Toegang tot virtuele Azure-netwerken vanuit Azure Logic Apps met behulp van een ISE (Integration Service Environment)

  • Artikel
  • 10 minuten om te lezen

Soms hebben uw werkstromen voor logische apps toegang nodig tot beveiligde resources, zoals virtuele machines (VM's) en andere systemen of services, die zich binnen of verbonden met een virtueel Azure-netwerk. Als u rechtstreeks toegang wilt krijgen tot deze resources vanuit werkstromen die meestal worden uitgevoerd in Azure Logic Apps met meerdere tenants, kunt u in plaats daarvan uw logische apps maken en uitvoeren in een ISE (Integration Service Environment). Een ISE is in feite een exemplaar van Azure Logic Apps dat afzonderlijk wordt uitgevoerd op toegewezen resources, afgezien van de globale Azure-omgeving met meerdere tenants, en geen gegevens opgeslagen, verwerkt of repliceert buiten de regio waarin u de ISE implementeert.

Sommige virtuele Azure-netwerken gebruiken bijvoorbeeld privé-eindpunten(Azure Private Link)om toegang te bieden tot Azure PaaS-services, zoals Azure Storage, Azure Cosmos DB of Azure SQL Database, partnerservices of klantservices die worden gehost in Azure. Als uw werkstromen voor logische apps toegang vereisen tot virtuele netwerken die gebruikmaken van privé-eindpunten, hebt u de volgende opties:

Bekijk de verschillen tussen multi-tenant-Azure Logic Apps en integratieserviceomgevingen voor meer informatie.

Hoe een ISE werkt met een virtueel netwerk

Wanneer u een ISE maakt, selecteert u het virtuele Azure-netwerk waarin u wilt dat Azure uw ISE injecteert of implementeert. Wanneer u logische apps en integratieaccounts maakt die toegang tot dit virtuele netwerk nodig hebben, kunt u uw ISE selecteren als hostlocatie voor deze logische apps en integratieaccounts. Binnen de ISE worden logische apps afzonderlijk uitgevoerd op toegewezen resources in de multi-tenant Azure Logic Apps omgeving. Gegevens in een ISE blijven in dezelfde regio waar u die ISE maakt en implementeert.

Integratieserviceomgeving selecteren

Voor meer controle over de versleutelingssleutels die door Azure Storage worden gebruikt, kunt u uw eigen sleutel instellen, gebruiken en beheren met behulp van Azure Key Vault. Deze mogelijkheid wordt ook wel 'Bring Your Own Key' (BYOK) genoemd en uw sleutel wordt een 'door de klant beheerde sleutel' genoemd. Zie Door de klant beheerde sleutels instellen om data-at-restte versleutelen voor ISE's (Integration Service Environments) in Azure Logic Apps.

Dit overzicht bevat meer informatie over waarom u een ISEwilt gebruiken, de verschillen tussen de toegewezen en multi-tenant Logic Apps-serviceen hoe u rechtstreeks toegang hebt tot resources die zich binnen uw virtuele Azure-netwerk of er verbinding mee maken.

Redenen om een ISE te gebruiken

Het uitvoeren van logische apps in uw eigen afzonderlijk toegewezen instantie vermindert de invloed die andere Azure-tenants mogelijk hebben op de prestaties van uw apps, ook wel het ‘lawaaierige buren’-effect genoemd. Een ISE biedt ook de volgende voordelen:

  • Directe toegang tot resources die zich binnen uw virtuele netwerk of met uw virtuele netwerk hebben verbonden

    Logische apps die u in een ISE maakt en uitvoeren, kunnen speciaal ontworpen connectors gebruiken die worden uitgevoerd in uw ISE. Als er een ISE-connector bestaat voor een on-premises systeem of gegevensbron, kunt u rechtstreeks verbinding maken zonder de on-premises gegevensgateway te gebruiken. Zie Dedicated versus multi-tenant en Access to on-premises systems verder in dit onderwerp voor meer informatie.

  • Voortdurende toegang tot resources die buiten of niet zijn verbonden met uw virtuele netwerk

    Logische apps die u in een ISE maakt en uitvoeren, kunnen nog steeds gebruikmaken van connectors die worden uitgevoerd in de Logic Apps-service met meerdere tenants wanneer er geen ISE-specifieke connector beschikbaar is. Zie Dedicated versus multi-tenant voor meer informatie.

  • Uw eigen statische IP-adressen, die zijn gescheiden van de statische IP-adressen die worden gedeeld via de logische apps in de service met meerdere tenants. U kunt ook één openbaar, statisch en voorspelbaar uitgaand IP-adres instellen om te communiceren met doelsystemen. Op deze manier hoeft u niet voor elke ISE een extra firewallopening in te stellen in deze doelsystemen.

  • Verhoogde limieten voor de uitvoeringsduur, opslagbewaring, doorvoer, time-outs voor HTTP-aanvragen en -reacties, berichtgrootten en aangepaste connectoraanvragen. Zie Informatie over limieten en configuratie voor Azure Logic Apps voor meer informatie.

