Connessione alle reti virtuali di Azure da App per la logica di Azure usando un ambiente del servizio di integrazione (ISE)

Scopo Tag del servizio di origine o indirizzi IP Porte di origine Tag del servizio di destinazione o indirizzi IP Porte di destinazione Note
Comunicazione tra subnet in una rete virtuale Spazio degli indirizzi per la rete virtuale con subnet ISE * Spazio degli indirizzi per la rete virtuale con subnet ISE * Necessarie per il flusso del traffico tra le subnet nella rete virtuale.

Importante: Per il flusso del traffico tra i componenti in ogni subnet, assicurarsi di aprire tutte le porte all'interno di ogni subnet.

Both:

Comunicazione con l'app per la logica

Cronologia di esecuzione dell'app per la logica

ISE interno:
VirtualNetwork

ISE esterno: Internet o vedere Note

* VirtualNetwork 443 Invece di usare il tag del servizio Internet, è possibile specificare l'indirizzo IP di origine per questi elementi:

- Il computer o il servizio che chiama qualsiasi trigger o webhook di richiesta nell'app per la logica

- Il computer o il servizio da cui si vuole accedere alla cronologia di esecuzioni dell'app per la logica

Importante: La chiusura o il blocco di questa porta impedisce le chiamate alle app per la logica con trigger o webhook di richiesta. Viene impedito anche l'accesso a input e output per ogni passaggio nella cronologia di esecuzione. Tuttavia, non viene impedito l'accesso alla cronologia di esecuzioni dell'app per la logica.

Progettazione app per la logica: proprietà dinamiche LogicAppsManagement * VirtualNetwork 454 Le richieste provengono dagli indirizzi IP in ingresso dell’endpoint di accesso di App per la logica per tale area.

Importante:se si lavora con Azure per enti pubblici cloud, il tag del servizio LogicAppsManagement non funzionerà. È invece necessario specificare gli indirizzi IP in ingresso di App per la logica per Azure per enti pubblici.

Controllo integrità della rete LogicApps * VirtualNetwork 454 Le richieste provengono dagli indirizzi IP in ingresso e gli indirizzi IP in uscita dell’endpoint di accesso di App per la logica per tale area.

Importante:se si lavora con Azure per enti pubblici cloud, il tag del servizio LogicApps non funzionerà. È invece necessario specificare sia gli indirizzi IP in ingresso di App per la logica che gli indirizzi IP in uscita per Azure per enti pubblici.

Distribuzione dei connettori AzureConnectors * VirtualNetwork 454 Obbligatoria per distribuire e aggiornare i connettori. La chiusura o il blocco di questa porta causa l'esito negativo delle distribuzioni ISE e impedisce gli aggiornamenti e le correzioni del connettore.

Importante:se si lavora con Azure per enti pubblici cloud, il tag del servizio AzureConnectors non funzionerà. È invece necessario fornire gli indirizzi IP in uscita del connettore gestito per Azure per enti pubblici.

Dipendenza da Gestione del servizio app AppServiceManagement * VirtualNetwork 454, 455
Comunicazione da Gestione traffico di Azure AzureTrafficManager * VirtualNetwork ISE interno: 454

ISE esterno: 443

Both:

Distribuzione dei criteri dei connettori

Gestione API - endpoint di gestione

APIManagement * VirtualNetwork 3443 Per la distribuzione dei criteri dei connettori, l’accesso alla porta è obbligatorio per distribuire e aggiornare i connettori. La chiusura o il blocco di questa porta causa l'esito negativo delle distribuzioni ISE e impedisce gli aggiornamenti e le correzioni del connettore.
Istanze di accesso Cache Azure per Redis tra Role Instances VirtualNetwork * VirtualNetwork 6379 - 6383 e vedere le Note Per fare in modo che l’ISE funzioni con Cache di Azure per Redis, è necessario aprire queste porte in uscita e in ingresso descritte dalle Domande frequenti su Cache Redis di Azure.

Regole di sicurezza in uscita

Scopo Tag del servizio di origine o indirizzi IP Porte di origine Tag del servizio di destinazione o indirizzi IP Porte di destinazione Note
Comunicazione tra subnet in una rete virtuale Spazio degli indirizzi per la rete virtuale con subnet ISE * Spazio degli indirizzi per la rete virtuale con subnet ISE * Necessarie per il flusso del traffico tra le subnet nella rete virtuale.

