Administración del entorno del servicio de integración (ISE) en Azure Logic Apps
Importante
El 31 de agosto de 2024, el recurso ISE se retirará, debido a su dependencia de Azure Cloud Services (clásico), que se retira al mismo tiempo. Antes de la fecha de retirada, exporte las aplicaciones lógicas del ISE a las aplicaciones lógicas estándar para que pueda evitar la interrupción del servicio. Los flujos de trabajo de aplicaciones lógicas estándar se ejecutan en Azure Logic Apps de un solo inquilino y proporcionan las mismas funcionalidades y más.
A partir del 1 de noviembre de 2022, ya no puede crear nuevos recursos de ISE. Sin embargo, los recursos de ISE existentes antes de esta fecha se admiten hasta el 31 de agosto de 2024. Para obtener más información, vea los siguientes recursos:
- Retirada de ISE: lo que necesita saber
- Comparación de las opciones de un solo inquilino, multiinquilino y entorno del servicio de integración para Azure Logic Apps
- Precios de Azure Logic Apps
- Exportación de flujos de trabajo de ISE a una aplicación lógica estándar
- El Entorno del servicio de integración se retirará el 31 de agosto de 2024, transición a Logic Apps Standard
- El modelo de implementación de Cloud Services (clásico) se retirará el 31 de agosto de 2024
En este artículo se muestra cómo realizar tareas de administración para el entorno del servicio de integración (ISE), por ejemplo:
Busque y vea su ISE.
Habilite el acceso para el ISE.
Comprobar el estado de la red del ISE.
Administrar los recursos como aplicaciones lógicas basadas en varios inquilinos, conexiones, cuentas de integración y conectores en el ISE.
Agregar capacidad, reiniciar el ISE o eliminar el ISE. Siga los pasos descritos en este tema. Para agregar estos artefactos al ISE, consulte Adición de artefactos al entorno del servicio de integración.
Ver su ISE
En el cuadro de búsqueda de Azure Portal, escriba entornos de servicio de integración y, después, seleccione Entornos de servicio de integración.
En la lista de resultados, seleccione su entorno del servicio de integración.
Continúe con las secciones siguientes para buscar aplicaciones lógicas, conexiones, conectores o cuentas de integración en el ISE.
Habilitación del acceso para el ISE
Cuando se usa un ISE con una red virtual de Azure, un problema de configuración habitual es tener uno o varios puertos bloqueados. Los conectores que usa para crear conexiones entre su ISE y los sistemas de destino también pueden tener sus propios requisitos de puerto. Por ejemplo, si se comunica con un sistema FTP mediante el conector FTP, el puerto que usa en el sistema FTP debe estar disponible, por ejemplo, el puerto 21 para enviar comandos.
Para asegurarse de que el ISE sea accesible y de que las aplicaciones lógicas del ISE puedan comunicarse a través de cada subred de la red virtual, abra los puertos descritos en esta tabla para cada subred. Si alguno de los puertos necesarios no está disponible, el ISE no funcionará correctamente.
Si tiene varias instancias de ISE que necesitan acceso a otros puntos de conexión con restricciones de IP, implemente Azure Firewall o una aplicación virtual de red en la red virtual y enrute el tráfico saliente a través de ese firewall o aplicación virtual de red. Después, puede configurar una dirección IP única, de salida, pública, estática y predecible que todas las instancias de ISE de la red virtual puedan usar para comunicarse con los sistemas de destino. De ese modo, no es necesario configurar aperturas adicionales del firewall en los sistemas de destino para cada ISE.
Nota
También puede usar este enfoque para un solo ISE si el escenario requiere limitar el número de direcciones IP que necesitan acceso. Considere si los costos adicionales del firewall o el dispositivo de red virtual tienen sentido para su escenario. Obtenga más información sobre los precios de Azure Firewall.
Si ha creado una nueva red virtual de Azure y subredes sin ninguna restricción, no es necesario configurar grupos de seguridad de red (NSG) en la red virtual para controlar el tráfico entre las subredes.
En el caso de una red virtual existente, puede, de forma opcional, configurar grupos de seguridad de red (NSG) para filtrar el tráfico de red entre subredes. Si quiere usar esta ruta, o si ya usa NSG, abra los puertos descritos en esta tabla para esos NSG.
Al configurar las reglas de seguridad de NSG, debe usar ambos protocolos, TCP y UDP, o bien seleccionar Cualquiera en su lugar para no tener que crear reglas independientes para cada protocolo. Las reglas de seguridad de NSG describen los puertos que debe abrir para las direcciones IP que necesitan acceder a esos puertos. Asegúrese de que todo firewall, enrutador u otro elemento que exista entre estos puntos de conexión también mantengan esos puertos accesibles para esas direcciones IP.
Para un ISE que tenga acceso de punto de conexión externo, debe crear un grupo de seguridad de red (NSG), si aún no tiene uno. Debe agregar una regla de seguridad de entrada al grupo de seguridad de red para permitir el tráfico desde las direcciones IP de salida del conector administrado. Para configurar esta regla, siga estos pasos:
En el menú del ISE, en Configuración, seleccione Propiedades.
En Direcciones IP salientes del conector, copie los intervalos de direcciones IP públicas, que también aparecen en el artículo Límites y configuración: direcciones IP de salida.
Cree un grupo de seguridad de red, si aún no tiene uno.
En función de la siguiente información, agregue una regla de seguridad de entrada para las direcciones IP públicas de salida que copió. Para obtener más información, consulte Tutorial: Filtrado del tráfico de red con un grupo de seguridad de red en Azure Portal.
Propósito Etiqueta de servicio de origen o direcciones IP Puertos de origen Etiqueta de servicio de destino o direcciones IP Puertos de destino Notas Permitir el tráfico que procede de las direcciones IP de salida del conector <connector-public-outbound-IP-addresses> * Espacio de direcciones de la red virtual con subredes del ISE *
Si configura la tunelización forzada a través del firewall para redirigir el tráfico enlazado a Internet, revise los requisitos de la tunelización forzada.
Puertos de red usados por el ISE
En esta tabla se describen los puertos que necesita el ISE para ser accesible y el propósito de esos puertos. Para ayudar a reducir la complejidad que conlleva la configuración de reglas de seguridad, la tabla usa etiquetas de servicio que representan grupos de prefijos de direcciones IP de un servicio de Azure concreto. Cuando así se indica, ISE interno e ISE externo hacen referencia al punto de conexión de acceso seleccionado durante la creación del ISE. Para obtener más información, consulte Acceso al punto de conexión.
Importante
En todas las reglas, establezca los puertos de origen en *, ya que estos son efímeros.
Reglas de seguridad de entrada
| Puertos de origen | Puertos de destino | Etiqueta de servicio de origen o direcciones IP | Etiqueta de servicio de destino o direcciones IP | Propósito | Notas |
|---|---|---|---|---|---|
| * | * | Espacio de direcciones de la red virtual con subredes del ISE | Espacio de direcciones de la red virtual con subredes del ISE | Comunicación entre subredes en una red virtual. | Necesario para que el tráfico fluya entre las subredes de la red virtual. Importante: Para que el tráfico fluya entre los componentes de cada subred, asegúrese de abrir todos los puertos de cada subred. |
| * | 443 | ISE interno: VirtualNetwork ISE externo: Internet o consulte Notas |
VirtualNetwork | - Comunicación con la aplicación lógica - Historial de ejecuciones de la aplicación lógica |
En lugar de usar la etiqueta de servicio Internet, puede especificar la dirección IP de origen de estos elementos: - Equipo o servicio que llama a cualquier desencadenador de solicitud o webhook de la aplicación lógica - Equipo o servicio desde el que se quiere acceder al historial de ejecución de la aplicación lógica Importante: El cierre o bloqueo de este puerto evita las llamadas a aplicaciones lógicas con desencadenadores de solicitud o webhooks. También se evita que acceda a las entradas y salidas de cada paso del historial de ejecución. Pero no se evita que acceda al historial de ejecución de la aplicación lógica. |
