Zabezpečení provozu mezi aplikacemi logiky Standard a virtuálními sítěmi Azure pomocí privátních koncových bodů

Platí pro: Azure Logic Apps (Standard)

Pokud chcete bezpečně a soukromě komunikovat mezi pracovním postupem v aplikaci logiky Standard a virtuální sítí Azure, můžete nastavit privátní koncové body pro příchozí provoz a použít integraci virtuální sítě pro odchozí provoz.

Privátní koncový bod je síťové rozhraní, které vás soukromě a bezpečně připojí ke službám využívajícím Azure Private Link. Může to být služba Azure, jako je Azure Logic Apps, Azure Storage, Azure Cosmos DB, SQL nebo vlastní služba privátního propojení. Privátní koncový bod používá privátní IP adresu vaší virtuální sítě a tím vlastně přináší službu do virtuální sítě.

Tento článek ukazuje, jak nastavit přístup prostřednictvím privátních koncových bodů pro příchozí provoz a integraci virtuální sítě pro odchozí provoz.

Další informace najdete v následující dokumentaci:

Požadavky

  • Nainstalujte nebo použijte nástroj, který může odesílat požadavky HTTP k otestování vašeho řešení, například:

    Upozornění

    V situacích, kdy máte citlivá data, jako jsou přihlašovací údaje, tajné kódy, přístupové tokeny, klíče rozhraní API a další podobné informace, nezapomeňte použít nástroj, který chrání vaše data pomocí potřebných funkcí zabezpečení, funguje offline nebo místně, nesynchronizuje vaše data do cloudu a nevyžaduje, abyste se přihlásili k online účtu. Tímto způsobem snížíte riziko zveřejnění citlivých dat veřejnosti.

Nastavení příchozího provozu prostřednictvím privátních koncových bodů

Pokud chcete zabezpečit příchozí provoz do pracovního postupu, proveďte tyto základní kroky:

  1. Spusťte pracovní postup pomocí integrovaného triggeru, který může přijímat a zpracovávat příchozí požadavky, jako je trigger požadavku nebo trigger HTTP + Webhook . Tento trigger nastaví pracovní postup pomocí volatelného koncového bodu.

  2. Přidejte privátní koncový bod pro prostředek aplikace logiky do virtuální sítě.

  3. Proveďte testovací volání pro kontrolu přístupu ke koncovému bodu. Pokud chcete po nastavení tohoto koncového bodu volat pracovní postup aplikace logiky, musíte být připojení k virtuální síti.

Důležité informace o příchozím provozu prostřednictvím privátních koncových bodů

  • Pokud je přístup mimo vaši virtuální síť, zobrazení monitorování nemá přístup ke vstupům a výstupům z triggerů a akcí.

  • Triggery webhooku spravovaného rozhraní API (triggery nabízených oznámení ) a akce nebudou fungovat, protože běží ve veřejném cloudu a nemůžou volat do vaší privátní sítě. K příjmu volání vyžadují veřejný koncový bod. Tyto triggery například zahrnují trigger Dataverse a trigger Event Gridu.

  • Pokud používáte trigger Office 365 Outlooku, pracovní postup se aktivuje jenom každou hodinu.

  • Nasazení z editoru Visual Studio Code nebo Azure CLI funguje jenom ve virtuální síti. Pomocí Centra nasazení můžete propojit aplikaci logiky s úložištěm GitHubu. Pak můžete použít infrastrukturu Azure k sestavení a nasazení kódu.

    Aby integrace GitHubu fungovala, odeberte WEBSITE_RUN_FROM_PACKAGE nastavení z aplikace logiky nebo nastavte hodnotu na 0.

  • Povolení služby Private Link nemá vliv na odchozí provoz, který stále prochází infrastrukturou služby App Service.

Požadavky pro příchozí provoz prostřednictvím privátních koncových bodů

Spolu s nastavením virtuální sítě v požadavcích nejvyšší úrovně musíte mít nový nebo existující pracovní postup standardní aplikace logiky, který začíná integrovaným triggerem, který může přijímat požadavky.

Trigger požadavku například vytvoří ve vašem pracovním postupu koncový bod, který může přijímat a zpracovávat příchozí požadavky od jiných volajících, včetně pracovních postupů. Tento koncový bod poskytuje adresu URL, kterou můžete použít k volání a aktivaci pracovního postupu. V tomto příkladu postup pokračuje triggerem požadavku .

Další informace najdete v tématu Příjem příchozích požadavků HTTP pomocí Azure Logic Apps a odpovídání na ně.

Vytvoření pracovního postupu

  1. Pokud jste to ještě neudělali, vytvořte aplikaci logiky založenou na jednom tenantovi a prázdný pracovní postup.

  2. Po otevření návrháře přidejte trigger požadavku jako první krok v pracovním postupu.

  3. Na základě požadavků na váš scénář přidejte další akce, které chcete spustit ve svém pracovním postupu.

  4. Po dokončení uložte pracovní postup.

Další informace najdete v tématu Vytváření pracovních postupů aplikací logiky s jedním tenantem v Azure Logic Apps.

Zkopírování adresy URL koncového bodu

  1. V nabídce pracovního postupu vyberte Přehled.

  2. Na stránce Přehled zkopírujte a uložte adresu URL pracovního postupu pro pozdější použití.

  3. Pokud chcete otestovat adresu URL a aktivovat pracovní postup, odešlete na adresu URL požadavek HTTP pomocí nástroje požadavku HTTP a jeho pokynů.