Toegewezen versus multi-tenant

Wanneer u logische apps in een ISE maakt en uitvoeren, krijgt u dezelfde gebruikerservaringen en vergelijkbare mogelijkheden als de multiten tenant-Logic Apps service. U kunt dezelfde ingebouwde triggers, acties en beheerde connectors gebruiken die beschikbaar zijn in de multiten tenant Logic Apps service. Sommige beheerde connectors bieden aanvullende ISE-versies. Het verschil tussen ISE-connectors en niet-ISE-connectors zit hem in de plaats waar ze worden uitgevoerd en de labels die ze hebben in De ontwerper van logische apps wanneer u binnen een ISE werkt.

Connectors met en zonder labels in een ISE

  • Ingebouwde triggers en acties, zoals HTTP, geven het CORE-label weer en worden uitgevoerd in dezelfde ISE als uw logische app.

  • Beheerde connectors die het ISE-label weergeven, zijn speciaal ontworpen voor ISE's en worden altijd uitgevoerd in dezelfde ISE als uw logische app. Hier volgen bijvoorbeeld enkele connectors die ISE-versies bieden:

    • Azure Blob Storage, File Storage en Table Storage
    • Azure Service Bus, Azure Queues, Azure Event Hubs
    • Azure Automation-, Azure Key Vault-, Azure Event Grid- en Azure Monitor logboeken
    • FTP, SFTP-SSH, bestandssysteem en SMTP
    • SAP, IBM MQ, IBM DB2 en IBM 3270
    • SQL Server, Azure Synapse Analytics, Azure Cosmos DB
    • AS2, X12 en EDIFACT

    Met zeldzame uitzonderingen: als er een ISE-connector beschikbaar is voor een on-premises systeem of gegevensbron, kunt u rechtstreeks verbinding maken zonder de on-premises gegevensgateway te gebruiken. Zie Toegang tot on-premises systemen verder in dit onderwerp voor meer informatie.

  • Beheerde connectors die het ISE-label niet weergeven, blijven werken voor logische apps binnen een ISE. Deze connectors worden altijd uitgevoerd in de multiten tenant Logic Apps service, niet in de ISE.

  • Aangepaste connectors die u buiten een ISE maakt, ongeacht of de on-premisesgegevensgateway is vereist, blijven werken voor logische apps binnen een ISE. Aangepaste connectors die u in een ISE maakt, werken echter niet met de on-premises gegevensgateway. Zie Toegang tot on-premises systemen voor meer informatie.

Toegang tot on-premises systemen

Logische apps die in een ISE worden uitgevoerd, hebben rechtstreeks toegang tot on-premises systemen en gegevensbronnen die zich binnen of verbonden met een virtueel Azure-netwerk hebben door de volgende items te gebruiken:

  • De HTTP-trigger of -actie, waarmee het CORE-label wordt weergegeven

  • De ISE-connector, indien beschikbaar, voor een on-premises systeem of gegevensbron

    Als er een ISE-connector beschikbaar is, hebt u rechtstreeks toegang tot het systeem of de gegevensbron zonder de on-premises gegevensgateway. Als u echter toegang wilt tot SQL Server vanuit een ISE en Windows-verificatie wilt gebruiken, moet u de niet-ISE-versie van de connector en de on-premises gegevensgateway gebruiken. De ISE-versie van de connector biedt geen ondersteuning voor Windows verificatie. Zie ISE-connectors en -Verbinding maken van een integratieserviceomgeving voor meer informatie.

  • Een aangepaste connector

    • Aangepaste connectors die u buiten een ISE maakt, ongeacht of de on-premisesgegevensgateway is vereist, blijven werken voor logische apps binnen een ISE.

    • Aangepaste connectors die u in een ISE maakt, werken niet met de on-premises gegevensgateway. Deze connectors hebben echter rechtstreeks toegang tot on-premises systemen en gegevensbronnen die zich binnen of verbonden met het virtuele netwerk dat als host voor uw ISE gebruikt. Logische apps binnen een ISE hebben de gegevensgateway dus meestal niet nodig bij het openen van deze resources.

Als u toegang wilt krijgen tot on-premises systemen en gegevensbronnen die geen ISE-connectors hebben, zich buiten uw virtuele netwerk of niet zijn verbonden met uw virtuele netwerk, moet u nog steeds de on-premises gegevensgateway gebruiken. Logische apps binnen een ISE kunnen connectors blijven gebruiken die geen CORE- of ISE-label hebben. Deze connectors worden uitgevoerd in de multiten tenant Logic Apps-service, in plaats van in uw ISE.

ISE-SKU's

Wanneer u uw ISE maakt, kunt u de SKU voor ontwikkelaars selecteren of Premium SKU. Deze SKU-optie is alleen beschikbaar bij het maken van ISE en kan later niet meer worden gewijzigd. Dit zijn de verschillen tussen deze SKU's:

  • Developer

    Biedt een goedkopere ISE die u kunt gebruiken voor verkenning, experimenten, ontwikkeling en testen, maar niet voor productie- of prestatietests. De Developer-SKU bevat ingebouwde triggers en acties, Standard-connectors, Enterprise-connectors en één integratieaccount in de gratis laag voor een vaste maandelijkse prijs.