| * | 454 | LogicAppsManagement | VirtualNetwork | Diseñador de Azure Logic Apps: propiedades dinámicas | Las solicitudes proceden de las direcciones IP entrantes del punto de conexión de acceso de Azure Logic Apps de esa región. Importante: Si está trabajando con la nube de Azure Government, la etiqueta de servicio LogicAppsManagement no funcionará. En su lugar, debe proporcionar las direcciones IP de entrada de Azure Logic Apps para Azure Government. |
| * | 454 | LogicApps | VirtualNetwork | Comprobación del estado de la red | Las solicitudes proceden de las direcciones IP entrantes del punto de conexión de acceso de Azure Logic Apps y las direcciones IP salientes de esa región. Importante: Si está trabajando con la nube de Azure Government, la etiqueta de servicio LogicApps no funcionará. En su lugar, debe proporcionar las direcciones IP de entrada y las direcciones IP de salida de Azure Logic Apps para Azure Government. |
| * | 454 | AzureConnectors | VirtualNetwork | Implementación del conector | Necesario para implementar y actualizar conectores. El cierre o bloqueo de este puerto da lugar a errores de las implementaciones de ISE y evita las actualizaciones y correcciones del conector. Importante: Si está trabajando con la nube de Azure Government, la etiqueta de servicio AzureConnectors no funcionará. En su lugar, debe proporcionar las direcciones IP de salida del conector administrado para Azure Government. |
| * | 454, 455 | AppServiceManagement | VirtualNetwork | Dependencia de administración de App Service | |
| * | ISE interno: 454 ISE externo: 443 |
AzureTrafficManager | VirtualNetwork | Comunicación de Azure Traffic Manager | |
| * | 3443 | APIManagement | VirtualNetwork | Implementación de la directiva de conectores API Management: punto de conexión de administración |
Para la implementación de la directiva de conectores, es necesario el acceso a los puertos para implementar y actualizar conectores. El cierre o bloqueo de este puerto da lugar a errores de las implementaciones de ISE y evita las actualizaciones y correcciones del conector. |
| * | 6379 - 6383, además consulte Notas | VirtualNetwork | VirtualNetwork | Acceso a instancias de Azure Cache for Redis entre instancias de rol | Para que ISE funcione con Azure Cache for Redis, debe abrir estos puertos de entrada y salida descritos en las Preguntas frecuentes sobre Azure Cache for Redis. |
Reglas de seguridad de entrada
| Puertos de origen | Puertos de destino | Etiqueta de servicio de origen o direcciones IP | Etiqueta de servicio de destino o direcciones IP | Propósito | Notas |
|---|---|---|---|---|---|
| * | * | Espacio de direcciones de la red virtual con subredes del ISE | Espacio de direcciones de la red virtual con subredes del ISE | Comunicación entre subredes en una red virtual | Necesario para que el tráfico fluya entre las subredes de la red virtual. Importante: Para que el tráfico fluya entre los componentes de cada subred, asegúrese de abrir todos los puertos de cada subred. |
| * | 443, 80 | VirtualNetwork | Internet | Comunicación con la aplicación lógica | Esta regla es necesaria para la comprobación de certificados de Capa de sockets seguros (SSL). Esta comprobación es para varios sitios internos y externos, lo cual es el motivo por el que se requiere Internet como destino. |
| * | Varía según el destino | VirtualNetwork | Varía según el destino | Comunicación con la aplicación lógica | Los puertos de destino varían en función de los puntos de conexión de los servicios externos con los que la aplicación lógica necesita comunicarse. Por ejemplo, el puerto de destino es el puerto 25 para un servicio SMTP, el puerto 22 para un servicio SFTP y así sucesivamente. |
| * | 80, 443 | VirtualNetwork | AzureActiveDirectory | Microsoft Entra ID | |
| * | 80, 443, 445 | VirtualNetwork | Storage | Dependencia de Azure Storage | |
| * | 443 | VirtualNetwork | AppService | Administración de conexiones | |
