Acessar redes virtuais do Azure dos Aplicativos Lógicos do Azure usando um ISE (Ambiente de serviço de integração)
Importante
Em 31 de agosto de 2024, o recurso do ISE será desativado devido à sua dependência do Serviços de Nuvem do Azure (clássico), que também será desativado. Antes da data de desativação, exporte todos os aplicativos lógicos do ISE para aplicativos lógicos Standard para evitar a interrupção do serviço. Os fluxos de trabalho de aplicativos lógicos Standard executam em Aplicativos Lógicos do Azure de locatário único e fornecem os mesmos recursos, e muito mais. Por exemplo, os fluxos de trabalho padrão tem suporte para o uso de pontos de extremidade privados para o tráfego de entrada, de modo que seus fluxos de trabalho possam se comunicar de forma privada e segura com redes virtuais. Os fluxos de trabalho padrão também suportam a integração de redes virtuais para o tráfego de saída. Para obter mais informações, consulte o Tráfego seguro entre redes virtuais e Aplicativos Lógicos do Azure de locatário único, usando pontos de extremidade privados.
Desde 1º de novembro de 2022, a capacidade de criar novos recursos ISE não está mais disponível, o que também significa que a capacidade de configurar suas próprias chaves de criptografia, conhecidas como "Bring Your Own Key" (BYOK), durante a criação do ISE usando a API REST dos Aplicativos Lógicos também não está mais disponível. No entanto, os recursos do ISE existentes antes dessa data terão suporte até 31 de agosto de 2024.
Para saber mais, consulte os recursos a seguir:
- Desativação do ISE – O que você precisa saber
- Ambiente de locatário único versus multilocatário e o ambiente de serviço de integração para os Aplicativos Lógicos do Azure
- Preço de Aplicativos Lógicos do Azure
- Exportar os fluxos de trabalho do ISE para um aplicativo lógico Standard
- O Ambiente de Serviço de Integração será desativado em 31 de agosto de 2024 – transição para o Aplicativos Lógicos Standard
- O modelo de implantação de Serviços de Nuvem (clássico) será desativado em 31 de agosto de 2024
Esta visão geral fornece mais informações sobre como um ISE funciona com uma rede virtual, os benefícios de utilizar um ISE, as diferenças entre o serviço dedicado e o serviço de Aplicativos Lógicos multilocatário e como você pode acessar diretamente os recursos que estão dentro ou conectados à sua rede virtual do Azure.
Como um ISE funciona com uma rede virtual
Ao criar um ISE, você seleciona a rede virtual do Azure onde deseja que o Azure insira ou implante o ISE. Ao criar aplicativos lógicos e contas de integração que precisem de acesso a essa rede virtual, você pode selecionar o ISE como o local do host para os aplicativos lógicos e as contas de integração. Dentro do ISE, os aplicativos lógicos são executados em recursos dedicados separadamente de outros no ambiente de Aplicativos Lógicos multilocatários do Azure. Os dados em um ISE permanecem na mesma região em que você cria e implanta esse ISE.
Por que usar um ISE
A execução de fluxos de trabalho de aplicativos lógicos em sua própria instância dedicada separada ajuda a reduzir o impacto que outros locatários do Azure podem ter sobre o desempenho de seus aplicativos, também conhecido como o efeito "vizinhos com ruído". Um ISE proporciona estes benefícios:
Acesso direto a recursos que estão na sua rede virtual ou conectados a ela
Os aplicativos lógicos que você cria e executa em um ISE podem usar conectores projetados especificamente que são executados no ISE. Se existir um conector do ISE para um sistema ou fonte de dados local, você poderá se conectar diretamente sem precisar usar o gateway de dados local. Para obter mais informações, confira Recursos dedicados versus multilocatário e Acesso a sistemas locais mais adiante neste tópico.
Acesso contínuo a recursos que estão fora da sua rede virtual ou não estão conectados a ela
Os aplicativos lógicos criados e executados em um ISE ainda podem usar conectores que são executados no serviço de Aplicativos Lógicos de multilocatário quando um conector específico do ISE não está disponível. Para obter mais informações, confira Recursos dedicados versus multilocatário.
