Compartilhar via

Executar seu trabalho do Azure Stream Analytics em uma Rede Virtual do Azure

  • Artigo

Este artigo descreve como executar seu trabalho do Azure Stream Analytics (ASA) em uma rede virtual do Azure.

Visão geral

O suporte à rede virtual permite isolar o acesso do Azure Stream Analytics à infraestrutura de rede virtual. Essa capacidade traz os benefícios do isolamento de rede e pode ser realizada implantando uma instância conteinerizada do seu trabalho do ASA dentro da sua Rede Virtual. Seu trabalho do ASA injetado na rede virtual pode acessar seus recursos de forma privada na rede virtual por meio de:

Disponibilidade

Atualmente, essa funcionalidade só está disponível em regiões selecionadas: Leste dos EUA, Leste dos EUA 2, Oeste dos EUA, Centro dos EUA, Centro-Norte dos EUA, Canadá Central, Oeste da Europa, Norte da Europa, Sudeste Asiático, Sul do Brasil, Leste do Japão, Sul do Reino Unido, Índia Central, Leste da Austrália e França Central. Se você estiver interessado em habilitar a integração de rede virtual em sua região, preencha esse formulário.

Requisitos para suporte à integração de rede virtual

  • Uma Conta de Armazenamento de Uso Geral V2 (GPV2) é necessária para trabalhos do ASA injetados na rede virtual.

    • Os trabalhos do ASA injetados na rede virtual exigem acesso a metadados, como pontos de verificação, a serem armazenados em tabelas do Azure para fins operacionais.

    • Se você já tiver uma conta GPV2 provisionada com seu trabalho do ASA, nenhuma etapa adicional será necessária.

    • Os usuários com trabalhos de maior escala com armazenamento Premium ainda são obrigados a apresentar uma conta de armazenamento GPV2.

    • Se você quiser proteger as contas de armazenamento contra acesso baseado em IP público, considere configurá-las usando também a Identidade Gerenciada e os Serviços Confiáveis.

      Para obter mais informações sobre contas de armazenamento, consulte Visão geral da conta de armazenamento e Criar uma conta de armazenamento.

  • Uma Rede Virtual do Azure existente ou crie uma.

    Importante

    Os trabalhos do ASA injetados na rede virtual usam uma tecnologia interna de injeção de contêiner fornecida pela Rede do Azure. De acordo com os requisitos de rede, o Gateway da NAT do Azure deve ser configurado para trabalhos ASA injetados na rede virtual para fins de segurança e confiabilidade.

    Um Gateway da NAT do Azure é um serviço de Conversão de Endereços de Rede (NAT) totalmente gerenciado e altamente resiliente. Quando configurado em uma sub-rede, toda a conectividade de saída usa seus endereços IP públicos estáticos do gateway da NAT. Diagrama que mostra a arquitetura da rede virtual.

    Para obter mais informações sobre o Gateway da NAT do Azure, consulteGateway da NAT do Azure.

Requisitos de sub-rede

A integração de rede virtual depende de uma sub-rede dedicada. Quando você cria uma sub-rede, a sub-rede do Azure consome cinco IPs desde o início.

Você deve levar em conta o intervalo de IP associado à sua sub-rede delegada, ao considerar as necessidades futuras para dar suporte à carga de trabalho do ASA. Como o tamanho da sub-rede não pode ser alterado após a atribuição, use uma sub-rede que seja grande o suficiente para acomodar qualquer escala que seus trabalhos possam alcançar.

A operação de escala afeta as instâncias reais disponíveis, com suporte, para um determinado tamanho de sub-rede.

Considerações para estimar intervalos de IP

  • Verifique se o intervalo de sub-rede não colide com o intervalo de sub-rede do ASA. Evite o intervalo de IP 10.0.0.0 a 10.0.255.255, pois ele é usado pelo ASA.
  • Reserve:
    • Cinco endereços IP para a Rede do Azure
    • Umendereço IP é necessário para facilitar recursos como dados de exemplo, conexão de teste e descoberta de metadados para trabalhos associados a essa sub-rede.
    • Dois endereços IP são necessários para cada seis unidades de streaming (SU) ou uma SU V2 (a estrutura de preços da V2 da ASA será lançada em 1º de julho de 2023. Consulteaqui para obter detalhes)

Quando você indicar a integração da rede virtual com seu trabalho do Azure Stream Analytics, o portal do Azure delegará automaticamente a sub-rede ao serviço ASA. O portal do Azure desmarcará a sub-rede nos seguintes cenários:

  • Você nos informa que a integração da rede virtual não é mais necessária para o último trabalho associado à sub-rede especificada por meio do portal do ASA (consulte a seção "tutorial").
  • Exclua o último trabalho associado à sub-rede especificada.