| * | 443 | VirtualNetwork | AzureMonitor | Publicación de métricas y registros de diagnóstico | |
| * | 1433 | VirtualNetwork | SQL | Dependencia de Azure SQL | |
| * | 1886 | VirtualNetwork | AzureMonitor | Azure Resource Health | Necesario para publicar el estado de mantenimiento en Resource Health. |
| * | 5672 | VirtualNetwork | EventHub | Dependencia de la directiva de registro en Event Hubs y el agente de supervisión | |
| * | 6379 - 6383, además consulte Notas | VirtualNetwork | VirtualNetwork | Acceso a instancias de Azure Cache for Redis entre instancias de rol | Para que ISE funcione con Azure Cache for Redis, debe abrir estos puertos de entrada y salida descritos en las Preguntas frecuentes sobre Azure Cache for Redis. |
| * | 53 | VirtualNetwork | Direcciones IP de los servidores de Sistema de nombres de dominio (DNS) personalizados de la red virtual. | Resolución de nombres DNS | Solo es necesario cuando se usan servidores DNS personalizados en la red virtual. |
Además, debe agregar reglas de salida para App Service Environment (ASE):
Si usa Azure Firewall, debe configurar el firewall con la etiqueta de nombre de dominio completo (FQDN) de App Service Environment (ASE), que permite el acceso de salida al tráfico de la plataforma de ASE.
Si usa un dispositivo de firewall distinto de Azure Firewall, debe configurar el firewall con todas las reglas enumeradas en las dependencias de integración del firewall que son necesarias para App Service Environment.
Requisitos de tunelización forzada
Si configura o usa la tunelización forzada a través del firewall, debe permitir dependencias externas adicionales para su ISE. La tunelización forzada permite redirigir el tráfico enlazado a Internet a un próximo salto designado, como la red privada virtual (VPN), o a un dispositivo virtual, en lugar de a Internet, para que pueda inspeccionar y auditar el tráfico de red saliente.
Si no permite el acceso a estas dependencias, se produce un error en la implementación de ISE, y el ISE implementado deja de funcionar.
Rutas definidas por el usuario
Para evitar el enrutamiento asimétrico, debe definir una ruta para cada una de las direcciones IP que se enumeran a continuación con Internet como el próximo salto.
- Direcciones de entrada y salida de Azure Logic Apps para la región del ISE
- Direcciones IP de Azure para conectores de la región del ISE que se encuentran disponibles en este archivo de descarga
- Direcciones de administración de App Service Environment
- Direcciones de administración de Azure Traffic Manager
- Direcciones IP del plano de control de Azure API Management
Puntos de conexión del servicio
Debe habilitar los puntos de conexión de servicio para Azure SQL, Storage, Service Bus, KeyVault y Event Hubs porque no puede enviar tráfico a través de un firewall a estos servicios.
Otras dependencias de entrada y salida
El firewall debe permitir las siguientes dependencias de entrada y salida:
Comprobación del estado de la red
En el menú de ISE, en Configuración, seleccione Estado de la red. Este panel muestra el estado de mantenimiento de las subredes y las dependencias de salida en otros servicios.
Precaución
Si la red del ISE es incorrecta, la instancia interna de App Service Environment (ASE) que usa el ISE también puede ser incorrecta. Si la instancia de ASE es incorrecta durante más de siete días, esta se suspende. Para resolver este estado, compruebe la configuración de la red virtual. Resuelva los problemas que encuentre y reinicie el ISE. De lo contrario, pasados 90 días se elimina la instancia de ASE suspendida y el ISE deja de ser utilizable. Por lo tanto, asegúrese de mantener correctamente el ISE para permitir el tráfico necesario.
Para más información, consulte los temas siguientes:
Administración de las aplicaciones lógicas
Puede ver y administrar las aplicaciones lógicas que se encuentran en el ISE.
En el menú de ISE, en Configuración, seleccione Aplicaciones lógicas.
Para eliminar aplicaciones lógicas del ISE cuando ya no las necesite, selecciónelas y, a continuación, seleccione Eliminar. Seleccione Sí para confirmar que desea eliminarlas.
