Verbinden von Stream Analytics-Aufträgen mit Ressourcen in einem virtuellen Azure-Netzwerk
Ihre Stream Analytics-Aufträge stellen ausgehende Verbindungen mit Ihren Ein- und Ausgaberessourcen von Azure her, um Daten in Echtzeit zu verarbeiten und Ergebnisse zu erzeugen. Diese Ein- und Ausgaberessourcen (z. B. Azure Event Hubs und Azure SQL-Datenbank) können sich hinter einer Azure-Firewall oder in einem virtuellen Azure-Netzwerk befinden. Der Stream Analytics-Dienst wird aus Netzwerken betrieben, die nicht direkt in Ihre Netzwerkregeln aufgenommen werden können.
Es gibt jedoch verschiedene Möglichkeiten, um Ihre Stream Analytics-Aufträge in solchen Szenarien sicher mit Ihren Eingabe- und Ausgaberessourcen zu verbinden.
- Ausführen eines Azure Stream Analytics-Auftrags in einem virtuellen Azure-Netzwerk
- Verwendung von privaten Endpunkten in Stream Analytics-Clustern.
- Verwendung des Authentifizierungsmodus „Verwaltete Identität“, gekoppelt mit der Netzwerkeinstellung „Vertrauenswürdige Dienste zulassen“.
Ihr Stream Analytics-Auftrag akzeptiert keine eingehende Verbindung.
Ausführen eines Azure Stream Analytics-Auftrags in einem virtuellen Azure-Netzwerk
Mit der Unterstützung für virtuelle Netzwerke können Sie den Zugriff auf Azure Stream Analytics auf Ihre virtuelle Netzwerkinfrastruktur beschränken. Diese Funktion bietet Ihnen die Vorteile der Netzwerkisolation und kann durch die Bereitstellung einer containerisierten Instanz Ihres Azure Stream Analytics-Auftrags in Ihrem virtuellen Netzwerk erreicht werden. Ihr in das virtuelle Netzwerk eingefügter Auftrag kann dann über folgende Elemente privat auf Ihre Ressourcen innerhalb des virtuellen Netzwerks zugreifen:
- Private Endpunkte, die den in das VNet eingefügten ASA-Auftrag über private Verbindungen, die von Azure Private Link unterstützt werden, mit Ihren Datenquellen verbinden.
- Dienstendpunkte, die Ihre Datenquellen mit dem in das VNet eingefügten ASA-Auftrag verbinden.
- Diensttags, die Datenverkehr zu Azure Stream Analytics zulassen oder verweigern
Derzeit ist die VNET-Integration nur in ausgewählten Regionen verfügbar. Besuchen Sie diese Seite, um die aktuellste Liste der VNet-fähigen Regionen zu erhalten und zu erfahren, wie Sie diese in Ihrer Region anfordern können.
Private Endpunkte in Stream Analytics-Clustern.
Stream Analytics-Cluster sind dedizierte Computecluster mit einem einzelnen Mandanten, auf denen Sie Ihre Stream Analytics-Aufträge ausführen können. Sie können verwaltete private Endpunkte in Ihrem Stream Analytics-Cluster erstellen, wodurch alle Aufträge, die auf Ihrem Cluster ausgeführt werden, eine sichere ausgehende Verbindung mit Ihren Ein- und Ausgaberessourcen herstellen können.
Das Erstellen privater Endpunkte in Ihrem Stream Analytics-Cluster ist ein zweistufiger Vorgang. Diese Option eignet sich am besten für mittlere bis große Streamingworkloads, da die Mindestgröße eines Stream Analytics-Clusters 12 SUs V2 oder 36 SUs V1 beträgt (SUs können von verschiedenen Aufträgen in verschiedenen Abonnements oder Umgebungen wie Entwicklung, Test und Produktion gemeinsam genutzt werden können). Weitere Informationen finden Sie unter Azure Stream Analytics-Cluster.
Authentifizierung mit verwalteten Identitäten mit der Konfiguration „Vertrauenswürdige Dienste zulassen“
Einige Azure-Dienste bieten die Netzwerkeinstellung Vertrauenswürdige Microsoft-Dienste zulassen, die, wenn sie aktiviert ist, ihren Stream Analytics-Aufträgen gestattet, sich mithilfe starker Authentifizierung sicher mit Ihrer Ressource zu verbinden. Mit dieser Option können Sie Ihre Aufträge mit Ihren Ein- und Ausgaberessourcen verbinden, ohne einen Stream Analytics-Cluster und private Endpunkte zu benötigen. Das Konfigurieren Ihres Auftrags für die Verwendung dieser Methode ist ein zweistufiger Vorgang:
- Verwenden Sie den Authentifizierungsmodus „Verwaltete Identität“, wenn Sie die Ein- oder Ausgabe in Ihrem Stream Analytics-Auftrag konfigurieren.
- Gewähren Sie Ihren spezifischen Stream Analytics-Aufträgen explizit Zugriff auf Ihre Zielressourcen, indem Sie der systemseitig zugewiesenen verwalteten Identität des Auftrags eine Azure-Rolle zuweisen.
Durch das Aktivieren von Vertrauenswürdige Microsoft-Dienste zulassen wird kein globaler Zugriff auf alle Aufträge gewährt. Dadurch erhalten Sie vollständige Kontrolle darüber, welche spezifischen Stream Analytics-Aufträge sicher auf Ihre Ressourcen zugreifen können.
Ihre Aufträge können mit dieser Methode eine Verbindung mit den folgenden Azure-Diensten herstellen:
- Blob Storage oder Azure Data Lake Storage Gen2: Kann das Speicherkonto oder die Streamingein- oder -ausgabe Ihres Auftrags sein.
- Azure Event Hubs: Kann die Streamingein- oder -ausgabe Ihres Auftrags sein.
Wenn Ihre Aufträge eine Verbindung mit anderen Eingabe- oder Ausgabetypen herstellen müssen, können Sie mit Azure Functions zuerst aus Stream Analytics in die Event Hubs-Ausgabe und dann in ein beliebiges Ziel schreiben. Wenn Sie direkt aus Stream Analytics in andere Ausgabetypen schreiben möchten, die in einem VNet oder mit einer Firewall geschützt sind, besteht die einzige Möglichkeit darin, private Endpunkte in Stream Analytics-Clustern zu verwenden.
Nächste Schritte
- Erstellen und Entfernen privater Endpunkte in Stream Analytics-Clustern
- Herstellen einer Verbindung mit Event Hubs in einem VNet unter Verwendung der Authentifizierung mit verwalteten Identitäten
- Herstellen einer Verbindung mit Blob Storage und ADLS Gen2 in einem VNet mithilfe der Authentifizierung mit verwalteten Identitäten