Importante: Per il flusso del traffico tra i componenti in ogni subnet, assicurarsi di aprire tutte le porte all'interno di ogni subnet.

Comunicazione dall'app per la logica VirtualNetwork * Internet 443, 80 Questa regola è necessaria per la verifica del certificato SSL (Secure Socket Layer). Questo controllo è per vari siti interni ed esterni, motivo per cui Internet è necessario come destinazione.
Comunicazione dall'app per la logica VirtualNetwork * Varia in base alla destinazione Varia in base alla destinazione Le porte di destinazione variano in base agli endpoint per i servizi esterni con cui l'app per la logica deve comunicare.

Ad esempio, la porta di destinazione è la porta 25 per un servizio SMTP, la porta 22 per un servizio SFTP e così via.

Azure Active Directory VirtualNetwork * AzureActiveDirectory 80, 443
Dipendenza da Archiviazione di Azure VirtualNetwork * Storage 80, 443, 445
Gestione delle connessioni VirtualNetwork * AppService 443
Pubblicare le metriche dei log di & diagnostica VirtualNetwork * AzureMonitor 443
Dipendenza Azure SQL VirtualNetwork * SQL 1433
Integrità risorse di Azure VirtualNetwork * AzureMonitor 1886 Obbligatoria per la pubblicazione dello stato di integrità in Integrità risorse.
Dipendenza dal criterio Registra a Hub eventi e dall'agente di monitoraggio VirtualNetwork * EventHub 5672
Istanze di accesso Cache Azure per Redis tra Role Instances VirtualNetwork * VirtualNetwork 6379 - 6383 e vedere le Note Per fare in modo che l’ISE funzioni con Cache di Azure per Redis, è necessario aprire queste porte in uscita e in ingresso descritte dalle Domande frequenti su Cache Redis di Azure.
Risoluzione dei nomi DNS VirtualNetwork * Indirizzi IP per qualsiasi Domain Name System (DNS) personalizzato nella rete virtuale 53 Obbligatorio solo quando si usano server DNS personalizzati nella rete virtuale

Inoltre, è necessario aggiungere regole in uscita per ambiente del servizio app (ASE):

  • Se si usa Firewall di Azure, è necessario configurare il firewall con il tag del nome di dominio completo (FQDN)dell'ambiente del servizio app (ASE), che consente l'accesso in uscita al traffico della piattaforma dell'ase.

  • Se si usa un'appliance firewall diversa da Firewall di Azure, è necessario configurare il firewall con tutte le regole elencate nelle dipendenze di integrazione del firewall necessarie per ambiente del servizio app.

Requisiti per il tunneling forzato

Se si configura o si usa il tunneling forzato attraverso il firewall, è necessario consentire dipendenze esterne aggiuntive per l'ISE. Il tunneling forzato consente di reindirizzare il traffico associato a Internet a un hop successivo designato, ad esempio la rete privata virtuale (VPN) o a un'appliance virtuale, anziché a Internet, in modo da poter controllare e controllare il traffico di rete in uscita.

Se non si consente l'accesso per queste dipendenze, la distribuzione dell'ISE ha esito negativo e l'ISE distribuito smette di funzionare.

Creare l'ISE

  1. Nel riquadro portale di Azure, nella casella di ricerca principale di Azure immettere come filtro e selezionare Ambienti del servizio di integrazione.

    Find and select

  2. Nel riquadro Ambienti del servizio di integrazione, selezionare Aggiungi.

    Select

  3. Specificare questi dettagli per l'ambiente, quindi selezionare Rivedi e crea, ad esempio:

    Provide environment details

    Proprietà Obbligatoria valore Descrizione
    Sottoscrizione <<> Sottoscrizione di Azure da usare per l'ambiente
    Gruppo di risorse <<> Un gruppo di risorse di Azure nuovo o esistente in cui si desidera creare l'ambiente
    Nome dell'ambiente del servizio di integrazione <<> Il nome dell'ISE, che può contenere solo lettere, numeri, trattini (-), caratteri di sottolineatura (_) e punti (.).
    Posizione <<> L'area del datacenter di Azure in cui distribuire l'ambiente
    SKU Premium o Developer (nessun contratto di servizio) SKU ISE da creare e usare. Per le differenze tra questi SKU, vedere SKU ISE.