Nota
Si elimina una aplicación lógica secundaria y vuelve a crearla, debe guardar de nuevo la aplicación lógica principal. La aplicación secundaria que ha vuelto a crear tendrá metadatos diferentes. Si no se reguarda la aplicación lógica principal después de volver a crear su elemento secundario, las llamadas a la aplicación lógica secundaria producirán un error de que no hay autorización. Este comportamiento se aplica a las aplicaciones lógicas de elementos primarios y secundarios, por ejemplo, las que usan artefactos en las cuentas de integración o llaman a funciones de Azure.
Administración de las conexiones de API
Puede ver y administrar las conexiones creadas por las aplicaciones lógicas que se ejecutan en el ISE.
En el menú de ISE, en Configuración, seleccione Conexiones de API.
Para eliminar las conexiones del ISE cuando ya no las necesite, seleccione esas conexiones y, a continuación, seleccione Eliminar. Seleccione Sí para confirmar que desea eliminarlas.
Administración de los conectores de ISE
Puede ver y administrar los conectores de API que se han implementado en el ISE.
En el menú de ISE, en Configuración, seleccione Conectores administrados.
Para eliminar los conectores del ISE cuando ya no los necesite, seleccione esos conectores y, a continuación, seleccione Eliminar. Seleccione Sí para confirmar que desea eliminarlas.
Administración de conectores personalizados
Puede ver y administrar los conectores personalizados que implementó en el ISE.
En el menú de ISE, en Configuración, seleccione Conectores personalizados.
Para eliminar los conectores personalizados del ISE cuando ya no los necesite, seleccione esos conectores y, a continuación, seleccione Eliminar. Seleccione Sí para confirmar que desea eliminarlas.
Administración de cuentas de integración
En el menú de ISE, en Configuración, seleccione Cuentas de integración.
Para quitar las cuentas de integración del ISE cuando ya no las necesite, selecciónelas y, después, seleccione Eliminar.
Exportación de la cuenta de integración (versión preliminar)
Para una cuenta de integración Estándar creada desde dentro de un ISE, puede exportar esa cuenta de integración a una cuenta de integración Premium existente. El proceso de exportación tiene dos pasos: exportar los artefactos y, a continuación, exportar los estados del contrato. Los artefactos incluyen asociados, contratos, certificados, esquemas y asignaciones. Sin embargo, el proceso de exportación actualmente no admite ensamblados ni PIP de RosettaNet.
La cuenta de integración también almacena los estados del entorno de ejecución para acciones B2B específicas y estándares EDI, como el número MIC para acciones AS2 y los números de control para las acciones X12. Si configuró los contratos para actualizar estos estados cada vez que se procesa una transacción y para usar estos estados para la conciliación de mensajes y la detección de duplicados, asegúrese de que también exporta estos estados. Puede exportar todos los estados del contrato o un estado de contrato a la vez.
Importante
Asegúrese de elegir un período de tiempo en el que la cuenta de integración de origen no tenga ninguna actividad en los contratos para evitar incoherencias de estado.
Requisitos previos
Si no tiene una cuenta de integración Premium, cree una cuenta de integración Premium.
Exportación de artefactos
Este proceso copia los artefactos del origen en el destino.
En Azure Portal, abra la cuenta de integración Estándar.
En el menú de la cuenta de integración, en Configuración, seleccione Exportar.
Nota:
Si la opción Exportar no aparece, asegúrese de seleccionar una cuenta de integración Estándar que se creó desde dentro de un ISE.
En la barra de herramientas de la página Exportar, seleccione Exportar artefactos.
Abra la lista Cuenta de integración de destino, que contiene todas las cuentas Premium de la suscripción de Azure, seleccione la cuenta de integración Premium que desee y, a continuación, seleccione Aceptar.
La página Exportar muestra ahora el estado de exportación de los artefactos.
Para confirmar los artefactos exportados, abra la cuenta de integración Premium de destino.
Estado del contrato de exportación (opcional)
En la barra de herramientas de la página Exportar, seleccione Estado del contrato de exportación.
