在 Azure Logic Apps 中管理您的整合服務環境 (ISE)

重要

ISE 資源將於 2024 年 8 月 31 日淘汰，因為它對 Azure 雲端服務 (傳統) 的相依性，而該資源會同時淘汰。 在退休日期之前，請將任何邏輯應用程式從 ISE 匯出到標準邏輯應用程式，以避免服務斷。 標準邏輯應用程式工作處理序會在單租使用者 Azure Logic Apps 執行，並提供相同的功能以及更多。

自 2022 年 11 月 1 日起，您無法再建立新的 ISE 資源。 不過，在這個日期之前存在的 ISE 資源將支援到 2024 年 8 月 31 日為止。 如需詳細資訊，請參閱以下資源：

• ISE 淘汰 - 須知事項
• Azure Logic Apps 的單一租用戶與多租用戶與整合服務環境
• Azure Logic Apps 定價
• 將 ISE 工作處理序匯出至標準邏輯應用程式
• 整合服務環境將於 2024 年 8 月 31 日淘汰 - 轉換為邏輯應用程式標準
• 雲端服務 (傳統) 部署模型將於 2024 年 8 月 31 日淘汰

本文介紹如何為您的整合服務環境 (ISE) 執行管理工作，例如：

• 尋找並檢視您的 ISE。

• 啟用 ISE 的存取。

• 檢查 ISE 的網路健康情況。

• 管理 ISE 中的資源，例如以多租用戶為基礎的邏輯應用程式、連線、整合帳戶和連接器。

• 請遵循本主題中的步驟新增容量、重新啟動 ISE 或刪除 ISE。 若要將這些成品新增至 ISE，請參閱將成品新增至您的整合服務環境。

檢視 ISE

1. 在 Azure 入口網站的搜尋方塊中，輸入「整合服務環境」，然後選取 [整合服務環境]。

   

2. 從結果清單中，選取整合服務環境。

   

3. 繼續下一區段，以在 ISE 中尋找邏輯應用程式、連線、連接器或整合帳戶。

啟用 ISE 的存取

當您搭配 Azure 虛擬網路使用 ISE 時，常見的設定問題是有一或多個封鎖的連接埠。 用於在您 ISE 與目的地系統之間建立連線的連接器，可能也有其自己的連接埠需求。 例如，如果您使用 FTP 連接器與 FTP 系統進行通訊，則您在 FTP 系統上使用的連接埠需要可供使用，例如，傳送命令的連接埠 21。

若要確保您的 ISE 可供存取，且該 ISE 中的邏輯應用程式可以跨虛擬網路中的每個子網路進行通訊，請針對每個子網路開啟此資料表中所述的連接埠。 如果有任何必要的連接埠無法使用，您的 ISE 將無法正常運作。

• 如果您有多個 ISE 執行個體需要存取具有 IP 限制的其他端點，請將 Azure 防火牆或網路虛擬設備 部署到虛擬網路，並透過該防火牆或網路虛擬裝置來路由輸出流量。 接著，您可以設定單一、輸出、公用、靜態和可預測的 IP 位址， 虛擬網路中的所有 ISE 執行個體都可以將其用來與目的地系統進行通訊。 如此一來，您就不需要在每個 ISE 的目的地系統上設定額外的開放式防火牆。

  注意

  當您的案例需要限制需要存取的 IP 位址數目時，您可以將此方法用於單一 ISE。 請考慮防火牆或虛擬網路設備的額外成本對您的情節是否有意義。 深入了解 Azure 防火牆定價。

• 如果您已建立新的 Azure 虛擬網路和子網路，但沒有任何條件約束，則您不需要在虛擬網路中設定網路安全性群組 (NSG) 來控制子網路之間的流量。

• 針對現有的虛擬網路，您可以「選擇性地」設定網路安全性群組 (NSG) 來篩選跨子網路的網路流量。 如果您想要前往此路由，或如果您已在使用 NSG，請確定您已針對這些 NSG 開啟此資料表中所述的連接埠。

  當設定 NSG 安全性規則時，您必須「同時」使用 TCP 和 UDP 通訊協定，或者您可以改為選取 [任何]，讓您不必為每個通訊協定建立個別規則。 NSG 安全性規則描述您必須針對需要存取這些連接埠的 IP 位址開啟哪些埠。 確定在這些端點之間存在的任何防火牆、路由器或其他項目，也會讓這些連接埠可供這些 IP 位址存取。

