Åtkomst till virtuella Azure-nätverk från Azure Logic Apps med hjälp av en integrationstjänstmiljö (ISE)

  • Artikel
  • 9 minuter för att läsa

Ibland behöver dina logikapparbetsflöden åtkomst till skyddade resurser, till exempel virtuella datorer (VM) och andra system eller tjänster, som är inuti eller anslutna till ett virtuellt Azure-nätverk. Om du vill få direkt åtkomst till dessa resurser från arbetsflöden som vanligtvis körs i Azure Logic Apps-klientorganisation kan du skapa och köra dina logikappar i en integrationstjänstmiljö (ISE) i stället. En ISE är i själva verket en instans av Azure Logic Apps som körs separat på dedikerade resurser, förutom den globala Azure-miljön för flera innehavare, och som inte lagrar, bearbetar eller replikerar data utanför den region där du distribuerar ISE.

Vissa virtuella Azure-nätverk använder till exempel privata slutpunkter(Azure Private Link)för att ge åtkomst till Azure PaaS-tjänster, till exempel Azure Storage, Azure Cosmos DB eller Azure SQL Database, partnertjänster eller kundtjänster som finns i Azure. Om logikappens arbetsflöden kräver åtkomst till virtuella nätverk som använder privata slutpunkter har du följande alternativ:

  • Om du vill utveckla arbetsflöden med hjälp av resurstypen Logikapp (förbrukning) och dina arbetsflöden behöver använda privata slutpunkter måste du skapa, distribuera och köra dina logikappar i en ISE. Mer information finns i Anslut till virtuella Azure-nätverk från Azure Logic Apps med hjälp av en integrationstjänstmiljö (ISE).

  • Om du vill utveckla arbetsflöden med hjälp av resurstypen Logic App (Standard) och dina arbetsflöden behöver använda privata slutpunkter behöver du ingen ISE. I stället kan dina arbetsflöden kommunicera privat och säkert med virtuella nätverk genom att använda privata slutpunkter för inkommande trafik och integrering av virtuella nätverk för utgående trafik. Mer information finns i Skydda trafik mellan virtuella nätverk och en enskild klientorganisation Azure Logic Apps privata slutpunkter.

Mer information finns i skillnaderna mellan miljöer med Azure Logic Apps och integreringstjänst.

Så här fungerar en ISE med ett virtuellt nätverk

När du skapar en ISE väljer du det virtuella Azure-nätverk där du vill att Azure ska mata in eller distribuera din ISE. När du skapar logikappar och integrationskonton som behöver åtkomst till det här virtuella nätverket kan du välja din ISE som värdplats för dessa logikappar och integrationskonton. I ISE körs logikappar på dedikerade resurser separat från andra i miljön för Azure Logic Apps klientorganisation. Data i en ISE finns i samma region där du skapar och distribuerar ISE:en.

Välj integrationstjänstmiljö

Om du vill ha mer kontroll över krypteringsnycklarna som används av Azure Storage kan du konfigurera, använda och hantera din egen nyckel med hjälp av Azure Key Vault. Den här funktionen kallas även "Bring Your Own Key" (BYOK) och din nyckel kallas för en "kund-hanterad nyckel". Mer information finns i Konfigurera kund hanterade nycklar för kryptering av vilodata för integrationstjänstmiljöer (ISE) i Azure Logic Apps.

Den här översikten innehåller mer information om varför du vill använda en ISE,skillnaderna mellan den dedikerade tjänsten och Logic Apps-tjänstenför flera klienter och hur du direkt kan komma åt resurser som finns i eller är anslutna till ditt virtuella Azure-nätverk.

Därför ska du använda en ISE

Genom att köra logikappar i din egen separata dedikerade instans kan du minska påverkan som andra Azure-klienter kan ha på dina appars prestanda, även kallat "grannar med brus". En ISE ger också följande fördelar:

  • Direktåtkomst till resurser som är inuti eller anslutna till ditt virtuella nätverk

    Logikappar som du skapar och kör i en ISE kan använda särskilt utformade anslutningsappar som körs i din ISE. Om det finns en ISE-anslutning för ett lokalt system eller en datakälla kan du ansluta direkt utan att behöva använda den lokala datagatewayen. Mer information finns i Dedikerad eller flera innehavare och Åtkomst till lokala system senare i det här avsnittet.

  • Fortsatt åtkomst till resurser som är utanför eller inte är anslutna till ditt virtuella nätverk

    Logikappar som du skapar och kör i en ISE kan fortfarande använda anslutningsappar som körs i Logic Apps-tjänsten för flera innehavare när en ISE-specifik anslutning inte är tillgänglig. Mer information finns i Dedikerad jämfört med flera klient.

