Toegang tot Azure Virtual Network-resources vanuit Azure Logic Apps met behulp van ISE's (Integration Service Environments)

Soms hebben uw logische apps toegang nodig tot beveiligde resources, zoals virtuele machines (VM's) en andere systemen of services, die zich binnen of verbonden met een virtueel Azure-netwerk hebben. Als u deze toegang wilt instellen, kunt u een ISE (Integration Service Environment) maken. Een ISE is een exemplaar van de Logic Apps-service die gebruikmaakt van toegewezen resources en afzonderlijk wordt uitgevoerd van de 'wereldwijde' multi-tenant Logic Apps service. Gegevens in een ISE blijven in dezelfde regio waar u die ISE maakt en implementeert.

Sommige virtuele Azure-netwerken maken bijvoorbeeld gebruik van privé-eindpunten die u kunt instellen via Azure Private Link omtoegang te bieden tot Azure PaaS-services, zoals Azure Storage, Azure Cosmos DB of Azure SQL Database, partnerservices of klantservices die worden gehost in Azure. Als uw logische apps toegang nodig hebben tot virtuele netwerken die gebruikmaken van privé-eindpunten, moet u die logische apps binnen een ISE maken, implementeren en uitvoeren.

Wanneer u een ISE maakt, wordt deze ISE via Azure in uw virtuele Azure-netwerk geplaatst. U kunt deze ISE vervolgens gebruiken als locatie voor de logische apps en integratieaccounts die toegang nodig hebben.

Integratieserviceomgeving selecteren

Dit overzicht biedt meer informatie over waarom u een ISEwilt gebruiken, de verschillen tussen de toegewezen en multi-tenant Logic Apps-serviceen hoe u rechtstreeks toegang hebt tot resources die zich binnen uw virtuele Azure-netwerk of er verbinding mee maken.

Waarom een ISE gebruiken?

Het uitvoeren van logische apps in uw eigen afzonderlijk toegewezen instantie vermindert de invloed die andere Azure-tenants mogelijk hebben op de prestaties van uw apps, ook wel het ‘lawaaierige buren’-effect genoemd. Een ISE biedt ook de volgende voordelen:

  • Directe toegang tot resources die zich binnen uw virtuele netwerk of met uw virtuele netwerk hebben verbonden

    Logische apps die u in een ISE maakt en uitvoeren, kunnen speciaal ontworpen connectors gebruiken die worden uitgevoerd in uw ISE. Als er een ISE-connector bestaat voor een on-premises systeem of gegevensbron, kunt u rechtstreeks verbinding maken zonder de on-premises gegevensgateway te gebruiken. Zie Dedicated versus multi-tenant en Access to on-premises systems verder in dit onderwerp voor meer informatie.

  • Voortdurende toegang tot resources die buiten of niet zijn verbonden met uw virtuele netwerk

    Logische apps die u in een ISE maakt en uitvoeren, kunnen nog steeds gebruikmaken van connectors die worden uitgevoerd in de Logic Apps-service met meerdere tenants wanneer er geen ISE-specifieke connector beschikbaar is. Zie Dedicated versus multi-tenant voor meer informatie.

  • Uw eigen statische IP-adressen, die zijn gescheiden van de statische IP-adressen die worden gedeeld via de logische apps in de service met meerdere tenants. U kunt ook één openbaar, statisch en voorspelbaar uitgaand IP-adres instellen om te communiceren met doelsystemen. Op deze manier hoeft u niet voor elke ISE een extra firewallopening in te stellen in deze doelsystemen.

  • Verhoogde limieten voor de uitvoeringsduur, opslagbewaring, doorvoer, time-outs voor HTTP-aanvragen en -reacties, berichtgrootten en aangepaste connectoraanvragen. Zie Informatie over limieten en configuratie voor Azure Logic Apps voor meer informatie.

Toegewezen versus multi-tenant

Wanneer u logische apps in een ISE maakt en uitvoeren, krijgt u dezelfde gebruikerservaringen en vergelijkbare mogelijkheden als de multiten tenant-Logic Apps service. U kunt dezelfde ingebouwde triggers, acties en beheerde connectors gebruiken die beschikbaar zijn in de multiten tenant Logic Apps service. Sommige beheerde connectors bieden aanvullende ISE-versies. Het verschil tussen ISE-connectors en niet-ISE-connectors zit hem in de plaats waar ze worden uitgevoerd en de labels die ze hebben in de Ontwerpfunctie voor logische apps wanneer u binnen een ISE werkt.

Connectors met en zonder labels in een ISE

  • Ingebouwde triggers en acties, zoals HTTP, geven het CORE-label weer en worden uitgevoerd in dezelfde ISE als uw logische app.