Último trabalho

Vários trabalhos do Stream Analytics podem utilizar a mesma sub-rede. O último trabalho aqui refere-se a outros trabalhos que não utilizaram a sub-rede especificada. Quando o último trabalho foi excluído ou removido por associado, o Azure Stream Analytics libera a sub-rede como um recurso, que foi delegado ao ASA como um serviço. Espere vários minutos para que essa ação seja concluída.

Configurar integração de rede virtual

Portal do Azure

  1. No portal do Azure, navegue até Rede na barra de menus e selecione Executar este trabalho na rede virtual. Esta etapa nos informa que seu trabalho deve funcionar com uma rede virtual:

  2. Defina as configurações avançadas e selecione Salvar.

    Captura de tela mostrando a página Rede de um trabalho do Stream Analytics.

Código VS

  1. No Visual Studio Code, faça referência à sub-rede no trabalho do ASA. Esta etapa informa ao seu trabalho que ele deve funcionar com uma sub-rede.

  2. Em JobConfig.json, configure sua VirtualNetworkConfiguration conforme mostrado na imagem a seguir.

    Captura de tela da configuração de uma rede virtual de exemplo.

Configurar uma conta de armazenamento associada

  1. Na página trabalho do Stream Analytics, selecione Configurações da conta de armazenamento em Configurar no menu esquerdo.

  2. Na página Configurações da conta de armazenamento, selecione Adicionar conta de armazenamento.

  3. Siga as instruções para definir as configurações da conta de armazenamento.

    Captura de tela da página Configurações da conta de armazenamento de um trabalho do Stream Analytics.

Importante

  • Para autenticar com a cadeia de conexão, você deve desabilitar as configurações de firewall da conta de armazenamento.
  • Para autenticar por meio da Identidade Gerenciada, você precisará adicionar o trabalho do Stream Analytics à lista de controle de acesso da conta de armazenamento com a função Colaborador de Dados do Blob de Armazenamento. Se você não conceder acesso ao trabalho, o trabalho não poderá executar qualquer operação. Para obter mais informações sobre como conceder acesso, consulte Usar o RBAC do Azure para atribuir um acesso de identidade gerenciada a outro recurso.

Permissões

Você deve ter pelo menos as seguintes permissões de controle de acesso baseado em função na sub-rede ou em um nível superior para configurar a integração de rede virtual por meio de portal do Azure, CLI ou ao definir a propriedade do site virtualNetworkSubnetId diretamente:

Ação Descrição
Microsoft.Network/virtualNetworks/read Ler a definição de rede virtual
Microsoft.Network/virtualNetworks/subnets/read Ler uma definição de sub-rede de rede virtual
Microsoft.Network/virtualNetworks/subnets/join/action Ingressar em uma rede virtual
Microsoft.Network/virtualNetworks/subnets/write Opcional. Obrigatório se você precisar executar a delegação de sub-rede

Se a rede virtual estiver em uma assinatura diferente do seu trabalho do ASA, certifique-se de registrar a assinatura com a rede virtual para o provedor de recursos Microsoft.StreamAnalytics. Você pode registrar explicitamente o provedor seguindo esta documentação, mas ele é registrado automaticamente ao criar o trabalho em uma assinatura.

Limitações

  • Os trabalhos de rede virtual exigem, no mínimo, um SU V2 (novo modelo de preços) ou seis SUs (atual)
  • Verifique se o intervalo de sub-rede não colide com o intervalo de sub-rede ASA (ou seja, não use o intervalo de sub-rede 10.0.0.0/16).
  • Os trabalhos do ASA e a rede virtual devem estar na mesma região.
  • A sub-rede delegada só pode ser usada pelo Azure Stream Analytics.
  • Você não pode excluir uma rede virtual quando ela é integrada ao ASA. Você deve desassociar ou remover o último trabalho* na sub-rede delegada.
  • Atualmente, não há suporte para atualizações do DNS (Sistema de Nomes de Domínio). Se as configurações de DNS da rede virtual forem alteradas, você deverá reimplantar todos os trabalhos do ASA nessa rede virtual (as sub-redes também precisarão ser desassociadas de todos os trabalhos e reconfiguradas). Para obter mais informações, consulte Resolução de nomes para recursos em redes virtuais do Azure para obter mais informações.

Acessar recursos locais

Nenhuma configuração extra é necessária para que o recurso de integração de rede virtual acesse a rede virtual até os recursos locais. Você apenas precisa conectar sua rede virtual aos recursos locais usando o ExpressRoute ou uma VPN site a site.

Detalhes de preço

Fora dos requisitos básicos listados neste documento, a integração de rede virtual não tem nenhum custo extra para uso além dos preços do Azure Stream Analytics.

Solução de problemas

Embora o recurso seja fácil de configurar, isso não significa que sua experiência estará livre de problemas. Se você encontrar problemas para acessar o ponto de extremidade desejado, entre em contato com Suporte da Microsoft.

Observação

Para comentários diretos sobre essa capacidade, entre em contato com askasa@microsoft.com.