• 對於具有「外部」端點存取權的 ISE，如果您還沒有網路安全性群組 (NSG)，則必須建立一個。 您需要將輸入安全性規則新增至 NSG，以允許來自受控連接器輸出 IP 位址的流量。 若要設定此規則，請遵循下列步驟：

  1. 在 ISE 功能表的 [設定] 下，選取 [屬性]。

  2. 在 [連接器傳出 IP 位址] 下，複製公用 IP 位址範圍，而這些範圍也會出現在本文 (限制和設定 - 輸出 IP 位址) 中。

  3. 如果您還沒有網路安全性群組，請建立一個。

  4. 根據下列資訊，為您複製的公用輸出 IP 位址新增輸入安全性規則。 如需詳細資訊，請檢閱教學課程：使用 Azure 入口網站透過網路安全性群組篩選網路流量。

     目的	來源服務標籤或 IP 位址	來源連接埠	目的地服務標籤或 IP 位址	目的地連接埠	備註
     允許來自連接器輸出 IP 位址的流量	<connector-public-outbound-IP-addresses>	*	ISE 子網路內虛擬網路的位址空間	*

• 如果您透過防火牆設定強制通道來重新導向網際網路繫結流量，請檢閱強制通道需求。

ISE 使用的網路連接埠

下表描述 ISE 需要存取的連接埠，以及這些連接埠的用途。 為了協助降低您設定安全性規則時的複雜性，資料表會使用服務標籤，代表特定 Azure 服務的 IP 位址首碼群組。 請注意，「內部 ISE」和「外部 ISE」指的是在 ISE 建立期間選取的存取端點。 如需詳細資訊，請檢閱端點存取。

重要

針對所有規則，請務必將來源連接埠設定為 *，因為來源連接埠是暫時的。

輸入安全性規則

來源連接埠	目的地連接埠	來源服務標籤或 IP 位址	目的地服務標籤或 IP 位址	目的	備註
*	*	ISE 子網路內虛擬網路的位址空間	ISE 子網路內虛擬網路的位址空間	虛擬網路內的子網路間通訊。	對於要在虛擬網路中子網路「之間」流動的流量，這是必要的。 重要：如需流量在每個子網路中的元件之間流動，請確定您已開啟每個子網路內的所有連接埠。
*	443	內部 ISE： VirtualNetwork 外部 ISE：網際網路或參閱附註	VirtualNetwork	- 與您的邏輯應用程式進行通訊 - 邏輯應用程式的執行歷程記錄	您可以指定這些項目的來源 IP 位址，而不是使用網際網路服務標籤： - 呼叫邏輯應用程式中任何要求觸發程序或 Webhook 的電腦或服務 - 您想要從中存取邏輯應用程式執行歷程記錄的電腦或服務 重要：關閉或封鎖此連接埠可防止呼叫具有要求觸發程序或 Webhook 的邏輯應用程式。 也會防止您在執行歷程記錄中存取每個步驟的輸入和輸出。 不過，不會防止您存取邏輯應用程式執行歷程記錄。
*	454	LogicAppsManagement	VirtualNetwork	Azure Logic Apps 設計工具 - 動態屬性	對於該區域，要求來自於 Azure Logic Apps 存取端點的輸入 IP 位址。 重要事項：如果您使用 Azure Government 雲端，LogicAppsManagement 服務標籤將無法運作。 相反地，您必須為 Azure Government 提供 Azure Logic Apps 輸入 IP 位址。
*	454	LogicApps	VirtualNetwork	網路健康狀態檢查	對於該區域，要求來自於 Azure Logic Apps 存取端點的輸入 IP 位址和輸出 IP 位址。 重要事項：如果您使用 Azure Government 雲端，LogicApps 服務標籤將無法運作。 相反地，您必須為 Azure Government 同時提供 Azure Logic Apps 輸入 IP 位址和輸出 IP 位址。
*	454	AzureConnectors	VirtualNetwork	連接器部署	需要部署和更新連接器。 關閉或封鎖此連接埠會導致 ISE 部署失敗，並阻止連接器更新和修正。 重要事項：如果您使用 Azure Government 雲端，AzureConnectors 服務標籤將無法運作。 相反地，您必須為 Azure Government 提供受控連接器輸出 IP 位址。
*	454、455	AppServiceManagement	VirtualNetwork	App Service 管理相依性
*	內部 ISE：454 外部 ISE：443	AzureTrafficManager	VirtualNetwork	來自 Azure 流量管理員的通訊
*	3443	APIManagement	VirtualNetwork	連接器原則部署 API 管理 - 管理端點	如需部署連接器原則，需要存取連接埠來部署和更新連接器。 關閉或封鎖此連接埠會導致 ISE 部署失敗，並阻止連接器更新和修正。
*	6379 - 6383，請參閱附註	VirtualNetwork	VirtualNetwork	針對角色執行個體之間的 Redis 執行個體存取 Azure 快取	為了讓 ISE 能夠使用 Azure Cache for Redis，您必須開啟這些由 Azure Cache for Redis 描述的輸出和輸入連接埠。

