Skydda trafik mellan standardlogikappar och virtuella Azure-nätverk med hjälp av privata slutpunkter

Gäller för: Azure Logic Apps (Standard)

Om du vill kommunicera på ett säkert och privat sätt mellan arbetsflödet i en standardlogikapp och ett virtuellt Azure-nätverk kan du konfigurera privata slutpunkter för inkommande trafik och använda integrering av virtuella nätverk för utgående trafik.

En privat slutpunkt är ett nätverksgränssnitt som ansluter privat och säkert till en tjänst som drivs av Azure Private Link. Tjänsten kan vara en Azure-tjänst, till exempel Azure Logic Apps, Azure Storage, Azure Cosmos DB, SQL eller din egna Private Link-tjänst. Den privata slutpunkten använder en privat IP-adress från ditt virtuella nätverk, vilket effektivt tar in tjänsten i ditt virtuella nätverk.

Den här artikeln visar hur du konfigurerar åtkomst via privata slutpunkter för inkommande trafik och integrering av virtuella nätverk för utgående trafik.

Mer information finns i följande dokumentation:

• Vad är en privat Azure-slutpunkt?
• Privata slutpunkter – Integrera din app med ett virtuellt Azure-nätverk
• Vad är Azure Privat Link?
• Regional integrering av virtuella nätverk?

Förutsättningar

• Ett nytt eller befintligt virtuellt Azure-nätverk som innehåller ett undernät utan delegeringar. Det här undernätet används för att distribuera och allokera privata IP-adresser från det virtuella nätverket.

  Mer information finns i följande dokumentation:

  • Snabbstart: Skapa ett virtuellt nätverk med hjälp av Azure Portal
  • Vad är delegering av undernät?
  • Lägga till eller ta bort en delegering av undernät

• Installera eller använd ett verktyg som kan skicka HTTP-begäranden för att testa din lösning, till exempel:

  • Visual Studio Code med ett tillägg från Visual Studio Marketplace
  • PowerShell Invoke-RestMethod
  • Microsoft Edge – verktyg för nätverkskonsol
  • Bruno
  • hårlock

  Varning

  För scenarier där du har känsliga data, till exempel autentiseringsuppgifter, hemligheter, åtkomsttoken, API-nycklar och annan liknande information, bör du använda ett verktyg som skyddar dina data med nödvändiga säkerhetsfunktioner. Verktyget bör fungera offline eller lokalt och behöver inte logga in på ett onlinekonto eller synkronisera data till molnet. När du använder ett verktyg med dessa egenskaper minskar du risken för att exponera känsliga data för allmänheten.

Konfigurera inkommande trafik via privata slutpunkter

Utför följande övergripande steg för att skydda inkommande trafik till arbetsflödet:

1. Starta arbetsflödet med en inbyggd utlösare som kan ta emot och hantera inkommande begäranden, till exempel utlösaren Förfrågning eller HTTP + Webhook-utlösaren . Den här utlösaren konfigurerar arbetsflödet med en anropsbar slutpunkt.

2. Lägg till en privat slutpunkt för logikappresursen i ditt virtuella nätverk.

3. Gör testanrop för att kontrollera åtkomsten till slutpunkten. Om du vill anropa logikappens arbetsflöde när du har konfigurerat den här slutpunkten måste du vara ansluten till det virtuella nätverket.

Överväganden för inkommande trafik via privata slutpunkter

• Om den nås utanför det virtuella nätverket kan övervakningsvyn inte komma åt indata och utdata från utlösare och åtgärder.

• Hanterade API-webhook-utlösare (push-utlösare) och åtgärder fungerar inte eftersom de körs i det offentliga molnet och inte kan anropa ditt privata nätverk. De kräver en offentlig slutpunkt för att ta emot samtal. Sådana utlösare inkluderar till exempel Dataverse-utlösaren och Event Grid-utlösaren.

• Om du använder Office 365 Outlook-utlösaren utlöses arbetsflödet bara per timme.

