Sdílet prostřednictvím

Spuštění úlohy Azure Stream Analytics ve službě Azure Virtual Network

  • Článek

Tento článek popisuje, jak spustit úlohu Azure Stream Analytics (ASA) ve virtuální síti Azure.

Přehled

Podpora virtuální sítě umožňuje uzamknout přístup ke službě Azure Stream Analytics k infrastruktuře virtuální sítě. Tato funkce poskytuje výhody izolace sítě a dá se dosáhnout nasazením kontejnerizované instance úlohy ASA ve virtuální síti. Úloha ASA vložená do virtuální sítě pak může soukromě přistupovat k vašim prostředkům ve virtuální síti prostřednictvím:

  • Privátní koncové body, které propojují úlohu ASA vloženou do virtuální sítě k vašim zdrojům dat přes privátní propojení využívající Azure Private Link.
  • Koncové body služby, které propojují vaše zdroje dat s úlohou ASA vloženou do virtuální sítě.
  • Značky služeb, které povolují nebo zakazují provoz do Azure Stream Analytics.

Dostupnost

V současné době je tato funkce dostupná jenom ve vybraných oblastech: USA – východ, USA – východ 2, USA – západ, USA – střed, USA – středosever, Kanada – středozápad, Západní Evropa, Severní Evropa, Jihovýchodní Asie, Brazílie – jih, Japonsko – východ, Velká Británie – jih, Indie – střed, Austrálie – východ a Francie – střed. Pokud chcete povolit integraci virtuální sítě ve vaší oblasti, vyplňte tento formulář.

Požadavky na podporu integrace virtuální sítě

  • Pro úlohy ASA vložené do virtuální sítě se vyžaduje účet úložiště pro obecné účely verze 2 (GPV2).

    • Úlohy ASA vložené do virtuální sítě vyžadují přístup k metadatům, jako jsou kontrolní body, které se mají ukládat do tabulek Azure pro provozní účely.

    • Pokud už máte účet GPV2 zřízený pro vaši úlohu ASA, nemusíte provádět žádné další kroky.

    • Uživatelé s vyššími úlohami škálování se službou Premium Storage se stále vyžadují k poskytování účtu úložiště GPV2.

    • Pokud chcete chránit účty úložiště před veřejným přístupem založeným na IP adresách, zvažte také konfiguraci spravované identity a důvěryhodných služeb.

      Další informace o účtech úložiště najdete v tématu Přehled účtu úložiště a Vytvoření účtu úložiště.

  • Existující virtuální síť Azure nebo ji vytvořte.

    Důležité

    Úlohy vložené do virtuální sítě ASA používají interní technologii injektáže kontejnerů poskytovanou sítěmi Azure. Podle požadavků na sítě musí být služba Azure NAT Gateway nakonfigurovaná pro úlohy ASA vložené do virtuální sítě pro účely zabezpečení a spolehlivosti.

    Azure NAT Gateway je plně spravovaná a vysoce odolná služba překladu adres (NAT). Při konfiguraci v podsíti používá všechna odchozí připojení statické veřejné IP adresy služby NAT Gateway. Diagram znázorňující architekturu virtuální sítě

    Další informace o službě Azure NAT Gateway najdete v tématu Azure NAT Gateway.

Požadavky na podsíť

Integrace virtuální sítě závisí na vyhrazené podsíti. Při vytváření podsítě využívá podsíť Azure od začátku pět IP adres.

Rozsah IP adres přidružený k delegované podsíti musíte vzít v úvahu, protože uvažujete o budoucích potřebách potřebných k podpoře vaší úlohy ASA. Vzhledem k tomu, že po přiřazení nejde změnit velikost podsítě, použijte podsíť, která je dostatečně velká, aby vyhovovala škálování, které může vaše úloha dosáhnout.

Operace škálování má vliv na skutečnou dostupnou podporovanou instanci pro danou velikost podsítě.

Důležité informace o odhadu rozsahů IP adres

  • Ujistěte se, že rozsah podsítě nekoliduje s rozsahem podsítí ASA. Vyhněte se rozsahu IP adres 10.0.0.0 až 10.0.255.255, protože je používán službou ASA.
  • Rezerva:
    • Pět IP adres pro sítě Azure
    • Jedna IP adresa se vyžaduje k usnadnění funkcí, jako jsou ukázková data, testovací připojení a zjišťování metadat pro úlohy přidružené k této podsíti.
    • Pro každých šest jednotek streamování (SU) nebo pro jednu cenovou strukturu SU V2 (cenová struktura ASA V2 se spouští 1. července 2023, podrobnosti najdete tady ).

Když označíte integraci virtuální sítě s úlohou Azure Stream Analytics, Azure Portal automaticky deleguje podsíť do služby ASA. Azure Portal nedeleguje podsíť v následujících scénářích:

  • Informujete nás, že integrace virtuální sítě už není nutná pro poslední úlohu přidruženou k zadané podsíti prostřednictvím portálu ASA (viz část Postupy).
  • Odstraníte poslední úlohu přidruženou k zadané podsíti.