輸出安全性規則

來源連接埠	目的地連接埠	來源服務標籤或 IP 位址	目的地服務標籤或 IP 位址	目的	備註
*	*	ISE 子網路內虛擬網路的位址空間	ISE 子網路內虛擬網路的位址空間	虛擬網路內的子網路間通訊	對於要在虛擬網路中子網路「之間」流動的流量，這是必要的。 重要：如需流量在每個子網路中的元件之間流動，請確定您已開啟每個子網路內的所有連接埠。
*	443、80	VirtualNetwork	網際網路	來自邏輯應用程式的通訊	安全通訊端層 (SSL) 憑證驗證需要此規則。 此檢查適用於各種內部和外部網站，這是需要網際網路作為目的地的原因。
*	根據目的地而有所不同	VirtualNetwork	根據目的地而有所不同	來自邏輯應用程式的通訊	目的地連接埠會根據外部服務的端點而有所不同，而您的邏輯應用程式需要與此服務進行通訊。 例如，SMTP 服務的目的地連接埠為連接埠 25、而 SFTP 服務則為連接埠 22，依此類推。
*	80、443	VirtualNetwork	AzureActiveDirectory	Microsoft Entra ID
*	80、443、445	VirtualNetwork	Storage	Azure 儲存體相依性
*	443	VirtualNetwork	AppService	連線管理
*	443	VirtualNetwork	AzureMonitor	發佈診斷記錄和計量
*	1433	VirtualNetwork	SQL	Azure SQL 相依性
*	1886	VirtualNetwork	AzureMonitor	Azure 資源健康狀態	需要將健康狀態發佈至資源健康狀態。
*	5672	VirtualNetwork	EventHub	「記錄到事件中樞」原則和監視代理程式的相依性
*	6379 - 6383，請參閱附註	VirtualNetwork	VirtualNetwork	針對角色執行個體之間的 Redis 執行個體存取 Azure 快取	為了讓 ISE 能夠使用 Azure Cache for Redis，您必須開啟這些由 Azure Cache for Redis 描述的輸出和輸入連接埠。
*	53	VirtualNetwork	虛擬網路上任何自訂網域名稱系統 (DNS) 伺服器的 IP 位址	DNS 名稱解析	只當您在虛擬網路上使用自訂 DNS 伺服器時才需要

此外，您需要為 App Service 環境 (ASE) 新增輸出規則：

• 如果使用 Azure 防火牆，您必須使用 App Service 環境 (ASE) 完整網域名稱 (FQDN) 標籤設定防火牆，允許輸出存取 ASE 平台流量。

• 如果使用 Azure 防火牆以外的防火牆設備，您必須使用 App Service 環境所需的防火牆整合相依性中列出的「所有」規則來設定防火牆。

強制通道需求

如果您透過防火牆設定或使用強制通道，則必須允許 ISE 的額外外部相依性。 強制通道可讓您將網際網路繫結流量重新導向至指定的下一個躍點 (例如您的虛擬私人網路 (VPN)) 或虛擬設備裝置，而不是網際網路，讓您可以檢查和稽核輸出網路流量。

如果您不允許存取這些相依性，則 ISE 部署會失敗，且已部署的 ISE 會停止運作。

• 使用者定義的路由

  若要防止非對稱式路由，您必須針對下列每個 IP 位址定義一個路由，並以網際網路作為下一個躍點。

  • ISE 區域的 Azure Logic Apps 輸入和輸出位址
  • ISE 區域中連接器的 Azure IP 位址，可在此下載的檔案中取得
  • App Service Environment 管理位址
  • Azure 流量管理員管理位址
  • Azure API 管理控制平面 IP 位址

