Доступ к ресурсам виртуальных сетей Azure из Azure Logic Apps с использованием сред службы интеграции (ISE)

Иногда вашим приложениям логики требуется доступ к защищенным ресурсам, таким как виртуальные машины и другие системы или службы, находящиеся в виртуальной сети Azure. Чтобы настроить этот доступ, создайте среду службы интеграции (ISE), в которой можно создавать и запускать свои приложения логики. Среда службы интеграции — это экземпляр службы Logic Apps, использующий выделенные ресурсы и выполняемый отдельно от "глобальной" многопользовательской службы Logic Apps. Данные в среде службы интеграции остаются в том же регионе , в котором вы создаете и развертываете эту среду службы интеграции.

Например, некоторые виртуальные сети Azure используют частные конечные точки, которые можно настроить с помощью Приватного канала Azure для предоставления доступа к службам PaaS Azure, таким как служба хранилища Azure, Azure Cosmos DB, База данных SQL Azure, партнерские службы или службы клиентов, размещенные в Azure. Если приложениям логики требуется доступ к виртуальным сетям, использующим частные конечные точки, необходимо создать, развернуть и запустить эти приложения логики в среде службы интеграции.

При создании среды службы интеграции Azure внедряет или развертывает эту среду в вашу виртуальную сеть Azure. Затем ее можно использовать в качестве расположения для приложений логики и учетных записей интеграции, которым требуется доступ.

Выбор среды службы интеграции

В этом обзоре содержатся дополнительные сведения о том, почему вы хотите использовать среду службы интеграции, различия между выделенной и многопользовательской службой Logic Apps, а также способ прямого доступа к ресурсам, которые находятся в виртуальной сети Azure или подключены к ней.

Зачем использовать среду службы интеграции (ISE)?

Запуск приложений логики в отдельном выделенном экземпляре помогает уменьшить влияние других арендаторов Azure на производительность вашего приложения, то есть устранить эффект "шумных соседей". Кроме того, ISE обеспечивает следующие преимущества:

  • Прямой доступ к ресурсам, которые находятся внутри виртуальной сети или подключены к ней

    Приложения логики, создаваемые и выполняемые в среде службы интеграции, могут использовать специально разработанные соединители, которые работают в среде службы интеграции. Если соединитель ISE используется для локальной системы или источника данных, можно подключиться напрямую, не используя локальный шлюз данных. Дополнительные сведения см. далее в этой статье в разделах Выделенные и многопользовательские службы и Доступ к локальным системам.

  • Постоянный доступ к ресурсам, которые находятся за пределами вашей виртуальной сети или не подключены к ней

    Приложения логики, создаваемые и выполняемые в среде службы интеграции, по-прежнему могут использовать соединители, которые выполняются в многопользовательской службе Logic Apps, если соединитель, относящийся к ISE, недоступен. Дополнительные сведения см. в разделе Выделенные и многопользовательские службы.

  • Собственные статические IP-адреса, которые отделены от статических IP-адресов, совместно используемых приложениями логики в мультитенантной службе. Для связи с целевыми системами можно также настроить один общедоступный статический исходящий IP-адрес с возможностью прогнозирования. Таким образом, вам не придется настраивать дополнительные пути брандмауэра в целевых системах для каждой ISE.

  • Увеличены ограничения продолжительности выполнения, хранения, пропускной способности, времени ожидания HTTP-запросов и ответов, размеров сообщений и запросов пользовательских соединителей. Дополнительные сведения см. в статье Ограничения и сведения о конфигурации для Azure Logic Apps.

Выделенные и многопользовательские службы

При создании и выполнении приложений логики в среде службы интеграции вы получаете те же пользовательские интерфейсы и те же возможности, что и многопользовательская служба Logic Apps. Вы можете использовать все те же встроенные триггеры, действия и управляемые соединители, доступные в многопользовательской Logic Apps службе. Некоторые управляемые соединители содержат дополнительные версии ISE. Соединители ISE и соединители не-ISE отличаются местом, где они выполняются, и метками, которые они имели в конструкторе приложений логики, при работе в среде службы интеграции.

Соединители с метками и без них в среде службы интеграции

  • Встроенные триггеры и действия, такие как HTTP, отображают метку CORE и выполняются в той же среде ISE, что и ваше приложение логики.

  • Управляемые соединители, отображающие метку ISE, специально предназначены для сред ISE и всегда выполняются в той же среде службы интеграции, что и приложение логики. Например, вот несколько соединителей, предлагающих версии ISE:

    • Хранилище BLOB-объектов, хранилище файлов и хранилище таблиц Azure
    • Служебная шина Azure, очереди Azure, Центры событий Azure
    • Служба автоматизации Azure, Azure Key Vault, Сетка событий Azure и журналы Azure Monitor
    • FTP, SFTP-SSH, файловая система и SMTP
    • SAP, IBM MQ, IBM DB2 и IBM 3270
    • SQL Server, Azure Synapse Analytics, Azure Cosmos DB
    • AS2, X12 и EDIFACT

    За редким исключением, если соединитель ISE доступен для локальной системы или источника данных, вы можете подключиться напрямую, не используя локальный шлюз данных. Дополнительные сведения см. в разделе Доступ к локальным системам этой статьи.

  • Управляемые соединители, которые не отображают метку ISE, продолжают работать для приложений логики в среде службы интеграции. Эти соединители всегда выполняются в многопользовательской службе Logic Apps, а не в среде службы интеграции.

  • Пользовательские соединители, создаваемые вне среды службы интеграции, независимо от того, требуется ли им локальный шлюз данных, продолжают работать для приложений логики в среде службы интеграции. Однако пользовательские соединители, создаваемые внутри среды службы интеграции, не будут работать с локальным шлюзом данных. Дополнительные сведения см. в разделе Доступ к локальным системам.

Доступ к локальным системам

Приложения логики, которые выполняются внутри среды службы интеграции, могут напрямую обращаться к локальным системам и источникам данных, которые находятся в виртуальной сети Azure или подключены к ней с помощью следующих элементов:

  • Триггер или действие HTTP, отображающее метку CORE

  • Соединитель ISE, если он доступен, для локальной системы или источника данных

    Если соединитель ISE доступен, можно получить прямой доступ к системе или источнику данных без локального шлюза данных. Тем не менее, если необходимо получить доступ к серверу SQL Server из среды службы интеграции и использовать проверку подлинности Windows, вы должны использовать версию соединителя не-ISE и локальный шлюз данных соединителя. Версия ISE соединителя не поддерживает проверку подлинности Windows. Дополнительные сведения см. в статьях Соединители ISE и Подключение из среды службы интеграции.

  • настраиваемый соединитель;

    • Пользовательские соединители, создаваемые вне среды службы интеграции, независимо от того, требуется ли им локальный шлюз данных, продолжают работать для приложений логики в среде службы интеграции.

    • Пользовательские соединители, создаваемые внутри среды службы интеграции, не будут работать с локальным шлюзом данных. Однако эти соединители могут напрямую обращаться к локальным системам и источникам данных, находящимся внутри виртуальной сети, в которой размещена среда службы интеграции, или подключены к ней. Поэтому приложения логики, которые находятся внутри среды службы интеграции, обычно не требуют шлюза данных при доступе к этим ресурсам.

Для доступа к локальным системам и источникам данных, у которых отсутствуют соединители ISE, и они находятся за пределами виртуальной сети или не подключены к ней, вам по-прежнему необходимо использовать локальный шлюз данных. Приложения логики в среде службы интеграции могут продолжать использовать соединители без метки CORE или ISE. Эти соединители работают в многопользовательской службе Logic Apps, а не в среде службы интеграции.

Номера SKU ISE

При создании ISE можно выбрать SKU разработчиков или SKU Premium. Этот параметр доступен только при создании ISE и не может быть изменен позже. Ниже приведены различия между этими номерами SKU.

  • Разработчик

    Предоставляет экономичную среду службы интеграции, которую можно использовать для исследования, экспериментов, разработки и тестирования, но не для тестирования в рабочей среде или тестирования производительности. Номер SKU для разработчиков включает встроенные триггеры и действия, стандартные соединители, корпоративные соединители и учетную запись интеграции с одним свободным уровнем для фиксированной ежемесячной цены.

    Важно!

    Этот SKU не имеет соглашения об уровне обслуживания (SLA), возможностей масштабирования или избыточности во время повторного запуска. Это означает, что во время работы могут возникнуть задержки или простои. Серверные обновления могут периодически прерывать работу служб.

