Přístup k virtuálním sítím Azure Azure Logic Apps pomocí prostředí integrační služby (ISE)

  • Článek
  • 9 min ke čtení

Pracovní postupy aplikací logiky někdy potřebují přístup k chráněným prostředkům, jako jsou virtuální počítače a další systémy nebo služby, které jsou uvnitř virtuální sítě Azure nebo jsou k ní připojené. Pokud chcete k těmto prostředkům přistupovat přímo z pracovních postupů, které obvykle běží v prostředí s více tenanty Azure Logic Apps, můžete místo toho vytvářet a spouštět aplikace logiky v prostředí integrační služby (ISE). Ise je ve skutečnosti instance služby Azure Logic Apps, která běží samostatně na vyhrazených zdrojích kromě globálního prostředí Azure s více tenanty a neukládá, nezpracuje ani nereplikuje data mimo oblast, ve které nasazujete prostředí ISE.

Některé virtuální sítě Azure například používají privátní koncové body (Azure Private Link) k poskytování přístupu ke službám Azure PaaS, jako jsou Azure Storage, Azure Cosmos DB nebo Azure SQL Database, partnerské služby nebo zákaznické služby hostované v Azure. Pokud pracovní postupy aplikace logiky vyžadují přístup k virtuálním sítím, které používají privátní koncové body, máte tyto možnosti:

  • Pokud chcete vyvíjet pracovní postupy pomocí typu prostředku Aplikace logiky (Consumption) a vaše pracovní postupy musí používat privátní koncové body, musíte vytvořit, nasadit a spustit aplikace logiky v prostředí ise. Další informace najdete v Připojení sítí Azure z Azure Logic Apps prostředí integrační služby (ISE).

  • Pokud chcete vyvíjet pracovní postupy pomocí typu prostředku Aplikace logiky (Standard) a vaše pracovní postupy potřebují používat privátní koncové body, nepotřebujete ISE. Pracovní postupy mohou komunikovat soukromě a bezpečně s virtuálními sítěmi pomocí privátních koncových bodů pro příchozí provoz a integrace virtuální sítě pro odchozí provoz. Další informace najdete v přehledu Zabezpečení provozu mezi virtuálními sítěmi a jedno tenanty Azure Logic Apps privátními koncovými body.

Další informace najdete v rozdílech mezi prostředími služby s více tenanty Azure Logic Apps prostředí integrační služby.

Jak ise funguje s virtuální sítí

Při vytváření prostředí ise vyberete virtuální síť Azure, do které má Azure injektovat nebo nasazovat vaše prostředí ISE. Když vytváříte aplikace logiky a účty integrace, které potřebují přístup k této virtuální síti, můžete jako umístění hostitele vybrat své prostředí integrační služby (ISE) pro tyto aplikace logiky a účty integrace. Uvnitř ise běží aplikace logiky na vyhrazených zdrojích odděleně od ostatních v prostředí s více tenanty Azure Logic Apps prostředí. Data v prostředí ise zůstanou ve stejné oblasti, ve které vytváříte a nasazujete toto prostředí ISE.

Výběr prostředí integrační služby

Pokud chcete mít větší kontrolu nad šifrovacími klíči používanými Azure Storage, můžete nastavit, používat a spravovat vlastní klíč pomocí Azure Key Vault. Tato funkce se také označuje jako "Bring Your Own Key" (BYOK) a váš klíč se nazývá "klíč spravovaný zákazníkem". Další informace najdete v části Nastavení klíčů spravovaných zákazníkem pro šifrování dat v klidových stavu pro prostředí integrační služby (ISE) v Azure Logic Apps.

Tento přehled obsahuje další informace o tom, proč chcete používat prostředí ise,rozdíly mezi vyhrazenou a více tenantovou službou Logic Apps ao tom, jak můžete přímo přistupovat k prostředkům, které jsou ve vaší virtuální síti Azure nebo jsou k ní připojené.

Proč používat ISE

Spouštění aplikací logiky ve vlastní samostatné vyhrazené instanci pomáhá snížit dopad, který můžou mít ostatní tenanti Azure na výkon vašich aplikací, označovaný také jako efekt "hlučných sousedů". Prostředí ise poskytuje také tyto výhody:

  • Přímý přístup k prostředkům, které jsou uvnitř vaší virtuální sítě nebo jsou k ní připojené

    Aplikace logiky, které vytvoříte a spustíte v ise, mohou používat speciálně navržené konektory, které běží ve vašem ISE. Pokud pro místní systém nebo zdroj dat existuje konektor ISE, můžete se připojit přímo, aniž byste museli používat místní bránu dat. Další informace najdete v části Vyhrazené versus více tenantů a Přístup k místním systémům dále v tomto tématu.

  • Trvalý přístup k prostředkům, které jsou mimo vaši virtuální síť nebo nejsou připojené k vaší virtuální síti

    Aplikace logiky, které vytvoříte a spustíte v prostředí ise, mohou i nadále používat konektory, které běží ve více tenantské službě Logic Apps, pokud není k dispozici konektor specifický pro ISE. Další informace najdete v tématu Vyhrazený a více tenantů.