    Importante: Questa opzione è disponibile solo in fase di creazione di ISE e non può essere modificata in un secondo momento.

    Capacità aggiuntiva Premium:

    Developer:
    Non applicabile

    Premium:
    da 0 a 10

    Developer:
    Non applicabile

    Numero di unità di elaborazione aggiuntive da usare per questa risorsa ISE. Per aggiungere la capacità dopo la creazione, vedere Aggiungere la capacità ISE.
    Endpoint di accesso Interno o Esterno Tipo di endpoint di accesso da usare per l’ISE. Questi endpoint determinano se i trigger o webhook di richiesta nelle app per la logica nell’ISE possono ricevere chiamate dall'esterno della rete virtuale.

    Ad esempio, se si vogliono usare i trigger basati sul webhook seguenti, assicurarsi di selezionare Esterno:

    - Azure DevOps
    - Griglia di eventi di Azure
    - Common Data Service
    - Office 365
    - SAP (versione ISE)

    La selezione influisce anche sul modo in cui è possibile visualizzare e accedere agli input e agli output nella cronologia di esecuzione delle app per la logica. Per altre informazioni, vedere Accesso endpoint dell’ISE.

    Importante: È possibile selezionare l'endpoint di accesso solo durante la creazione dell’ISE e non è possibile modificare questa opzione in un secondo momento.

    Rete virtuale <<> La rete virtuale di Azure in cui si desidera collegare l'ambiente in modo che le app per la logica in quell'ambiente possano accedere alla rete virtuale. Se non si dispone di una rete, creare prima una rete virtuale di Azure.

    Importante: È possibile seguire questo collegamento solo quando si crea l'ISE.

    Subnet <<> Un ISE richiede quattro subnet vuote, necessarie per la creazione e la distribuzione di risorse nell'ISE e usate dai componenti interni di App per la logica, ad esempio i connettori e la memorizzazione nella cache per le prestazioni.

    Importante:assicurarsi di esaminare i requisiti della subnet prima di continuare con questi passaggi per creare le subnet.

    Creare subnet

    L'ISE richiede quattro subnet vuote, necessarie per creare e distribuire risorse nell'ISE e vengono usate dai componenti interni di App per la logica, ad esempio connettori e memorizzazione nella cache per le prestazioni. Non è possibile modificare gli indirizzi di queste subnet dopo aver creato l'ambiente. Se si crea e si distribuisce l'ISE tramite il portale di Azure, assicurarsi di non delegare queste subnet ai servizi di Azure. Tuttavia, se si crea e distribuisce l'ISE tramite l'API REST, Azure PowerShell o un modello Azure Resource Manager, è necessario delegare una subnet vuota a . Per altre informazioni, vedere Aggiungere una delega di subnet.

    Ogni subnet deve soddisfare questi requisiti:

    • Usa un nome che inizia con un carattere alfabetico o un carattere di sottolineatura (senza numeri) e non usa questi caratteri: < , , , , , , >%&\\?/ .

    • Usa il formato CIDR (Classless Inter-Domain Routing).

      Importante

      Non usare gli spazi di indirizzi IP seguenti per la rete virtuale o le subnet perché non sono risolvibili da App per la logica di Azure:

      • 0.0.0.0/8
      • 100.64.0.0/10
      • 127.0.0.0/8
      • 168.63.129.16/32
      • 169.254.169.254/32
    • Usa un /27 nello spazio degli indirizzi perché ogni subnet richiede 32 indirizzi. Ad esempio, 10.0.0.0/27 ha 32 indirizzi perché 210.0.0.0/27 è 25 o 32. Altri indirizzi non offrono vantaggi aggiuntivi. Per altre informazioni sul calcolo degli indirizzi, vedere Blocchi CIDR IPv4.