• Distribution från Visual Studio Code eller Azure CLI fungerar endast inifrån det virtuella nätverket. Du kan använda Distributionscenter för att länka logikappen till en GitHub-lagringsplats. Du kan sedan använda Azure-infrastrukturen för att skapa och distribuera din kod.

  För att GitHub-integreringen WEBSITE_RUN_FROM_PACKAGE ska fungera tar du bort inställningen från logikappen eller anger värdet till 0.

• Aktivering av Private Link påverkar inte utgående trafik, som fortfarande flödar genom App Service-infrastrukturen.

Krav för inkommande trafik via privata slutpunkter

Tillsammans med konfigurationen av det virtuella nätverket i de högsta kraven måste du ha ett nytt eller befintligt standardarbetsflöde för logikappar som börjar med en inbyggd utlösare som kan ta emot begäranden.

Till exempel skapar utlösaren Begäran en slutpunkt i arbetsflödet som kan ta emot och hantera inkommande begäranden från andra anropare, inklusive arbetsflöden. Den här slutpunkten innehåller en URL som du kan använda för att anropa och utlösa arbetsflödet. I det här exemplet fortsätter stegen med Request-triggern.

Mer information finns i Ta emot och svara på inkommande HTTP-begäranden med hjälp av Azure Logic Apps.

Skapa arbetsflödet

1. Om du inte redan har gjort det, skapa en logikapp baserad på enskild hyresgäst och ett nytt tomt arbetsflöde.

2. När designern har öppnats lägger du till Request-utlösaren som det första steget i ditt arbetsflöde.

3. Baserat på dina scenariokrav lägger du till andra åtgärder som du vill köra i arbetsflödet.

4. Spara arbetsflödet när du är klar.

För mer information, se Skapa logikapparbetsflöden för en klientorganisation i Azure Logic Apps.

Kopiera slutpunktens URL

1. På arbetsflödesmenyn går du till Konfiguration och väljer Egenskaper.

2. På sidan Egenskaper kopierar och sparar du arbetsflödes-URL:en för senare användning.

3. Om du vill testa URL:en och utlösa arbetsflödet skickar du en HTTP-begäran till URL:en med hjälp av http-begärandeverktyget och dess instruktioner.

Konfigurera privat slutpunktsanslutning

1. På resursmenyn för logikappen går du till Inställningar och väljer Nätverk.

2. På sidan Nätverk går du till avsnittet Konfiguration av inkommande trafik och väljer länken bredvid Privata slutpunkter.

3. På sidan Privata slutpunktsanslutningar väljer du Lägg till>Express eller Avancerat.

   Mer information om alternativet Avancerat finns i Skapa en privat slutpunkt.

4. I fönstret Lägg till privat slutpunkt anger du den begärda informationen om slutpunkten.

   Mer information finns i Privat slutpunktsegenskaper.

5. När Azure har etablerat den privata slutpunkten, prova igen att anropa arbetsflödets URL.

   Den här gången får du ett förväntat 403 Forbidden fel, vilket innebär att den privata slutpunkten har konfigurerats och fungerar korrekt.

6. För att säkerställa att anslutningen fungerar korrekt skapar du en virtuell dator i samma virtuella nätverk som har den privata slutpunkten och försöker anropa logikappens arbetsflöde.

Konfigurera utgående trafik med hjälp av integrering av virtuella nätverk

För att skydda utgående trafik från logikappen kan du integrera logikappen med ett virtuellt nätverk. Skapa och testa först ett exempelarbetsflöde. Du kan sedan konfigurera integrering av virtuella nätverk.

Överväganden för utgående trafik via integrering av virtuella nätverk

• Att konfigurera integrering av virtuella nätverk påverkar endast utgående trafik. Om du vill skydda inkommande trafik, som fortsätter att använda den delade Slutpunkten för App Service, läser du Konfigurera inkommande trafik via privata slutpunkter.

• Du kan inte ändra undernätsstorleken efter tilldelningen, så använd ett undernät som är tillräckligt stort för att hantera den skala som din app kan nå. Om du vill undvika problem med undernätskapacitet använder du ett /26 undernät med 64 adresser. Om du skapar undernätet för integrering av virtuella nätverk med Azure Portal måste du använda /27 som minsta undernätsstorlek.

