Accesso alle reti virtuali di Azure App per la logica di Azure un ambiente del servizio di integrazione (ISE)

In alcuni casi, i flussi di lavoro dell'app per la logica devono accedere a risorse protette, ad esempio macchine virtuali (VM) e altri sistemi o servizi, all'interno o connessi a una rete virtuale di Azure. Per accedere direttamente a queste risorse da flussi di lavoro in genere eseguiti in App per la logica di Azure multi-tenant, è possibile creare ed eseguire le app per la logica in un ambiente del servizio di integrazione (ISE). Un ISE è in realtà un'istanza di App per la logica di Azure che viene eseguita separatamente su risorse dedicate, oltre all'ambiente globale multi-tenant di Azure, e non archivia, elabora o replica i dati all'esterno dell'area in cui si distribuisce l'ISE.

Ad esempio, alcune reti virtuali di Azure usano endpoint privati (collegamento privato di Azure) per fornire l'accesso ai servizi PaaS di Azure, ad esempio Archiviazione di Azure, database di Azure Cosmos o database SQL di Azure, servizi partner o servizi clienti ospitati in Azure. Se i flussi di lavoro dell'app per la logica richiedono l'accesso alle reti virtuali che usano endpoint privati, sono disponibili le opzioni seguenti:

  • Se si vogliono sviluppare flussi di lavoro usando il tipo di risorsa App per la logica (consumo) e i flussi di lavoro devono usare endpoint privati, è necessario creare, distribuire ed eseguire le app per la logica in un ISE. Per altre informazioni, vedere Connessione alle reti virtuali di Azure da App per la logica di Azure usando un ambiente del servizio di integrazione (ISE).

  • Se si vogliono sviluppare flussi di lavoro usando il tipo di risorsa App per la logica (Standard) e i flussi di lavoro devono usare endpoint privati, non è necessario un ISE. I flussi di lavoro possono invece comunicare in modo privato e sicuro con le reti virtuali usando endpoint privati per il traffico in ingresso e l'integrazione della rete virtuale per il traffico in uscita. Per altre informazioni, vedere Secure traffic between virtual networks and single-tenant App per la logica di Azure using private endpoints.

Per altre informazioni, esaminare le differenze tra gli ambienti multi-tenant App per la logica di Azure e gli ambienti del servizio di integrazione.

Funzionamento di un ISE con una rete virtuale

Quando si crea un ISE, si seleziona la rete virtuale di Azure in cui si vuole che Azure inserisca o distribuisca l'ISE. Quando si creano app per la logica e account di integrazione che necessitano dell'accesso a questa rete virtuale, è possibile selezionare l'ISE come percorso host di tali app per la logica e gli account di integrazione. All'interno dell'ISE, le app per la logica vengono eseguite su risorse dedicate separatamente dalle altre nell'ambiente App per la logica di Azure multi-tenant. I dati in un ISE rimangono nella stessa area in cui si crea e distribuisce l'ISE.

Selezionare l'ambiente del servizio di integrazione

Per un maggiore controllo sulle chiavi di crittografia usate da Archiviazione di Azure, è possibile configurare, usare e gestire la propria chiave usando Azure Key Vault . Questa funzionalità è nota anche come "Bring Your Own Key" (BYOK) e la chiave è denominata "chiave gestita dal cliente". Per altre informazioni, vedere Configurare chiavi gestite dal cliente per crittografare i dati in pausa per gli ambienti del servizio di integrazione (ISE) in App per la logica di Azure.

Questa panoramica offre altre informazioni sul motivo per cui si vuole usare un'infrastruttura ISE,sulle differenze tra il servizio app per la logica dedicato e multi-tenante su come accedere direttamente alle risorse all'interno o alla connessione della rete virtuale di Azure.

Perché usare un ISE

L'esecuzione di app per la logica in un'istanza dedicata separata consente di ridurre il potenziale impatto degli altri tenant di Azure sulle prestazioni delle app nel cosiddetto effetto "noisy neighbor". Un ISE offre inoltre questi vantaggi:

  • Accesso diretto alle risorse interne o connesse alla rete virtuale

    Le app per la logica create ed eseguite in un'ise possono usare connettori progettati in modo specifico che vengono eseguiti nell'ISE. Se esiste un connettore ISE per un'origine dati o un sistema locale, è possibile connettersi direttamente senza dover usare il gateway dati locale. Per altre informazioni, vedere Confronto tra dedicato e multi-tenant e Accesso ai sistemi locali più avanti in questo argomento.

  • Accesso continuo alle risorse esterne o non connesse alla rete virtuale

    Le app per la logica create ed eseguite in un ISE possono comunque usare connettori eseguiti nel servizio App per la logica multi-tenant quando non è disponibile un connettore specifico di ISE. Per altre informazioni, vedere Dedicato e multi-tenant.

  • Disponibilità di indirizzi IP statici separati dagli indirizzi IP statici condivisi dalle app per la logica nel servizio multi-tenant. È anche possibile configurare un unico indirizzo IP in uscita pubblico, statico e prevedibile per comunicare con i sistemi di destinazione. In questo modo, non è necessario configurare ulteriori aperture del firewall in questi sistemi di destinazione per ogni ISE.