  • Dina egna statiska IP-adresser, som är separata från de statiska IP-adresser som delas av logikapparna i tjänsten för flera innehavare. Du kan också konfigurera en enskild offentlig, statisk och förutsägbar utgående IP-adress för att kommunicera med målsystemen. På så sätt behöver du inte konfigurera ytterligare brandväggsöppningar på dessa målsystem för varje ISE.

  • Ökade gränser för körningens varaktighet, kvarhållning av lagring, dataflöde, HTTP-begäranden och tidsgränser för svar, meddelandestorlekar och anpassade anslutningsbegäranden. Mer information finns i Gränser och konfiguration för Azure Logic Apps.

Dedikerad jämfört med flera klient

När du skapar och kör logikappar i en ISE får du samma användarupplevelser och liknande funktioner som för Logic Apps klientorganisation. Du kan använda samma inbyggda utlösare, åtgärder och hanterade anslutningsappar som är tillgängliga i tjänsten för Logic Apps klientorganisation. Vissa hanterade anslutningsappar erbjuder ytterligare ISE-versioner. Skillnaden mellan ISE-anslutningsappar och icke-ISE-anslutningsappar finns där de körs och de etiketter som de har i Logic App Designer när du arbetar i en ISE.

Anslutningsappar med och utan etiketter i en ISE

  • Inbyggda utlösare och åtgärder, till exempel HTTP, visar CORE-etiketten och körs i samma ISE som logikappen.

  • Hanterade anslutningsappar som visar ISE-etiketten är särskilt utformade för ISE:er och körs alltid i samma ISE som logikappen. Här är några anslutningsappar som erbjuder ISE-versioner:

    • Azure Blob Storage, File Storage och Table Storage
    • Azure Service Bus, Azure Queues Azure Event Hubs
    • Azure Automation, Azure Key Vault, Azure Event Grid och Azure Monitor loggar
    • FTP, SFTP-SSH, filsystem och SMTP
    • SAP, IBM MQ, IBM DB2 och IBM 3270
    • SQL Server, Azure Synapse Analytics, Azure Cosmos DB
    • AS2, X12 och EDIFACT

    Om en ISE-anslutning är tillgänglig för ett lokalt system eller en datakälla med sällsynta undantag kan du ansluta direkt utan att använda den lokala datagatewayen. Mer information finns i Åtkomst till lokala system senare i det här avsnittet.

  • Hanterade anslutningsappar som inte visar ISE-etiketten fortsätter att fungera för logikappar i en ISE. Dessa anslutningsappar körs alltid i tjänsten Logic Apps klientorganisation, inte i ISE.

  • Anpassade anslutningsappar som du skapar utanför en ISE, oavsett om de kräver den lokala datagatewayeneller inte, fortsätter att fungera för logikappar i en ISE. Anpassade anslutningsappar som du skapar i en ISE fungerar dock inte med den lokala datagatewayen. Mer information finns i Åtkomst till lokala system.

Åtkomst till lokala system

Logikappar som körs i en ISE kan få direkt åtkomst till lokala system och datakällor som finns i eller är anslutna till ett virtuellt Azure-nätverk med hjälp av följande objekt:

  • HTTP-utlösaren eller åtgärden, som visar CORE-etiketten

  • ISE-anslutning, om tillgängligt, för ett lokalt system eller en datakälla

    Om det finns en ISE-anslutning kan du komma åt systemet eller datakällan direkt utan den lokala datagatewayen. Men om du behöver komma SQL Server från en ISE och använda Windows-autentisering måste du använda anslutningsappens icke-ISE-version och den lokala datagatewayen. Anslutningsappens ISE-version stöder inte Windows autentisering. Mer information finns i ISE-anslutningsappar och Anslut från en integreringstjänstmiljö.

  • En anpassad anslutningsapp

    • Anpassade anslutningsappar som du skapar utanför en ISE, oavsett om de kräver den lokala datagatewayeneller inte, fortsätter att fungera för logikappar i en ISE.

    • Anpassade anslutningsappar som du skapar i en ISE fungerar inte med den lokala datagatewayen. Dessa anslutningsappar kan dock direkt komma åt lokala system och datakällor som finns i eller är anslutna till det virtuella nätverk som är värd för din ISE. Logikappar som finns i en ISE behöver därför vanligtvis inte datagatewayen vid åtkomst till dessa resurser.

För att få åtkomst till lokala system och datakällor som inte har ISE-anslutningsappar, som är utanför ditt virtuella nätverk eller som inte är anslutna till ditt virtuella nätverk, måste du fortfarande använda den lokala datagatewayen. Logikappar i en ISE kan fortsätta att använda anslutningsappar som inte har CORE- eller ISE-etiketten. Dessa anslutningsappar körs i tjänsten för Logic Apps klientorganisation i stället för i din ISE.

