A virtuális hálózatok és az egybérlős munkafolyamatok közötti forgalom biztonságossá Azure Logic Apps privát végpontok használatával

A logikai alkalmazás munkafolyamata és a virtuális hálózat közötti biztonságos és privát kommunikációhoz privát végpontokat állíthat be a bejövő forgalomhoz, és virtuális hálózati integrációt használhat a kimenő forgalomhoz.

A privát végpontok olyan hálózati adapterek, amelyek privát és biztonságos módon csatlakoznak az Azure Private Link által működtetett szolgáltatásokhoz. Ilyen szolgáltatás lehet valamely Azure-szolgáltatás, például az Azure Logic Apps, az Azure Storage, az Azure Cosmos DB, az SQL vagy egy saját Private Link-szolgáltatás. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így hatékonyan bekapcsolja a szolgáltatást a virtuális hálózatba.

Ez a cikk bemutatja, hogyan állíthat be privát végpontokon keresztüli hozzáférést a bejövő forgalomhoz, a kimenő forgalomhoz és a tárfiókokkal való kapcsolathoz.

További információért tekintse át a következő dokumentációt:

Előfeltételek

Szüksége lesz egy új vagy meglévő Azure-beli virtuális hálózatra, amely delegálás nélküli alhálózatot tartalmaz. Ez az alhálózat magánhálózati IP-címek virtuális hálózatból való üzembe helyezésére és lefoglalásra használható.

További információért tekintse át a következő dokumentációt:

Bejövő forgalom beállítása privát végpontokon keresztül

A munkafolyamat bejövő forgalmának biztonságossá tennie az alábbi magas szintű lépéseket:

  1. Indítsa el a munkafolyamatot egy beépített eseményindítóval, amely képes fogadni és kezelni a bejövő kéréseket, például a Kérés eseményindítóval vagy a HTTP + Webhook eseményindítóval. Ez az eseményindító beállítja a munkafolyamatot egy hívható végponttal.

  2. Adjon hozzá egy privát végpontot a virtuális hálózathoz.

  3. Teszthívások a végponthoz való hozzáférés ellenőrzésére. A logikai alkalmazás munkafolyamatának a végpont beállítása után való hívásához csatlakoztatnia kell a virtuális hálózatot.

A privát végpontokon keresztül bejövő forgalom előfeltételei

A legfelső szintű előfeltételekben a virtuális hálózat beállítása mellett egy új vagy meglévő egybérlős logikaialkalmazás-munkafolyamatra is szükség van, amely egy beépített eseményindítóval kezdődik, amely képes kéréseket fogadni.

A Kérés eseményindító például létrehoz egy végpontot a munkafolyamaton, amely fogadni és kezelni tudja a más hívóktól, köztük a munkafolyamattól beérkező kéréseket. Ez a végpont biztosít egy URL-címet, amely a munkafolyamat hívásához és aktiválásához használható. Ebben a példában a lépések a Kérés eseményindítóval folytatódnak.

További információért tekintse át a következő dokumentációt:

A munkafolyamat létrehozása

  1. Ha még nem, hozzon létre egy egybérlős logikai alkalmazást és egy üres munkafolyamatot.

  2. Miután megnyílik a tervező, adja hozzá a Kérelem eseményindítót a munkafolyamat első lépéseként.

    Megjegyzés

    A Request eseményindítókat és a webhook-eseményindítókat csak a virtuális hálózaton belülről hívhatja meg. A felügyelt API-webhook eseményindítói és műveletei nem fognak működni, mert nyilvános végpontra van szükségük a hívások fogadásához.

  3. A forgatókönyv követelményei alapján adjon hozzá további műveleteket, amelyek a munkafolyamatban futtatni kívántak.

  4. Ha végzett, mentse a munkafolyamatot.

További információ: Create single-tenant logic app workflows in Azure Logic Apps.