  • Vlastní statické IP adresy, které jsou oddělené od statických IP adres sdílených aplikacemi logiky ve službě s více tenanty. Můžete také nastavit jednu veřejnou, statickou a předvídatelnou odchozí IP adresu pro komunikaci s cílovými systémy. Tímto způsobem nemusíte v těchto cílových systémech pro jednotlivé systémy ISE nastavovat další otevírání brány firewall.

  • Zvýšené limity doby trvání spuštění, uchovávání úložiště, propustnosti, časových limitů požadavků a odpovědí HTTP, velikostí zpráv a požadavků vlastních konektorů Další informace najdete v tématu Omezení a konfigurace pro Azure Logic Apps.

Vyhrazený versus více tenantů

Když vytvoříte a spustíte aplikace logiky v prostředí ise, získáte stejné uživatelské prostředí a podobné funkce jako více tenantské Logic Apps služby. Můžete použít stejné integrované triggery, akce a spravované konektory, které jsou k dispozici ve více tenantské Logic Apps službě. Některé spravované konektory nabízejí další verze ISE. Rozdíl mezi konektory ISE a konektory, které nejsou ise, existuje v tom, kde běží, a v popiscích, které mají v Návrháři aplikace logiky při práci v rámci ise.

Konektory s popisky a bez nich v ISE

  • Předdefinované triggery a akce, jako je HTTP, zobrazují popisek CORE a běží ve stejné ise jako vaše aplikace logiky.

  • Spravované konektory, které zobrazují popisek ISE, jsou speciálně navržené pro ise a vždy běží ve stejné ise jako vaše aplikace logiky. Tady jsou například některé konektory, které nabízejí verze ISE:

    • Azure Blob Storage, File Storage a Table Storage
    • Azure Service Bus, Fronty Azure, Azure Event Hubs
    • Azure Automation, Azure Key Vault, Azure Event Grid a Azure Monitor protokoly
    • FTP, SFTP-SSH, systém souborů a SMTP
    • SAP, IBM MQ, IBM DB2 a IBM 3270
    • SQL Server, Azure Synapse Analytics, Azure Cosmos DB
    • AS2, X12 a EDIFACT

    Ve výjimečných případech platí, že pokud je konektor ISE dostupný pro místní systém nebo zdroj dat, můžete se připojit přímo bez použití místní brány dat. Další informace najdete v části Přístup k místním systémům dále v tomto tématu.

  • Spravované konektory, které nezobrazovat popisek ISE, budou i nadále fungovat pro aplikace logiky uvnitř ISE. Tyto konektory vždy běží ve více tenantské službě Logic Apps, ne v prostředí ise.

  • Vlastní konektory, které vytvoříte mimo prostředí ise( bez ohledu na to, jestli vyžadují místní bránu dat ),budou i nadále fungovat pro aplikace logiky uvnitř ise. Vlastní konektory, které vytvoříte v prostředí ISE, ale nebudou s místní bránou dat fungovat. Další informace najdete v tématu Přístup k místním systémům.

Přístup k místním systémům

Aplikace logiky, které běží v rámci prostředí ISE, mají přímý přístup k místním systémům a zdrojům dat, které jsou uvnitř virtuální sítě Azure nebo jsou k ní připojené, pomocí těchto položek:

  • Trigger nebo akce HTTP, která zobrazuje popisek CORE

  • Konektor ISE, pokud je k dispozici, pro místní systém nebo zdroj dat

    Pokud je k dispozici konektor ISE, můžete k systému nebo zdroji dat přistupovat přímo bez místní brány dat. Pokud ale potřebujete přístup k SQL Server z ise Windows ověřování, musíte použít verzi konektoru, která není ise, Windows místní bránu dat. Verze ISE konektoru nepodporuje ověřování Windows konektoru. Další informace najdete v tématu Konektory ISE a Připojení z prostředí integrační služby.

  • Vlastní konektor

    • Vlastní konektory, které vytvoříte mimo prostředí ise( bez ohledu na to, jestli vyžadují místní bránu dat ),budou i nadále fungovat pro aplikace logiky uvnitř ise.

    • Vlastní konektory, které vytvoříte v prostředí ISE, nefungují s místní bránou dat. Tyto konektory ale mají přímý přístup k místním systémům a zdrojům dat, které jsou uvnitř nebo připojené k virtuální síti, která hostuje vaše prostředí ISE. Aplikace logiky, které jsou uvnitř ISE, proto bránu dat při přístupu k těmto prostředkům obvykle nepotebují.

Pokud chcete získat přístup k místním systémům a zdrojům dat, které nemají konektory ISE, jsou mimo vaši virtuální síť nebo nejsou připojené k vaší virtuální síti, stále musíte používat místní bránu dat. Aplikace logiky v rámci ISE mohou dál používat konektory, které nemají popisek CORE nebo ISE. Tyto konektory běží ve více tenantské Logic Apps, a ne ve vašem prostředí ise.