  • Aumento dei limiti per durata dell'esecuzione, conservazione dell'archiviazione, velocità effettiva, timeout di richieste e risposte HTTP, dimensioni dei messaggi e richieste di connettori personalizzati. Per altre informazioni, vedere Limiti e configurazione per App per la logica di Azure.

Dedicato e multi-tenant

Quando si creano ed eseguono app per la logica in un ambiente ISE, si ottengono le stesse esperienze utente e funzionalità simili a quelle del servizio App per la logica multi-tenant. È possibile usare tutti gli stessi trigger, azioni e connettori gestiti predefiniti disponibili nel servizio App per la logica multi-tenant. Alcuni connettori gestiti offrono versioni ISE aggiuntive. La differenza tra i connettori ISE e i connettori non ISE esiste nel punto in cui vengono eseguiti e nelle etichette presenti in Progettazione app per la logica quando si lavora all'interno di un ISE.

Connettori con e senza etichette in un ISE

  • I trigger e le azioni predefiniti, ad esempio HTTP, visualizzano l'etichetta CORE ed eseguono nello stesso ISE dell'app per la logica.

  • I connettori gestiti che visualizzano l'etichetta ISE sono appositamente progettati per le ise e vengono sempre eseguiti nello stesso ISE dell'app per la logica. Ad esempio, di seguito sono riportati alcuni connettori che offrono versioni ISE:

    • Archiviazione BLOB, Archiviazione file e Archiviazione tabelle di Azure
    • Azure bus di servizio, Code di Azure, Hub eventi di Azure
    • Automazione di Azure, Azure Key Vault, Griglia di eventi di Azure e Monitoraggio di Azure log
    • FTP, SFTP-SSH, file system e SMTP
    • SAP, IBM MQ, IBM DB2 e IBM 3270
    • SQL Server, Azure Synapse Analytics, Database Cosmos Azure
    • AS2, X12 ed EDIFACT

    Con rare eccezioni, se è disponibile un connettore ISE per un'origine dati o un sistema locale, è possibile connettersi direttamente senza usare il gateway dati locale. Per altre informazioni, vedere Accesso ai sistemi locali più avanti in questo argomento.

  • I connettori gestiti che non visualizzano l'etichetta ISE continuano a funzionare per le app per la logica all'interno di un ISE. Questi connettori vengono sempre eseguiti nel servizio App per la logica multi-tenant, non nell'ISE.

  • I connettori personalizzati creati all'esterno di un ISE, indipendentemente dal fatto che richiedano o meno il gatewaydati locale, continuano a funzionare per le app per la logica all'interno di un ISE. Tuttavia, i connettori personalizzati creati all'interno di un ISE non funzionano con il gateway dati locale. Per altre informazioni, vedere Accesso ai sistemi locali.

Accesso ai sistemi locali

Le app per la logica eseguite all'interno di un ISE possono accedere direttamente a origini dati e sistemi locali all'interno o connessi a una rete virtuale di Azure usando questi elementi:

  • Trigger o azione HTTP, che visualizza l'etichetta CORE

  • Connettore ISE, se disponibile, per un'origine dati o un sistema locale

    Se è disponibile un connettore ISE, è possibile accedere direttamente al sistema o all'origine dati senza il gateway dati locale. Tuttavia, se è necessario accedere SQL Server da un'infrastruttura ISE e usare l'autenticazione Windows, è necessario usare la versione non ISE del connettore e il gateway dati locale. La versione ISE del connettore non supporta l'Windows autenticazione. Per altre informazioni, vedere Connettori ISE e Connessione da un ambiente del servizio di integrazione.

  • Un connettore personalizzato

    • I connettori personalizzati creati all'esterno di un ISE, indipendentemente dal fatto che richiedano o meno il gatewaydati locale, continuano a funzionare per le app per la logica all'interno di un ISE.

    • I connettori personalizzati creati all'interno di un ISE non funzionano con il gateway dati locale. Tuttavia, questi connettori possono accedere direttamente ai sistemi locali e alle origini dati all'interno o connessi alla rete virtuale che ospita l'ISE. Pertanto, le app per la logica che si trovano all'interno di un ISE in genere non necessitano del gateway dati quando accedono a tali risorse.

Per accedere ai sistemi locali e alle origini dati che non dispongono di connettori ISE, sono esterni alla rete virtuale o non sono connessi alla rete virtuale, è comunque necessario usare il gateway dati locale. Le app per la logica all'interno di un ISE possono continuare a usare connettori che non hanno l'etichetta CORE o ISE. Questi connettori vengono eseguiti nel servizio App per la logica multi-tenant, anziché nell'ISE.

SKU ISE

Quando si crea l'ISE, è possibile selezionare lo SKU per sviluppatori o Premium SKU. Questa opzione SKU è disponibile solo durante la creazione di ISE e non può essere modificata in un secondo momento. Ecco le differenze tra questi SKU:

  • Developer

    Offre un ISE a basso costo che è possibile usare per l'esplorazione, gli esperimenti, lo sviluppo e i test, ma non per i test di produzione o delle prestazioni. Lo SKU per sviluppatori include trigger e azioni predefiniti, connettori Standard, connettori Enterprise e un singolo account di integrazione del livello gratuito per un prezzo mensile fisso.