A végpont URL-címének másolása

  1. A munkafolyamat menüjében válassza az Áttekintés lehetőséget.

  2. Az Áttekintés lapon másolja ki és mentse a munkafolyamat URL-címét későbbi használatra.

    A munkafolyamat aktiválásához erre az URL-címre kell hívnia vagy küldenie egy kérést.

  3. Az URL-cím hívásával vagy az URL-címre küldött kérés küldésével győződjön meg arról, hogy az URL működik. Bármilyen eszközt használhat, például Postmant.

Privát végpont kapcsolatának beállítása

  1. A logikai alkalmazás menüjében, a Gépház válassza a Hálózat lehetőséget.

  2. A Hálózat lap Privát végpont kapcsolataiterületen válassza a Privát végpont kapcsolatainak konfigurálása lehetőséget.

  3. A Privát végpont kapcsolatai lapon válassza a Hozzáadás lehetőséget.

  4. A megnyíló Privát végpont hozzáadása panelen adja meg a végpont kért adatait.

    További információ: Privát végpont tulajdonságai.

  5. Miután az Azure sikeresen ki lett ásva a privát végpont, próbálkozzon újra a munkafolyamat URL-címének hívásával.

    Ezúttal egy várt hibaüzenetet kap, ami azt jelenti, hogy a privát végpont be van állítva 403 Forbidden és megfelelően működik.

  6. Annak érdekében, hogy a kapcsolat megfelelően működik, hozzon létre egy virtuális gépet ugyanabban a virtuális hálózatban, amely a privát végponttal rendelkezik, majd próbálja meg hívni a logikai alkalmazás munkafolyamatát.

A privát végpontokon keresztül bejövő forgalommal kapcsolatos szempontok

  • Ha a virtuális hálózaton kívülről fér hozzá, a figyelési nézet nem fér hozzá az eseményindítók és műveletek bemenetéhez és kimenetéhez.

  • Az üzembe helyezés Visual Studio Code-ból vagy az Azure CLI-ről csak a virtuális hálózaton belülről működik. Az üzembe helyezési központtal összekapcsolhatja a logikai alkalmazást egy GitHub-re. Ezután az Azure-infrastruktúrával felépítheti és üzembe helyezheti a kódot.

    Ahhoz, GitHub integráció működjön, távolítsa el a beállítást a logikai alkalmazásból, vagy állítsa WEBSITE_RUN_FROM_PACKAGE a értékét 0 értékre.

  • A Private Link nincs hatással a kimenő forgalomra, amely továbbra is áthalad a App Service infrastruktúrán.

Kimenő forgalom beállítása privát végpontokon keresztül

A logikai alkalmazásból kimenő forgalom biztonságossá tehető, ha integrálja a logikai alkalmazást egy virtuális hálózattal. Alapértelmezés szerint a logikai alkalmazásból kimenő forgalmat csak a hálózati biztonsági csoportok (NSG-k) és a felhasználó által megadott útvonalak (UDR-ek) érintik, amikor egy magánhálózati címre (például , vagy ) nak ad vissza 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 forgalmat.

Ha saját DNS-t használ a virtuális hálózattal, állítsa a logikai alkalmazás erőforrásának alkalmazásbeállítását a WEBSITE_DNS_SERVER DNS IP-címére. Ha van másodlagos DNS-címe, adjon hozzá egy másik, nevű alkalmazásbeállítást, és állítsa az értéket is a WEBSITE_DNS_ALT_SERVER DNS IP-címének értékre. Emellett frissítse a DNS-rekordokat úgy, hogy a privát végpontokat a belső IP-címre mutassák. A privát végpontok úgy működnek, hogy a DNS-kereséseket a privát címre küldik, nem az adott erőforrás nyilvános címére. További információ: Privát végpontok – Alkalmazás integrálása Azure-beli virtuális hálózattal.

Fontos

Ahhoz, Azure Logic Apps futásidejű rendszer működjön, folyamatos kapcsolatot kell létesítenie a háttértárhellyel. Ahhoz, hogy az Azure-ban üzemeltetett felügyelt összekötők működjön, folyamatos kapcsolatot kell létesítenie a felügyelt API-szolgáltatással.