    Belangrijk

    Deze SKU heeft geen SLA (Service Level Agreement), mogelijkheid voor omhoog schalen of redundantie tijdens het recyclen, wat betekent dat er vertragingen of downtime kunnen ontstaan. Back-end-updates kunnen de service af en toe onderbreken.

    Zie ISE-limieten in Azure Logic Apps voor informatie over de capaciteit Azure Logic Apps. Zie het Logic Apps voor meer informatie over facturering voor ISE's.

  • Premium

    Biedt een ISE die u kunt gebruiken voor productie- en prestatietests. De Premium-SKU bevat SLA-ondersteuning, ingebouwde triggers en acties, Standard-connectors, Enterprise-connectors, één integratieaccount van de Standard-laag, mogelijkheid voor omhoog schalen en redundantie tijdens het recyclen voor een vaste maandelijkse prijs.

    Zie ISE-limieten in Azure Logic Apps voor informatie over de capaciteit Azure Logic Apps. Zie het Logic Apps voor meer informatie over facturering voor ISE's.

Toegang tot ISE-eindpunten

Wanneer u uw ISE maakt, kunt u ervoor kiezen om eindpunten voor interne of externe toegang te gebruiken. Uw selectie bepaalt of aanvraag- of webhooktriggers op logische apps in uw ISE aanroepen van buiten uw virtuele netwerk kunnen ontvangen. Deze eindpunten zijn ook van invloed op de manier waarop u toegang hebt tot de invoer en uitvoer van de uitvoergeschiedenis van de runs van uw logische apps.

Belangrijk

U kunt het toegangs-eindpunt alleen selecteren tijdens het maken van de ISE en u kunt deze optie later niet meer wijzigen.

  • Intern: met privé-eindpunten kunt u logische apps in uw ISE aanroepen, waar u invoer en uitvoer van de uitvoer van logic apps-uitvoer alleen vanuit uw virtuele netwerk kunt bekijken en openen.

    Belangrijk

    Als u deze triggers op basis van webhooks moet gebruiken en de service zich buiten uw virtuele netwerk en virtuele netwerken met peering voor, gebruikt u externe eindpunten, geen interne eindpunten, wanneer u uw ISE maakt:

    • Azure DevOps
    • Azure Event Grid
    • Common Data Service
    • Office 365
    • SAP (multi-tenant versie)

    Zorg er ook voor dat u een netwerkverbinding hebt tussen de privé-eindpunten en de computer van waar u toegang wilt krijgen tot de run history. Als u anders de geschiedenis van de run van uw logische app wilt weergeven, krijgt u een foutmelding met de fout 'Onverwachte fout. Kan niet ophalen.'

    Azure Storage actiefout die het gevolg is van het niet kunnen verzenden van verkeer via de firewall

    Uw clientcomputer kan bijvoorbeeld bestaan in het virtuele netwerk van de ISE of in een virtueel netwerk dat is verbonden met het virtuele netwerk van DEE via peering of een virtueel particulier netwerk.

  • Extern: met openbare eindpunten kunt u logische apps in uw ISE aanroepen, waar u invoer en uitvoer van de uitvoer van logic apps-uitvoer van buiten het virtuele netwerk kunt bekijken en openen. Als u netwerkbeveiligingsgroepen (NSG's) gebruikt, zorg er dan voor dat deze zijn ingesteld met regels voor binnenkomende verkeer om toegang te verlenen tot de invoer en uitvoer van de uitvoeringsgeschiedenis. Zie Toegang inschakelen voor ISE voor meer informatie.

Als u wilt bepalen of uw ISE een intern of extern toegangspunt gebruikt, selecteert u in het menu van uw ISE onder Instellingen de optie Eigenschappen en gaat u naar de eigenschap Access endpoint:

IsE-toegangs-eindpunt zoeken

Prijsmodel

Logische apps, ingebouwde triggers, ingebouwde acties en connectors die worden uitgevoerd in uw ISE, maken gebruik van een vast prijsplan dat verschilt van het prijsplan op basis van verbruik. Zie prijzenmodel voor Logic Apps meer informatie. Zie prijzen voor Logic Apps prijzen.

Integratieaccounts met ISE

U kunt integratieaccounts gebruiken met logische apps binnen een ISE (Integration Service Environment). Deze integratieaccounts moeten echter dezelfde ISE gebruiken als de gekoppelde logische apps. Logische apps in een ISE kunnen alleen verwijzen naar integratieaccounts in dezelfde ISE. Wanneer u een integratieaccount maakt, kunt u uw ISE selecteren als de locatie voor uw integratieaccount. Zie het Logic Apps voor meer informatie over hoe prijzen en facturering werken voor integratieaccounts meteen ISE. Zie prijzen voor Logic Apps prijzen. Zie Limieten voor integratieaccounts voor informatie over limieten.

Volgende stappen