    • Se si usa ExpressRoute, è necessario creare una tabella di route con la route seguente e collegare tale tabella a ogni subnet usata dall’ISE:

      Nome:route-name
      Prefisso indirizzo: 0.0.0.0/0
      Hop successivo: Internet

    1. Nell'elenco Subnet, selezionare Gestisci configurazione subnet.

      Manage subnet configuration

    2. Nel riquadro Subnet, scegliere Subnet.

      Add four empty subnets

    3. Nel riquadro Aggiungi subnet, specificare queste informazioni.

      • Name: Nome per la subnet
      • Intervallo di indirizzi (blocco CIDR) : L'intervallo di subnet nella rete virtuale e nel formato CIDR

      Add subnet details

    4. Al termine, fare clic su OK.

    5. Ripetere questi passaggi per altre tre subnet.

      Nota

      Se le subnet che si tenta di creare non sono valide, il portale di Azure visualizza un messaggio, ma non blocca lo stato di avanzamento.

    Per altre informazioni sulle creazione di subnet, vedere Aggiungere una subnet di rete virtuale.

  4. Dopo l'avvenuta convalida da parte di Azure delle informazioni dell'ISE, selezionare Crea, ad esempio:

    After successful validation, select

    Azure avvia la distribuzione dell'ambiente, che in genere richiede due ore per il completamento. In alcuni casi, la distribuzione potrebbe richiedere fino a quattro ore. Per controllare lo stato della distribuzione, sulla barra degli strumenti di Azure, selezionare l'icona delle notifiche, che consente di aprire il riquadro notifiche.

    Check deployment status

    Se la distribuzione avviene con successo, Azure Mostra questa notifica:

    Deployment succeeded

    In caso contrario, seguire le istruzioni portale di Azure per la risoluzione dei problemi di distribuzione.

    Nota

    Se la distribuzione non riesce o si elimina l'ISE, Azure potrebbe richiedere fino a un'ora o, in rari casi, più tempo prima di rilasciare le subnet. Potrebbe quindi essere necessario attendere prima di poter riutilizzare tali subnet in un altro ISE.

    Se si elimina la rete virtuale, Azure impiega in genere fino a due ore per rilasciare le subnet, ma questa operazione potrebbe richiedere più tempo. Quando si eliminano le reti virtuali, assicurarsi che non ci siano risorse ancora connesse. Vedere Eliminare la rete virtuale.

  5. Per visualizzare l'ambiente, selezionare Vai alla risorsa se Azure non mostra automaticamente l'ambiente al termine della distribuzione.

  6. Per un ISE con accesso agli endpoint esterni, è necessario creare un gruppo di sicurezza di rete, se non è già disponibile. È necessario aggiungere una regola di sicurezza in ingresso al gruppo di sicurezza di rete per consentire il traffico dagli indirizzi IP in uscita del connettore gestito. Per configurare questa regola, seguire questa procedura:

    1. Nel menu ISE, inImpostazioni selezionare Proprietà.

    2. In Indirizzi IP in uscita delconnettore copiare gli intervalli di indirizzi IP pubblici, visualizzati anche in questo articolo Limiti e configurazione - Indirizzi IP in uscita.

    3. Creare un gruppo di sicurezza di rete, se non ne è già presente uno.

    4. In base alle informazioni seguenti, aggiungere una regola di sicurezza in ingresso per gli indirizzi IP in uscita pubblici copiati. Per altre informazioni, vedere Esercitazione: Filtrare il traffico di rete con ungruppo di sicurezza di rete usando portale di Azure .

      Scopo Tag del servizio di origine o indirizzi IP Porte di origine Tag del servizio di destinazione o indirizzi IP Porte di destinazione Note
      Consentire il traffico dagli indirizzi IP in uscita del connettore <<> * Spazio degli indirizzi per la rete virtuale con subnet ISE *
  7. Per verificare lo stato di integrità della rete per l’ISE, vedere Gestire l'ambiente del servizio di integrazione.

    Attenzione

    Se la rete dell'ISE diventa non integra, anche il ambiente del servizio app interno usato dall'ISE può diventare non integro. Se l'app app non è integra per più di sette giorni, l'app viene sospesa. Per risolvere questo stato, controllare la configurazione della rete virtuale. Risolvere eventuali problemi individuati e quindi riavviare l'ISE. In caso contrario, dopo 90 giorni, l'app app sospesa viene eliminata e l'ISE diventa inutilizzabile. Assicurarsi quindi di mantenere l'ISE integro per consentire il traffico necessario.

