatným.If your ISE's network becomes unhealthy, the internal App Service Environment (ASE) that's used by your ISE can also become unhealthy. Pokud není stav pomocného mechanismu v pořádku po dobu delší než sedm dnů, pozastaví se pomocného mechanismu.If the ASE is unhealthy for more than seven days, the ASE is suspended. Chcete-li tento stav vyřešit, ověřte nastavení virtuální sítě.To resolve this state, check your virtual network setup. Vyřešte všechny problémy, které najdete, a pak restartujte ISE.Resolve any problems that you find, and then restart your ISE. V opačném případě se po 90 dnech odstraní pozastavený pomocného mechanismu řízení a vaše ISE se stane nepoužitelnou.Otherwise, after 90 days, the suspended ASE is deleted, and your ISE becomes unusable. Ujistěte se, že udržujete ISE v dobrém stavu, abyste umožnili potřebný provoz.So, make sure that you keep your ISE healthy to permit the necessary traffic.

    Další informace najdete v těchto tématech:For more information, see these topics:

  8. Pokud chcete začít vytvářet aplikace logiky a další artefakty v ISE, přečtěte si téma Přidání prostředků do prostředí integrační služby.To start creating logic apps and other artifacts in your ISE, see Add resources to integration service environments.

    Důležité

    Po vytvoření ISE budou spravované konektory ISE k dispozici pro použití, ale nejsou automaticky zobrazeny v ovládacím prvku pro výběr konektoru v návrháři aplikace logiky.After you create your ISE, managed ISE connectors become available for you to use, but they don't automatically appear in the connector picker on the Logic App Designer. Než budete moct používat tyto konektory ISE, musíte je ručně Přidat a nasadit do ISE , aby se zobrazily v návrháři aplikace logiky.Before you can use these ISE connectors, you have to manually add and deploy these connectors to your ISE so that they appear in the Logic App Designer.

Další krokyNext steps