Ligação redes virtuais Azure a partir de Azure Logic Apps utilizando um ambiente de serviço de integração (ISE)

Para cenários em que as suas aplicações lógicas e contas de integração precisam de acesso a uma rede virtual Azure,crie um ambiente de serviço de integração (ISE). Um ISE é um ambiente que utiliza armazenamento dedicado e outros recursos que são mantidos separados do serviço "global" multi-inquilino Logic Apps. Esta separação também reduz qualquer impacto que outros inquilinos do Azure possam ter no desempenho das suas apps. Um ISE também lhe proporciona os seus próprios endereços IP estáticos. Estes endereços IP são separados dos endereços IP estáticos que são partilhados pelas aplicações lógicas no serviço público, multi-inquilino.

Quando cria um ISE, o Azure injeta o ISE na sua rede virtual Azure, que depois implanta o serviço De aplicações lógicas na sua rede virtual. Quando criar uma aplicação lógica ou conta de integração, selecione o ISE como sua localização. A sua aplicação lógica ou conta de integração pode então aceder diretamente a recursos, como máquinas virtuais (VMs), servidores, sistemas e serviços, na sua rede virtual.

Selecione ambiente de serviço de integração

Importante

Para que as aplicações lógicas e contas de integração funcionem em conjunto num ISE, ambos devem usar o mesmo ISE que a sua localização.

Um ISE aumentou os limites em:

  • Duração da execução
  • Retenção de armazenamento
  • Débito
  • Tempos de tempo de pedido e resposta HTTP
  • Tamanhos da mensagem
  • Pedidos de conector personalizado

Para obter mais informações, consulte Limites e configuração para Azure Logic Apps. Para saber mais sobre ises, consulte os recursos da Rede Virtual Azure a partir de Azure Logic Apps.

Este artigo mostra-lhe como completar estas tarefas utilizando o portal Azure:

  • Ativar o acesso ao seu ISE.
  • Crie o seu ISE.
  • Adicione capacidade extra ao seu ISE.

Também pode criar um ISE utilizando o modelo de arranque rápido do Azure Resource Manager da amostra ou utilizando a API de Apps Lógicas REST, incluindo a configuração de chaves geridas pelo cliente:

Pré-requisitos

  • Uma conta e subscrição do Azure. Se não tiver uma subscrição do Azure, inscreva-se para obter uma conta do Azure gratuita.

    Importante

    Aplicações lógicas, gatilhos incorporados, ações incorporadas e conectores que funcionam no seu ISE usam um plano de preços diferente do plano de preços baseado no consumo. Para aprender como os preços e a faturação funcionam para as ISEs, consulte o modelo de preços de Aplicações Lógicas. Para taxas de preços, consulte os preços das Aplicações Lógicas.

  • Uma rede virtual Azure que tem quatro sub-redes vazias, que são necessárias para criar e implantar recursos no seu ISE e são utilizadas por estes componentes internos e ocultos:

    • Cálculo de Apps Lógicas
    • Ambiente de Serviço de Aplicações Internas (conectores)
    • Gestão Interna da API (conectores)
    • Redis Interno para caching e desempenho

    Pode criar as sub-redes com antecedência ou quando criar o seu ISE para que possa criar as sub-redes ao mesmo tempo. No entanto, antes de criar as suas sub-redes, certifique-se de que revê os requisitos da sub-rede.

Ativar acesso para o ISE

Quando utiliza um ISE com uma rede virtual Azure, um problema comum de configuração é ter uma ou mais portas bloqueadas. Os conectores que utiliza para criar ligações entre o ise e os sistemas de destino também podem ter os seus próprios requisitos portuários. Por exemplo, se comunicar com um sistema FTP utilizando o conector FTP, a porta que utiliza no seu sistema FTP tem de estar disponível, por exemplo, a porta 21 para o envio de comandos.

