Konfigurowanie jednego adresu IP dla co najmniej jednego środowiska usługi integracji w usłudze Azure Logic Apps
Ważne
31 sierpnia 2024 r. zasób ISE zostanie wycofany ze względu na zależność od usług Azure Cloud Services (wersja klasyczna), która zostanie wycofana w tym samym czasie. Przed datą wycofania wyeksportuj wszystkie aplikacje logiki ze standardowego oprogramowania ISE do standardowych aplikacji logiki, aby uniknąć zakłóceń w działaniu usługi. Standardowe przepływy pracy aplikacji logiki działają w usłudze Azure Logic Apps z jedną dzierżawą i zapewniają te same możliwości i więcej.
Od 1 listopada 2022 r. nie można już tworzyć nowych zasobów środowiska ISE. Jednak zasoby ISE istniejące przed tą datą są obsługiwane do 31 sierpnia 2024 r. Aby uzyskać więcej informacji, zobacz następujące zasoby:
- Emerytura ISE — co musisz wiedzieć
- Jednodostępne i wielodostępne i środowisko usługi integracji dla usługi Azure Logic Apps
- Cennik usługi Azure Logic Apps
- Eksportowanie przepływów pracy środowiska ISE do standardowej aplikacji logiki
- Środowisko Integration Services Environment zostanie wycofane 31 sierpnia 2024 r. — przejście do usługi Logic Apps Standard
- Model wdrażania usług Cloud Services (klasyczny) zostanie wycofany 31 sierpnia 2024 r.
Podczas pracy z usługą Azure Logic Apps możesz skonfigurować środowisko usługi integracji (ISE) na potrzeby hostowania aplikacji logiki, które wymagają dostępu do zasobów w sieci wirtualnej platformy Azure. Jeśli masz wiele wystąpień środowiska ISE, które wymagają dostępu do innych punktów końcowych, które mają ograniczenia dotyczące adresów IP, wdróż usługę Azure Firewall lub wirtualne urządzenie sieciowe w sieci wirtualnej i kieruje ruch wychodzący przez tę zaporę lub wirtualne urządzenie sieciowe. Następnie wszystkie wystąpienia środowiska ISE w sieci wirtualnej mogą używać jednego, publicznego, statycznego i przewidywalnego adresu IP do komunikowania się z żądanymi systemami docelowymi. W ten sposób nie trzeba konfigurować dodatkowych otworów zapory w systemach docelowych dla każdego systemu ISE.
W tym temacie przedstawiono sposób kierowania ruchu wychodzącego przez usługę Azure Firewall, ale można zastosować podobne pojęcia do wirtualnego urządzenia sieciowego, takiego jak zapora innej firmy z witryny Azure Marketplace. Ten temat koncentruje się na konfiguracji dla wielu wystąpień środowiska ISE, ale można również użyć tej metody dla pojedynczego środowiska ISE, gdy scenariusz wymaga ograniczenia liczby adresów IP, które wymagają dostępu. Zastanów się, czy dodatkowe koszty zapory lub wirtualnego urządzenia sieciowego mają sens w danym scenariuszu. Dowiedz się więcej o cenach usługi Azure Firewall.
Wymagania wstępne
Zapora platformy Azure działająca w tej samej sieci wirtualnej co środowisko ISE. Jeśli nie masz zapory, najpierw dodaj podsieć o nazwie
AzureFirewallSubnetdo sieci wirtualnej. Następnie możesz utworzyć i wdrożyć zaporę w sieci wirtualnej.Tabela tras platformy Azure. Jeśli go nie masz, najpierw utwórz tabelę tras. Aby uzyskać więcej informacji na temat routingu, zobacz Routing ruchu w sieci wirtualnej.
Konfigurowanie tabeli tras
W witrynie Azure Portal wybierz tabelę tras, na przykład:
Aby dodać nową trasę, w menu tabela tras wybierz pozycję Trasy>Dodaj.
W okienku Dodawanie trasy skonfiguruj nową trasę za pomocą reguły określającej, że cały ruch wychodzący do systemu docelowego jest zgodny z tym zachowaniem:
Używa urządzenia wirtualnego jako typu następnego przeskoku.
Przechodzi do prywatnego adresu IP wystąpienia zapory jako adresu następnego przeskoku.
Aby znaleźć ten adres IP, w menu zapory wybierz pozycję Przegląd, znajdź adres w obszarze Prywatny adres IP, na przykład:
Oto przykład pokazujący, jak taka reguła może wyglądać:
Właściwości Wartość Opis Nazwa trasy <unikatowa nazwa trasy> Unikatowa nazwa trasy w tabeli tras Prefiks adresu <adres docelowy> Prefiks adresu dla systemu docelowego, w którym ma być kierowany ruch wychodzący. Upewnij się, że używasz notacji CIDR (Classless Inter-Domain Routing) dla tego adresu. W tym przykładzie ten prefiks adresu jest przeznaczony dla serwera SFTP, który został opisany w sekcji Konfigurowanie reguły sieciowej. Typ następnego skoku Urządzenie wirtualne Typ przeskoku używany przez ruch wychodzący Adres następnego przeskoku <firewall-private-IP-address> Prywatny adres IP zapory
Konfigurowanie reguły sieciowej
W witrynie Azure Portal znajdź i wybierz zaporę. W menu zapory w obszarze Ustawienia wybierz pozycję Reguły. W okienku reguły wybierz pozycję Kolekcja>reguł sieci Dodaj kolekcję reguł sieciowych.
W kolekcji dodaj regułę zezwalającą na ruch do systemu docelowego.
Załóżmy na przykład, że masz aplikację logiki działającą w środowisku ISE i musisz komunikować się z serwerem SFTP. Utworzysz kolekcję reguł sieciowych o nazwie
LogicApp_ISE_SFTP_Outbound, która zawiera regułę sieciową o nazwieISE_SFTP_Outbound. Ta reguła zezwala na ruch z adresu IP dowolnej podsieci, w której środowisko ISE działa w sieci wirtualnej do docelowego serwera SFTP przy użyciu prywatnego adresu IP zapory.
Właściwości kolekcji reguł sieciowych
Właściwości Wartość Opis Nazwa/nazwisko <network-rule-collection-name> Nazwa kolekcji reguł sieci Priorytet <poziom priorytetu> Kolejność priorytetu do użycia do uruchamiania kolekcji reguł. Aby uzyskać więcej informacji, zobacz Co to są pojęcia dotyczące usługi Azure Firewall? Akcja Zezwalaj Typ akcji do wykonania dla tej reguły Właściwości reguły sieci
Właściwości Wartość Opis Nazwa/nazwisko <network-rule-name> Nazwa reguły sieciowej Protokół <protokoły połączeń> Protokoły połączeń do użycia. Jeśli na przykład używasz reguł sieciowej grupy zabezpieczeń, wybierz zarówno protokół TCP , jak i protokół UDP, nie tylko TCP. Adresy źródłowe <ISE-subnet-addresses> Adresy IP podsieci, na których działa środowisko ISE, oraz skąd pochodzi ruch z aplikacji logiki Adresy docelowe <docelowy adres IP> Adres IP systemu docelowego, w którym ma być kierowany ruch wychodzący. W tym przykładzie ten adres IP jest przeznaczony dla serwera SFTP. Porty docelowe <porty docelowe> Wszystkie porty używane przez system docelowy do komunikacji przychodzącej Aby uzyskać więcej informacji na temat reguł sieci, zobacz następujące artykuły: