Подключайтесь к виртуальным сетям Azure из Azure Logic Apps с помощью среды службы интеграции (ISE).

Важно!

31 августа 2024 г. ресурс ISE будет выведен из эксплуатации из-за его зависимости от Azure Облачные службы (классическая модель), которая одновременно прекращается. До даты прекращения поддержки экспортируйте все приложения логики из isE в приложения логики уровня "Стандартный", чтобы избежать нарушения работы службы. Стандартные рабочие процессы приложений логики выполняются в Azure Logic Apps с одним клиентом и предоставляют те же возможности и многое другое. Например, стандартные рабочие процессы поддерживают использование частных конечных точек для входящего трафика, чтобы рабочие процессы могли обмениваться данными с виртуальными сетями в частном и безопасном режиме. Стандартные рабочие процессы также поддерживают интеграцию виртуальной сети для исходящего трафика. Дополнительные сведения см. в статье Безопасный трафик между виртуальными сетями и рабочими процессами с одним арендатором в службе Azure Logic Apps с использованием частных конечных точек.

С 1 ноября 2022 г. возможность создания новых ресурсов ISE больше не доступна, что также означает, что возможность настройки собственных ключей шифрования, известная как "Использование собственного ключа" (BYOK), во время создания ISE с помощью REST API Logic Apps также больше недоступна. Однако ресурсы ISE, существующие до этой даты, поддерживаются до 31 августа 2024 г.

Дополнительные сведения см. в следующих ресурсах:

• Прекращение поддержки ISE — что вам нужно знать
• Сравнение сред с одним и несколькими клиентами и средой службы интеграции для Azure Logic Apps
• Цены на Azure Logic Apps
• Экспорт рабочих процессов ISE в приложение логики уровня "Стандартный"
• Поддержка среды служб Integration Services будет прекращена 31 августа 2024 г. — переход на Logic Apps Standard
• Прекращение использования модели развертывания Облачных служб (классической модели) с 31 августа 2024 г.

В этом обзоре содержатся дополнительные сведения о том, как ISE работает с виртуальной сетью, преимуществах использования ISE, различиях между выделенной и мультитенантной службой Logic Apps, а также о том, как напрямую получить доступ к ресурсам, которые находятся в виртуальной сети Azure или подключены к ней.

Взаимодействие ISE с виртуальной сетью

При создании ISE выберите виртуальную сеть Azure, в которую вы хотите внедрить или развернуть ise. При создании приложений логики и учетных записей интеграции, которым требуется доступ к этой виртуальной сети, можно выбрать среду ISE как место размещения этих приложений логики и учетных записей интеграции. В ISE приложения логики запускаются на выделенных ресурсах отдельно от других приложений в мультитенантной среде Azure Logic Apps. Данные в среде службы интеграции остаются в том же регионе , в котором вы создаете и развертываете эту среду службы интеграции.

Зачем использовать среду службы интеграции (ISE)?

Выполнение рабочих процессов приложения логики в отдельном выделенном экземпляре помогает снизить влияние других клиентов Azure на производительность ваших приложений, которое также называют "шумными соседями". Кроме того, ISE обеспечивает следующие преимущества:

• Прямой доступ к ресурсам, которые находятся внутри виртуальной сети или подключены к ней

  Приложения логики, создаваемые и выполняемые в среде службы интеграции, могут использовать специально разработанные соединители, которые работают в среде службы интеграции. Если соединитель ISE используется для локальной системы или источника данных, можно подключиться напрямую, не используя локальный шлюз данных. Дополнительные сведения см. далее в этой статье в разделах Выделенные и многопользовательские службы и Доступ к локальным системам.

• Постоянный доступ к ресурсам, которые находятся за пределами вашей виртуальной сети или не подключены к ней

  Приложения логики, создаваемые и выполняемые в среде службы интеграции, по-прежнему могут использовать соединители, которые выполняются в многопользовательской службе Logic Apps, если соединитель, относящийся к ISE, недоступен. Дополнительные сведения см. в разделе Выделенные и многопользовательские службы.