    Per altre informazioni, vedere gli argomenti seguenti:

  8. Per iniziare a creare app per la logica e altri artefatti nell’ISE, vedere Aggiungere risorse agli ambienti del servizio di integrazione.

    Importante

    Dopo aver creato l'ISE, i connettori ISE gestiti diventano disponibili per l'uso, ma non vengono visualizzati automaticamente nel selettore connettore in Progettazione app per la logica. Prima di poter usare questi connettori ISE, è necessario aggiungere e distribuire manualmente questi connettori nell'ISE in modo che vengano visualizzati in Progettazione app per la logica.

Passaggi successivi

Per gli scenari in cui le app per la logica e gli account di integrazione devono accedere a una rete virtuale di Azure, creare un ambiente del servizio di integrazione (ISE). Un ISE è un ambiente che usa risorse di archiviazione dedicate e altre risorse che vengono mantenute separate dal servizio app per la logica multi-tenant "globale". Questa separazione riduce anche qualsiasi impatto che altri tenant di Azure possono avere sulle prestazioni delle app create. Un ISE fornisce anche indirizzi IP statici. Tali indirizzi IP sono separati dagli indirizzi IP statici condivisi dalle app per la logica nel servizio multi-tenant pubblico.

Durante la creazione di un ISE, Azure inserisce tale ISE alla rete virtuale di Azure, che quindi distribuisce il servizio App per la logica nella rete virtuale. Quando si crea un'app per la logica o un account di integrazione, selezionare l’ISE come posizione per l'app o l'account. L'app per la logica o l'account di integrazione può quindi accedere direttamente alle risorse, ad esempio alle macchine virtuali (VM), ai server, ai sistemi e ai servizi della rete virtuale in uso.

Select integration service environment

Importante

Per fare in modo che le app per la logica e gli account di integrazione interagiscano tra logo in un ISE, è necessario che entrambi usino lo stesso ISE come propria posizione.

Un ISE ha aumentato i limiti per:

  • Durata esecuzione
  • Conservazione in risorsa di archiviazione
  • Velocità effettiva
  • Timeout di richiesta e risposta HTTP
  • Dimensioni dei messaggi
  • Richieste di connettori personalizzati

Per altre informazioni, vedere Limiti e configurazione per App per la logica di Azure. Per altre informazioni sugli ISE, vedere Accedere alle risorse della rete virtuale di Azure da app per la logica di Azure.

Questo articolo spiega come completare queste attività usando il portale di Azure:

  • Abilitare l'accesso per l'ISE.
  • Creare l'ISE.
  • Aggiungere capacità aggiuntiva all’ISE.

È anche possibile creare un ISE usando il modello di avvio rapido di Azure Resource Manager di esempio o usando l'API REST App per la logica, inclusa la configurazione delle chiavi gestite dal cliente:

Prerequisiti

  • Un account e una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, iscriversi per creare un account Azure gratuito.

    Importante

    Le app per la logica, i trigger predefiniti, le azioni predefinite e i connettori eseguiti nell'ambiente del servizio di integrazione usano un piano tariffario diverso da quello con pagamento in base al consumo. Per informazioni sul funzionamento dei prezzi e della fatturazione per gli ISE, vedere il Modello di determinazione prezzi delle app per la logica. Per informazioni sui prezzi, vedere Prezzi di App per la logica.

  • Una rete virtuale di Azure con quattro subnet vuote, necessarie per la creazione e la distribuzione di risorse nell'ISE e usate da questi componenti interni e nascosti:

    • Calcolo di App per la logica
    • Connessione ambiente del servizio app (connettori)
    • Connettori API Management interni
    • Redis interno per la memorizzazione nella cache e le prestazioni

    È possibile creare le subnet in anticipo o quando si crea l'ISE in modo da poter creare le subnet contemporaneamente. Tuttavia, prima di creare le subnet, assicurarsi di esaminare i requisiti della subnet.

    • Assicurarsi che la rete virtuale consenta l'accesso per l’ISE in modo che l’ISE possa funzionare correttamente e rimanere accessibile.

    • Se si usa un'appliancevirtuale di rete , assicurarsi di non abilitare la terminazione TLS/SSL o di modificare il traffico TLS/SSL in uscita. Assicurarsi inoltre di non abilitare l'ispezione del traffico proveniente dalla subnet dell'ISE. Per altre informazioni, vedere Routing del traffico di rete virtuale.