    Importante

    Questo SKU non ha alcun contratto di servizio, funzionalità di scalabilità verticale o ridondanza durante il riciclo, il che significa che potrebbero verificarsi ritardi o tempi di inattività. Gli aggiornamenti back-end potrebbero interrompere il servizio in modo intermittente.

    Per informazioni sulla capacità e sui limiti, vedere Limiti ISE in App per la logica di Azure. Per informazioni sul funzionamento della fatturazione per le ISE, vedere il modello tariffario app per la logica.

  • Premium

    Fornisce un ISE che è possibile usare per i test di produzione e prestazioni. Lo SKU Premium include supporto del contratto di servizio, trigger e azioni predefiniti, connettori Standard, connettori Enterprise, un singolo account di integrazione del livello Standard, funzionalità di aumento delle dimensioni e ridondanza durante il riciclo aun prezzo mensile fisso.

    Per informazioni sulla capacità e sui limiti, vedere Limiti ISE in App per la logica di Azure. Per informazioni sul funzionamento della fatturazione per le ISE, vedere il modello tariffario app per la logica.

Accesso agli endpoint ISE

Quando si crea l'ISE, è possibile scegliere di usare endpoint di accesso interni o esterni. La selezione determina se i trigger di richiesta o webhook nelle app per la logica nell'ISE possono ricevere chiamate dall'esterno della rete virtuale. Questi endpoint influiscono anche sul modo in cui è possibile accedere agli input e agli output dalla cronologia di esecuzione delle app per la logica.

Importante

È possibile selezionare l'endpoint di accesso solo durante la creazione dell'ISE e non modificare questa opzione in un secondo momento.

  • Interno: gli endpoint privati consentono chiamate ad app per la logica nell'ISE in cui è possibile visualizzare e accedere agli input e agli output dalla cronologia delle esecuzioni delle app per la logica solo dall'interno della rete virtuale.

    Importante

    Se è necessario usare questi trigger basati su webhook e il servizio si trova all'esterno della rete virtuale e delle reti virtuali con peered, usare endpoint esterni, non endpoint interni, quando si crea l'ISE:

    • Azure DevOps
    • Griglia di eventi di Azure
    • Common Data Service
    • Office 365
    • SAP (versione multi-tenant)

    Assicurarsi inoltre di disporre della connettività di rete tra gli endpoint privati e il computer da cui si vuole accedere alla cronologia di esecuzione. In caso contrario, quando si tenta di visualizzare la cronologia di esecuzione dell'app per la logica, viene visualizzato un errore che indica "Errore imprevisto. Impossibile recuperare".

    Archiviazione di Azure un errore di azione risultante dall'impossibilità di inviare traffico attraverso il firewall

    Ad esempio, il computer client può esistere all'interno della rete virtuale dell'ISE o all'interno di una rete virtuale connessa alla rete virtuale dell'ISE tramite peering o una rete privata virtuale.

  • Esterno: gli endpoint pubblici consentono le chiamate alle app per la logica nell'ISE, dove è possibile visualizzare e accedere agli input e agli output dalla cronologia delle esecuzioni delle app per la logica dall'esterno della rete virtuale. Se si usano gruppi di sicurezza di rete( NSG), assicurarsi che siano impostati con regole in ingresso per consentire l'accesso agli input e agli output della cronologia di esecuzione. Per altre informazioni, vedere Abilitare l'accesso per ISE.

Per determinare se l'ISE usa un endpoint di accesso interno o esterno, nel menu dell'ISE in Impostazioni selezionare Proprietà e trovare la proprietà Endpoint di accesso:

Trovare l'endpoint di accesso ISE

Modello di prezzi

Le app per la logica, i trigger predefiniti, le azioni predefinite e i connettori eseguiti nell'ISE usano un piano tariffario fisso diverso dal piano tariffario basato sul consumo. Per altre informazioni, vedere Modello di determinazione prezzi di App per la logica. Per informazioni sui prezzi, vedere Prezzi di App per la logica.

Account di integrazione con ambiente del servizio di integrazione

È possibile usare gli account di integrazione con App per la logica all'interno di un ambiente del servizio di integrazione (ISE). È necessario tuttavia che gli account di integrazione usino lo stesso ISE delle app per la logica collegate. Le app per la logica in un ambiente del servizio di integrazione possono fare riferimento solo agli account di integrazione che sono nello stesso ambiente del servizio di integrazione. Quando si crea un account di integrazione, è possibile selezionare l'ambiente del servizio di integrazione come posizione per l'account di integrazione. Per informazioni sul funzionamento dei prezzi e della fatturazione per gli account di integrazione con un ISE, vedere il modello di prezzi di App per la logica. Per informazioni sui prezzi, vedere Prezzi di App per la logica. Per informazioni sui limiti, vedere Limiti dell'account di integrazione.

Passaggi successivi