• Собственные статические IP-адреса, которые отделены от статических IP-адресов, совместно используемых приложениями логики в мультитенантной службе. Для связи с целевыми системами можно также настроить один общедоступный статический исходящий IP-адрес с возможностью прогнозирования. Таким образом, вам не придется настраивать дополнительные пути брандмауэра в целевых системах для каждой ISE.

• Увеличены ограничения продолжительности выполнения, хранения, пропускной способности, времени ожидания HTTP-запросов и ответов, размеров сообщений и запросов пользовательских соединителей. Дополнительные сведения см. в статье Ограничения и сведения о конфигурации для Azure Logic Apps.

Выделенные и многопользовательские службы

При создании и выполнении приложений логики в среде службы интеграции вы получаете те же пользовательские интерфейсы и те же возможности, что и многопользовательская служба Logic Apps. Вы можете использовать все те же встроенные триггеры, действия и управляемые соединители, доступные в многопользовательской Logic Apps службе. Некоторые управляемые соединители содержат дополнительные версии ISE. Соединители ISE и соединители не-ISE отличаются местом, где они выполняются, и метками, которые они имели в конструкторе приложений логики, при работе в среде службы интеграции.

• Встроенные триггеры и действия, такие как HTTP, отображают метку CORE и выполняются в той же среде ISE, что и ваше приложение логики.

• Управляемые соединители, отображающие метку ISE, специально предназначены для сред ISE и всегда выполняются в той же среде службы интеграции, что и приложение логики. Например, вот несколько соединителей, предлагающих версии ISE:

  • Хранилище BLOB-объектов, хранилище файлов и хранилище таблиц Azure
  • Служебная шина Azure, очереди Azure, Центры событий Azure
  • Служба автоматизации Azure, Azure Key Vault, Сетка событий Azure и журналы Azure Monitor
  • FTP, SFTP-SSH, файловая система и SMTP
  • SAP, IBM MQ, IBM DB2 и IBM 3270
  • SQL Server, Azure Synapse Analytics, Azure Cosmos DB
  • AS2, X12 и EDIFACT

  За редким исключением, если соединитель ISE доступен для локальной системы или источника данных, вы можете подключиться напрямую, не используя локальный шлюз данных. Дополнительные сведения см. в разделе Доступ к локальным системам этой статьи.

• Управляемые соединители, которые не отображают метку ISE, продолжают работать для приложений логики в среде службы интеграции. Эти соединители всегда выполняются в многопользовательской службе Logic Apps, а не в среде службы интеграции.

• Пользовательские соединители, создаваемые вне среды службы интеграции, независимо от того, требуется ли им локальный шлюз данных, продолжают работать для приложений логики в среде службы интеграции. Однако пользовательские соединители, создаваемые внутри среды службы интеграции, не будут работать с локальным шлюзом данных. Дополнительные сведения см. в разделе Доступ к локальным системам.

Доступ к локальным системам

Рабочие процессы приложения логики, выполняемые в isE, могут напрямую обращаться к локальным системам и источникам данных, которые находятся внутри виртуальной сети Azure или подключены к ней, с помощью следующих элементов:

• Триггер или действие HTTP, отображающее метку CORE

• Соединитель ISE, если он доступен, для локальной системы или источника данных

  Если соединитель ISE доступен, можно получить прямой доступ к системе или источнику данных без локального шлюза данных. Тем не менее, если необходимо получить доступ к серверу SQL Server из среды службы интеграции и использовать проверку подлинности Windows, вы должны использовать версию соединителя не-ISE и локальный шлюз данных соединителя. Версия ISE соединителя не поддерживает проверку подлинности Windows. Дополнительные сведения см. в статьях Соединители ISE и Подключение из среды службы интеграции.

• настраиваемый соединитель;

  • Пользовательские соединители, создаваемые вне среды службы интеграции, независимо от того, требуется ли им локальный шлюз данных, продолжают работать для приложений логики в среде службы интеграции.

  • Пользовательские соединители, создаваемые внутри среды службы интеграции, не будут работать с локальным шлюзом данных. Однако эти соединители могут напрямую обращаться к локальным системам и источникам данных, находящимся внутри виртуальной сети, в которой размещена среда службы интеграции, или подключены к ней. Поэтому приложения логики, которые находятся внутри среды службы интеграции, обычно не требуют шлюза данных при доступе к этим ресурсам.

Для доступа к локальным системам и источникам данных, у которых отсутствуют соединители ISE, и они находятся за пределами виртуальной сети или не подключены к ней, вам по-прежнему необходимо использовать локальный шлюз данных. Приложения логики в среде службы интеграции могут продолжать использовать соединители без метки CORE или ISE. Эти соединители работают в многопользовательской службе Logic Apps, а не в среде службы интеграции.

Зашифрованные неактивных данные

По умолчанию служба хранилища Azure использует для шифрования данных ключи, управляемые корпорацией Майкрософт. Azure Logic Apps использует службу хранилища Azure для хранения и автоматического шифрования неактивных данных. Шифрование защищает данные и помогает соблюдать корпоративные обязательства по обеспечению безопасности и соответствия требованиям. Подробнее о том, как работает шифрование службы хранилища Azure, см. в статье Шифрование службы хранилища Azure для неактивных данных и Шифрование неактивных данных Azure.

Для большего контроля над ключами шифрования, используемыми службой хранилища Azure, ISE поддерживает использование собственных ключей и управление ими с помощью Azure Key Vault. Эта возможность также известна как "создание собственных ключей" (BYOK), а ключ называется "ключом, управляемым клиентом". Однако эта возможность доступна только при создании isE, а не после этого. Этот ключ нельзя отключить после создания ISE. В настоящее время для ISE не поддерживается смена ключа, управляемого клиентом.

• Поддержка ключей, управляемых клиентом, для ISE доступна только в следующих регионах:

  • Azure: западная часть США 2, восточная часть США и юго-центральная часть США.

  • Azure для государственных организаций: Аризона, Вирджиния и Техас.

• Хранилище ключей, в котором хранится ключ, управляемый клиентом, должно находиться в том же регионе Azure, что и ваша ISE.

• Чтобы обеспечить поддержку ключей, управляемых клиентом, для ISE нужно включить управляемое удостоверение, назначаемое системой или пользователем. Это удостоверение позволяет ISE проверять подлинность при доступе к защищенным ресурсам, таким как виртуальные машины и другие системы или службы, которые находятся в виртуальной сети Azure или подключены к ней. Таким образом, вам не нужно выполнять вход с использованием учетных данных.

• Необходимо предоставить хранилищу ключей доступ к управляемому удостоверению ISE, но время зависит от используемого управляемого удостоверения.

  • Управляемое удостоверение, назначаемое системой: в течение 30 минут после отправки HTTPS-запроса PUT, который создает вашу ISE. В противном случае создать ISE не удастся и будет выдана ошибка разрешений.

  • Управляемое удостоверение, назначаемое пользователем: перед отправкой httpS-запроса PUT, который создает вашу ISE.

Номера SKU ISE

При создании ISE можно выбрать SKU разработчиков или SKU Premium. Этот параметр доступен только при создании ISE и не может быть изменен позже. Ниже приведены различия между этими номерами SKU.

• Разработчик

  Предоставляет экономичную среду службы интеграции, которую можно использовать для исследования, экспериментов, разработки и тестирования, но не для тестирования в рабочей среде или тестирования производительности. Номер SKU для разработчиков включает встроенные триггеры и действия, стандартные соединители, корпоративные соединители и учетную запись интеграции с одним свободным уровнем для фиксированной ежемесячной цены.

  Важно!

  Этот SKU не имеет соглашения об уровне обслуживания (SLA), возможностей масштабирования или избыточности во время повторного запуска. Это означает, что во время работы могут возникнуть задержки или простои. Серверные обновления могут периодически прерывать работу служб.

  Сведения о емкости и ограничениях см. в разделе Ограничения среды службы интеграции в Azure Logic Apps. Сведения о выставлении счетов для сред ISE см. в статье Модель цены для Azure Logic Apps.

