Azure Virtual Network에서 Azure Stream Analytics 작업 실행
이 문서에서는 Azure 가상 네트워크에서 ASA(Azure Stream Analytics) 작업을 실행하는 방법을 설명합니다.
개요
가상 네트워크 지원을 사용하면 가상 네트워크 인프라에 대한 Azure Stream Analytics에 대한 액세스를 잠글 수 있습니다. 이 기능은 네트워크 격리의 이점을 제공하며 Virtual Network 내에 ASA 작업의 컨테이너화된 인스턴스를 배포하여 수행할 수 있습니다. 그러면 삽입된 가상 네트워크 ASA 작업이 다음을 통해 가상 네트워크 내의 리소스에 비공개로 액세스할 수 있습니다.
- 프라이빗 엔드포인트- Azure Private Link에서 제공하는 프라이빗 링크를 통해 ASA 작업을 삽입한 가상 네트워크를 데이터 원본에 연결합니다.
- 서비스 엔드포인트- 데이터 원본을 가상 네트워크에 연결하여 ASA 작업을 삽입합니다.
- Azure Stream Analytics에 대한 트래픽을 허용하거나 거부하는 서비스 태그입니다.
가용성
현재 이 기능은 미국 동부, 미국 동부 2, 미국 서부, 미국 중부, 미국 중북부, 캐나다 중부, 서유럽, 북유럽, 동남 아시아, 브라질 남부, 일본 동부, 영국 남부, 인도 중부, 오스트레일리아 동부 및 프랑스 중부의 일부 지역에서만 사용할 수 있습니다. 해당 지역에서 가상 네트워크 통합을 사용하도록 설정하는 데 관심이 있는 경우 이 양식을 작성합니다.
가상 네트워크 통합 지원에 대한 요구 사항
가상 네트워크 삽입 ASA 작업에는 GPV2(범용 V2) 스토리지 계정이 필요합니다.
ASA 작업을 삽입하는 가상 네트워크에는 작동 목적으로 Azure 테이블에 저장해야 하는 검사점과 같은 메타데이터에 대한 액세스 권한이 필요합니다.
ASA 작업으로 프로비전된 GPV2 계정이 이미 있는 경우 추가 단계가 필요하지 않습니다.
Premium Storage를 사용하는 더 높은 규모의 작업을 가진 사용자는 여전히 GPV2 스토리지 계정을 제공해야 합니다.
공용 IP 기반 액세스로부터 스토리지 계정을 보호하려면 관리 ID 및 신뢰할 수 있는 서비스도 사용하여 구성하는 것이 좋습니다.
스토리지 계정에 대한 자세한 내용은 스토리지 계정 개요 및 스토리지 계정 만들기를 참조하세요.
기존 Azure Virtual Network를 사용하거나 새로 만듭니다.
Important
ASA 가상 네트워크 삽입 작업은 Azure 네트워킹에서 제공하는 내부 컨테이너 주입 기술을 사용합니다. 네트워킹 요구 사항에 따라 보안 및 안정성을 위해 ASA 작업을 삽입하는 가상 네트워크에 대해 Azure NAT Gateway를 구성해야 합니다.
Azure NAT Gateway는 완전히 관리되고 복원력이 뛰어난 NAT(Network Address Translation) 서비스입니다. 서브넷에 구성된 경우 모든 아웃바운드 연결은 NAT 게이트웨이의 고정 공용 IP 주소를 사용합니다.
Azure NAT Gateway에 대한 자세한 내용은 Azure NAT Gateway를 참조 하세요.
서브넷 요구 사항
가상 네트워크 통합은 전용 서브넷에 따라 다릅니다. 서브넷을 만들 때 Azure 서브넷은 처음부터 5개의 IP를 사용합니다.
ASA 워크로드를 지원하는 데 필요한 향후 요구 사항을 고려할 때 위임된 서브넷과 연결된 IP 범위를 고려해야 합니다. 할당 후에는 서브넷 크기를 변경할 수 없으므로 작업에 도달할 수 있는 규모를 수용할 수 있을 만큼 큰 서브넷을 사용합니다.
크기 조정 작업은 지정된 서브넷 크기에 대해 지원되는 실제 사용 가능한 인스턴스에 영향을 미칩니다.
IP 범위 예측에 대한 고려 사항
- 서브넷 범위가 ASA의 서브넷 범위와 충돌하지 않는지 확인합니다. ASA에서 사용되므로 IP 범위 10.0.0.0에서 10.0.255.255로 사용하지 마세요.
- 예약:
- Azure 네트워킹에 대한 5개의 IP 주소
- 이 서브넷과 연결된 작업에 대한 샘플 데이터, 테스트 연결 및 메타데이터 검색과 같은 기능을 용이하게 하려면 하나의 IP 주소가 필요합니다.
- SU(스트리밍 단위) 6개 또는 SU V2 1개마다 2개의 IP 주소가 필요합니다(ASA의 V2 가격 책정 구조는 2023년 7월 1일 시작됨, 자세한 내용은 여기를 참조하세요.)
Azure Stream Analytics 작업과 가상 네트워크 통합을 나타내는 경우 Azure Portal은 자동으로 서브넷을 ASA 서비스에 위임합니다. Azure Portal은 다음 시나리오에서 서브넷의 삭제를 취소합니다.
- ASA 포털을 통해 지정된 서브넷과 연결된 마지막 작업에 가상 네트워크 통합이 더 이상 필요하지 않음을 알려드립니다(방법 섹션 참조).