Para garantir que o ise está acessível e que as aplicações lógicas em que o ISE pode comunicar em cada sub-rede da sua rede virtual, abra as portas descritas nesta tabela para cada sub-rede. Se alguma porta necessária não estiver disponível, o seu ISE não funcionará corretamente.

  • Se tiver várias instâncias ISE que precisam de acesso a outros pontos finais que tenham restrições IP, coloque um Azure Firewall ou um aparelho virtual de rede na sua rede virtual e encaminhe o tráfego de saída através dessa firewall ou aparelho virtual de rede. Em seguida, pode configurar um único endereço IP, de saída, público, estático e previsível que todos os casos ise da sua rede virtual podem usar para comunicar com os sistemas de destino. Assim, não é preciso configurar aberturas de firewall extra nesses sistemas de destino para cada ISE.

    Nota

    Pode utilizar esta abordagem para um único ISE quando o seu cenário requer limitar o número de endereços IP que precisam de acesso. Considere se os custos adicionais para a firewall ou para o aparelho de rede virtual fazem sentido para o seu cenário. Saiba mais sobre os preços do Azure Firewall.

  • Se criou uma nova rede virtual Azure e sub-redes sem quaisquer constrangimentos, não precisa de configurar grupos de segurança de rede (NSGs) na sua rede virtual para controlar o tráfego através de sub-redes.

  • Para uma rede virtual existente, pode configurar opcionalmente grupos de segurança de rede (NSGs) para filtrar o tráfego de rede através de sub-redes. Se quiser seguir esta rota, ou se já estiver a utilizar NSGs, certifique-se de que abre as portas descritas nesta tabela para esses NSGs.

    Ao configurar as regras de segurança NSG,tem de utilizar os protocolos TCP e UDP, ou pode selecionar Qualquer em vez disso para que não tenha de criar regras separadas para cada protocolo. As regras de segurança NSG descrevem as portas que deve abrir para os endereços IP que precisam de acesso a essas portas. Certifique-se de que quaisquer firewalls, routers ou outros itens existentes entre estes pontos finais também mantêm essas portas acessíveis a esses endereços IP.

  • Se configurar um túnel forçado através da sua firewall para redirecionar o tráfego ligado à Internet, reveja os requisitos de túneis forçados.

Portas de rede utilizadas pelo ISE

Esta tabela descreve as portas que o seu ISE necessita para serem acessíveis e o propósito para essas portas. Para ajudar a reduzir a complexidade quando configura as regras de segurança, a tabela utiliza tags de serviço que representam grupos de prefixos de endereço IP para um serviço Azure específico. Quando se nota, o ISE interno e o ISE externo referem-se ao ponto final de acesso selecionado durante a criação do ISE. Para mais informações, consulte o acesso ao Endpoint.

Importante

Para todas as regras, certifique-se de que define as portas de origem porque as * portas de origem são efémeras.

Regras de segurança de entrada

Objetivo Etiqueta de serviço de origem ou endereços IP Portas de origem Etiqueta de serviço de destino ou endereços IP Portas de destino Notas
Comunicação intersubnet dentro da rede virtual Espaço de endereço para a rede virtual com sub-redes ISE * Espaço de endereço para a rede virtual com sub-redes ISE * É necessário que o tráfego flua entre as sub-redes da sua rede virtual.

Importante: Para que o tráfego flua entre os componentes de cada sub-rede, certifique-se de que abre todas as portas dentro de cada sub-rede.

Ambos:

Comunicação à sua aplicação lógica

Executa a história para app lógica

Ise interno:
VirtualNetwork

ISE Externo: Internet ou ver Notas

* VirtualNetwork 443 Em vez de utilizar a etiqueta de serviço de Internet, pode especificar o endereço IP de origem para estes itens:

- O computador ou serviço que chama qualquer pedido de gatilhos ou webhooks na sua aplicação lógica

- O computador ou serviço de onde pretende aceder a aplicações lógicas executa o histórico

Importante: Fechar ou bloquear esta porta impede chamadas para aplicações lógicas que tenham gatilhos de pedido ou webhooks. Também está impedido de aceder a entradas e saídas para cada passo na história das corridas. No entanto, não está impedido de aceder a aplicações lógicas que executa o histórico.

