Выполнение задания Azure Stream Analytics в виртуальная сеть Azure (общедоступная предварительная версия)
В этой статье описывается, как выполнить задание Azure Stream Analytics (ASA) в виртуальной сети Azure.
Общие сведения
Поддержка виртуальной сети позволяет заблокировать доступ к Azure Stream Analytics к инфраструктуре виртуальной сети. Эта возможность обеспечивает преимущества сетевой изоляции и может быть реализована путем развертывания контейнерного экземпляра задания ASA в виртуальная сеть. После этого задание ASA, внедренное в виртуальную сеть, сможет получить частный доступ к ресурсам в виртуальной сети через:
- Частные конечные точки, которые подключают задание ASA, внедренное виртуальной сетью, к источникам данных через приватные каналы на платформе Приватный канал Azure.
- Конечные точки службы, которые подключают источники данных к внедренным в виртуальную сеть заданием ASA.
- Теги служб, которые разрешают или запрещают трафик в Azure Stream Analytics.
Доступность
В настоящее время эта возможность доступна только в следующих регионах: Западная часть США, Центральная Канада, Восточная часть США, Восточная часть США 2, Центральная часть США, Западная Европа и Северная Европа. Если вы хотите включить интеграцию виртуальной сети в вашем регионе, заполните эту форму.
Требования к поддержке интеграции с виртуальной сетью
Для заданий ASA, внедренных в виртуальную сеть, требуется учетная запись хранения общего назначения версии 2 (GPV2 ).
Внедренные в виртуальную сеть задания ASA требуют доступа к метаданным, таким как контрольные точки, для хранения в таблицах Azure в рабочих целях.
Если у вас уже есть учетная запись GPV2, подготовленная с помощью задания ASA, никаких дополнительных действий не требуется.
Пользователям с заданиями более высокого масштаба с хранилищем класса Premium по-прежнему требуется предоставить учетную запись хранения GPV2.
Если вы хотите защитить учетные записи хранения от доступа на основе общедоступных IP-адресов, рассмотрите возможность настройки с помощью управляемого удостоверения и доверенных служб.
Дополнительные сведения об учетных записях хранения см. в разделах Общие сведения об учетной записи хранения и Создание учетной записи хранения.
Существующий виртуальная сеть Azure или создайте его.
Важно!
Задания, внедренные в виртуальную сеть ASA, используют внутреннюю технологию внедрения контейнеров, предоставляемую сетью Azure. В настоящее время служба "Сеть Azure" рекомендует всем клиентам настроить шлюз Azure NAT для обеспечения безопасности и надежности.
Шлюз NAT Azure — это полностью управляемая и высокоустойчивая служба преобразования сетевых адресов (NAT). Шлюз Azure NAT упрощает исходящее подключение к Интернету для виртуальных сетей. При настройке в подсети все исходящие подключения используют статические общедоступные IP-адреса шлюза NAT.
Дополнительные сведения о настройке и ценах см. в статье Шлюз NAT Azure.
Требования к подсети
Интеграция виртуальной сети зависит от выделенной подсети. При создании подсети подсеть Azure с самого начала использует пять IP-адресов.
При рассмотрении будущих потребностей, необходимых для поддержки рабочей нагрузки ASA, необходимо учитывать диапазон IP-адресов, связанный с делегированной подсетью. Так как размер подсети нельзя изменить после назначения, используйте подсеть, достаточно большую для размещения любого масштаба, который может достичь ваших заданий.
Операция масштабирования влияет на реальные, доступные поддерживаемые экземпляры для заданного размера подсети.
Рекомендации по оценке диапазонов IP-адресов
- Убедитесь, что диапазон подсети не сталкивается с диапазоном подсети ASA. Избегайте диапазона IP-адресов от 10.0.0.0 до 10.0.255.255, так как он используется ASA.
- Заповедник:
- 5 IP-адресов для сети Azure
- 1 IP-адрес требуется для упрощения таких функций, как пример данных, тестовое подключение и обнаружение метаданных для заданий, связанных с этой подсетью.
- Для каждых 6 SU или 1 SU V2 требуются 2 IP-адреса (структура ценообразования ASA версии 2 запускается 1 июля 2023 г., дополнительные сведения см. здесь ).
При указании интеграции виртуальной сети с заданием Azure Stream Analytics портал Azure автоматически делегирует подсеть службе ASA. портал Azure отменит отмену подсети в следующих сценариях:
- Вы сообщаете нам, что интеграция виртуальной сети больше не требуется для последнего задания , связанного с указанной подсетью через портал ASA (см. раздел "Инструкции").
- Вы удаляете последнее задание , связанное с указанной подсетью.
