Łączenie zadań usługi Stream Analytics z zasobami w usłudze Azure Virtual Network
Zadania usługi Stream Analytics umożliwiają nawiązywanie połączeń wychodzących z wejściowymi i wyjściowymi zasobami platformy Azure w celu przetwarzania danych w czasie rzeczywistym i generowania wyników. Te zasoby wejściowe i wyjściowe (na przykład usługi Azure Event Hubs i Azure SQL Database) mogą znajdować się za zaporą platformy Azure lub w usłudze Azure Virtual Network. Usługa Stream Analytics działa z sieci, których nie można bezpośrednio uwzględnić w regułach sieci.
Istnieje jednak kilka sposobów bezpiecznego łączenia zadań usługi Stream Analytics z zasobami wejściowymi i wyjściowymi w takich scenariuszach.
- Uruchamianie zadania usługi Azure Stream Analytics w usłudze Azure Virtual Network
- Używaj prywatnych punktów końcowych w klastrach usługi Stream Analytics.
- Użyj trybu uwierzytelniania tożsamości zarządzanej w połączeniu z ustawieniem sieci "Zezwalaj na zaufane usługi".
Zadanie usługi Stream Analytics nie akceptuje żadnego połączenia przychodzącego.
Uruchamianie zadania usługi Azure Stream Analytics w usłudze Azure Virtual Network
Obsługa sieci wirtualnej umożliwia zablokowanie dostępu do usługi Azure Stream Analytics do infrastruktury sieci wirtualnej. Ta funkcja zapewnia korzyści wynikające z izolacji sieci i może zostać wykonana przez wdrożenie konteneryzowanego wystąpienia zadania usługi Azure Stream Analytics w sieci wirtualnej. Wstrzyknięte zadanie sieci wirtualnej może następnie prywatnie uzyskiwać dostęp do zasobów w sieci wirtualnej za pośrednictwem:
- Prywatne punkty końcowe łączące zadanie usługi ASA z siecią wirtualną ze źródłami danych za pośrednictwem linków prywatnych obsługiwanych przez usługę Azure Private Link.
- Punkty końcowe usługi, które łączą źródła danych z siecią wirtualną, wprowadzone zadanie usługi ASA.
- Tagi usług, które zezwalają na ruch do usługi Azure Stream Analytics lub odmawiają go.
Obecnie integracja sieci wirtualnej jest dostępna tylko w wybranych regionach. Odwiedź tę stronę, aby zapoznać się z najnowszą listą regionów z włączoną siecią wirtualną i jak zażądać jej w twoim regionie.
Prywatne punkty końcowe w klastrach usługi Stream Analytics.
Klastry usługi Stream Analytics to dedykowany klaster obliczeniowy z jedną dzierżawą, w którym można uruchamiać zadania usługi Stream Analytics. Zarządzane prywatne punkty końcowe można utworzyć w klastrze usługi Stream Analytics, dzięki czemu wszystkie zadania uruchomione w klastrze umożliwiają bezpieczne połączenie wychodzące z zasobami wejściowymi i wyjściowymi.
Tworzenie prywatnych punktów końcowych w klastrze usługi Stream Analytics to operacja dwuetapowa. Ta opcja najlepiej nadaje się w przypadku średnich i dużych obciążeń przesyłania strumieniowego, ponieważ minimalny rozmiar klastra usługi Stream Analytics to 12 jednostek SU V2 lub 36 SU V1 (jednostki SU mogą być współużytkowane przez różne zadania w różnych subskrypcjach lub środowiskach, takich jak programowanie, testowanie i produkcja). Aby uzyskać więcej informacji, zobacz Klaster usługi Azure Stream Analytics.
Uwierzytelnianie tożsamości zarządzanej z konfiguracją "Zezwalaj na zaufane usługi"
Niektóre usługi platformy Azure udostępniają ustawienie Zezwalaj na zaufane usługi firmy Microsoft sieci, które po włączeniu umożliwia bezpieczne łączenie zadań usługi Stream Analytics z zasobem przy użyciu silnego uwierzytelniania. Ta opcja umożliwia łączenie zadań z zasobami wejściowymi i wyjściowymi bez konieczności używania klastra usługi Stream Analytics i prywatnych punktów końcowych. Skonfigurowanie zadania w celu użycia tej techniki jest operacją 2-krokową:
- Użyj trybu uwierzytelniania tożsamości zarządzanej podczas konfigurowania danych wejściowych lub wyjściowych w zadaniu usługi Stream Analytics.
- Przyznaj określonym zadaniu usługi Stream Analytics jawny dostęp do zasobów docelowych, przypisując rolę platformy Azure do przypisanej przez system tożsamości zarządzanej zadania.
Włączenie opcji Zezwalaj na zaufane usługi firmy Microsoft nie udziela dostępu ogólnego do żadnego zadania. Zapewnia pełną kontrolę nad tym, które konkretne zadania usługi Stream Analytics mogą bezpiecznie uzyskiwać dostęp do zasobów.
Zadania mogą łączyć się z następującymi usługami platformy Azure przy użyciu tej techniki:
- Blob Storage lub Azure Data Lake Storage Gen2 — może to być konto magazynu zadania, dane wejściowe lub wyjściowe przesyłania strumieniowego.
- Azure Event Hubs — może to być dane wejściowe lub wyjściowe przesyłania strumieniowego zadania.
Jeśli zadania muszą łączyć się z innymi typami danych wejściowych lub wyjściowych, możesz najpierw zapisać dane wyjściowe z usługi Stream Analytics do usługi Event Hubs, a następnie do dowolnego wybranego miejsca docelowego przy użyciu usługi Azure Functions. Jeśli chcesz bezpośrednio zapisywać dane z usługi Stream Analytics do innych typów danych wyjściowych zabezpieczonych w sieci wirtualnej lub zaporze, jedyną opcją jest użycie prywatnych punktów końcowych w klastrach usługi Stream Analytics.
Następne kroki
- Tworzenie i usuwanie prywatnych punktów końcowych w klastrach usługi Stream Analytics
- Nawiązywanie połączenia z usługą Event Hubs w sieci wirtualnej przy użyciu uwierzytelniania tożsamości zarządzanej
- Nawiązywanie połączenia z usługą Blob Storage i usługą ADLS Gen2 w sieci wirtualnej przy użyciu uwierzytelniania tożsamości zarządzanej