• För att Azure Logic Apps-körtiden ska fungera behöver du en oavbruten anslutning till lagring i backend. Om serverdelslagringen exponeras för det virtuella nätverket via en privat slutpunkt kontrollerar du att följande portar är öppna:

  Källport	Målport	Källa	Resmål	Protokoll	Syfte
  *	443	Undernät integrerat med standardlogikapp	Lagringskonto	TCP	Lagringskonto
  *	445	Undernät integrerat med standardlogikapp	Lagringskonto	TCP	SMB-filresurs (Server Message Block)
  *	20000-30000	Undernät integrerat med standardlogikapp	Arbetarprocess	TCP	Kommunikation mellan App Service-plan och standardnoder för logikappar

• För att hanterade anslutningsappar som hostas av Azure ska fungera måste du ha en oavbruten anslutning till den hanterade API-tjänsten. Med integrering av virtuella nätverk kontrollerar du att ingen brandväggs- eller nätverkssäkerhetsprincip blockerar dessa anslutningar. Om ditt virtuella nätverk använder en nätverkssäkerhetsgrupp (NSG), användardefinierad routningstabell (UDR) eller en brandvägg kontrollerar du att det virtuella nätverket tillåter utgående anslutningar till alla HANTERADE ANSLUTNINGS-IP-adresser i motsvarande region. Annars fungerar inte Azure-hanterade anslutningar.

Mer information finns i följande dokumentation:

• Integrera en app med ett virtuellt Azure-nätverk
• Nätverkssäkerhetsgrupper
• Trafikdirigering i virtuella nätverk

Skapa och testa arbetsflödet

1. Om du inte redan har gjort det skapar du i Azure Portal en logikapp baserad på en klientorganisation och ett tomt arbetsflöde.

2. När designern har öppnats lägger du till Request-utlösaren som det första steget i ditt arbetsflöde.

3. Lägg till en HTTP-åtgärd för att anropa en intern tjänst som inte är tillgänglig via Internet och körs med en privat IP-adress, 10.0.1.3till exempel .

4. Spara arbetsflödet när du är klar.

5. Kör arbetsflödet manuellt från designern.

   HTTP-åtgärden misslyckas, vilket är avsiktligt och förväntat eftersom arbetsflödet körs i molnet och inte kan komma åt din interna tjänst.

Konfigurera integrering av virtuella nätverk

1. I Azure Portal går du till resursmenyn för logikappen under Inställningar och väljer Nätverk.

2. På sidan Nätverk går du till avsnittet Konfiguration av utgående trafik och väljer länken bredvid Integrering av virtuellt nätverk.

3. På sidan Integrering av virtuellt nätverk väljer du Lägg till integrering av virtuellt nätverk.

4. I fönstret Lägg till integrering av virtuellt nätverk väljer du prenumerationen, det virtuella nätverk som ansluter till din interna tjänst och det undernät där logikappen ska läggas till. När du är klar väljer du Anslut.

   På sidan Integrering av virtuellt nätverk väljs som standard inställningen Utgående Internettrafik , som dirigerar all utgående trafik via det virtuella nätverket. I det här scenariot ignoreras appinställningen med namnet WEBSITE_VNET_ROUTE_ALL .

   Om du vill hitta den här appinställningen går du till resursmenyn för logikappen under Inställningar och väljer Miljövariabler.

5. Om du använder din egen domännamnsserver (DNS) med ditt virtuella nätverk lägger du till inställningen WEBSITE_DNS_SERVER app, om det inte finns någon, och anger värdet till IP-adressen för din DNS. Om du har en sekundär DNS lägger du till en annan appinställning med namnet WEBSITE_DNS_ALT_SERVER och anger värdet till IP-adressen för din sekundära DNS.

6. När Azure har etablerat integreringen av det virtuella nätverket kan du försöka köra arbetsflödet igen.

   HTTP-åtgärden körs nu framgångsrikt.

Nästa steg

• Logic Apps Anywhere: Nätverkspotentialer med Logic Apps (single tenant)