  • Beheerde connectors die het ISE-label weergeven, zijn speciaal ontworpen voor ISE's en worden altijd uitgevoerd in dezelfde ISE als uw logische app. Hier volgen bijvoorbeeld enkele connectors die ISE-versies bieden:

    • Azure Blob Storage, File Storage en Table Storage
    • Azure Service Bus, Azure Queues, Azure Event Hubs
    • Azure Automation-, Azure Key Vault-, Azure Event Grid- en Azure Monitor logboeken
    • FTP, SFTP-SSH, bestandssysteem en SMTP
    • SAP, IBM MQ, IBM DB2 en IBM 3270
    • SQL Server, Azure Synapse Analytics, Azure Cosmos DB
    • AS2, X12 en EDIFACT

    Met zeldzame uitzonderingen, als er een ISE-connector beschikbaar is voor een on-premises systeem of gegevensbron, kunt u rechtstreeks verbinding maken zonder de on-premises gegevensgateway te gebruiken. Zie Toegang tot on-premises systemen verder in dit onderwerp voor meer informatie.

  • Beheerde connectors die het ISE-label niet weergeven, blijven werken voor logische apps binnen een ISE. Deze connectors worden altijd uitgevoerd in de multiten tenant Logic Apps service, niet in de ISE.

  • Aangepaste connectors die u buiten een ISE maakt, ongeacht of de on-premisesgegevensgateway is vereist, blijven werken voor logische apps binnen een ISE. Aangepaste connectors die u in een ISE maakt, werken echter niet met de on-premises gegevensgateway. Zie Toegang tot on-premises systemen voor meer informatie.

Toegang tot on-premises systemen

Logische apps die in een ISE worden uitgevoerd, hebben rechtstreeks toegang tot on-premises systemen en gegevensbronnen die zich binnen of verbonden met een virtueel Azure-netwerk hebben door de volgende items te gebruiken:

  • De HTTP-trigger of -actie, waarmee het CORE-label wordt weergegeven

  • De ISE-connector, indien beschikbaar, voor een on-premises systeem of gegevensbron

    Als er een ISE-connector beschikbaar is, hebt u rechtstreeks toegang tot het systeem of de gegevensbron zonder de on-premises gegevensgateway. Als u echter toegang wilt tot SQL Server vanaf een ISE en Windows-verificatie wilt gebruiken, moet u de niet-ISE-versie van de connector en de on-premises gegevensgateway gebruiken. De ISE-versie van de connector biedt geen ondersteuning voor Windows-verificatie. Zie ISE-connectors en Verbinding maken vanuit een integratieserviceomgeving voor meer informatie.

  • Een aangepaste connector

    • Aangepaste connectors die u buiten een ISE maakt, ongeacht of de on-premisesgegevensgateway is vereist, blijven werken voor logische apps binnen een ISE.

    • Aangepaste connectors die u in een ISE maakt, werken niet met de on-premises gegevensgateway. Deze connectors hebben echter rechtstreeks toegang tot on-premises systemen en gegevensbronnen die zich binnen of verbonden met het virtuele netwerk dat als host voor uw ISE gebruikt. Logische apps binnen een ISE hebben de gegevensgateway dus meestal niet nodig bij het openen van deze resources.

Als u toegang wilt krijgen tot on-premises systemen en gegevensbronnen die geen ISE-connectors hebben, zich buiten uw virtuele netwerk of niet met uw virtuele netwerk hebben verbonden, moet u nog steeds de on-premises gegevensgateway gebruiken. Logische apps binnen een ISE kunnen connectors blijven gebruiken die geen CORE- of ISE-label hebben. Deze connectors worden uitgevoerd in de multiten tenant Logic Apps-service, in plaats van in uw ISE.

ISE-SKU's

Wanneer u uw ISE maakt, kunt u de Developer SKU of Premium SKU selecteren. Deze SKU-optie is alleen beschikbaar bij het maken van ISE en kan later niet meer worden gewijzigd. Dit zijn de verschillen tussen deze SKU's:

  • Developer

    Biedt een voordelige ISE die u kunt gebruiken voor verkenning, experimenten, ontwikkeling en testen, maar niet voor productie- of prestatietests. De Ontwikkelaars-SKU bevat ingebouwde triggers en acties, Standard-connectors, Enterprise-connectors en één integratieaccount in de gratis laag voor een vaste maandelijkse prijs.

    Belangrijk

    Deze SKU heeft geen SLA (Service Level Agreement), mogelijkheid tot omhoog schalen of redundantie tijdens het recyclen, wat betekent dat u vertragingen of downtime kunt ervaren. Back-end-updates kunnen de service af en toe onderbreken.