    Сведения о емкости и ограничениях см. в разделе Ограничения среды службы интеграции в Azure Logic Apps. Сведения о выставлении счетов для сред ISE см. в статье Модель цены для Azure Logic Apps.

  • Премиальный

    Предоставляет среды службы интеграции, которую можно использовать для тестирования в рабочей среде или тестирования производительности. Номер SKU Premium включает поддержку соглашения об уровне обслуживания, встроенные триггеры и действия, стандартные соединители, корпоративные соединители, учетную запись интеграции с одним стандартным уровнем, возможность вертикально увеличить масштаб и избыточность в процессе повторного использования для фиксированной месячной цены.

    Сведения о емкости и ограничениях см. в разделе Ограничения среды службы интеграции в Azure Logic Apps. Сведения о выставлении счетов для сред ISE см. в статье Модель цены для Azure Logic Apps.

Доступ к конечной точке среды службы интеграции

При создании среды службы интеграции можно выбрать использование внутренних или внешних конечных точек доступа. Ваш выбор определит, смогут ли триггеры запроса или веб-перехватчика в приложении логики в среде службы интеграции получать вызовы извне вашей виртуальной сети. Эти конечные точки также влияют на способ доступа к входным и выходным данным из журнала выполнения приложений логики.

Важно!

Вы можете выбрать конечную точку доступа только во время создания среды службы интеграции и не сможете изменить этот параметр позже.

  • Внутренние конечные точки: частные конечные точки разрешают вызовы приложений логики в среде ISE, в которой можно просматривать входные и выходные данные из журнала выполнения приложений логики и получать к ним доступ только изнутри виртуальной сети.

    Важно!

    Если необходимо использовать эти триггеры на основе веб-перехватчика, при создании ISE используйте внешние, а не внутренние конечные точки:

    • Azure DevOps
    • Сетка событий Azure
    • Common Data Service
    • Office 365
    • SAP (версия ISE)

    Убедитесь в наличии сетевого подключения между частными конечными точками и компьютером, с которого нужно получить доступ к журналу выполнения. В противном случае при попытке просмотра журнала выполнения приложения логики появляется сообщение "Непредвиденная ошибка. Ошибка получения".

    Ошибка действия службы хранилища Azure из-за невозможности передать трафик через брандмауэр

    Например, клиентский компьютер может находиться в виртуальной сети ISE или в виртуальной сети, подключенной к виртуальной сети ISE, например через пиринговую или виртуальную частную сеть.

  • Внешние конечные точки: общедоступные конечные точки разрешают вызовы приложений логики в среде ISE, в которой можно просматривать входные и выходные данные из журнала выполнения приложений логики и получать к ним доступ снаружи вашей виртуальной сети. Если вы используете группы безопасности сети (NSG), убедитесь, что они настроены с помощью правил входящего трафика, чтобы разрешить доступ к входным и выходным данным журнала выполнения. Дополнительные сведения см. в разделе Разрешить доступ к среде ISE.

Чтобы определить, используется ли в среде службы интеграции внутренняя или внешняя конечная точка доступа, в меню среды службы интеграции в разделе Параметры выберите Свойства и найдите свойство Конечная точка доступа.

Поиск конечной точки доступа ISE

Модель ценообразования

Приложения логики, встроенные триггеры и соединители, которые выполняются в среде службы интеграции, используют фиксированный ценовой план, отличный от ценового плана, рассчитанного на потребление. Дополнительные сведения см. в разделе Модель ценообразования Logic Apps. Сведения о тарифах см. на странице цен на Logic Apps.

Учетные записи интеграции в ISE

Учетные записи интеграции с приложениями логики можно использовать в среде службы интеграции. Тем не менее эти учетные записи интеграции должны использовать ту же ISE, что и связанные приложения логики. Приложения логики в среде ISE могут ссылаться только на те учетные записи интеграции, которые находятся в одной с ними среде ISE. При создании учетной записи интеграции можно выбрать среду ISE в качестве расположения учетной записи интеграции. Сведения о ценах и выставлении счетов для учетных записей интеграции с ISE см. в статье Модель ценообразования для Logic Apps. Сведения о тарифах см. на странице цен на Logic Apps. Дополнительные сведения см. в разделе Ограничения учетной записи интеграции.

Дальнейшие действия