Condividi tramite

Eseguire il processo di Analisi di flusso di Azure in un'Rete virtuale di Azure

  • Articolo

Questo articolo descrive come eseguire il processo di Analisi di flusso di Azure in una rete virtuale di Azure.

Panoramica

Il supporto della rete virtuale consente di bloccare l'accesso ad Analisi di flusso di Azure all'infrastruttura di rete virtuale. Questa funzionalità offre i vantaggi dell'isolamento della rete e può essere eseguita distribuendo un'istanza in contenitori del processo ASA all'interno del Rete virtuale. Il processo ASA inserito nella rete virtuale può quindi accedere privatamente alle risorse all'interno della rete virtuale tramite:

  • Endpoint privati, che connettono il processo ASA inserito nella rete virtuale alle origini dati tramite collegamenti privati basati su collegamento privato di Azure.
  • Endpoint di servizio, che connettono le origini dati alla rete virtuale inserito processo ASA.
  • Tag del servizio, che consentono o negano il traffico ad Analisi di flusso di Azure.

Disponibilità

Attualmente, questa funzionalità è disponibile solo nelle aree selezionate: Stati Uniti orientali, Stati Uniti orientali 2, Stati Uniti occidentali, Stati Uniti centrali, Stati Uniti centro-settentrionali, Canada centrale, Europa occidentale, Europa settentrionale, Asia sud-orientale, Brasile meridionale, Giappone orientale, Regno Unito meridionale, India centrale, Australia orientale e Francia centrale. Se si è interessati ad abilitare l'integrazione della rete virtuale nell'area, compilare questo modulo.

Requisiti per il supporto dell'integrazione della rete virtuale

  • Per i processi ASA inseriti nella rete virtuale è necessario un account di archiviazione per utilizzo generico V2 (GPV2).

    • I processi ASA inseriti nella rete virtuale richiedono l'accesso ai metadati, ad esempio i checkpoint da archiviare nelle tabelle di Azure a scopo operativo.

    • Se è già stato effettuato il provisioning di un account GPV2 con il processo ASA, non sono necessari passaggi aggiuntivi.

    • Gli utenti con processi con scalabilità più elevata con archiviazione Premium sono comunque necessari per fornire un account di archiviazione per utilizzo generico v2.

    • Se si vuole proteggere gli account di archiviazione dall'accesso basato su IP pubblico, è consigliabile configurarlo anche usando Identità gestita e Servizi attendibili.

      Per altre informazioni sugli account di archiviazione, vedere Panoramica dell'account di archiviazione e Creare un account di archiviazione.

  • Un Rete virtuale di Azure esistente o crearne uno.

    Importante

    I processi inseriti nella rete virtuale ASA usano una tecnologia di inserimento dei contenitori interna fornita dalla rete di Azure. In base ai requisiti di rete, il gateway NAT di Azure deve essere configurato per i processi ASA inseriti nella rete virtuale per scopi di sicurezza e affidabilità.

    Il gateway NAT di Azure è un servizio NAT (Network Address Translation) completamente gestito e altamente resiliente. Se configurata in una subnet, tutta la connettività in uscita usa gli indirizzi IP pubblici statici del gateway NAT. Diagramma che mostra l'architettura della rete virtuale.

    Per altre informazioni sul gateway NAT di Azure, vedere Gateway NAT di Azure.

Requisiti della subnet

L'integrazione della rete virtuale dipende da una subnet dedicata. Quando si crea una subnet, la subnet di Azure usa cinque indirizzi IP dall'inizio.

È necessario prendere in considerazione l'intervallo IP associato alla subnet delegata, in quanto si pensa alle esigenze future necessarie per supportare il carico di lavoro asa. Poiché le dimensioni della subnet non possono essere modificate dopo l'assegnazione, usare una subnet sufficientemente grande per supportare qualsiasi scalabilità che il processo possa raggiungere.

L'operazione di scalabilità influisce sulle istanze supportate reali e disponibili per una determinata dimensione della subnet.

Considerazioni per la stima degli intervalli IP

  • Assicurarsi che l'intervallo di subnet non sia in conflitto con l'intervallo di subnet dell'ambiente del servizio app. Evitare l'intervallo IP da 10.0.0.0 a 10.0.255.255 perché viene usato da ASA.
  • Riservare:
    • Cinque indirizzi IP per la rete di Azure
    • È necessario un indirizzo IP per facilitare funzionalità quali dati di esempio, connessione di test e individuazione dei metadati per i processi associati a questa subnet.
    • Sono necessari due indirizzi IP per ogni sei unità di streaming (SU) o una SU V2 (la struttura dei prezzi V2 di ASA sta avviando il 1° luglio 2023, vedere qui per informazioni dettagliate)

Quando si indica l'integrazione della rete virtuale con il processo di Analisi di flusso di Azure, portale di Azure delega automaticamente la subnet al servizio Analisi di flusso di Azure. portale di Azure annullare l'eliminazione della subnet negli scenari seguenti:

  • Si informa che l'integrazione della rete virtuale non è più necessaria per l'ultimo processo associato alla subnet specificata tramite il portale asa (vedere la sezione procedura).
  • Eliminare l'ultimo processo associato alla subnet specificata.