Seus próprios endereços IP estáticos, que são separados dos endereços IP estáticos compartilhados pelos aplicativos lógicos no serviço multilocatário. Você também pode configurar um único endereço IP de saída público, estático e previsível para se comunicar com os sistemas de destino. Dessa forma, você não precisa configurar aberturas adicionais do firewall nesses sistemas de destino para cada ISE.
Aumento dos limites de duração da execução, retenção de armazenamento, taxa de transferência, tempos limite de solicitação e resposta HTTP, tamanhos de mensagem e solicitações de conector personalizado. Para obter mais informações, confira Limites e configuração para Aplicativos Lógicos do Azure.
Recursos dedicados versus multilocatário
Ao criar e executar aplicativos lógicos em um ISE, você obtém as mesmas experiências de usuário e funcionalidades semelhantes ao serviço de Aplicativos Lógicos de multilocatário. Você pode usar os mesmos gatilhos, ações e conectores gerenciados internos que estão disponíveis no serviço de Aplicativos Lógicos de multilocatário. Alguns conectores gerenciados oferecem versões adicionais do ISE. A diferença entre os conectores do ISE e os conectores não ISE é o local em que eles são executados e os rótulos que eles têm no Designer do Aplicativo Lógico quando você trabalha em um ISE.
Ações e gatilhos internos, como HTTP, exibem o rótulo CORE e executam o mesmo ISE que o aplicativo lógico.
Os conectores gerenciados que exibem o rótulo ISE são especialmente projetados para ISEs e sempre são executados no mesmo ISE que o seu aplicativo lógico. Por exemplo, veja abaixo alguns conectores que oferecem versões do ISE:
- Armazenamento de Blobs, Armazenamento de Arquivos e Armazenamento de Tabelas do Azure
- Barramento de Serviço do Azure, Filas do Azure, Hubs de Eventos do Azure
- Automação do Azure, Azure Key Vault, Grade de Eventos do Azure e Logs do Azure Monitor
- FTP, SFTP-SSH, Sistema de Arquivos e SMTP
- SAP, IBM MQ, IBM DB2 e IBM 3270
- SQL Server, Azure Synapse Analytics, Azure Cosmos DB
- AS2, X12 e EDIFACT
Com exceções raras, se um conector do ISE estiver disponível em um sistema ou fonte de dados local, você poderá se conectar diretamente sem usar o gateway de dados local. Para obter mais informações, confira Acesso a sistemas locais mais adiante neste tópico.
Os conectores gerenciados que não exibem o rótulo do ISE continuam a funcionar em aplicativos lógicos em um ISE. Esses conectores sempre são executados no serviço de Aplicativos Lógicos de multilocatário e não no ISE.
Os conectores personalizados que você cria fora de um ISE, independentemente de eles exigirem o gateway de dados local, continuam funcionando nos aplicativos lógicos em um ISE. No entanto, os conectores personalizados criados dentro de um ISE não funcionarão com o gateway de dados local. Para obter mais informações, confira Acesso a sistemas locais.
Acesso a sistemas locais
Os fluxos de trabalho de aplicativos lógicos que são executados em um ISE podem acessar diretamente sistemas locais e fontes de dados que estão em uma rede virtual do Azure ou estão conectados a ela usando estes itens:
O gatilho ou ação HTTP, que exibe o rótulo CORE
O conector do ISE, se disponível, para uma fonte de dados ou sistema local
Se um conector do ISE estiver disponível, você poderá acessar diretamente o sistema ou a fonte de dados sem o gateway de dados local. No entanto, se você precisar acessar o SQL Server de um ISE e usar a autenticação do Windows, será necessário usar a versão sem ISE do conector e o gateway de dados local. A versão do ISE do conector não dá suporte à autenticação do Windows. Para obter mais informações, confira Conectores do ISE e Conecte-se por meio de um Ambiente de Serviço de Integração.
Um conector personalizado
Os conectores personalizados que você cria fora de um ISE, independentemente de eles exigirem o gateway de dados local, continuam funcionando nos aplicativos lógicos em um ISE.