- 지정된 서브넷과 연결된 마지막 작업을 삭제합니다.
마지막 작업
여러 Stream Analytics 작업은 동일한 서브넷을 활용할 수 있습니다. 여기서 마지막 작업은 지정된 서브넷을 활용하는 다른 작업을 참조하지 않습니다. 연결에 의해 마지막 작업이 삭제되거나 제거되면 Azure Stream Analytics는 서브넷을 ASA에 서비스로 위임되었던 리소스로 해제합니다. 이 작업을 완료하는 데 몇 분 정도 걸립니다.
가상 네트워크 통합 설정
Azure Portal
Azure Portal 메뉴 모음에서 네트워킹으로 이동하고 가상 네트워크에서 이 작업 실행을 선택합니다. 이 단계에서는 작업이 가상 네트워크와 함께 작동해야 한다는 것을 알려줍니다.
메시지가 표시되면 설정을 구성하고 저장을 선택합니다.
VS Code
Visual Studio Code ASA 작업 내의 서브넷을 참조합니다. 이 단계에서는 서브넷에서 작동해야 한다는 것을 작업에 알릴 수 있습니다.
에서
JobConfig.json
다음 이미지와 같이 를VirtualNetworkConfiguration
설정합니다.
연결된 스토리지 계정 설정
Stream Analytics 작업 페이지의 왼쪽 메뉴에 있는 구성에서 스토리지 계정 설정을 선택합니다.
스토리지 계정 설정 페이지에서 스토리지 계정 추가를 선택합니다.
지침에 따라 스토리지 계정 설정을 구성합니다.
Important
- 연결 문자열로 인증하려면 스토리지 계정 방화벽 설정을 사용하지 않도록 설정해야 합니다.
- 관리 ID로 인증하려면 Storage Blob 데이터 기여자 역할 및 스토리지 테이블 데이터 기여자 역할에 대한 스토리지 계정의 액세스 제어 목록에 Stream Analytics 작업을 추가해야 합니다. 작업에 대한 액세스 권한을 부여하지 않으면 작업에서 실행할 수 없습니다. 액세스 권한을 부여하는 방법에 대한 자세한 내용은 Azure RBAC를 사용하여 다른 리소스에 관리 ID 액세스 할당을 참조하세요.
사용 권한
Azure Portal 또는 CLI를 통해 설정할 때 또는 virtualNetworkSubnetId 사이트 속성을 직접 설정할 때 가상 네트워크 통합을 구성하려면 서브넷 또는 더 높은 수준에서 다음 역할 기반 액세스 제어 권한이 있어야 합니다.
작업 | 설명 |
---|---|
Microsoft.Network/virtualNetworks/read |
가상 네트워크 정의를 읽습니다. |
Microsoft.Network/virtualNetworks/subnets/read |
가상 네트워크 서브넷 정의를 읽습니다. |
Microsoft.Network/virtualNetworks/subnets/join/action |
가상 네트워크를 연결합니다. |
Microsoft.Network/virtualNetworks/subnets/write |
선택 사항. 서브넷 위임을 수행해야 하는 경우 필수 |
가상 네트워크가 ASA 작업과 다른 구독에 있는 경우 가상 네트워크가 있는 구독이 Microsoft.StreamAnalytics
리소스 공급자에 대해 등록되었는지 확인해야 합니다. 이 설명서에 따라 공급자를 명시적으로 등록할 수 있지만 구독에서 작업을 만들 때 자동으로 등록됩니다.
제한 사항
- 가상 네트워크 작업에는 하나 이상의 SU V2(새 가격 책정 모델) 또는 6개의 SU(현재)가 필요합니다.
- 서브넷 범위가 ASA 서브넷 범위와 충돌하지 않는지 확인합니다(즉, 서브넷 범위 10.0.0.0/16을 사용하지 않음).
- ASA 작업 및 가상 네트워크는 동일한 지역에 있어야 합니다.
- 위임된 서브넷은 Azure Stream Analytics에서만 사용할 수 있습니다.
- ASA와 통합된 가상 네트워크는 삭제할 수 없습니다. 위임된 서브넷에서 마지막 작업*을 연결 해제하거나 제거해야 합니다.
- 현재 DNS(도메인 이름 시스템) 새로 고침을 지원하지 않습니다. 가상 네트워크의 DNS 구성이 변경된 경우 해당 가상 네트워크의 모든 ASA 작업을 다시 배포해야 합니다(서브넷도 모든 작업에서 연결 해제하고 다시 구성해야 함). 자세한 내용은 Azure 가상 네트워크의 리소스에 대한 이름 확인을 참조하세요.
온-프레미스 리소스에 액세스
가상 네트워크 통합 기능이 가상 네트워크를 통해 온-프레미스 리소스에 도달하기 위해 필요한 추가 구성은 없습니다. ExpressRoute 또는 사이트 간 VPN을 사용하여 가상 네트워크를 온-프레미스 리소스에 연결하기만 하면 됩니다.
가격 정보
이 문서에 나열된 기본 요구 사항 외에 가상 네트워크 통합은 Azure Stream Analytics 가격의 요금 외에는 사용에 대한 추가 요금이 없습니다.
문제 해결
이 기능은 설정하기 쉽지만 문제가 없는 것은 아닙니다. 원하는 엔드포인트에 액세스하는 데 문제가 발생하면 Microsoft 지원에 문의하세요.
참고 항목
이 기능에 대한 직접적인 피드백은 askasa@microsoft.com에 연락하세요.