En el panel Estado del contrato de exportación, abra la lista Cuenta de integración de destino y seleccione la cuenta de integración Premium que desee.
Para exportar todos los estados del contrato, no seleccione ningún contrato en la lista Contrato. Para exportar un estado del contrato individual, seleccione un contrato en la lista Contrato.
Cuando termine, elija Aceptar.
La página Exportar muestra ahora el estado de exportación de los estados del contrato.
Agregar capacidad ISE
La unidad base del ISE Premium tiene una capacidad fija, por lo que si necesita más rendimiento, puede agregar más unidades de escalado, ya sea durante el proceso de creación o posteriormente. La SKU de Desarrollador no incluye la funcionalidad para agregar unidades de escalado.
Importante
El escalado horizontal de un ISE puede tardar de media entre 20 y 30 minutos.
En Azure Portal, vaya a su ISE.
Para revisar las métricas de uso y rendimiento del ISE, seleccione Información general.
En Configuración, seleccione Escalar horizontalmente. En el panel Configurar, seleccione una de estas opciones:
- Escala manual: el escalado se hace según el número de unidades de procesamiento que desee usar.
- Custom autoscale (Escalabilidad automática personalizada): el escalado se hace según las métricas de rendimiento, seleccionando entre varios criterios y especificando las condiciones del umbral para cumplir con esos criterios.
Escala manual
Después de seleccionar Escala manual, en Additional capacity (Capacidad adicional), seleccione el número de unidades de escalado que desea usar.
Cuando finalice, seleccione Guardar.
Escalabilidad automática personalizada
Después de seleccionar Custom autoscale (Escalabilidad automática personalizada) en Autoscale setting name (Nombre de la configuración de escalabilidad automática), proporcione un nombre para el valor seleccionado y, si lo desea, seleccione el grupo de recursos de Azure al que pertenece dicho valor.
En cuanto a la condición Predeterminada, seleccione Scale based on a metric (Escalado según una métrica) o Scale to a specific instance count (Escalado a un recuento de instancias específico).
Si elige el basado en instancias, escriba el número de unidades de procesamiento, entre 0 y 10.
Si elige en función de las métricas, siga estos pasos:
En la sección Reglas, seleccione Agregar una regla.
En el panel Scale rule (Regla de escalado), configure los criterios y la acción que se realizará cuando se active la regla.
En Instance limits (Límites de instancias), especifique estos valores:
- Mínimos: el número mínimo de unidades de procesamiento que se va a usar.
- Maximum: el número máximo de unidades de procesamiento que se va a usar.
- Valor predeterminado: si ocurre algún problema al leer las métricas de los recursos y la capacidad actual es inferior a la predeterminada, el escalado automático realiza el escalado horizontal hasta el número de unidades de procesamiento predeterminado. Sin embargo, si la capacidad actual es superior a la predeterminada, el escalado automático no realiza la reducción horizontal.
Para agregar otra condición, seleccione Add scale condition (Agregar condición de escalado).
Cuando haya terminado la configuración de escalado automático, guarde los cambios.
Reinicio del ISE
Si cambia el servidor DNS o su configuración, debe reiniciar el ISE para que pueda recoger dichos cambios. El reinicio de un ISE de SKU Premium no da como resultado un tiempo de inactividad debido a la redundancia y los componentes que se reinician uno por uno durante el reciclaje. Sin embargo, un ISE de SKU de desarrollador experimenta tiempos de inactividad porque no existe redundancia. Para obtener más información, consulte los SKU de ISE.
En Azure Portal, vaya a su ISE.
En el menú de ISE, seleccione Información general. En la barra de herramientas Información general, seleccione Reiniciar.
Eliminación del ISE
Antes de eliminar un ISE que ya no necesita o un grupo de recursos de Azure que contiene un ISE, compruebe que no tiene directivas ni bloqueos en el grupo de recursos de Azure que contiene estos recursos o en la red virtual de Azure porque estos elementos pueden bloquear la eliminación.
Después de eliminar el ISE, es posible que tenga que esperar hasta 9 horas antes de intentar eliminar la red virtual o las subredes de Azure.