A privát végpontokon keresztüli kimenő forgalommal kapcsolatos szempontok

A virtuális hálózat integrációjának beállítása csak a kimenő forgalmat érinti. A nyilvános végpontot továbbra is App Service bejövő forgalom biztonságossá App Service privát végpontokon keresztüli bejövő forgalom beállítását ismertető ismertetőt.

További információért tekintse át a következő dokumentációt:

Csatlakozás privát végpontokkal a tárfiókba

Korlátozhatja a tárfiókok hozzáférését, így csak a virtuális hálózaton belüli erőforrások csatlakozhatnak. Az Azure Storage támogatja privát végpontok hozzáadását a tárfiókhoz. A logikai alkalmazás munkafolyamatai ezután ezekkel a végpontokkal kommunikálhatnak a tárfiókkal. További információ: Privát végpontok használataaz Azure Storage.

Megjegyzés

A következő lépésekhez ideiglenesen engedélyezni kell a nyilvános hozzáférést a tárfiókon. Ha a szervezet szabályzata miatt nem tudja engedélyezni a nyilvános hozzáférést, akkor is üzembe helyezheti a logikai alkalmazást egy privát tárfiókkal. Az üzembe helyezéshez azonban Azure Resource Manager sablont (ARM-sablont) kell használnia. Arm-példasablonért tekintse meg a logikai alkalmazás privát végpontokkal védett tárfiókkal való üzembe helyezését ismertető ismertetőt.

  1. Különböző privát végpontokat hozhat létre a Table, Queue, Blob és File Storage szolgáltatásokhoz.

  2. Engedélyezze az ideiglenes nyilvános hozzáférést a tárfiókon a logikai alkalmazás üzembe helyezésekor.

    1. A Azure Portalnyissa meg a tárfiók erőforrását.

    2. A tárfiók erőforrásmenüje Biztonság + hálózat alatt válassza a Hálózat lehetőséget.

    3. A Hálózat panel Tűzfalak és virtuális hálózatok lapjának Hozzáférés engedélyezése innen csoportjában válassza a Minden hálózat lehetőséget.

  3. A logikai alkalmazás erőforrásának üzembe helyezéséhez használja a Azure Portal vagy Visual Studio Code-et.

  4. Az üzembe helyezés befejezése után engedélyezze a logikai alkalmazás és a tárfiókhoz csatlakozó virtuális hálózat vagy alhálózat privát végpontjai közötti integrációt.

    1. A Azure Portalnyissa meg a logikai alkalmazás erőforrását.

    2. A logikai alkalmazás erőforrásmenüje alatt, a Gépház válassza a Hálózat lehetőséget.

    3. Állítsa be a logikai alkalmazás és a privát végpontok IP-címei közötti szükséges kapcsolatokat.

    4. A logikai alkalmazás munkafolyamat-adatainak virtuális hálózaton keresztüli eléréséhez a logikai alkalmazás erőforrás-beállításainál állítsa a WEBSITE_CONTENTOVERVNET beállítást a következőre: 1 .

    Ha saját DNS-t használ a virtuális hálózattal, állítsa a logikai alkalmazás erőforrásának alkalmazásbeállítását a WEBSITE_DNS_SERVER DNS IP-címére. Ha másodlagos DNS-ével is van, adjon hozzá egy másik, nevű alkalmazásbeállítást, és állítsa az értéket is a WEBSITE_DNS_ALT_SERVER DNS IP-címéhez. Emellett frissítse a DNS-rekordokat, hogy a privát végpontok a belső IP-címre mutasson. A privát végpontok úgy működnek, hogy a DNS-kereséseket a privát címre küldik, nem az adott erőforrás nyilvános címére. További információ: Privát végpontok – Alkalmazás integrálása Azure-beli virtuális hálózattal.

  5. Az alkalmazásbeállítások alkalmazása után eltávolíthatja a nyilvános hozzáférést a tárfiókból.

Következő lépések