Condividi tramite


Connettere i processi di Analisi di flusso alle risorse in un Rete virtuale di Azure

I processi di Analisi di flusso effettuano connessioni in uscita alle risorse di Azure di input e output per elaborare i dati in tempo reale e produrre risultati. Queste risorse di input e output, ad esempio Hub eventi di Azure e database SQL di Azure, potrebbero trovarsi dietro un firewall di Azure o in un'Rete virtuale di Azure. Il servizio Analisi di flusso opera da reti che non possono essere incluse direttamente nelle regole di rete.

Esistono tuttavia diversi modi per connettere in modo sicuro i processi di Analisi di flusso alle risorse di input e output in tali scenari.

Il processo di Analisi di flusso non accetta alcuna connessione in ingresso.

Eseguire il processo di Analisi di flusso di Azure in un'Rete virtuale di Azure

Il supporto della rete virtuale consente di bloccare l'accesso ad Analisi di flusso di Azure all'infrastruttura di rete virtuale. Questa funzionalità offre i vantaggi dell'isolamento della rete e può essere eseguita distribuendo un'istanza in contenitori del processo di Analisi di flusso di Azure all'interno del Rete virtuale. Il processo inserito nella rete virtuale può quindi accedere privatamente alle risorse all'interno della rete virtuale tramite:

  • Endpoint privati, che connettono il processo ASA inserito nella rete virtuale alle origini dati tramite collegamenti privati basati su collegamento privato di Azure.
  • Endpoint di servizio, che connettono le origini dati alla rete virtuale inserito processo ASA.
  • Tag del servizio, che consentono o negano il traffico ad Analisi di flusso di Azure.

Attualmente, l'integrazione della rete virtuale è disponibile solo nelle aree selezionate. Visitare questa pagina per l'elenco più recente delle aree abilitate per la rete virtuale e come richiederla nell'area.

Endpoint privati nei cluster di Analisi di flusso.

I cluster di Analisi di flusso sono un cluster di calcolo dedicato a tenant singolo in cui è possibile eseguire i processi di Analisi di flusso. È possibile creare endpoint privati gestiti nel cluster di Analisi di flusso, che consente a tutti i processi in esecuzione nel cluster di stabilire una connessione in uscita sicura alle risorse di input e output.

La creazione di endpoint privati nel cluster di Analisi di flusso è un'operazione in due passaggi. Questa opzione è più adatta per carichi di lavoro di streaming medio-grandi, in quanto le dimensioni minime di un cluster di Analisi di flusso sono 12 SU V2 o 36 SU V1 (le UNITÀ di streaming possono essere condivise da processi diversi in varie sottoscrizioni o ambienti come sviluppo, test e produzione). Per altre informazioni, vedere Cluster di Analisi di flusso di Azure.

Autenticazione dell'identità gestita con configurazione "Consenti servizi attendibili"

Alcuni servizi di Azure forniscono l'impostazione Consenti servizi Microsoft rete attendibile, che, se abilitata, consente ai processi di Analisi di flusso di connettersi in modo sicuro alla risorsa usando l'autenticazione avanzata. Questa opzione consente di connettere i processi alle risorse di input e output senza richiedere un cluster di Analisi di flusso e endpoint privati. La configurazione del processo per l'uso di questa tecnica è un'operazione in due passaggi:

  • Usare la modalità di autenticazione dell'identità gestita durante la configurazione dell'input o dell'output nel processo di Analisi di flusso.
  • Concedere ai processi specifici di Analisi di flusso l'accesso esplicito alle risorse di destinazione assegnando un ruolo di Azure all'identità gestita assegnata dal sistema del processo.

L'abilitazione di Consenti servizi Microsoft attendibili non concede l'accesso completo ad alcun processo. Offre il controllo completo dei processi specifici di Analisi di flusso che possono accedere in modo sicuro alle risorse.

I processi possono connettersi ai servizi di Azure seguenti usando questa tecnica:

  1. Archiviazione BLOB o Azure Data Lake Storage Gen2 : può essere l'account di archiviazione del processo, l'input di streaming o l'output.
  2. Hub eventi di Azure: può essere l'input o l'output del flusso del processo.

Se i processi devono connettersi ad altri tipi di input o output, è possibile scrivere prima da Analisi di flusso all'output di Hub eventi e quindi in qualsiasi destinazione di propria scelta usando Funzioni di Azure. Se si vuole scrivere direttamente da Analisi di flusso ad altri tipi di output protetti in una rete virtuale o in un firewall, l'unica opzione consiste nell'usare endpoint privati nei cluster di Analisi di flusso.

Passaggi successivi