• 服務端點

  您必須針對 Azure SQL、儲存體、服務匯流排、KeyVault 和事件中樞啟用服務端點，因為您無法透過防火牆將流量傳送至這些服務。

• 其他輸入和輸出相依性

  您的防火牆「必須」允許下列輸入和輸出相依性：

  • Azure App Service 相依性
  • Azure 快取服務相依性
  • Azure API 管理相依性

檢查網路健康情況

在 ISE 功能表上的 [設定] 底下，選取 [網路健康情況]。 此窗格會顯示子網路的健全狀態，以及其他服務的輸出相依性。

警告

如果您的 ISE 網路變得狀況不良，則 ISE 使用的內部 App Service 環境 (ASE) 也可能變得狀況不良。 如果 ASE 狀況不良超過七天，ASE 就會暫時停權。 若要解決此狀態，請檢查虛擬網路設定。 解決您發現的任何問題，然後重新啟動 ISE。 否則，在 90 天後，暫時停權的 ASE 會遭到刪除，而您的 ISE 會變成無法使用。 因此，請確保您的 ISE 保持良好，以允許必要的流量。

如需詳細資訊，請參閱下列主題：

• Azure App Service 診斷概觀
• Azure App Service 環境的訊息記錄

管理邏輯應用程式

您可以檢視和管理 ISE 中的邏輯應用程式。

1. 在 ISE 功能表上的 [設定] 底下，選取 [邏輯應用程式]。

   

2. 若要移除 ISE 中不再需要的邏輯應用程式，請選取這些邏輯應用程式，然後選取 [刪除]。 若確認要刪除，請選取 [是]。

注意

如果您刪除並重新建立子邏輯應用程式，則必須重新儲存父邏輯應用程式。 重新建立的子應用程式將具有不同的中繼資料。 如果您在重新建立其子邏輯應用程式之後未重新儲存父邏輯應用程式，則對子邏輯應用程式的呼叫將會失敗，並出現「未經授權」錯誤。 此行為適用於父子邏輯應用程式，例如，在整合帳戶中使用成品或呼叫 Azure 函式的邏輯應用程式。

管理 API 連線

您可以檢視和管理 ISE 中執行的邏輯應用程式所建立的連線。

1. 在 ISE 功能表上的 [設定] 底下，選取 [API 連線]。

   

2. 若要移除 ISE 中不再需要的連線，請選取這些連線，然後選取 [刪除]。 若確認要刪除，請選取 [是]。

管理 ISE 連接器

您可以檢視和管理部署至 ISE 的 API 連接器。

1. 在 ISE 功能表上的 [設定] 底下，選取 [受控連接器]。

   

2. 若要移除您不想在 ISE 中使用的連接器，請選取這些連接器，然後選取 [刪除]。 若確認要刪除，請選取 [是]。

管理自訂連接器

您可以檢視和管理部署至 ISE 的自訂連接器。

1. 在 ISE 功能表上的 [設定] 底下，選取 [自訂連接器]。

   

2. 若要移除 ISE 中不再需要的自訂連接器，請選取這些連接器，然後選取 [刪除]。 若確認要刪除，請選取 [是]。

管理整合帳戶

1. 在 ISE 功能表上的 [設定] 底下，選取 [整合帳戶]。

   

2. 若要在不再需要時從 ISE 移除整合帳戶，請選取這些整合帳戶，然後選取 [刪除]。

匯出整合帳戶 (預覽)

針對從 ISE 內部建立的標準整合帳戶，您可以將該整合帳戶匯出至現有的 Premium 整合帳戶。 匯出程序有兩個步驟：匯出成品，然後匯出合約狀態。 成品包括合作夥伴、合約、憑證、結構描述和對應。 不過，匯出程序目前不支援組件和 RosettaNet PIP。

您的整合帳戶也會儲存特定 B2B 動作和 EDI 標準的執行階段狀態，例如 AS2 動作的 MIC 編號，以及 X12 動作的控制編號。 如果您將合約設定為在每次處理交易時更新這些狀態，並使用這些狀態進行訊息對帳和重複偵測，請確定您也會匯出這些狀態。 您可以一次匯出所有合約狀態或一個合約狀態。