Последнее задание
Несколько заданий ASA могут использовать одну и ту же подсеть. Последнее задание здесь не относится к никаким другим заданиям, использующим указанную подсеть. Когда последнее задание было удалено или удалено связанным, Azure Stream Analytics освобождает подсеть в качестве ресурса, который был делегирован ASA как службе. Подождите несколько минут для завершения этого действия.
Настройка интеграции с виртуальной сетью
Портал Azure
В портал Azure перейдите к сети в строке меню и выберите Запустить это задание в виртуальной сети. Этот шаг информирует нас о том, что задание должно работать с виртуальной сетью:
Настройте параметры в ответ на запрос и нажмите кнопку Сохранить.
VS Code
В Visual Studio Code укажите ссылку на подсеть в задании ASA. Этот шаг сообщает вашему заданию, что оно должно работать с подсетью.
В настройте
JobConfig.json
,VirtualNetworkConfiguration
как показано на следующем рисунке.
Настройка связанной учетной записи хранения
На странице задания Stream Analytics выберите Параметры учетной записи хранения в разделе Настройка в меню слева.
На странице Параметры учетной записи хранения выберите Добавить учетную запись хранения.
Следуйте инструкциям по настройке параметров учетной записи хранения.
Важно!
- Для проверки подлинности с помощью строки подключения необходимо отключить параметры брандмауэра учетной записи хранения.
- Для проверки подлинности с помощью управляемого удостоверения необходимо добавить задание Stream Analytics в список управления доступом учетной записи хранения для роли Участник данных BLOB-объектов хранилища и Роли Участник данных таблицы хранилища. Если вы не предоставите заданию доступ, задание не сможет выполнять никаких операций. Дополнительные сведения о том, как предоставить доступ, см. в разделе Назначение управляемому удостоверению доступа к другому ресурсу с помощью Azure RBAC.
Разрешения
Чтобы настроить интеграцию виртуальной сети с помощью портал Azure, CLI или напрямую при настройке свойства сайта virtualNetworkSubnetId, необходимо иметь по крайней мере следующие разрешения на управление доступом на основе ролей в подсети или на более высоком уровне:
Действие | Описание |
---|---|
Microsoft.Network/virtualNetworks/read |
Чтение определения виртуальной сети |
Microsoft.Network/virtualNetworks/subnets/read |
Чтение определения подсети виртуальной сети |
Microsoft.Network/virtualNetworks/subnets/join/action |
Присоединяет виртуальную сеть. |
Microsoft.Network/virtualNetworks/subnets/write |
Необязательный элемент. Требуется, если необходимо выполнить делегирование подсети |
Если виртуальная сеть находится в подписке, отличной от подписки задания ASA, необходимо убедиться, что подписка с виртуальной сетью зарегистрирована Microsoft.StreamAnalytics
для поставщика ресурсов. Вы можете явно зарегистрировать поставщика, следуя этой документации, но он автоматически регистрируется при создании задания в подписке.
Ограничения
- Для заданий виртуальной сети требуется как минимум 1 SU V2 (новая модель ценообразования) или 6 единиц SU (текущая версия)
- Убедитесь, что диапазон подсети не сталкивается с диапазоном подсети ASA (то есть не используйте диапазон подсети 10.0.0.0/16).
- Задания ASA и виртуальная сеть должны находиться в одном регионе.
- Делегированную подсеть может использовать только Azure Stream Analytics.
- Вы не можете удалить виртуальную сеть, если она интегрирована с ASA. Необходимо отменить связь или удалить последнее задание* в делегированной подсети.
- В настоящее время обновления DNS не поддерживаются. Если конфигурации DNS виртуальной сети изменяются, необходимо повторно развернуть все задания ASA в этой виртуальной сети (подсети также должны быть отсоединены от всех заданий и перенастроены). Дополнительные сведения см. в статье Разрешение имен для ресурсов в виртуальных сетях Azure .
Доступ к локальным ресурсам
Дополнительная настройка для подключения функции интеграции виртуальной сети к локальным ресурсам через виртуальную сеть не требуется. Достаточно подключить виртуальную сеть к локальным ресурсам с помощью ExpressRoute или VPN типа "сеть — сеть".
Сведения о тарифах
Помимо базовых требований, перечисленных в этом документе, интеграция с виртуальной сетью не взимает дополнительную плату за использование помимо цен на Azure Stream Analytics.
Устранение неполадок
Эту функцию легко настроить, но это не означает, что вы без проблем. При возникновении проблем с доступом к нужной конечной точке обратитесь к служба поддержки Майкрософт.
Примечание
Чтобы получить прямые отзывы об этой возможности, обратитесь к .askasa@microsoft.com