SKU ISE

Při vytváření ise můžete vybrat SKU Developer nebo SKU Premium SKU. Tato možnost SKU je dostupná jenom při vytváření ISE a později ji nelze změnit. Tady jsou rozdíly mezi těmito SKU:

  • Vývojář

    Poskytuje prostředí ISE s nižšími náklady, které můžete použít ke zkoumání, experimentům, vývoji a testování, ale ne k testování produkce nebo výkonnosti. SKU Developer zahrnuje integrované triggery a akce, standardní konektory, konektory Enterprise konektory a jeden účet integrace úrovně Free s pevnou měsíční cenou.

    Důležité

    Tato skladová položky nemá během recyklace žádnou smlouvu o úrovni služeb (SLA), schopnost škálování nebo redundanci, což znamená, že může docházet ke zpožděním nebo výpadkům. Aktualizace back-endu můžou přerušovaně přerušit službu.

    Informace o kapacitě a limitech najdete v tématu Omezení ISE v Azure Logic Apps. Informace o tom, jak funguje fakturace pro ise, najdete v Logic Apps modelu.

  • Premium

    Poskytuje prostředí ise, které můžete použít pro testování produkce a výkonnosti. SKU Premium zahrnuje podporu smlouvy SLA, integrované triggery a akce, standardní konektory, konektory Enterprise, jeden účet integrace úrovně Standard, schopnost škálování a redundanci během recyklace za pevnou měsíční cenu.

    Informace o kapacitě a limitech najdete v tématu Omezení ISE v Azure Logic Apps. Informace o tom, jak funguje fakturace pro ise, najdete v Logic Apps modelu.

Přístup ke koncovému bodu ISE

Při vytváření ise můžete použít buď interní, nebo externí přístupové koncové body. Váš výběr určuje, jestli triggery požadavků nebo webhooků v aplikacích logiky ve vašem prostředí ise mohou přijímat volání mimo vaši virtuální síť. Tyto koncové body mají také vliv na způsob přístupu ke vstupům a výstupům z historie spuštění aplikací logiky.

Důležité

Koncový bod přístupu můžete vybrat jenom při vytváření ISE a později tuto možnost nemůžete změnit.

  • Interní: Privátní koncové body umožňují volání aplikací logiky ve vašem prostředí ise, kde můžete zobrazit vstupy a výstupy z historie spuštění aplikací logiky a přistupovat k ní pouze z vaší virtuální sítě.

    Důležité

    Pokud potřebujete použít tyto triggery založené na webhoocích a služba je mimo vaši virtuální síť a partnerské virtuální sítě, při vytváření prostředí ISE použijte externí koncové body, ne interní koncové body:

    • Azure DevOps
    • Azure Event Grid
    • Common Data Service
    • Office 365
    • SAP (verze s více tenanty)

    Ujistěte se také, že máte síťové připojení mezi privátními koncovými body a počítačem, ze kterého chcete získat přístup k historii spuštění. V opačném případě se při pokusu o zobrazení historie spuštění aplikace logiky zobrazí chyba s zprávou Neočekávaná chyba. Nepodařilo se načíst.

    Azure Storage akce vyplývající z neschopnosti odesílat provoz přes bránu firewall

    Váš klientský počítač může například existovat ve virtuální síti ise nebo ve virtuální síti, která je připojená k virtuální síti ISE prostřednictvím partnerského vztahu nebo virtuální privátní sítě.

  • Externí: Veřejné koncové body umožňují volání aplikací logiky ve vašem prostředí ise, kde můžete zobrazit vstupy a výstupy z historie spuštění aplikací logiky mimo vaši virtuální síť a přistupovat k tomu. Pokud používáte skupiny zabezpečení sítě (NSG), ujistěte se, že jsou nastavené s příchozími pravidly, která povolují přístup ke vstupům a výstupům historie spuštění. Další informace najdete v tématu Povolení přístupu pro ISE.

Pokud chcete zjistit, jestli vaše ise používá interní nebo externí koncový bod přístupu, v nabídce ISE v části Nastavení vyberte Vlastnosti a vyhledejte vlastnost Koncový bod přístupu:

Vyhledání koncového bodu přístupu ISE

Cenový model

Aplikace logiky, integrované triggery, integrované akce a konektory, které běží ve vašem ise, používají pevný cenový plán, který se liší od cenového plánu založeného na spotřebě. Další informace najdete v tématu Logic Apps cenový model. Ceny najdete na stránce s cenami Logic Apps.

Účty integrace s prostředím integrační služby (ISE)

Účty integrace můžete používat s aplikacemi logiky v prostředí integrační služby (ISE). Tyto účty integrace ale musí používat stejné prostředí integrační služby (ISE) jako propojené aplikace logiky. Aplikace logiky v prostředí integrační služby mohou odkazovat pouze na účty integrace, které jsou ve stejné ise. Při vytváření účtu integrace můžete jako umístění účtu integrace vybrat prostředí integrační služby (ISE). Informace o tom, jak fungují ceny a fakturace pro integrační účty s prostředím integračního prostředí (ISE), najdete v Logic Apps modelu integrace. Ceny najdete na stránce s cenami Logic Apps. Informace o omezeních najdete v tématu Limity účtu integrace.

Další kroky