    Zie ISE-limieten in Azure Logic Apps voor informatie over capaciteits- Azure Logic Apps. Zie het Logic Apps voor meer informatie over facturering voor ISE's.

  • Premium

    Biedt een ISE die u kunt gebruiken voor productie- en prestatietests. De Premium SKU bevat SLA-ondersteuning, ingebouwde triggers en acties, Standard-connectors, Enterprise-connectors, één integratieaccount in de Standard-laag, mogelijkheid tot omhoog schalen en redundantie tijdens het recyclen voor een vaste maandelijkse prijs.

    Zie ISE-limieten in Azure Logic Apps voor informatie over capaciteits- Azure Logic Apps. Zie het Logic Apps voor meer informatie over facturering voor ISE's.

Toegang tot ISE-eindpunten

Wanneer u uw ISE maakt, kunt u ervoor kiezen om eindpunten voor interne of externe toegang te gebruiken. Uw selectie bepaalt of aanvraag- of webhooktriggers op logische apps in uw ISE aanroepen van buiten uw virtuele netwerk kunnen ontvangen. Deze eindpunten zijn ook van invloed op de manier waarop u toegang hebt tot de invoer en uitvoer van de uitvoergeschiedenis van de runs van uw logische apps.

Belangrijk

U kunt het toegangs-eindpunt alleen selecteren tijdens het maken van de ISE en u kunt deze optie later niet meer wijzigen.

  • Intern: met privé-eindpunten kunt u logische apps in uw ISE aanroepen, waar u invoer en uitvoer van de uitvoer van logic apps-uitvoer alleen vanuit uw virtuele netwerk kunt bekijken en openen.

    Belangrijk

    Als u deze triggers op basis van webhooks moet gebruiken en de service zich buiten uw virtuele netwerk en virtuele peernetwerken, gebruikt u externe eindpunten, geen interne eindpunten, wanneer u uw ISE maakt:

    • Azure DevOps
    • Azure Event Grid
    • Common Data Service
    • Office 365
    • SAP (multi-tenant versie)

    Zorg er ook voor dat u een netwerkverbinding hebt tussen de privé-eindpunten en de computer van waar u toegang wilt krijgen tot de rungeschiedenis. Als u anders de geschiedenis van de run van uw logische app wilt weergeven, krijgt u een foutmelding met de fout 'Onverwachte fout. Kan niet ophalen.'

    Azure Storage actiefout die het gevolg is van het niet kunnen verzenden van verkeer via de firewall

    Uw clientcomputer kan bijvoorbeeld bestaan in het virtuele netwerk van de ISE of in een virtueel netwerk dat is verbonden met het virtuele netwerk van DEE via peering of een virtueel particulier netwerk.

  • Extern: met openbare eindpunten kunt u logische apps in uw ISE aanroepen, waar u invoer en uitvoer van de uitvoer van logic apps-uitvoer van buiten het virtuele netwerk kunt bekijken en openen. Als u netwerkbeveiligingsgroepen (NSG's) gebruikt, moet u ervoor zorgen dat deze zijn ingesteld met regels voor binnenkomende verkeer om toegang tot de invoer en uitvoer van de uitvoeringsgeschiedenis toe te staan. Zie Enable access for ISE (Toegang inschakelen voor ISE) voor meer informatie.

Als u wilt bepalen of uw ISE een intern of extern toegangs-eindpunt gebruikt, selecteert u in het menu van uw ISE onder Instellingen de optie Eigenschappen en gaat u naar de eigenschap Access endpoint:

IsE-toegangs-eindpunt zoeken

Prijsmodel

Logische apps, ingebouwde triggers, ingebouwde acties en connectors die worden uitgevoerd in uw ISE, maken gebruik van een vast prijsplan dat verschilt van het prijsplan op basis van verbruik. Zie prijzenmodel voor Logic Apps meer informatie. Zie prijzen voor Logic Apps prijzen.

Integratieaccounts met ISE

U kunt integratieaccounts gebruiken met logische apps binnen een ISE (Integration Service Environment). Deze integratieaccounts moeten echter dezelfde ISE gebruiken als de gekoppelde logische apps. Logische apps in een ISE kunnen alleen verwijzen naar integratieaccounts in dezelfde ISE. Wanneer u een integratieaccount maakt, kunt u uw ISE selecteren als de locatie voor uw integratieaccount. Zie het Logic Apps prijsmodel voor meer informatie over hoe prijzen en facturering werken voor integratieaccounts met eenISE. Zie prijzen voor Logic Apps prijzen. Zie Limieten voor integratieaccounts voor informatie over limieten.

Volgende stappen