    • Se si vogliono usare server DOMAIN NAME SYSTEM (DNS) personalizzati per la rete virtuale di Azure, configurare tali server seguendo questa procedura prima di distribuire l'ISE nella rete virtuale. Per altre informazioni sulla gestione delle impostazioni del server DNS, vedere Creare, modificare o eliminare una rete virtuale

      Nota

      Se si modificano le impostazioni del server DNS o del server DNS, è necessario riavviare l'ISE in modo che possa prelevare tali modifiche. Per altre informazioni, vedere Riavviare l’ISE.

Abilitare l'accesso per l'ISE

Quando si usa un ISE con una rete virtuale di Azure, un problema di configurazione comune è la presenza di una o più porte bloccate. I connettori utilizzati per la creazione di connessioni tra l'ISE e il sistema di destinazione potrebbero avere requisiti propri per le porte. Ad esempio, se si comunica con un sistema FTP usando il connettore FTP, la porta utilizzata nel sistema FTP deve essere disponibile, ad esempio la porta 21 per l'invio di comandi.

Per assicurarsi che l’ISE sia accessibile e che le app per la logica in tale ISE siano in grado di comunicare su ogni subnet della rete virtuale, aprire le porte descritte in questa tabella per ogni subnet. Se le porte obbligatorie non sono disponibili, l’ISE non funzionerà correttamente.

  • Se sono presenti più istanze dell’ISE che necessitano dell’accesso ad altri endpoint con restrizioni IP, distribuire un Firewall di Azure o un'appliance virtuale di rete nella rete virtuale e instradare il traffico in uscita attraverso il firewall o l'appliance virtuale di rete. È quindi possibile configurare un indirizzo IP singolo, in uscita, pubblico, statico e prevedibile che tutte le istanze dell’ISE nella rete virtuale possano usare per comunicare con i sistemi di destinazione. In questo modo, non è necessario configurare ulteriori apertura del firewall in tali sistemi di destinazione per ogni ISE.

    Nota

    È possibile usare questo approccio per un singolo ISE quando lo scenario richiede la limitazione del numero di indirizzi IP che richiedono l'accesso. Valutare se i costi aggiuntivi per il firewall o l'appliance di rete virtuale sono sensato per lo scenario. Altre informazioni su Prezzi del servizio Firewall di Azure.

  • Se è stata creata una nuova rete virtuale di Azure e le subnet senza vincoli, non è necessario configurare gruppi di sicurezza di rete (NSG) nella rete virtuale per controllare il traffico tra le subnet.

  • Per una rete virtuale esistente, è possibile facoltativamente configurare gruppi di sicurezza di rete (NSG) per filtrare il traffico di rete tra subnet. Se si vuole passare a questa route o se si sta già usando NSG, assicurarsi di aprire le porte descritte in questa tabella per tali NSG.

    Quando si configurano regole di sicurezza NSG, è necessario utilizzare entrambi i protocolli TCP e UDP oppure è possibile seleziona invece Qualsiasi in modo da non dover creare regole separate per ogni protocollo. Le regole di sicurezza NSG descrivono le porte che è necessario aprire per gli indirizzi IP che necessitano dell'accesso a tali porte. Assicurarsi che eventuali firewall, router o altri elementi presenti tra questi endpoint mantengano tali porte accessibili a tali indirizzi IP.

  • Se si configura il tunneling forzato attraverso il firewall per reindirizzare il traffico associato a Internet, esaminare i requisiti di tunneling forzato.

Porte di rete usate dall’ISE

Questa tabella descrive le porte necessarie all’ISE per essere accessibile e lo scopo di tali porte. Per ridurre la complessità quando si configurano le regole di sicurezza, nella tabella vengono usati tag del servizio che rappresentano gruppi di prefissi di indirizzi IP per un servizio di Azure specifico. Ove indicati, ISE interno e ISE esterno si riferiscono all’endpoint di accesso selezionato durante la creazione dell’ISE. Per altre informazioni, vedere Accesso endpoint

Importante

Per tutte le regole, assicurarsi di impostare le porte di origine su * perché le porte di origine sono temporanee.

Regole di sicurezza in ingresso