Poslední úloha

Několik úloh Stream Analytics může využívat stejnou podsíť. Poslední úloha zde odkazuje na žádné jiné úlohy využívající zadanou podsíť. Když byla poslední úloha odstraněna nebo odebrána přidružením, Azure Stream Analytics uvolní podsíť jako prostředek, který byl delegován do ASA jako služby. Počkejte několik minut, než se tato akce dokončí.

Nastavení integrace virtuální sítě

portál Azure

  1. Na webu Azure Portal přejděte do sítě z řádku nabídek a vyberte Spustit tuto úlohu ve virtuální síti. Tento krok nás informuje, že vaše úloha musí pracovat s virtuální sítí:

  2. Nakonfigurujte nastavení podle výzvy a vyberte Uložit.

    Snímek obrazovky se stránkou Sítě pro úlohu Stream Analytics

VS Code

  1. V editoru Visual Studio Code odkazujte na podsíť v rámci úlohy ASA. Tento krok říká vaší úloze, že musí fungovat s podsítí.

  2. Nastavte JobConfig.jsonVirtualNetworkConfiguration si ho, jak je znázorněno na následujícím obrázku.

    Snímek obrazovky s ukázkovou konfigurací virtuální sítě

Nastavení přidruženého účtu úložiště

  1. Na stránce úlohy Stream Analytics vyberte nastavení účtu úložiště v části Konfigurovat v nabídce vlevo.

  2. Na stránce Nastavení účtu úložiště vyberte Přidat účet úložiště.

  3. Podle pokynů nakonfigurujte nastavení účtu úložiště.

    Snímek obrazovky se stránkou nastavení účtu úložiště úlohy Stream Analytics

Důležité

  • Pokud se chcete ověřit pomocí připojovací řetězec, musíte zakázat nastavení brány firewall účtu úložiště.
  • Pokud se chcete ověřit pomocí spravované identity, musíte úlohu Stream Analytics přidat do seznamu řízení přístupu účtu úložiště pro roli Přispěvatel dat v objektech blob služby Storage a roli Přispěvatel dat tabulky služby Storage. Pokud neudělíte přístup k úloze, úloha nebude moct provádět žádné operace. Další informace o udělení přístupu najdete v tématu Použití Azure RBAC k přiřazení přístupu ke spravované identitě k jinému prostředku.

Oprávnění

Abyste mohli nakonfigurovat integraci virtuální sítě prostřednictvím webu Azure Portal, rozhraní příkazového řádku nebo přímo nastavit vlastnost lokality virtualNetworkSubnetId, musíte mít alespoň následující oprávnění řízení přístupu na základě role v podsíti nebo na vyšší úrovni:

Akce Popis
Microsoft.Network/virtualNetworks/read Čtení definice virtuální sítě
Microsoft.Network/virtualNetworks/subnets/read Čtení definice podsítě virtuální sítě
Microsoft.Network/virtualNetworks/subnets/join/action Připojí virtuální síť.
Microsoft.Network/virtualNetworks/subnets/write Nepovinné. Vyžaduje se, pokud potřebujete provést delegování podsítě.

Pokud je virtuální síť v jiném předplatném než vaše úloha ASA, musíte zajistit, aby předplatné s virtuální sítí bylo zaregistrované pro Microsoft.StreamAnalytics poskytovatele prostředků. Poskytovatele můžete explicitně zaregistrovat podle této dokumentace, ale při vytváření úlohy v předplatném se automaticky zaregistruje.

Omezení

  • Úlohy virtuální sítě vyžadují minimálně jednu SU V2 (nový cenový model) nebo šest SU (aktuální).
  • Ujistěte se, že rozsah podsítě nekoliduje s rozsahem podsítě ASA (tj. nepoužívejte rozsah podsítě 10.0.0.0/16).
  • Úlohy ASA a virtuální síť musí být ve stejné oblasti.
  • Delegovanou podsíť může používat jenom Azure Stream Analytics.
  • Virtuální síť nemůžete odstranit, když je integrovaná s ASA. Musíte zrušit přidružení nebo odebrat poslední úlohu* v delegovanou podsíti.
  • V současné době nepodporujeme aktualizace DNS (Domain Name System). Pokud se změní konfigurace DNS vaší virtuální sítě, musíte v této virtuální síti znovu nasadit všechny úlohy ASA (podsítě je také potřeba zrušit přidružení ze všech úloh a znovu nakonfigurovat). Další informace najdete v tématu Překlad názvů prostředků ve virtuálních sítích Azure.

Přístup k místním prostředkům

Není nutná žádná další konfigurace, aby se funkce integrace virtuální sítě dostala přes vaši virtuální síť k místním prostředkům. Stačí připojit virtuální síť k místním prostředkům pomocí ExpressRoute nebo vpn typu site-to-site.

Podrobnosti o cenách

Mimo základní požadavky uvedené v tomto dokumentu nemá integrace virtuální sítě žádné další poplatky za použití nad rámec poplatků za azure Stream Analytics.

Řešení problému

Tato funkce se dá snadno nastavit, ale to neznamená, že vaše zkušenost je bez problémů. Pokud narazíte na problémy s přístupem k požadovanému koncovému bodu, kontaktujte podpora Microsoftu.

Poznámka:

Pokud chcete získat přímou zpětnou vazbu k této funkci, spojte se s askasa@microsoft.com.