Designer de Apps Lógicas - propriedades dinâmicas LogicAppsManagement * VirtualNetwork 454 Os pedidos vêm das Aplicações Lógicas que acedem aos endereços IP de entrada para aquela região.

Importante: Se estiver a trabalhar com a nuvem do Governo Azure, a etiqueta de serviço LogicAppsManagement não funcionará. Em vez disso, tem de fornecer os endereços IP de entrada de Apps Lógicas para o Governo Azure.

Verificação de saúde em rede LogicApps * VirtualNetwork 454 Os pedidos vêm das Aplicações Lógicas que acedem aos endereços IP de entrada e endereços IP de saída para aquela região.

Importante: Se estiver a trabalhar com a nuvem do Governo Azure, a etiqueta de serviço LogicApps não funcionará. Em vez disso, tem de fornecer tanto os endereços IP de entrada de Apps Lógicas como os endereços IP de saída para o Governo Azure.

Implantação do conector AzureConnectors * VirtualNetwork 454 Necessário para implantar e atualizar conectores. Fechar ou bloquear esta porta faz com que as implementações do ISE falhem e impeça atualizações e correções do conector.

Importante: Se estiver a trabalhar com a nuvem do Governo Azure, a etiqueta de serviço AzureConnectors não funcionará. Em vez disso, tem de fornecer os endereços IP de saída de conector geridos para o Governo Azure.

Dependência de Gestão de Serviços de Aplicações AppServiceManagement * VirtualNetwork 454, 455
Comunicação de Gestor de Tráfego do Azure AzureTrafficManager * VirtualNetwork Ise Interno: 454

ISE Externo: 443

Ambos:

Implementação da política do conector

API Management - ponto final de gestão

APIManagement * VirtualNetwork 3443 Para a implementação da política do conector, é necessário ter acesso à porta para implantar e atualizar os conectores. Fechar ou bloquear esta porta faz com que as implementações do ISE falhem e impeça atualizações e correções do conector.
Acesso Azure Cache para Redis Instances entre Instâncias de Papel VirtualNetwork * VirtualNetwork 6379 - 6383, mais ver Notas Para que o ISE trabalhe com a Azure Cache para Redis, tem de abrir estas portas de saída e de entrada descritas pela Cache Azure para redis FAQ.

Regras de segurança de saída

Objetivo Etiqueta de serviço de origem ou endereços IP Portas de origem Etiqueta de serviço de destino ou endereços IP Portas de destino Notas
Comunicação intersubnet dentro da rede virtual Espaço de endereço para a rede virtual com sub-redes ISE * Espaço de endereço para a rede virtual com sub-redes ISE * É necessário que o tráfego flua entre as sub-redes da sua rede virtual.

Importante: Para que o tráfego flua entre os componentes de cada sub-rede, certifique-se de que abre todas as portas dentro de cada sub-rede.

Comunicação a partir da sua app lógica VirtualNetwork * Internet 443, 80 Esta regra é necessária para a verificação do certificado Secure Socket Layer (SSL). Esta verificação destina-se a vários sites internos e externos, razão pela qual a Internet é necessária como destino.
Comunicação a partir da sua app lógica VirtualNetwork * Varia com base no destino Varia com base no destino As portas de destino variam em função dos pontos finais dos serviços externos com os quais a sua aplicação lógica necessita de comunicar.

Por exemplo, a porta de destino é a porta 25 para um serviço SMTP, porta 22 para um serviço SFTP, e assim por diante.