Os conectores personalizados criados dentro de um ISE não funcionarão com o gateway de dados local. No entanto, esses conectores podem acessar diretamente sistemas e fontes de dados locais que estão na rede virtual que hospeda o ISE ou conectados a ela. Portanto, os aplicativos lógicos que estão dentro de um ISE geralmente não precisam do gateway de dados ao acessar esses recursos.
Para acessar sistemas e fontes de dados locais que não têm conectores do ISE, estão fora da sua rede virtual ou não estão conectados à sua rede virtual, você ainda precisará usar o gateway de dados local. Os aplicativos lógicos em um ISE podem continuar usando conectores que não têm o rótulo CORE ou ISE. Esses conectores são executados no serviço de Aplicativos Lógicos de multilocatário, em vez de no seu ISE.
Dados inativos criptografados
Por padrão, o armazenamento do Microsoft Azure usa chaves gerenciadas pela Microsoft para criptografar seus dados. Os Aplicativos Lógicos do Azure dependem do armazenamento do Azure para armazenar e criptografar os dados inativos automaticamente. Essa criptografia protege seus dados e ajuda a atender aos compromissos de conformidade e segurança de sua organização. Para obter mais informações sobre como funciona a criptografia de Armazenamento do Azure, consulte Criptografia de armazenamento do Azure para dados inativos e Criptografia dados em repouso do Azure.
Para obter mais controle sobre as chaves de criptografia usadas pelo Armazenamento do Microsoft Azure, o ISE dá suporte à utilização e gestão da sua própria chave usando o Azure Key Vault. Esse recurso também é conhecido como "Bring Your Own Key" (BYOK) e sua chave é chamada de "chave gerenciada pelo cliente". No entanto, essa funcionalidade só estará disponível quando você criar seu ISE, não posteriormente. Não é possível desabilitar essa chave após a criação do ISE. No momento, não existe suporte para a rotação de uma chave gerenciada pelo cliente para um ISE.
O suporte de chave gerenciada pelo cliente para um ISE está disponível somente nas seguintes regiões:
Azure: Oeste dos EUA 2, Leste dos EUA e Centro-Sul dos EUA.
Azure Governamental: Arizona, Virgínia e Texas.
O cofre de chaves que armazena a chave gerenciada pelo cliente deve existir na mesma região do Azure que o ISE.
Para dar suporte a chaves gerenciadas pelo cliente, seu ISE exige que você habilite a identidade gerenciada atribuída pelo sistema ou pelo usuário. Essa identidade permite que o ISE autentique o acesso a recursos protegidos, como máquinas virtuais e outros sistemas ou serviços, que estão em ou estão conectados a uma rede virtual do Azure. Dessa forma, você não precisa entrar com suas credenciais.
Você deve fornecer acesso ao cofre de chaves para a identidade gerenciada do ISE, mas o momento depende de qual identidade gerenciada você usa.
Identidade gerenciada atribuída pelo sistema: dentro de 30 minutos depois de enviar a solicitação HTTPS PUT que cria o ISE. Caso contrário, a criação do ISE falhará, e você receberá um erro de permissões.
Identidade gerenciada atribuída pelo sistema: antes de você enviar a solicitação HTTPS PUT que cria o ISE
SKUs do ISE
Ao criar o ISE, você pode selecionar o SKU de Desenvolvedor ou o SKU Premium. Essa opção de SKU está disponível somente durante a criação do ISE e não pode ser alterada posteriormente. Veja abaixo as diferenças entre esses SKUs:
Desenvolvedor
Fornece um ISE de menor custo que você pode usar para exploração, experimentos, desenvolvimento e teste, mas não para teste de produção ou de desempenho. O SKU do Desenvolvedor inclui gatilhos e ações internos, Conectores padrão, Conectores empresariais e uma conta de integração de Camada gratuita com um preço mensal fixo.
Importante
Essa SKU não tem SLA (contrato de nível de serviço), capacidade de expansão ou redundância durante a reciclagem, o que significa que você pode enfrentar atrasos ou tempo de inatividade. As atualizações de back-end podem interromper o serviço de modo intermitente.