• Премиальный

  Предоставляет среды службы интеграции, которую можно использовать для тестирования в рабочей среде или тестирования производительности. Номер SKU Premium включает поддержку соглашения об уровне обслуживания, встроенные триггеры и действия, стандартные соединители, корпоративные соединители, учетную запись интеграции с одним стандартным уровнем, возможность вертикально увеличить масштаб и избыточность в процессе повторного использования для фиксированной месячной цены.

  Сведения о емкости и ограничениях см. в разделе Ограничения среды службы интеграции в Azure Logic Apps. Сведения о выставлении счетов для сред ISE см. в статье Модель цены для Azure Logic Apps.

Доступ к конечной точке среды службы интеграции

Во время создания ISE можно использовать как внутренние, так и внешние конечные точки доступа. Ваш выбор определит, смогут ли триггеры запроса или веб-перехватчика в приложении логики в среде службы интеграции получать вызовы извне вашей виртуальной сети. Эти конечные точки также влияют на способ доступа к входным и выходным данным из журнала выполнения приложений логики.

Важно!

Вы можете выбрать конечную точку доступа только во время создания среды службы интеграции и не сможете изменить этот параметр позже.

• Внутренние. Частные конечные точки разрешают вызовы приложений логики в isE, где можно просматривать входные и выходные данные из журнала выполнения рабочего процесса приложения логики и получать к ней доступ только из виртуальной сети.

  Важно!

  Если вам необходимо использовать эти триггеры на основе веб-перехватчика, а служба находится за пределами вашей виртуальной сети и одноранговых виртуальных сетей, то при создании ISE используйте внешние конечные точки, а не внутренние конечные точки.

  • Azure DevOps
  • Сетка событий Azure
  • Common Data Service
  • Office 365
  • SAP (мультитенантная версия)

  Убедитесь в наличии сетевого подключения между частными конечными точками и компьютером, с которого нужно получить доступ к журналу выполнения. В противном случае при попытке просмотреть журнал выполнения рабочего процесса появляется сообщение об ошибке "Непредвиденная ошибка. Ошибка получения".

  

  Например, клиентский компьютер может находиться в виртуальной сети ISE или в виртуальной сети, подключенной к виртуальной сети ISE, например через пиринговую или виртуальную частную сеть.

• Внешние. Общедоступные конечные точки позволяют вызывать рабочие процессы приложений логики в isE, где можно просматривать входные и выходные данные из журнала запусков приложений логики извне виртуальной сети. Если вы используете группы безопасности сети (NSG), убедитесь, что они настроены с помощью правил входящего трафика, чтобы разрешить доступ к входным и выходным данным журнала выполнения.

Чтобы определить, используется ли в среде службы интеграции внутренняя или внешняя конечная точка доступа, в меню среды службы интеграции в разделе Параметры выберите Свойства и найдите свойство Конечная точка доступа.

Модель ценообразования

Приложения логики, встроенные триггеры, встроенные действия и соединители, которые выполняются в isE, используют фиксированный тарифный план, отличающийся от ценового плана "Потребление". Дополнительные сведения см. в статье Модель ценообразования Azure Logic Apps. Цены см. в статье Цены на Azure Logic Apps.

Учетные записи интеграции в ISE

Учетные записи интеграции с приложениями логики можно использовать в среде службы интеграции. Тем не менее эти учетные записи интеграции должны использовать ту же ISE, что и связанные приложения логики. Приложения логики в среде ISE могут ссылаться только на те учетные записи интеграции, которые находятся в одной с ними среде ISE. При создании учетной записи интеграции можно выбрать среду ISE в качестве расположения учетной записи интеграции. Чтобы узнать, как работают цены и выставление счетов для учетных записей интеграции с ISE, ознакомьтесь с моделью ценообразования Azure Logic Apps. Цены см. в статье Цены на Azure Logic Apps. Дополнительные сведения см. в разделе Ограничения учетной записи интеграции.

Дальнейшие действия

• Экспорт рабочих процессов ISE в приложение логики уровня "Стандартный"