Udostępnij za pośrednictwem

Uruchamianie zadania usługi Azure Stream Analytics w usłudze Azure Virtual Network

  • Artykuł

W tym artykule opisano sposób uruchamiania zadania usługi Azure Stream Analytics (ASA) w sieci wirtualnej platformy Azure.

Omówienie

Obsługa sieci wirtualnej umożliwia zablokowanie dostępu do usługi Azure Stream Analytics do infrastruktury sieci wirtualnej. Ta funkcja zapewnia korzyści wynikające z izolacji sieci i może zostać wykonana przez wdrożenie konteneryzowanego wystąpienia zadania usługi ASA w sieci wirtualnej. Wstrzyknięte zadanie usługi ASA w sieci wirtualnej może następnie prywatnie uzyskiwać dostęp do zasobów w sieci wirtualnej za pośrednictwem:

  • Prywatne punkty końcowe łączące zadanie usługi ASA z siecią wirtualną ze źródłami danych za pośrednictwem linków prywatnych obsługiwanych przez usługę Azure Private Link.
  • Punkty końcowe usługi, które łączą źródła danych z siecią wirtualną, wprowadzone zadanie usługi ASA.
  • Tagi usług, które zezwalają na ruch do usługi Azure Stream Analytics lub odmawiają go.

Dostępność

Obecnie ta funkcja jest dostępna tylko w wybranych regionach: Wschodnie stany USA, Wschodnie stany USA 2, Zachodnie stany USA, Środkowe stany USA, Północno-środkowe stany USA, Kanada Środkowa, Europa Zachodnia, Europa Północna, Azja Południowo-Wschodnia, Brazylia Południowa, Japonia Wschodnia, Południowe Zjednoczone Królestwo, Indie Środkowe, Australia Wschodnia i Francja Środkowa. Jeśli interesuje Cię włączenie integracji sieci wirtualnej w Twoim regionie, wypełnij ten formularz.

Wymagania dotyczące obsługi integracji sieci wirtualnej

  • Konto magazynu ogólnego przeznaczenia w wersji 2 (GPV2) jest wymagane w przypadku zadań asa z wstrzykniętą siecią wirtualną.

    • Wstrzyknięte zadania usługi ASA w sieci wirtualnej wymagają dostępu do metadanych, takich jak punkty kontrolne, które mają być przechowywane w tabelach platformy Azure do celów operacyjnych.

    • Jeśli masz już konto GPV2 aprowidowane za pomocą zadania usługi ASA, nie są wymagane żadne dodatkowe kroki.

    • Użytkownicy z zadaniami o wyższej skali w usłudze Premium Storage są nadal zobowiązani do udostępnienia konta magazynu GPV2.

    • Jeśli chcesz chronić konta magazynu przed publicznym dostępem opartym na adresach IP, rozważ skonfigurowanie go również przy użyciu tożsamości zarządzanej i zaufanych usług.

      Aby uzyskać więcej informacji na temat kont magazynu, zobacz Omówienie konta magazynu i Tworzenie konta magazynu.

  • Istniejąca sieć wirtualna platformy Azure lub utwórz je.

    Ważne

    Wstrzyknięte zadania sieci wirtualnej ASA korzystają z wewnętrznej technologii iniekcji kontenera udostępnianej przez sieć platformy Azure. Zgodnie z wymaganiami dotyczącymi sieci brama translatora adresów sieciowych platformy Azure musi być skonfigurowana pod kątem zadań asa w sieci wirtualnej na potrzeby zabezpieczeń i niezawodności.

    Usługa Azure NAT Gateway to w pełni zarządzana i wysoce odporna usługa translatora adresów sieciowych (NAT). Po skonfigurowaniu w podsieci wszystkie połączenia wychodzące używają statycznych publicznych adresów IP bramy translatora adresów sieciowych. Diagram przedstawiający architekturę sieci wirtualnej.

    Aby uzyskać więcej informacji na temat usługi Azure NAT Gateway, zobacz Brama translatora adresów sieciowych platformy Azure.