Para obter informações sobre capacidade e limites, confira os Limites do ISE em Aplicativos Lógicos do Azure. Para saber como funciona a cobrança dos ISEs, confira o Modelo de preços dos Aplicativos Lógicos.
Premium
Fornece um ISE que pode ser usado para teste de produção e desempenho. O SKU Premium inclui suporte a SLA, gatilhos e ações internos, Conectores padrão, Conectores empresariais, uma conta de integração da camada Standard, capacidade de escalonamento vertical e redundância durante a reciclagem por um preço mensal fixo.
Para obter informações sobre capacidade e limites, confira os Limites do ISE em Aplicativos Lógicos do Azure. Para saber como funciona a cobrança dos ISEs, confira o Modelo de preços dos Aplicativos Lógicos.
Acesso ao ponto de extremidade do ISE
Ao criar o ISE, é possível optar por usar pontos de extremidade de acesso internos ou externos. A sua seleção determina se os gatilhos de solicitação ou de webhook em aplicativos lógicos no ISE podem receber chamadas de fora da sua rede virtual. Esses pontos de extremidade também afetam o modo de acesso às entradas e saídas do histórico de execuções dos seus aplicativos lógicos.
Importante
Você pode selecionar o ponto de extremidade de acesso somente durante a criação do ISE e não pode alterar essa opção posteriormente.
Interno: os pontos de extremidade privados permitem chamadas para aplicativos lógicos no ISE, nas quais você pode exibir e acessar entradas e saídas do histórico de execuções do fluxo de trabalho dos aplicativos lógicos somente de dentro da sua rede virtual.
Importante
Se você precisar usar esses gatilhos baseados em webhook e o serviço estiver fora de sua rede virtual e de redes virtuais em pares, use pontos de extremidade externos, não pontos de extremidade internos, ao criar o ISE:
- Azure DevOps
- Grade de Eventos do Azure
- Common Data Service
- Office 365
- SAP (versão multilocatário)
Além disso, verifique se você tem conectividade de rede entre os pontos de extremidade privados e o computador no qual você deseja acessar o histórico de execuções. Caso contrário, quando você tentar exibir o histórico de execuções do seu fluxo de trabalho, receberá um erro que diz "Erro inesperado". Falha ao buscar".
Por exemplo, o computador cliente pode existir dentro da rede virtual do ISE ou dentro de uma rede virtual conectada à rede virtual do ISE por meio de emparelhamento ou de uma rede virtual privada.
Externo: Os pontos de extremidade públicos permitem chamadas para fluxos de trabalho de aplicativos lógicos no seu ISE, em que é possível exibir e acessar entradas e saídas do histórico de execuções dos aplicativos lógicos de fora da sua rede virtual. Se você usar os NSGs (grupos de segurança de rede), verifique se eles estão configurados com regras de entrada para permitir o acesso às entradas e saídas do histórico de execuções.
Para determinar se o ISE usa um ponto de extremidade de acesso interno ou externo, no menu do ISE, em Configurações, selecione Propriedades e localize a propriedade Ponto de extremidade de acesso:
Modelo de preços
Os aplicativos lógicos, os gatilhos internos, as ações internas e os conectores que são executados no ISE usam um plano de preços fixos diferente do plano baseado em Consumo. Para obter mais informações, confira o Modelo de preços de Aplicativos Lógicos do Azure. Para obter os valores, confira Preços dos Aplicativos Lógicos do Azure.
Contas de integração com ISE
É possível usar contas de integração com aplicativos lógicos dentro de um ISE (ambiente de serviço de integração). No entanto, essas contas de integração devem usar o mesmo ISE que os aplicativos lógicos vinculados. Os aplicativos lógicos em um ISE podem fazer referência somente às contas de integração que estão no mesmo ISE. Ao criar uma conta de integração, é possível selecionar o ISE como local para a conta de integração. Para saber como funciona o preço e a cobrança das contas de integração com um ISE, confira o Modelo de preços dos Aplicativos Lógicos do Azure. Para obter os valores, confira Preços dos Aplicativos Lógicos do Azure. Para obter informações sobre limites, confira Limites da conta de integração.