Azure Active Directory VirtualNetwork * AzureActiveDirectory 80, 443
Dependência Armazenamento Azure VirtualNetwork * Armazenamento 80, 443, 445
Gestão de conexão VirtualNetwork * AppService 443
Publicar registos de diagnóstico & métricas VirtualNetwork * AzureMonitor 443
Dependência SQL Azure VirtualNetwork * SQL 1433
Azure Resource Health VirtualNetwork * AzureMonitor 1886 Necessário para a publicação do estado de saúde à Resource Health.
Dependência da política de Log para Event Hub e agente de monitorização VirtualNetwork * EventHub 5672
Acesso Azure Cache para Redis Instances entre Instâncias de Papel VirtualNetwork * VirtualNetwork 6379 - 6383, mais ver Notas Para que o ISE trabalhe com a Azure Cache para Redis, tem de abrir estas portas de saída e de entrada descritas pela Cache Azure para redis FAQ.
Resolução de nomes DNS VirtualNetwork * Endereços IP para quaisquer servidores personalizados do Sistema de Nome de Domínio (DNS) na sua rede virtual 53 Requerido apenas quando utiliza servidores DNS personalizados na sua rede virtual

Além disso, você precisa adicionar regras de saída para o Ambiente de Serviço de Aplicações (ASE):

  • Se utilizar o Azure Firewall, tem de configurar a sua firewall com a etiqueta de domínio (ASE) totalmente qualificada (FQDN),que permite o acesso de saída ao tráfego da plataforma ASE.

  • Se utilizar um aparelho de firewall que não seja o Azure Firewall, tem de configurar a sua firewall com todas as regras listadas nas dependências de integração de firewall que são necessárias para o Ambiente de Serviço de Aplicações.

Requisitos de túneis forçados

Se configurar ou utilizar um túnel forçado através da sua firewall, tem de permitir dependências externas extra para o seu ISE. O túnel forçado permite redirecionar o tráfego ligado à Internet para um próximo lúpulo designado, como a sua rede privada virtual (VPN) ou para um aparelho virtual, em vez de para a Internet, para que possa inspecionar e auditar o tráfego da rede de saída.

Se não permitir o acesso a estas dependências, a sua implantação ise falha e o ise implantado deixa de funcionar.

Criar o seu ISE

  1. No portal Azure,na caixa de pesquisa principal do Azure, insira integration service environments como filtro e selecione Ambientes de Serviço de Integração.

    Localizar e selecionar "Ambientes de Serviço de Integração"

  2. No painel de ambientes de serviço de integração, selecione Adicionar.

    Selecione "Adicionar" para criar ambiente de serviço de integração

  3. Forneça estes detalhes para o seu ambiente e, em seguida, selecione Review + create, por exemplo:

    Fornecer detalhes ambientais

    Propriedade Necessário Valor Descrição
    Subscrição Yes <Nome de subscrição Azure> A subscrição Azure para usar para o seu ambiente
    Grupo de recursos Yes <Nome de grupo Azure-recursos> Um novo ou existente grupo de recursos Azure onde pretende criar o seu ambiente
    Nome do ambiente do serviço de integração Yes <nome do ambiente> O seu nome ISE, que pode conter apenas letras, números, hífens - ( ), sublinha _ (, e períodos ( . ).
    Localização Yes <Azure-datacenter-região> A região do centro de dados Azure onde implementar o seu ambiente
    SKU Yes Premium ou Desenvolvedor (Sem SLA) O ISE SKU para criar e utilizar. Para obter diferenças entre estes SKUs, consulte os SKUs ise.

    Importante: Esta opção está disponível apenas na criação do ISE e não pode ser alterada mais tarde.

    Capacidade adicional Premium:
    Yes

    Desenvolvedor:
    Não aplicável

    Premium:
    0 a 10

    Desenvolvedor:
    Não aplicável

    O número de unidades de processamento extra a utilizar para este recurso ISE. Para aumentar a capacidade após a criação, consulte a capacidade do Add ISE.
    Ponto final de acesso Yes Interno ou Externo O tipo de pontos finais de acesso a utilizar para o seu ISE. Estes pontos finais determinam se o pedido ou o webhook desencadeiam aplicações lógicas no seu ISE podem receber chamadas de fora da sua rede virtual.