Wymagania dotyczące podsieci

Integracja sieci wirtualnej zależy od dedykowanej podsieci. Podczas tworzenia podsieci podsieć platformy Azure od samego początku zużywa pięć adresów IP.

Należy wziąć pod uwagę zakres adresów IP skojarzony z delegowanej podsieci, ponieważ myślisz o przyszłych potrzebach wymaganych do obsługi obciążenia usługi ASA. Ponieważ nie można zmienić rozmiaru podsieci po przypisaniu, użyj podsieci, która jest wystarczająco duża, aby dopasować skalę zadania do osiągnięcia.

Operacja skalowania wpływa na rzeczywiste, obsługiwane wystąpienia dla danego rozmiaru podsieci.

Zagadnienia dotyczące szacowania zakresów adresów IP

  • Upewnij się, że zakres podsieci nie zderza się z zakresem podsieci usługi ASA. Unikaj zakresu adresów IP 10.0.0.0 do 10.0.255.255, ponieważ jest używany przez usługę ASA.
  • Rezerwować:
    • Pięć adresów IP dla sieci platformy Azure
    • Jeden adres IP jest wymagany do ułatwienia funkcji, takich jak przykładowe dane, połączenie testowe i odnajdywanie metadanych dla zadań skojarzonych z tą podsiecią.
    • Dwa adresy IP są wymagane dla każdej sześciu jednostek przesyłania strumieniowego (SU) lub jednej jednostki SU V2 (struktura cenowa usługi ASA w wersji 2 jest uruchamiana 1 lipca 2023 r., zobacz tutaj , aby uzyskać szczegółowe informacje)

Po wskazaniu integracji sieci wirtualnej z zadaniem usługi Azure Stream Analytics witryna Azure Portal automatycznie deleguje podsieć do usługi ASA. Witryna Azure Portal cofa podsieć w następujących scenariuszach:

Ostatnie zadanie

Kilka zadań usługi Stream Analytics może korzystać z tej samej podsieci. Ostatnie zadanie w tym miejscu odnosi się do żadnych innych zadań korzystających z określonej podsieci. Po usunięciu lub usunięciu ostatniego zadania przez skojarzona usługa Azure Stream Analytics zwalnia podsieć jako zasób, który został delegowany do usługi ASA jako usługa. Poczekaj kilka minut na ukończenie tej akcji.

Konfigurowanie integracji z siecią wirtualną

Azure Portal

  1. W witrynie Azure Portal przejdź do pozycji Sieć na pasku menu i wybierz pozycję Uruchom to zadanie w sieci wirtualnej. Ten krok informuje nas, że Zadanie musi współpracować z siecią wirtualną:

  2. Skonfiguruj ustawienia zgodnie z monitem i wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający stronę Sieć dla zadania usługi Stream Analytics.

VS Code

  1. W programie Visual Studio Code odwołaj się do podsieci w zadaniu usługi ASA. Ten krok informuje o zadaniu, że musi działać z podsiecią.

  2. W pliku JobConfig.jsonskonfiguruj element VirtualNetworkConfiguration , jak pokazano na poniższej ilustracji.

    Zrzut ekranu przedstawiający przykładową konfigurację sieci wirtualnej.

Konfigurowanie skojarzonego konta magazynu

  1. Na stronie zadania usługi Stream Analytics wybierz pozycję Ustawienia konta magazynu w obszarze Konfiguruj w menu po lewej stronie.

  2. Na stronie Ustawienia konta magazynu wybierz pozycję Dodaj konto magazynu.

  3. Postępuj zgodnie z instrukcjami, aby skonfigurować ustawienia konta magazynu.

    Zrzut ekranu przedstawiający stronę Ustawień konta magazynu zadania usługi Stream Analytics.

