Connecter les tâches Stream Analytics aux ressources d’un réseau virtuel Azure (VNET)
Vos tâches Stream Analytics créent des connexions sortantes avec vos ressources Azure d’entrée et de sortie, afin de traiter les données en temps réel et de générer des résultats. Ces ressources d'entrée et de sortie (par exemple, Azure Event Hubs et Azure SQL Database) peuvent se trouver derrière un pare-feu Azure ou dans un réseau virtuel Azure (VNET). Le service Stream Analytics fonctionne à partir de réseaux qui ne peuvent pas être inclus directement dans vos règles de réseau.
Cependant, il existe plusieurs façons de connecter en toute sécurité vos travaux Stream Analytics à vos ressources d'entrée et de sortie dans de tels scénarios.
- Exécuter votre travail Azure Stream Analytics dans un réseau virtuel Azure (préversion publique)
- Utilisez des points de terminaison privés dans les clusters Stream Analytics.
- Utilisez le mode d'authentification Managed Identity associé au paramètre de mise en réseau "Autoriser les services de confiance".
Votre tâche Stream Analytics n’accepte aucune connexion entrante.
Exécuter votre travail Azure Stream Analytics dans un réseau virtuel Azure (préversion publique)
La prise en charge du réseau virtuel (VNET) vous permet de verrouiller l'accès à Azure Stream Analytics à votre infrastructure de réseau virtuel. Cette fonctionnalité vous offre les avantages de l’isolation réseau et peut être obtenue par le déploiement d’une instance conteneurisée de votre travail ASA au sein de votre réseau virtuel. Votre travail ASA injecté VNET peut alors accéder en privé à vos ressources au sein du réseau virtuel via :
- des points de terminaison privés, qui connectent votre travail ASA injecté dans le réseau virtuel à vos sources de données par le biais de liaisons privées fournies par Azure Private Link ;
- des points de terminaison de service, qui connectent vos sources de données à votre travail ASA injecté dans le réseau virtuel ;
- des étiquettes de service, qui autorisent ou refusent le trafic vers Azure Stream Analytics.
Actuellement, l'intégration VNET n'est disponible que dans certaines régions. Visitez cette page pour obtenir la liste la plus récente des régions compatibles VNET et comment en faire la demande dans votre région.
Points de terminaison privés dans des clusters Stream Analytics.
Les clusters Stream Analytics sont des clusters de calcul dédiés à un seul locataire, dans lesquels vous pouvez exécuter vos tâches Stream Analytics. Vous pouvez créer des points de terminaison privés managés dans votre cluster Stream Analytics, ce qui permet à toutes les tâches en cours d’exécution sur votre cluster d’établir une connexion sortante sécurisée avec vos ressources d’entrée et de sortie.
La création de points de terminaison privés dans votre cluster Stream Analytics est une opération en deux étapes. Cette option est la mieux adaptée aux charges de travail de streaming moyennes à grandes, car la taille minimale d'un cluster Stream Analytics est de 12 SU V2 ou 36 SU V1 (les SU peuvent être partagées par différentes tâches dans divers abonnements ou environnements tels que le développement, le test et la production). Voir Cluster Azure Stream Analytics pour plus d'informations.
Authentification d’identité managée avec la configuration « Autoriser les services de confiance »
Certains services Azure proposent le paramètre de mise en réseau Autoriser les services Microsoft approuvés qui, lorsqu’il est activé, permet à vos tâches Stream Analytics de se connecter en toute sécurité à votre ressource à l’aide d’une authentification forte. Cette option vous permet de connecter vos tâches à vos ressources d’entrée et de sortie sans avoir besoin d’un cluster Stream Analytics ni de points de terminaison privés. La configuration de votre tâche pour utiliser cette technique est une opération en deux étapes :
- Utilisez le mode d’authentification Identité managée lors de la configuration de l’entrée ou de la sortie dans votre tâche Stream Analytics.
- Accordez à vos tâches Stream Analytics spécifiques un accès explicite à vos ressources cibles en attribuant un rôle Azure à l’identité managée de la tâche, telle qu’affectée par le système.
L’activation du paramètre Autoriser les services Microsoft approuvés n’accorde pas d’accès permanent à une tâche. Elle vous permet de contrôler totalement quelles tâches Stream Analytics spécifiques peuvent accéder à vos ressources en toute sécurité.
Grâce à cette technique, vos tâches peuvent se connecter aux services Azure suivants :
- Stockage Blob ou Azure Data Lake Storage Gen2 : il peut s’agir du compte de stockage de votre tâche, d’une entrée ou d’une sortie de diffusion en continu.
- Azure Event Hubs : il peut s’agir de l’entrée ou de la sortie de diffusion en continu de votre tâche.
Si vos travaux doivent se connecter à d’autres types d’entrée ou de sortie, vous pouvez d’abord écrire de Stream Analytics vers la sortie Event Hubs, puis vers la destination de votre choix avec Azure Functions. Si vous souhaitez écrire directement de Stream Analytics vers d’autres types de sortie sécurisés dans un réseau virtuel ou un pare-feu, la seule possibilité consiste à utiliser des points de terminaison privés dans des clusters Stream Analytics.
Étapes suivantes
- Créer et supprimer des points de terminaison privés dans des clusters Stream Analytics
- Se connecter à Event Hubs dans un réseau virtuel à l’aide de l’authentification Identité managée
- Se connecter à un stockage Blob et à ADLS Gen2 dans un réseau virtuel à l’aide de l’authentification Identité managée