Nastavení připojení privátního koncového bodu

  1. V nabídce prostředků aplikace logiky v části Nastavení vyberte Sítě.

  2. Na stránce Sítě v části Konfigurace příchozího provozu vyberte odkaz vedle privátních koncových bodů.

  3. Na stránce Připojení privátního koncového bodu vyberte Přidat>Express nebo Upřesnit.

    Další informace o možnosti Upřesnit najdete v tématu Vytvoření privátního koncového bodu.

  4. V podokně Přidat privátní koncový bod zadejte požadované informace o koncovém bodu.

    Další informace najdete ve vlastnostech privátního koncového bodu.

  5. Jakmile Azure úspěšně zřídí privátní koncový bod, zkuste znovu zavolat adresu URL pracovního postupu.

    Tentokrát se zobrazí očekávaná 403 Forbidden chyba, což znamená, že je privátní koncový bod nastavený a funguje správně.

  6. Abyste měli jistotu, že připojení funguje správně, vytvořte virtuální počítač ve stejné virtuální síti, která má privátní koncový bod, a zkuste volat pracovní postup aplikace logiky.

Nastavení odchozího provozu pomocí integrace virtuální sítě

Pokud chcete zabezpečit odchozí provoz z aplikace logiky, můžete aplikaci logiky integrovat s virtuální sítí. Nejprve vytvořte a otestujte ukázkový pracovní postup. Pak můžete nastavit integraci virtuální sítě.

Důležité informace o odchozím provozu prostřednictvím integrace virtuální sítě

  • Nastavení integrace virtuální sítě má vliv jenom na odchozí provoz. Pokud chcete zabezpečit příchozí provoz, který dál používá sdílený koncový bod služby App Service, zkontrolujte nastavení příchozího provozu prostřednictvím privátních koncových bodů.

  • Po přiřazení nemůžete změnit velikost podsítě, takže použijte podsíť, která je dostatečně velká, aby vyhovovala škálování, ke kterému se vaše aplikace může dostat. Pokud se chcete vyhnout problémům s kapacitou podsítě, použijte /26 podsíť s 64 adresami. Pokud vytvoříte podsíť pro integraci virtuální sítě s webem Azure Portal, musíte ji použít /27 jako minimální velikost podsítě.

  • Aby modul runtime Azure Logic Apps fungoval, musíte mít nepřerušované připojení k back-endovému úložišti. Pokud je back-endové úložiště vystavené virtuální síti prostřednictvím privátního koncového bodu, ujistěte se, že jsou otevřené následující porty:

    Zdrojový port Cílový port Zdroj Cíl Protokol Účel
    * 443 Podsíť integrovaná s aplikací logiky Standard Účet úložiště TCP Účet úložiště
    * 445 Podsíť integrovaná s aplikací logiky Standard Účet úložiště TCP Sdílená složka SMB (Server Message Block)
  • Aby spravované konektory hostované v Azure fungovaly, musíte mít nepřerušované připojení ke službě spravovaného rozhraní API. Díky integraci virtuální sítě se ujistěte, že tato připojení neblokují žádné zásady zabezpečení brány firewall nebo sítě. Pokud vaše virtuální síť používá skupinu zabezpečení sítě (NSG), uživatelem definovanou směrovací tabulku (UDR) nebo bránu firewall, ujistěte se, že virtuální síť umožňuje odchozí připojení ke všem IP adresám spravovaného konektoru v odpovídající oblasti. Jinak konektory spravované Azure nebudou fungovat.

Další informace najdete v následující dokumentaci:

Vytvoření a otestování pracovního postupu

  1. Pokud jste to ještě neudělali, na webu Azure Portal vytvořte aplikaci logiky založenou na jednom tenantovi a prázdný pracovní postup.

  2. Po otevření návrháře přidejte trigger požadavku jako první krok v pracovním postupu.

  3. Přidejte akci HTTP pro volání interní služby, která není k dispozici prostřednictvím internetu, a běží s privátní IP adresou, například 10.0.1.3.

  4. Po dokončení uložte pracovní postup.

  5. V návrháři ručně spusťte pracovní postup.

    Akce HTTP selže, což je návrh a očekává se, protože pracovní postup běží v cloudu a nemá přístup k interní službě.

Nastavení integrace virtuální sítě

  1. Na webu Azure Portal v nabídce prostředků aplikace logiky v části Nastavení vyberte Sítě.

  2. Na stránce Sítě v části Konfigurace odchozího provozu vyberte odkaz vedle integrace virtuální sítě.

  3. Na stránce Integrace virtuální sítě vyberte Přidat integraci virtuální sítě.

  4. V podokně Přidat integraci virtuální sítě vyberte předplatné, virtuální síť, která se připojuje k interní službě, a podsíť, kam chcete přidat aplikaci logiky. Po dokončení vyberte Připojit.

    Na stránce Integrace virtuální sítě je ve výchozím nastavení vybrané nastavení odchozího internetového provozu, které směruje veškerý odchozí provoz přes virtuální síť. V tomto scénáři se ignoruje nastavení aplikace s názvem WEBSITE_VNET_ROUTE_ALL .

    Pokud chcete toto nastavení aplikace najít, v nabídce prostředků aplikace logiky v části Nastavení vyberte Proměnné prostředí.

  5. Pokud ve virtuální síti používáte vlastní názvový server domény (DNS), přidejte nastavení aplikace WEBSITE_DNS_SERVER , pokud neexistuje, a nastavte hodnotu na IP adresu vašeho DNS. Pokud máte sekundární DNS, přidejte další nastavení aplikace s názvem WEBSITE_DNS_ALT_SERVER a nastavte hodnotu na IP adresu sekundárního DNS.

  6. Jakmile Azure úspěšně zřídí integraci virtuální sítě, zkuste pracovní postup spustit znovu.

    Akce HTTP se teď úspěšně spustí.

Další kroky