ISE-SKU:er

När du skapar din ISE kan du välja Developer SKU eller Premium SKU. Det här SKU-alternativet är endast tillgängligt när ISE skapas och kan inte ändras senare. Här är skillnaderna mellan dessa SKU:er:

  • Utvecklare

    Ger en lägre kostnad för ISE som du kan använda för utforskning, experiment, utveckling och testning, men inte för produktions- eller prestandatestning. Developer-SKU:n innehåller inbyggda utlösare och åtgärder, Standard-anslutningsappar, Enterprise-anslutningsappar och ett enda konto för integrering på den kostnadsfria nivån för ett fast månatligt pris.

    Viktigt

    Denna SKU har inget serviceavtal (SLA), uppskalningskapacitet eller redundans under återanvändning, vilket innebär att du kan uppleva fördröjningar eller driftstopp. Uppdateringar av backend kan tillfälligt avbryta tjänsten.

    Information om kapacitet och gränser finns i ISE-gränser i Azure Logic Apps. Information om hur fakturering fungerar för ISE:er finns i Logic Apps prismodell.

  • Premium

    Tillhandahåller en ISE som du kan använda för produktions- och prestandatestning. SKU:n för Premium innehåller SLA-stöd, inbyggda utlösare och åtgärder, Standard-anslutningsprogram, Enterprise-anslutningsprogram, ett enda integrationskonto på standardnivå, uppskalningskapacitet och redundans under återanvändning till ett fast månadspris.

    Information om kapacitet och gränser finns i ISE-gränser i Azure Logic Apps. Information om hur fakturering fungerar för ISE:er finns i Logic Apps prismodell.

ISE-slutpunktsåtkomst

När du skapar ISE kan du välja att använda antingen interna eller externa åtkomstslutpunkter. Ditt val avgör om begäran eller webhook-utlösare för logikappar i ISE kan ta emot anrop utanför ditt virtuella nätverk. Dessa slutpunkter påverkar också hur du kan komma åt indata och utdata från logikappens körningshistorik.

Viktigt

Du kan bara välja åtkomstslutpunkten när ISE skapas och kan inte ändra det här alternativet senare.

  • Internt: Privata slutpunkter tillåter anrop till logikappar i din ISE där du kan visa och komma åt indata och utdata från logikappars körningshistorik endast inifrån det virtuella nätverket.

    Viktigt

    Om du behöver använda dessa webhook-baserade utlösare, och tjänsten är utanför ditt virtuella nätverk och peer-baserade virtuella nätverk, använder du externa slutpunkter, inte interna slutpunkter, när du skapar DIN ISE:

    • Azure DevOps
    • Azure Event Grid
    • Common Data Service
    • Office 365
    • SAP (version av flera innehavare)

    Kontrollera också att du har nätverksanslutning mellan de privata slutpunkterna och den dator som du vill komma åt körningshistoriken från. Om du försöker visa logikappens körningshistorik visas annars ett felmeddelande som säger "Oväntat fel. Det gick inte att hämta".

    Azure Storage åtgärdsfel som beror på att det inte går att skicka trafik via brandväggen

    Klientdatorn kan till exempel finnas i ISE:s virtuella nätverk eller i ett virtuellt nätverk som är anslutet till ISE:s virtuella nätverk via peering eller ett virtuellt privat nätverk.

  • Extern: Offentliga slutpunkter tillåter anrop till logikappar i din ISE där du kan visa och komma åt indata och utdata från logikappars körningshistorik utanför det virtuella nätverket. Om du använder nätverkssäkerhetsgrupper (NSG:er) kontrollerar du att de har ställts in med regler för inkommande trafik för att tillåta åtkomst till körningshistorikens indata och utdata. Mer information finns i Aktivera åtkomst för ISE.

Om du vill ta reda på om ISE använder en intern eller extern åtkomstslutpunkt går du till ISE-menyn och väljer Egenskaper under Inställningar och hittar egenskapen Åtkomstslutpunkt:

Hitta ISE-åtkomstslutpunkt

Prismodell

Logikappar, inbyggda utlösare, inbyggda åtgärder och anslutningsappar som körs i din ISE använder en fast prisplan som skiljer sig från den förbrukningsbaserade prisplanen. Mer information finns i Logic Apps prismodell. Prisinformation finns i Logic Apps priser.

Integrationskonton med ISE

Du kan använda integrationskonton med logikappar i en Integration Service Environment (ISE). Dessa integrationskonton måste dock använda samma ISE som de länkade logikapparna. Logikappar i en ISE kan endast referera till de integrationskonton som finns i samma ISE. När du skapar ett integrationskonto kan du välja din ISE som plats för ditt integrationskonto. Information om hur priser och fakturering fungerar för integrationskonton med en ISE finns Logic Apps prismodellen. Prisinformation finns i Logic Apps priser. Information om begränsningar finns i Integration Account Limits (Gränser för integrationskonto).

Nästa steg