    Por exemplo, se pretender utilizar os seguintes gatilhos baseados em webhook, certifique-se de que seleciona External:

    - Azure DevOps
    - Azure Event Grid
    - Serviço Comum de Dados
    - Office 365
    - SAP (versão ISE)

    A sua seleção também afeta a forma como pode ver e aceder a entradas e saídas na sua aplicação lógica. Para mais informações, consulte o acesso ao ponto final do ISE.

    Importante: Pode selecionar o ponto final de acesso apenas durante a criação do ISE e não pode alterar esta opção mais tarde.

    Rede virtual Yes <Nome de rede virtual Azure> A rede virtual Azure onde pretende injetar o seu ambiente para que as aplicações lógicas nesse ambiente possam aceder à sua rede virtual. Se não tiver uma rede, crie primeiro uma rede virtual Azure.

    Importante: pode efetuar esta injeção quando criar o ise.

    Sub-redes Yes <lista de sub-recursos> Um ISE requer quatro sub-redes vazias, que são necessárias para criar e implantar recursos no seu ISE e são usadas por componentes de Aplicações Lógicas internas, tais como conectores e caching para desempenho.

    Importante: Certifique-se de que revê os requisitos da sub-rede antes de continuar com estes passos para criar as suas sub-redes.

    Criar sub-redes

    O seu ISE requer quatro sub-redes vazias, que são necessárias para criar e implantar recursos no seu ISE e são utilizadas por componentes internos da Logic Apps, tais como conectores e caching para desempenho. Não pode alterar estes endereços de sub-rede depois de criar o seu ambiente. Se criar e implementar o seu ISE através do portal Azure, certifique-se de que não delega estas sub-redes em quaisquer serviços Azure. No entanto, se criar e implementar o seu ISE através da API REST, Azure PowerShell ou um modelo de Gestor de Recursos Azure, tem de delegar uma sub-rede vazia para Microsoft.integrationServiceEnvironment . Para mais informações, consulte Adicionar uma delegação de sub-redes.

    Cada sub-rede tem de satisfazer estes requisitos:

    • Usa um nome que começa com um carácter alfabético ou um sublinhado (sem números), e não usa estes caracteres: < > . . % . & \\ ? /

    • Utiliza o formato de encaminhamento de Inter-Domain sem classe (CIDR).

      Importante

      Não utilize os seguintes espaços de endereço IP para a sua rede virtual ou sub-redes porque não são resolúveis por Azure Logic Apps:

      • 0.0.0.0/8
      • 100.64.0.0/10
      • 127.0.0.0/8
      • 168.63.129.16/32
      • 169.254.169.254/32
    • Usa um /27 no espaço de endereço porque cada sub-rede requer 32 endereços. Por exemplo, 10.0.0.0/27 tem 32 endereços porque 2(32-27) é 25 ou 32. Mais endereços não proporcionarão benefícios extra. Para saber mais sobre o cálculo de endereços, consulte os blocos CIDR IPv4.

    • Se utilizar o ExpressRoute,tem de criar uma tabela de rotas que tenha a seguinte rota e ligue essa tabela a cada sub-rede que é utilizada pelo seu ISE:

      Nome: <nome de rota>
      Prefixo do endereço: 0.0.0.0/0
      Próximo salto: Internet

    1. Na lista de sub-redes, selecione Gerir a configuração da sub-rede.

      Gerir a configuração da sub-rede

    2. No painel sub-redes, selecione Sub-rede.

      Adicione quatro sub-redes vazias

    3. No painel de sub-redes Add, forneça estas informações.

      • Nome: O nome da sua sub-rede
      • Intervalo de endereços (bloco CIDR): A gama da sua sub-rede na sua rede virtual e no formato CIDR

      Adicionar detalhes da sub-rede

    4. Quando tiver terminado, selecione OK.

    5. Repita estes passos para mais três sub-redes.

      Nota

      Se as sub-redes que tenta criar não forem válidas, o portal Azure mostra uma mensagem, mas não bloqueia o seu progresso.