重要

請務必選擇來源整合帳戶在合約中沒有任何活動的時間範圍，以避免狀態不一致。

必要條件

如果您沒有 Premium 整合帳戶，請建立 Premium 整合帳戶。

匯出成品

此程序會將成品從來源複製到目的地。

1. 在 Azure 入口網站中，開啟您的標準企業整合帳戶。

2. 在 [企業整合帳戶] 功能表上的 [設定] 底下，選取 [匯出]。

   注意

   如果 [匯出] 選項未出現，請確定您選取了從 ISE 內建立的標準企業整合帳戶。

3. 在 [匯出] 頁面工具列上，選取 [匯出成品]。

4. 開啟 [目標企業整合帳戶] 清單，其中包含 Azure 訂用帳戶中的所有進階帳戶、選取您想要的進階企業整合帳戶，然後選取 [確定]。

   [匯出] 頁面現在會顯示成品的匯出狀態。

5. 若要確認匯出的成品，請開啟您的目的地進階企業整合帳戶。

匯出合約狀態 (選擇性)

1. 在 [匯出] 頁面工具列上，選取 [匯出合約狀態]。

2. 在 [匯出合約狀態] 窗格中，開啟 [目標企業整合帳戶] 清單，然後選取您想要的進階企業整合帳戶。

3. 若要匯出所有合約狀態，請勿從 [合約] 清單中選取任何合約。 若要匯出個別合約狀態，請勿從 [合約] 清單中選取任何合約。

4. 完成時，選取確定。

   [匯出] 頁面現在會顯示合約狀態的匯出狀態。

新增 ISE 容量

進階 ISE 基礎單位具有固定容量，因此如果您需要更多輸送量，您可以在建立期間或之後新增更多縮放單位。 開發人員 SKU 不包含新增縮放單位的功能。

重要

擴增 ISE 平均可能需要 20-30 分鐘的時間。

1. 在 [Azure 入口網站] 中，移至 ISE。

2. 若要檢閱 ISE 的使用方式和效能計量，請在 ISE 功能表上選取 [概觀]。

   

3. 在 [設定] 底下，選取 [向外延展]。在 [設定] 窗格中，從下列選項中選取：

   • 手動調整：根據您想要使用的處理單位數目進行調整。
   • 自訂自動調整：透過從各種標準中選取並指定符合該標準的閾值條件，根據效能計量進行調整。

   

手動縮放

1. 選取 [手動調整] 之後，針對 [其他容量]，選取您想要使用的調整單位數目。

   

2. 完成時，選取儲存。

自訂自動調整

1. 選取 [自訂自動調整] 之後，針對 [自動調整設定名稱]，提供設定的名稱，並選擇性地選取設定所屬的 Azure 資源群組。

   

2. 針對 [預設] 條件，選取 [根據計量調整] 或 [調整至特定執行個體計數]。

   • 如果您選擇以執行個體為基礎，請輸入處理單位的數目，其為介於 0 到 10 的值。

   • 如果您選擇以計量為基礎，請遵循下列步驟：

     1. 在 [規則] 區段中，選取 [新增規則]。

     2. 在 [調整規則] 窗格中，設定規則引發時要採取的準則和動作。

     3. 針對 [執行個體限制]，指定下列值：

        • 最小值：要使用的處理單位數目下限
        • 最大值：要使用的處理單位數目上限
        • 預設值：如果在讀取資源計量時發生任何問題，而目前的容量低於預設容量，則自動調整將擴增到預設的處理單位數目。 然而，如果目前的容量超過預設容量，則自動調整不會縮減。

3. 若要新增其他條件，請選取 [新增調整條件]。

4. 當您完成自動調整設定時，請儲存您的變更。

重新啟動 ISE

如果您變更 DNS 伺服器或 DNS 伺服器設定，則必須重新啟動您的 ISE，讓 ISE 能夠收取這些變更。 由於備援和元件會在回收期間一次重新啟動一個，重新啟動進階 SKU ISE 不會產生停機。 不過，開發人員 SKU ISE 會遇到停機，因為不存在任何備援。 如需詳細資訊，請參閱 ISE SKU。

1. 在 [Azure 入口網站] 中，移至 ISE。

2. 在 ISE 功能表上，選取 [概觀]。 在 [概觀] 工具列上，[重新啟動]。

刪除 ISE

在刪除不再需要的 ISE 或包含 ISE 的 Azure 資源群組之前，請檢查您是否在包含這些資源的 Azure 資源群組或 Azure 虛擬網路上沒有原則或鎖定，因為這些項目可以封鎖刪除。

刪除 ISE 後，您可能需要等待 9 小時才能嘗試刪除 Azure 虛擬網路或子網路。

下一步

• 將資源新增到整合服務環境