Ultimo processo

Diversi processi di Analisi di flusso possono usare la stessa subnet. L'ultimo processo qui si riferisce a nessun altro processo che utilizza la subnet specificata. Quando l'ultimo processo è stato eliminato o rimosso da associato, Analisi di flusso di Azure rilascia la subnet come risorsa, delegata ad Analisi di flusso di Azure come servizio. Attendere alcuni minuti per il completamento di questa azione.

Configurare l'integrazione della rete virtuale

Portale di Azure

  1. Nella portale di Azure passare a Rete dalla barra dei menu e selezionare Esegui questo processo nella rete virtuale. Questo passaggio indica che il processo deve funzionare con una rete virtuale:

  2. Configurare le impostazioni come richiesto e selezionare Salva.

    Screenshot della pagina Rete per un processo di Analisi di flusso.

VS Code

  1. In Visual Studio Code fare riferimento alla subnet all'interno del processo asa. Questo passaggio indica al processo che deve funzionare con una subnet.

  2. JobConfig.jsonIn configurare VirtualNetworkConfiguration come illustrato nell'immagine seguente.

    Screenshot della configurazione di rete virtuale di esempio.

Configurare un account di archiviazione associato

  1. Nella pagina processo di Analisi di flusso selezionare Impostazioni account di archiviazione in Configura nel menu a sinistra.

  2. Nella pagina Impostazioni account di archiviazione selezionare Aggiungi account di archiviazione.

  3. Seguire le istruzioni per configurare le impostazioni dell'account di archiviazione.

    Screenshot della pagina Impostazioni dell'account di archiviazione di un processo di Analisi di flusso.

Importante

  • Per eseguire l'autenticazione con stringa di connessione, è necessario disabilitare le impostazioni del firewall dell'account di archiviazione.
  • Per eseguire l'autenticazione con l'identità gestita, è necessario aggiungere il processo di Analisi di flusso all'elenco di controllo di accesso dell'account di archiviazione per il ruolo Collaboratore ai dati dei BLOB di archiviazione e collaboratore ai dati delle tabelle di archiviazione. Se non si concede l'accesso al processo, il processo non sarà in grado di eseguire alcuna operazione. Per altre informazioni su come concedere l'accesso, vedere Usare il controllo degli accessi in base al ruolo di Azure per assegnare un accesso a un'identità gestita a un'altra risorsa.

Autorizzazioni

Per configurare l'integrazione della rete virtuale tramite portale di Azure, l'interfaccia della riga di comando o quando si imposta direttamente la proprietà del sito virtualNetworkSubnetId, è necessario disporre almeno delle autorizzazioni di controllo degli accessi in base al ruolo seguenti per configurare l'integrazione della rete virtuale tramite portale di Azure, interfaccia della riga di comando o quando si imposta direttamente la proprietà del sito virtualNetworkSubnetId:

Azione Descrizione
Microsoft.Network/virtualNetworks/read Leggere la definizione della rete virtuale
Microsoft.Network/virtualNetworks/subnets/read Leggere la definizione di subnet di rete virtuale
Microsoft.Network/virtualNetworks/subnets/join/action Aggiunge una rete virtuale
Microsoft.Network/virtualNetworks/subnets/write Facoltativo. Obbligatorio se è necessario eseguire la delega della subnet

Se la rete virtuale si trova in una sottoscrizione diversa rispetto al processo asa, è necessario assicurarsi che la sottoscrizione con la rete virtuale sia registrata per il Microsoft.StreamAnalytics provider di risorse. È possibile registrare in modo esplicito il provider seguendo questa documentazione, ma viene registrato automaticamente durante la creazione del processo in una sottoscrizione.

Limiti

  • I processi di rete virtuale richiedono almeno un su V2 (nuovo modello tariffario) o sei unità di streaming (corrente)
  • Assicurarsi che l'intervallo di subnet non sia in conflitto con l'intervallo di subnet ASA, ovvero non usare l'intervallo di subnet 10.0.0.0/16.
  • I processi ASA e la rete virtuale devono trovarsi nella stessa area.
  • La subnet delegata può essere usata solo da Analisi di flusso di Azure.
  • Non è possibile eliminare una rete virtuale quando è integrata con AsA. È necessario annullare o rimuovere l'ultimo processo* nella subnet delegata.
  • Attualmente non sono supportati gli aggiornamenti DNS (Domain Name System). Se le configurazioni DNS della rete virtuale vengono modificate, è necessario ridistribuire tutti i processi ASA in tale rete virtuale (anche le subnet devono essere disassociate da tutti i processi e riconfigurate). Per altre informazioni, vedere Risoluzione dei nomi per le risorse nelle reti virtuali di Azure.

Accedere alle risorse locali

Non è necessaria alcuna configurazione aggiuntiva per consentire alla funzionalità di integrazione della rete virtuale di raggiungere le risorse locali tramite la rete virtuale. È sufficiente connettere la rete virtuale alle risorse locali usando ExpressRoute o una VPN da sito a sito.

Dettagli sui prezzi

Al di fuori dei requisiti di base elencati in questo documento, l'integrazione della rete virtuale non prevede costi aggiuntivi per l'uso oltre i prezzi di Analisi di flusso di Azure.

Risoluzione dei problemi

La funzionalità è facile da configurare, ma ciò non significa che l'esperienza non comporti problemi. Se si verificano problemi di accesso all'endpoint desiderato, contattare supporto tecnico Microsoft.

Nota

Per commenti e suggerimenti diretti su questa funzionalità, contattare askasa@microsoft.com.