    Para obter mais informações sobre a criação de sub-redes, consulte Adicionar uma sub-rede de rede virtual.

  4. Depois de a Azure validar com sucesso as suas informações ISE, selecione Criar, por exemplo:

    Após validação bem sucedida, selecione "Criar"

    O Azure começa a implantar o seu ambiente, que normalmente demora dentro de duas horas para terminar. Ocasionalmente, a implantação pode demorar até quatro horas. Para verificar o estado de implementação, na sua barra de ferramentas Azure, selecione o ícone de notificações, que abre o painel de notificações.

    Verificar o estado da implementação

    Se a implementação terminar com sucesso, a Azure mostra esta notificação:

    Implementação conseguiu

    Caso contrário, siga as instruções do portal Azure para a resolução de problemas.

    Nota

    Se a implementação falhar ou eliminar o ISE, o Azure pode demorar até uma hora, ou possivelmente mais, em casos raros, antes de lançar as suas sub-redes. Por isso, talvez tenhas de esperar antes de reutilizares essas sub-redes noutra ISE.

    Se eliminar a sua rede virtual, o Azure geralmente demora até duas horas antes de lançar as suas sub-redes, mas esta operação pode demorar mais tempo. Ao eliminar redes virtuais, certifique-se de que ainda não há recursos ligados. Ver Eliminar rede virtual.

  5. Para visualizar o seu ambiente, selecione Vá para o recurso se o Azure não for automaticamente ao seu ambiente após o fim da implementação.

  6. Para um ISE que tenha acesso externo ao ponto final, é necessário criar um grupo de segurança de rede (NSG), se ainda não tiver um. É necessário adicionar uma regra de segurança de entrada ao NSG para permitir o tráfego a partir de endereços IP de saída geridos do conector. Para estabelecer esta regra, siga estes passos:

    1. No seu menu ISE, em Definições, selecione Properties.

    2. Nos endereços IP de saída do Conector, copie os intervalos de endereços IP públicos, que também aparecem neste artigo, Limites e configuração - Endereços IP de saída.

    3. Crie um grupo de segurança de rede, se ainda não tiver um.

    4. Com base nas seguintes informações, adicione uma regra de segurança de entrada para os endereços IP de saída pública que copiou. Para obter mais informações, consulte Tutorial: Filtrar o tráfego da rede com um grupo de segurança de rede utilizando o portal Azure.

      Objetivo Etiqueta de serviço de origem ou endereços IP Portas de origem Etiqueta de serviço de destino ou endereços IP Portas de destino Notas
      Permitir o tráfego a partir de endereços IP de saída de conector <endereços IP-endereços de conector-público-out-out-IP> * Espaço de endereço para a rede virtual com sub-redes ISE *
  7. Para verificar a saúde da rede para o seu ISE, consulte Gerir o seu ambiente de serviço de integração.

    Atenção

    Se a rede do ISE não for saudável, o Ambiente interno de Serviço de Aplicações (ASE) que é utilizado pelo ISE também pode tornar-se insalubre. Se o ASE não estiver saudável por mais de sete dias, o ASE está suspenso. Para resolver este estado, verifique a sua configuração de rede virtual. Resolva quaisquer problemas que encontre e, em seguida, reinicie o seu ISE. Caso contrário, após 90 dias, o ASE suspenso é eliminado e o seu ISE torna-se inutilizável. Por isso, certifique-se de manter o seu ISE saudável para permitir o tráfego necessário.

    Para obter mais informações, veja estes tópicos:

  8. Para começar a criar aplicações lógicas e outros artefactos no seu ISE, consulte adicionar recursos aos ambientes de serviços de integração.

    Importante

    Depois de criar o ise, os conectores ISE geridos ficam disponíveis para você usar, mas eles não aparecem automaticamente no conector no Design de Aplicações Lógicas. Antes de poder utilizar estes conectores ISE, tem de adicionar e implantar manualmente estes conectores no seu ISE para que estes apareçam no Logic App Designer.

Passos seguintes