Ważne

  • Aby uwierzytelnić się przy użyciu parametry połączenia, należy wyłączyć ustawienia zapory konta magazynu.
  • Aby uwierzytelnić się przy użyciu tożsamości zarządzanej, musisz dodać zadanie usługi Stream Analytics do listy kontroli dostępu konta magazynu dla roli Współautor danych obiektu blob usługi Storage i roli Współautor danych tabeli magazynu. Jeśli nie udzielisz dostępu do zadania, zadanie nie będzie mogło wykonać żadnych operacji. Aby uzyskać więcej informacji na temat udzielania dostępu, zobacz Przypisywanie tożsamości zarządzanej do innego zasobu przy użyciu kontroli dostępu opartej na rolach platformy Azure.

Uprawnienia

Musisz mieć co najmniej następujące uprawnienia kontroli dostępu opartej na rolach w podsieci lub na wyższym poziomie, aby skonfigurować integrację sieci wirtualnej za pośrednictwem witryny Azure Portal, interfejsu wiersza polecenia lub podczas ustawiania właściwości lokacji virtualNetworkSubnetId bezpośrednio:

Akcja opis
Microsoft.Network/virtualNetworks/read Odczytywanie definicji sieci wirtualnej
Microsoft.Network/virtualNetworks/subnets/read Odczytywanie definicji podsieci sieci wirtualnej
Microsoft.Network/virtualNetworks/subnets/join/action Dołącza do sieci wirtualnej
Microsoft.Network/virtualNetworks/subnets/write Opcjonalny. Wymagane, jeśli musisz wykonać delegowanie podsieci

Jeśli sieć wirtualna znajduje się w innej subskrypcji niż zadanie usługi ASA, upewnij się, że subskrypcja z siecią wirtualną jest zarejestrowana dla Microsoft.StreamAnalytics dostawcy zasobów. Możesz jawnie zarejestrować dostawcę, postępując zgodnie z tą dokumentacją, ale jest on automatycznie rejestrowany podczas tworzenia zadania w subskrypcji.

Ograniczenia

  • Zadania sieci wirtualnej wymagają co najmniej jednego połączenia SU V2 (nowy model cenowy) lub sześciu jednostek jednostki SU (bieżąca)
  • Upewnij się, że zakres podsieci nie koliduje z zakresem podsieci ASA (czyli nie używaj zakresu podsieci 10.0.0.0/16).
  • Zadania usługi ASA i sieć wirtualna muszą znajdować się w tym samym regionie.
  • Podsieć delegowana może być używana tylko przez usługę Azure Stream Analytics.
  • Nie można usunąć sieci wirtualnej, gdy jest zintegrowana z usługą ASA. Musisz usunąć skojarzenie lub usunąć ostatnie zadanie* w delegowanej podsieci.
  • Obecnie nie obsługujemy odświeżania systemu nazw domen (DNS). Jeśli konfiguracje DNS sieci wirtualnej zostaną zmienione, należy ponownie wdrożyć wszystkie zadania usługi ASA w tej sieci wirtualnej (podsieci również muszą zostać odłączone od wszystkich zadań i ponownie skonfigurowane). Aby uzyskać więcej informacji, zobacz Rozpoznawanie nazw dla zasobów w sieciach wirtualnych platformy Azure, aby uzyskać więcej informacji.

Dostęp do zasobów lokalnych

Aby funkcja integracji sieci wirtualnej była dostępna za pośrednictwem sieci wirtualnej do zasobów lokalnych, nie jest wymagana żadna dodatkowa konfiguracja. Wystarczy połączyć sieć wirtualną z zasobami lokalnymi przy użyciu usługi ExpressRoute lub sieci VPN typu lokacja-lokacja.

Szczegóły cennika

Poza podstawowymi wymaganiami wymienionymi w tym dokumencie integracja sieci wirtualnej nie ma dodatkowych opłat za korzystanie poza opłatami cenowymi usługi Azure Stream Analytics.

Rozwiązywanie problemów

Ta funkcja jest łatwa do skonfigurowania, ale nie oznacza to, że środowisko jest bezpłatne. Jeśli wystąpią problemy z uzyskiwaniem dostępu do żądanego punktu końcowego, skontaktuj się z pomoc techniczna firmy Microsoft.

Uwaga

Aby uzyskać bezpośrednią opinię na temat tej możliwości, skontaktuj się z .askasa@microsoft.com